Standaard eigenschappen in Azure Monitor logboekenStandard properties in Azure Monitor Logs

Gegevens in Azure Monitor logboeken worden opgeslagen als een set records in een log Analytics werk ruimte of Application Insights toepassing, elk met een bepaald gegevens type met een unieke set eigenschappen.Data in Azure Monitor Logs is stored as a set of records in either a Log Analytics workspace or Application Insights application, each with a particular data type that has a unique set of properties. Veel gegevens typen hebben standaard eigenschappen die gemeen schappelijk zijn voor meerdere typen.Many data types will have standard properties that are common across multiple types. In dit artikel worden deze eigenschappen beschreven en vindt u voor beelden van hoe u deze kunt gebruiken in query's.This article describes these properties and provides examples of how you can use them in queries.

Notitie

Sommige van de standaard-PERT-versies worden niet weer gegeven in de schema weergave of IntelliSense in Log Analytics en ze worden niet weer gegeven in query resultaten tenzij u de eigenschap expliciet opgeeft in de uitvoer.Some of the standard propertis will not show in the schema view or intellisense in Log Analytics, and they won't show in query results unless you explicitly specify the property in the output.

TimeGenerated en tijds tempelTimeGenerated and timestamp

De eigenschappen van de TimeGenerated (log Analytics-werk ruimte) en de Time Stamp -eigenschap (Application Insights toepassing) bevatten de datum en tijd waarop de record is gemaakt door de gegevens bron.The TimeGenerated (Log Analytics workspace) and timestamp (Application Insights application) properties contain the date and time that the record was created by the data source. Zie opname tijd van logboek gegevens in azure monitor voor meer informatie.See Log data ingestion time in Azure Monitor for more details.

TimeGenerated en Time Stamp bieden een gemeen schappelijke eigenschap voor filteren of samen vatting op tijd.TimeGenerated and timestamp provide a common property to use for filtering or summarizing by time. Wanneer u een tijds bereik voor een weer gave of dash board in de Azure Portal selecteert, wordt TimeGenerated of Time Stamp gebruikt om de resultaten te filteren.When you select a time range for a view or dashboard in the Azure portal, it uses TimeGenerated or timestamp to filter the results.

VoorbeeldenExamples

De volgende query retourneert het aantal fout gebeurtenissen dat voor elke dag in de vorige week wordt gemaakt.The following query returns the number of error events created for each day in the previous week.

Event
| where EventLevelName == "Error" 
| where TimeGenerated between(startofweek(ago(7days))..endofweek(ago(7days))) 
| summarize count() by bin(TimeGenerated, 1day) 
| sort by TimeGenerated asc 

De volgende query retourneert het aantal uitzonde ringen dat voor elke dag in de vorige week is gemaakt.The following query returns the number of exceptions created for each day in the previous week.

exceptions
| where timestamp between(startofweek(ago(7days))..endofweek(ago(7days))) 
| summarize count() by bin(TimeGenerated, 1day) 
| sort by timestamp asc 

_TimeReceived_TimeReceived

De eigenschap TimeReceived bevat de datum en tijd waarop de record is ontvangen door het Azure monitor opname punt in de Azure-Cloud. _The _TimeReceived property contains the date and time that the record was received by the Azure Monitor ingestion point in the Azure cloud. Dit kan handig zijn om latentie problemen tussen de gegevens bron en de cloud te identificeren.This can be useful for identifying latency issues between the data source and the cloud. Een voor beeld hiervan is een netwerk probleem dat een vertraging veroorzaakt bij het verzenden van gegevens van een agent.An example would would be a networking issue causing a delay with data being sent from an agent. Zie opname tijd van logboek gegevens in azure monitor voor meer informatie.See Log data ingestion time in Azure Monitor for more details.

De volgende query geeft de gemiddelde latentie per uur voor gebeurtenis records van een agent.The following query gives the average latency by hour for event records from an agent. Dit omvat de tijd van de agent naar de Cloud en de totale tijd voor de record die beschikbaar is voor logboek query's.This includes the time from the agent to the cloud and and the total time for the record to be available for log queries.

Event
| where TimeGenerated > ago(1d) 
| project TimeGenerated, TimeReceived = _TimeReceived, IngestionTime = ingestion_time() 
| extend AgentLatency = toreal(datetime_diff('Millisecond',TimeReceived,TimeGenerated)) / 1000
| extend TotalLatency = toreal(datetime_diff('Millisecond',IngestionTime,TimeGenerated)) / 1000
| summarize avg(AgentLatency), avg(TotalLatency) by bin(TimeGenerated,1hr)

Typ en item typeType and itemType

De eigenschappen van het type (log Analytics werk ruimte) en het eigenschaps item (Application Insights toepassing) bevatten de naam van de tabel waaruit de record is opgehaald, die ook als het record type kan worden beschouwd.The Type (Log Analytics workspace) and itemType (Application Insights application) properties hold the name of the table that the record was retrieved from which can also be thought of as the record type. Deze eigenschap is handig in query's die records uit meerdere tabellen combi neren, zoals de gegevens die gebruikmaken search van de operator om onderscheid te maken tussen records van verschillende typen.This property is useful in queries that combine records from multiple table, such as those that use the search operator, to distinguish between records of different types. $Table kan in plaats van het type op sommige locaties worden gebruikt.$table can be used in place of Type in some places.

VoorbeeldenExamples

Met de volgende query wordt het aantal records geretourneerd op basis van het type dat in het afgelopen uur is verzameld.The following query returns the count of records by type collected over the past hour.

search * 
| where TimeGenerated > ago(1h)
| summarize count() by Type

_ItemId_ItemId

De eigenschap Itemid bevat een unieke id voor de record. _The _ItemId property holds a unique identifier for the record.

_ResourceId_ResourceId

De eigenschap ResourceID bevat een unieke id voor de resource waaraan de record is gekoppeld. _The _ResourceId property holds a unique identifier for the resource that the record is associated with. Dit geeft u een standaard eigenschap die u kunt gebruiken om uw query te beperken tot alleen records van een bepaalde resource, of om gerelateerde gegevens over meerdere tabellen samen te voegen.This gives you a standard property to use to scope your query to only records from a particular resource, or to join related data across multiple tables.

Voor Azure-resources is de waarde van _ResourceId de URL van de Azure-resource-id.For Azure resources, the value of _ResourceId is the Azure resource ID URL. De eigenschap is momenteel beperkt tot Azure-resources, maar wordt uitgebreid naar bronnen buiten Azure, zoals on-premises computers.The property is currently limited to Azure resources, but it will be extended to resources outside of Azure such as on-premises computers.

Notitie

Sommige gegevens typen bevatten al velden met een Azure-Resource-ID of ten minste delen daarvan, zoals de abonnements-ID.Some data types already have fields that contain Azure resource ID or at least parts of it like subscription ID. Hoewel deze velden voor compatibiliteit met eerdere versies worden bewaard, is het raadzaam om de _ResourceId te gebruiken om een kruis correlatie uit te voeren, omdat het consistenter is.While these fields are kept for backward compatibility, it is recommended to use the _ResourceId to perform cross correlation since it will be more consistent.

VoorbeeldenExamples

Met de volgende query worden de prestatie-en gebeurtenis gegevens voor elke computer samengevoegd.The following query joins performance and event data for each computer. Alle gebeurtenissen met de ID 101 en processor gebruik worden weer gegeven via 50%.It shows all events with an ID of 101 and processor utilization over 50%.

Perf 
| where CounterName == "% User Time" and CounterValue  > 50 and _ResourceId != "" 
| join kind=inner (     
    Event 
    | where EventID == 101 
) on _ResourceId

Met de volgende query worden AzureActivity -records samengevoegd met SecurityEvent -records.The following query joins AzureActivity records with SecurityEvent records. Het geeft alle activiteiten bewerkingen weer met gebruikers die zijn aangemeld bij deze machines.It shows all activity operations with users that were logged in to these machines.

AzureActivity 
| where  
    OperationName in ("Restart Virtual Machine", "Create or Update Virtual Machine", "Delete Virtual Machine")  
    and ActivityStatus == "Succeeded"  
| join kind= leftouter (    
   SecurityEvent 
   | where EventID == 4624  
   | summarize LoggedOnAccounts = makeset(Account) by _ResourceId 
) on _ResourceId  

De volgende query parseert _ResourceId en aggregeert gefactureerde gegevens volumes per Azure-abonnement.The following query parses _ResourceId and aggregates billed data volumes per Azure subscription.

union withsource = tt * 
| where _IsBillable == true 
| parse tolower(_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/" 
    resourceGroup "/providers/" provider "/" resourceType "/" resourceName   
| summarize Bytes=sum(_BilledSize) by subscriptionId | sort by Bytes nulls last 

Gebruik deze union withsource = tt * query's spaarzaam als scans over gegevens typen duur zijn om uit te voeren.Use these union withsource = tt * queries sparingly as scans across data types are expensive to execute.

_IsBillable_IsBillable

De eigenschap IsBillable geeft aan of geconsumeerde gegevens Factureerbaar zijn. _The _IsBillable property specifies whether ingested data is billable. Gegevens waarbij _IsBillable gelijk is aan False , worden gratis verzameld en worden niet in rekening gebracht voor uw Azure-account.Data with _IsBillable equal to false are collected for free and not billed to your Azure account.

VoorbeeldenExamples

Gebruik de volgende query om een lijst op te halen met computers die gefactureerde gegevens typen verzenden:To get a list of computers sending billed data types, use the following query:

Notitie

Gebruik query's met union withsource = tt * spaarzaam als scans over gegevens typen duur zijn om uit te voeren.Use queries with union withsource = tt * sparingly as scans across data types are expensive to execute.

union withsource = tt * 
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize TotalVolumeBytes=sum(_BilledSize) by computerName

Dit kan worden uitgebreid om het aantal computers per uur te retour neren dat gefactureerde gegevens typen verzendt:This can be extended to return the count of computers per hour that are sending billed data types:

union withsource = tt * 
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize dcount(computerName) by bin(TimeGenerated, 1h) | sort by TimeGenerated asc

_BilledSize_BilledSize

_ De_eigenschap BilledSize geeft de grootte in bytes aan gegevens aan die worden gefactureerd naar uw Azure-account als IsBillable waar is.The _BilledSize property specifies the size in bytes of data that will be billed to your Azure account if _IsBillable is true.

VoorbeeldenExamples

Als u de grootte van het aantal factureer bare gebeurtenissen per computer wilt zien _BilledSize , gebruikt u de eigenschap die de grootte in bytes levert:To see the size of billable events ingested per computer, use the _BilledSize property which provides the size in bytes:

union withsource = tt * 
| where _IsBillable == true 
| summarize Bytes=sum(_BilledSize) by  Computer | sort by Bytes nulls last 

Gebruik de volgende query om de omvang van de factureer bare gebeurtenissen die per abonnement zijn opgenomen te bekijken:To see the size of billable events ingested per subscription, use the following query:

union withsource=table * 
| where _IsBillable == true 
| parse _ResourceId with "/subscriptions/" SubscriptionId "/" *
| summarize Bytes=sum(_BilledSize) by  SubscriptionId | sort by Bytes nulls last 

Gebruik de volgende query om de omvang van de factureer bare gebeurtenissen per resource groep te bekijken:To see the size of billable events ingested per resource group, use the following query:

union withsource=table * 
| where _IsBillable == true 
| parse _ResourceId with "/subscriptions/" SubscriptionId "/resourcegroups/" ResourceGroupName "/" *
| summarize Bytes=sum(_BilledSize) by  SubscriptionId, ResourceGroupName | sort by Bytes nulls last 

Voor een overzicht van het aantal gebeurtenissen dat per computer is opgenomen, gebruikt u de volgende query:To see the count of events ingested per computer, use the following query:

union withsource = tt *
| summarize count() by Computer | sort by count_ nulls last

Gebruik de volgende query om het aantal factureer bare gebeurtenissen per computer te bekijken:To see the count of billable events ingested per computer, use the following query:

union withsource = tt * 
| where _IsBillable == true 
| summarize count() by Computer  | sort by count_ nulls last

Gebruik de volgende query om het aantal factureer bare gegevens typen van een specifieke computer te bekijken:To see the count of billable data types from a specific computer, use the following query:

union withsource = tt *
| where Computer == "computer name"
| where _IsBillable == true 
| summarize count() by tt | sort by count_ nulls last 

Volgende stappenNext steps