VM içgörülerinden günlükleri sorgulama
Dikkat
Bu makalede, Kullanım Süresi Sonu (EOL) durumuna yakın bir Linux dağıtımı olan CentOS'a başvuruda bulunur. Lütfen kullanımınızı ve buna uygun planlamayı göz önünde bulundurun. Daha fazla bilgi için bkz . CentOS Kullanım Süresi Sonu kılavuzu.
VM içgörüleri performans ve bağlantı ölçümleri, bilgisayar ve işlem envanteri verileri ile sistem durumu bilgilerini toplar ve Azure İzleyici'deki Log Analytics çalışma alanına iletir. Bu veriler Azure İzleyici'de sorgu için kullanılabilir. Bu verileri geçiş planlaması, kapasite analizi, bulma ve isteğe bağlı performans sorunlarını giderme gibi senaryolara uygulayabilirsiniz.
Kayıtları eşleme
Önemli
Sanal makineniz Azure İzleyici aracısı ile VM içgörüleri kullanıyorsa, bu tabloların oluşturulması için etkinleştirilmiş işlemlere ve bağımlılıklara sahip olmanız gerekir.
Bir işlem veya bilgisayar başlatıldığında veya VM içgörülerine eklendiğinde oluşturulan kayıtlara ek olarak her benzersiz bilgisayar ve işlem için saatte bir kayıt oluşturulur. VMComputer tablosundaki alanlar ve değerler, ServiceMap Azure Resource Manager API'sindeki Makine kaynağının alanlarıyla eşler. VMProcess tablosundaki alanlar ve değerler, ServiceMap Azure Resource Manager API'sindeki İşlem kaynağının alanlarıyla eşler. _ResourceId alanı, karşılık gelen Resource Manager kaynağındaki ad alanıyla eşleşir.
Benzersiz işlemleri ve bilgisayarları tanımlamak için kullanabileceğiniz dahili olarak oluşturulmuş özellikler vardır:
- Bilgisayar: Log Analytics çalışma alanında bir bilgisayarı benzersiz olarak tanımlamak için _ResourceId kullanın.
- İşlem: Log Analytics çalışma alanında bir işlemi benzersiz olarak tanımlamak için _ResourceId kullanın.
Belirtilen bir işlem ve bilgisayar için belirtilen zaman aralığında birden çok kayıt bulunabileceğinden, sorgular aynı bilgisayar veya işlem için birden fazla kayıt döndürebilir. Yalnızca en son kaydı eklemek için sorguya ekleyin | summarize arg_max(TimeGenerated, *) by ResourceId
.
Bağlan ions ve bağlantı noktaları
Bağlan ion Ölçümleri özelliği, Azure İzleyici günlüklerinde vm Bağlan ion ve VMBoundPort gibi iki yeni tablo içerir. Bu tablolar, bir makinenin bağlantıları (gelen ve giden) ve bu makinelerde açık/etkin olan sunucu bağlantı noktaları hakkında bilgi sağlar. Bağlan ionMetrics, bir zaman penceresi sırasında belirli bir ölçümü elde etmek için araçlar sağlayan API'ler aracılığıyla da kullanıma sunulur. Dinleme yuvasında kabul edilen TCP bağlantıları gelen bağlantılar olurken, belirli bir IP'ye ve bağlantı noktasına bağlanılarakoluşturulanlar giden bağlantılardır. Bağlantının yönü, gelen veya giden olarak ayarlanabilen Direction özelliğiyle temsil edilir.
Bu tablolardaki kayıtlar Bağımlılık Aracısı tarafından bildirilen verilerden oluşturulur. Her kayıt, 1 dakikalık zaman aralığındaki bir gözlemi temsil eder. TimeGenerated özelliği zaman aralığının başlangıcını gösterir. Her kayıt, ilgili varlığı, yani bağlantı veya bağlantı noktasını ve bu varlıkla ilişkili ölçümleri tanımlamaya yönelik bilgiler içerir. Şu anda yalnızca IPv4 üzerinden TCP kullanılarak gerçekleşen ağ etkinliği bildirilmektedir.
Ortak alanlar ve kurallar
Aşağıdaki alanlar ve kurallar hem VM Bağlan ion hem de VMBoundPort için geçerlidir:
- Bilgisayar: Raporlama makinesinin tam etki alanı adı
- AgentId: Azure İzleyici Aracısı veya Log Analytics aracısı çalıştıran bir makinenin benzersiz tanımlayıcısı
- Makine: ServiceMap tarafından kullanıma sunulan makinenin Azure Resource Manager kaynağının adı. M-{GUID} biçimindedir; burada GUID, AgentId ile aynı GUID'dir
- İşlem: ServiceMap tarafından kullanıma sunulan işlemin Azure Resource Manager kaynağının adı. p-{onaltılık dize} biçimindedir. İşlem bir makine kapsamında benzersizdir ve makineler arasında benzersiz bir işlem kimliği oluşturmak için Makine ve İşlem alanlarını birleştirin.
- ProcessName: Raporlama işleminin yürütülebilir adı.
- Tüm IP adresleri IPv4 kurallı biçimindeki dizelerdir, örneğin 13.107.3.160
Maliyet ve karmaşıklığı yönetmek için bağlantı kayıtları tek tek fiziksel ağ bağlantılarını temsil etmemektedir. Birden çok fiziksel ağ bağlantısı mantıksal bir bağlantı halinde gruplandırılır ve bu da ilgili tabloya yansıtılır. Anlamı, VM Bağlan ion tablosundaki kayıtlar gözlemlenen tek tek fiziksel bağlantıları değil mantıksal bir gruplandırma temsil eder. Belirli bir dakikalık aralıkta aşağıdaki öznitelikler için aynı değeri paylaşan fiziksel ağ bağlantısı, VM Bağlan ion'da tek bir mantıksal kayıtta toplanır.
Özellik | Açıklama |
---|---|
Yön | Bağlantının yönü, değer gelen veya giden |
Makine | Bilgisayar FQDN'si |
İşlem | İşlemin veya işlem gruplarının kimliği, bağlantıyı başlatma/kabul etme |
SourceIp | Kaynağın IP adresi |
DestinationIp | Hedefin IP adresi |
DestinationPort | Hedefin bağlantı noktası numarası |
Protokol | Bağlantı için kullanılan protokol. Değerler tcp'dir. |
Gruplandırma etkisini hesaba eklemek için, kaydın aşağıdaki özelliklerinde gruplandırılmış fiziksel bağlantı sayısı hakkında bilgi sağlanır:
Özellik | Açıklama |
---|---|
BağlantılarTablished | Raporlama zamanı penceresi sırasında kurulan fiziksel ağ bağlantılarının sayısı |
Bağlantılar Sonlandırıldı | Raporlama zamanı penceresi sırasında sonlandırılan fiziksel ağ bağlantılarının sayısı |
LinksFailed | Raporlama zaman penceresinde başarısız olan fiziksel ağ bağlantılarının sayısı. Bu bilgiler şu anda yalnızca giden bağlantılar için kullanılabilir. |
LinksLive | Raporlama zaman penceresinin sonunda açık olan fiziksel ağ bağlantılarının sayısı |
Ölçümler
Bağlantı sayısı ölçümlerine ek olarak, belirli bir mantıksal bağlantı veya ağ bağlantı noktasında gönderilen ve alınan veri hacmi hakkındaki bilgiler de kaydın aşağıdaki özelliklerine eklenir:
Özellik | Açıklama |
---|---|
Bayt Sayısı | Raporlama zamanı penceresi sırasında gönderilen toplam bayt sayısı |
BytesReceived | Raporlama zamanı penceresi sırasında alınan toplam bayt sayısı |
Yanıtlar | Raporlama zaman penceresinde gözlemlenen yanıt sayısı. |
ResponseTimeMax | Raporlama zamanı penceresinde gözlemlenen en büyük yanıt süresi (milisaniye). Değer yoksa özelliği boş olur. |
ResponseTimeMin | Raporlama zamanı penceresinde gözlemlenen en küçük yanıt süresi (milisaniye). Değer yoksa özelliği boş olur. |
ResponseTimeSum | Raporlama zamanı penceresinde gözlemlenen tüm yanıt sürelerinin (milisaniye) toplamı. Değer yoksa özelliği boş olur. |
Bildirilen üçüncü veri türü yanıt süresidir. Arayan, bir bağlantı üzerinden gönderilen bir isteğin uzak uç nokta tarafından işlenmesini ve yanıtlanmasını beklemek için ne kadar zaman harcar? Bildirilen yanıt süresi, temel alınan uygulama protokolünün gerçek yanıt süresinin tahminidir. Fiziksel ağ bağlantısının kaynak ve hedef ucu arasındaki veri akışının gözlemlenmesine dayalı buluşsal yöntemler kullanılarak hesaplanır. Kavramsal olarak, bir isteğin son baytının gönderenden ayrılma zamanı ile yanıtın son baytının geri gelmesi arasındaki farktır. Bu iki zaman damgası, belirli bir fiziksel bağlantıdaki istek ve yanıt olaylarını ayırt etmek için kullanılır. Aralarındaki fark, tek bir isteğin yanıt süresini temsil eder.
Bu özelliğin ilk sürümünde algoritmamız, belirli bir ağ bağlantısı için kullanılan gerçek uygulama protokolüne bağlı olarak değişen başarı derecesiyle çalışabilen bir yaklaşık değerdir. Örneğin, geçerli yaklaşım HTTP(S) gibi istek yanıtı tabanlı protokoller için iyi çalışır, ancak tek yönlü veya ileti kuyruğu tabanlı protokollerle çalışmaz.
Dikkate alınması gereken bazı önemli noktalar şunlardır:
- Bir işlem aynı IP adresi üzerinde ancak birden çok ağ arabirimi üzerinden bağlantıları kabul ederse, her arabirim için ayrı bir kayıt bildirilir.
- Joker KARAKTER IP'leri olan kayıtlar etkinlik içermez. Bunlar, makinedeki bir bağlantı noktasının gelen trafiğe açık olduğu gerçeğini temsil etmek için dahil edilir.
- Ayrıntı düzeyini ve veri hacmini azaltmak için, belirli bir IP adresine sahip eşleşen bir kayıt (aynı işlem, bağlantı noktası ve protokol için) olduğunda joker KARAKTER IP'sine sahip kayıtlar atlanır. Joker karakter IP kaydı atlandığında, belirli IP adresine sahip IsWildcardBind kaydı özelliği, bağlantı noktasının raporlama makinesinin her arabiriminde kullanıma sunulduğunun belirtilmesi için "True" olarak ayarlanır.
- Yalnızca belirli bir arabirime bağlı bağlantı noktalarının IsWildcardBind değeri False olarak ayarlanmıştır.
Adlandırma ve Sınıflandırma
Kolaylık olması için, bir bağlantının uzak ucunun IP adresi RemoteIp özelliğine eklenir. Gelen bağlantılar için RemoteIp, SourceIp ile aynıdır, giden bağlantılar için ise DestinationIp ile aynıdır. RemoteDnsCanonicalNames özelliği, RemoteIp için makine tarafından bildirilen DNS kurallı adlarını temsil eder. RemoteDnsQuestions özelliği, makine tarafından RemoteIp için bildirilen DNS sorularını temsil eder. RemoveClassification özelliği gelecekte kullanılmak üzere ayrılmıştır.
Coğrafi konum
VM Bağlan ion, kaydın aşağıdaki özelliklerinde her bağlantı kaydının uzak ucu için coğrafi konum bilgilerini de içerir:
Özellik | Açıklama |
---|---|
RemoteCountry | RemoteIp'i barındıran ülkenin/bölgenin adı. Örneğin, Birleşik Devletler |
RemoteLatitude | Coğrafi konum enlemi. Örneğin, 47,68 |
RemoteLongitude | Coğrafi boylam. Örneğin, -122.12 |
Kötü Amaçlı IP
VM Bağlan ion tablosundaki her RemoteIp özelliği, bilinen kötü amaçlı etkinliklere sahip bir IP kümesine karşı denetlenır. RemoteIp kötü amaçlı olarak tanımlanırsa, kaydın aşağıdaki özelliklerinde aşağıdaki özellikler doldurulur (IP kötü amaçlı olarak kabul edilmediğinde boş olur):
Özellik | Açıklama |
---|---|
MaliciousIp | RemoteIp adresi |
IndicatorThreadType | Algılanan tehdit göstergesi aşağıdaki değerlerden biridir: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist. |
Açıklama | Gözlemlenen tehdidin açıklaması. |
TLPLevel | Trafik Işığı Protokolü (TLP) Düzeyi tanımlı değerlerden biridir: Beyaz, Yeşil, Sarı, Kırmızı. |
Güven | Değerler 0 - 100'lerdir. |
Önem | Değerler 0 – 5'tir; burada 5 en şiddetlidir ve 0 hiç ciddi değildir. Varsayılan değer 3'dür. |
FirstReportedDateTime | Sağlayıcı göstergeyi ilk kez bildirdiği zaman. |
LastReportedDateTime | Göstergenin Interflow tarafından en son görüldüğü zaman. |
Isactive | Göstergelerin True veya False değeriyle devre dışı bırakıldığını gösterir. |
ReportReferenceLink | Belirli bir gözlemlenebilir ile ilgili raporlara bağlantılar. Hatalı uyarı bildirmek veya kötü amaçlı IP hakkında daha fazla ayrıntı almak için bir Destek olayı açın ve bu bağlantıyı sağlayın. |
AdditionalInformation | Gözlemlenen tehdit hakkında varsa ek bilgiler sağlar. |
Bağlantı Noktaları
Gelen trafiği etkin bir şekilde kabul eden veya trafiği kabul etme olasılığı olan ancak raporlama zamanı penceresi sırasında boşta olan bir makinedeki bağlantı noktaları VMBoundPort tablosuna yazılır.
VMBoundPort'taki her kayıt aşağıdaki alanlarla tanımlanır:
Özellik | Açıklama |
---|---|
İşle | Bağlantı noktasının ilişkilendirildiği işlemin (veya işlem gruplarının) kimliği. |
Ip | Bağlantı noktası IP adresi (joker karakterLI IP, 0.0.0.0 olabilir) |
Bağlantı noktası | Bağlantı noktası numarası |
Protokol | Protokol. Örnek, tcp veya udp (şu anda yalnızca tcp desteklenmektedir). |
Bağlantı noktasının kimliği yukarıdaki beş alandan türetilir ve PortId özelliğinde depolanır. Bu özellik, zaman içinde belirli bir bağlantı noktasının kayıtlarını hızlı bir şekilde bulmak için kullanılabilir.
Ölçümler
Bağlantı noktası kayıtları, bunlarla ilişkilendirilmiş bağlantıları temsil eden ölçümleri içerir. Şu anda aşağıdaki ölçümler bildirilmiştir (her ölçümün ayrıntıları önceki bölümde açıklanmıştır):
- BytesSent ve BytesReceived
- LinksEstablished, LinksTerminated, LinksLive
- ResposeTime, ResponseTimeMin, ResponseTimeMax, ResponseTimeSum
Dikkate alınması gereken bazı önemli noktalar şunlardır:
- Bir işlem aynı IP adresi üzerinde ancak birden çok ağ arabirimi üzerinden bağlantıları kabul ederse, her arabirim için ayrı bir kayıt bildirilir.
- Joker KARAKTER IP'leri olan kayıtlar etkinlik içermez. Bunlar, makinedeki bir bağlantı noktasının gelen trafiğe açık olduğu gerçeğini temsil etmek için dahil edilir.
- Ayrıntı düzeyini ve veri hacmini azaltmak için, belirli bir IP adresine sahip eşleşen bir kayıt (aynı işlem, bağlantı noktası ve protokol için) olduğunda joker KARAKTER IP'sine sahip kayıtlar atlanır. Joker karakter IP kaydı atlandığında, belirli IP adresine sahip kaydın IsWildcardBind özelliği True olarak ayarlanır. Bu, bağlantı noktasının raporlama makinesinin her arabiriminde kullanıma sunulduğuna işaret eder.
- Yalnızca belirli bir arabirime bağlı bağlantı noktalarının IsWildcardBind değeri False olarak ayarlanmıştır.
VMBilgisayar kayıtları
BIR VMComputer türüne sahip kayıtlarda Bağımlılık aracısı olan sunucular için envanter verileri bulunur. Bu kayıtlar aşağıdaki tabloda yer alan özelliklere sahiptir:
Özellik | Açıklama |
---|---|
TenantId | Çalışma alanının benzersiz tanımlayıcısı |
SourceSystem | İçgörüler |
TimeGenerated | Kaydın zaman damgası (UTC) |
Bilgisayar | Bilgisayar FQDN'si |
AgentId | Azure İzleyici Aracısı veya Log Analytics aracısını çalıştıran bir makinenin benzersiz tanımlayıcısı |
Makine | ServiceMap tarafından kullanıma sunulan makine için Azure Resource Manager kaynağının adı. M-{GUID} biçimindedir; burada GUID, AgentId ile aynı GUID'dir. |
DisplayName | Görünen ad |
FullDisplayName | Tam görünen ad |
HostName | Etki alanı adı olmayan makinenin adı |
BootTime | Makine önyükleme süresi (UTC) |
TimeZone | Normalleştirilmiş saat dilimi |
VirtualizationState | sanal, hiper yönetici, fiziksel |
Ipv4Addresses | IPv4 adresleri dizisi |
Ipv4SubnetMasks | IPv4 alt ağ maskeleri dizisi (Ipv4Addresses ile aynı sırada). |
Ipv4DefaultGateways | IPv4 ağ geçitleri dizisi |
Ipv6Addresses | IPv6 adresleri dizisi |
MacAddresses | MAC adresleri dizisi |
DnsNames | Makineyle ilişkili DNS adları dizisi. |
DependencyAgentVersion | Makinede çalışan Bağımlılık aracısının sürümü. |
OperatingSystemFamily | Linux, Windows |
OperatingSystemFullName | İşletim sisteminin tam adı |
PhysicalMemoryMB | Megabayt cinsinden fiziksel bellek |
Cpu | İşlemci sayısı |
CpuSpeed | MHz'de CPU hızı |
VirtualMachineType | hyperv, vmware, xen |
VirtualMachineNativeId | Hiper yöneticisi tarafından atanan VM kimliği |
VirtualMachineNativeName | VM'nin adı |
VirtualMachineHypervisorId | VM'yi barındıran hiper yöneticinin benzersiz tanımlayıcısı |
HypervisorType | hyperv |
HypervisorId | Hiper yöneticinin benzersiz kimliği |
HostingProvider | Azure |
_ResourceId | Azure kaynağının benzersiz tanımlayıcısı |
AzureSubscriptionId | Aboneliğinizi tanımlayan genel benzersiz tanımlayıcı |
AzureResourceGroup | Makinenin üyesi olduğu Azure kaynak grubunun adı. |
AzureResourceName | Azure kaynağının adı |
AzureLocation | Azure kaynağının konumu |
AzureUpdateDomain | Azure güncelleştirme etki alanının adı |
AzureFaultDomain | Azure hata etki alanının adı |
AzureVmId | Azure sanal makinesinin benzersiz tanımlayıcısı |
AzureSize | Azure VM'sinin boyutu |
AzureImagePublisher | Azure VM yayımcısının adı |
AzureImageOffering | Azure VM teklif türünün adı |
AzureImageSku | Azure VM görüntüsünün SKU'su |
AzureImageVersion | Azure VM görüntüsünün sürümü |
AzureCloudServiceName | Azure bulut hizmetinin adı |
AzureCloudServiceDeployment | Bulut Hizmeti için Dağıtım Kimliği |
AzureCloudServiceRoleName | Bulut Hizmeti rol adı |
AzureCloudServiceRoleType | Bulut Hizmeti rol türü: çalışan veya web |
AzureCloudServiceInstanceId | Bulut Hizmeti rol örneği kimliği |
AzureVmScaleSetName | Sanal makine ölçek kümesinin adı |
AzureVmScaleSetDeployment | Sanal makine ölçek kümesi dağıtım kimliği |
AzureVmScaleSetResourceId | Sanal makine ölçek kümesi kaynağının benzersiz tanımlayıcısı. |
AzureVmScaleSetInstanceId | Sanal makine ölçek kümesinin benzersiz tanımlayıcısı |
AzureServiceFabricClusterId | Azure Service Fabric kümesinin benzersiz identifer'i |
AzureServiceFabricClusterName | Azure Service Fabric kümesinin adı |
VMProcess kayıtları
VMProcess türüne sahip kayıtlarda Bağımlılık aracısı olan sunucularda TCP'ye bağlı işlemler için envanter verileri bulunur. Bu kayıtlar aşağıdaki tabloda yer alan özelliklere sahiptir:
Özellik | Açıklama |
---|---|
TenantId | Çalışma alanının benzersiz tanımlayıcısı |
SourceSystem | İçgörüler |
TimeGenerated | Kaydın zaman damgası (UTC) |
Bilgisayar | Bilgisayar FQDN'si |
AgentId | Azure İzleyici Aracısı veya Log Analytics aracısını çalıştıran bir makinenin benzersiz tanımlayıcısı |
Makine | ServiceMap tarafından kullanıma sunulan makine için Azure Resource Manager kaynağının adı. M-{GUID} biçimindedir; burada GUID, AgentId ile aynı GUID'dir. |
İşlem | Hizmet Eşlemesi işleminin benzersiz tanımlayıcısı. p-{GUID} biçimindedir. |
ExecutableName | İşlem yürütülebilir dosyasının adı |
DisplayName | İşlem görünen adı |
Role | İşlem rolü: web sunucusu, appServer, databaseServer, ldapServer, smbServer |
Gruplandırma | İşlem grubu adı. Aynı gruptaki işlemler mantıksal olarak ilişkilidir; örneğin, aynı ürün veya sistem bileşeninin bir parçasıdır. |
StartTime | İşlem havuzu başlangıç saati |
FirstPid | İşlem havuzundaki ilk PID |
Açıklama | İşlem açıklaması |
CompanyName | Şirketin adı |
InternalName | İç ad |
ProductName | Ürünün adı |
Productversion | Ürünün sürümü |
Fileversion | Dosyanın sürümü |
Yürütülebilir Yol | Yürütülebilir dosyanın yolu |
CommandLine | Komut satırı |
Başlangıç | Çalışma dizini |
Hizmetler | İşlemin yürütülmekte olduğu bir hizmet dizisi |
UserName | İşlemin yürütülmekte olduğu hesap |
UserDomain | İşlemin yürütülmekte olduğu etki alanı |
_ResourceId | Çalışma alanı içindeki bir işlemin benzersiz tanımlayıcısı |
Örnek eşleme sorguları
Tüm bilinen makineleri listeleme
VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId
VM en son ne zaman yeniden başlatıldı?
let Today = now(); VMComputer | extend DaysSinceBoot = Today - BootTime | summarize by Computer, DaysSinceBoot, BootTime | sort by BootTime asc
Görüntü, konum ve SKU'ya göre Azure VM'lerinin özeti
VMComputer | where AzureLocation != "" | summarize by Computer, AzureImageOffering, AzureLocation, AzureImageSku
Tüm yönetilen bilgisayarların fiziksel bellek kapasitesini listeleme
VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project PhysicalMemoryMB, Computer
Bilgisayar adı, DNS, IP ve işletim sistemini listeleme
VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project Computer, OperatingSystemFullName, DnsNames, Ipv4Addresses
Komut satırında "sql" ile tüm işlemleri bulma
VMProcess | where CommandLine contains_cs "sql" | summarize arg_max(TimeGenerated, *) by _ResourceId
Kaynak adına göre bir makine (en son kayıt) bulma
search in (VMComputer) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by _ResourceId
IP adresine göre makine bulma (en son kayıt)
search in (VMComputer) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by _ResourceId
Belirtilen makinede bilinen tüm işlemleri listeleme
VMProcess | where Machine == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by _ResourceId
SQL Server çalıştıran tüm bilgisayarları listeleme
VMComputer | where AzureResourceName in ((search in (VMProcess) "*sql*" | distinct Machine)) | distinct Computer
Veri merkezimdeki curl'in tüm benzersiz ürün sürümlerini listele
VMProcess | where ExecutableName == "curl" | distinct ProductVersion
CentOS çalıştıran tüm bilgisayarlardan bir bilgisayar grubu oluşturma
VMComputer | where OperatingSystemFullName contains_cs "CentOS" | distinct Computer
Gönderilen ve alınan bayt eğilimleri
VMConnection | summarize sum(BytesSent), sum(BytesReceived) by bin(TimeGenerated,1hr), Computer | order by Computer desc | render timechart
En çok bayt aktaran Azure VM'leri
VMConnection | join kind=fullouter(VMComputer) on $left.Computer == $right.Computer | summarize count(BytesSent) by Computer, AzureVMSize | sort by count_BytesSent desc
Bağlantı durumu eğilimleri
VMConnection | where TimeGenerated >= ago(24hr) | where Computer == "acme-demo" | summarize dcount(LinksEstablished), dcount(LinksLive), dcount(LinksFailed), dcount(LinksTerminated) by bin(TimeGenerated, 1h) | render timechart
Bağlan ion hataları eğilimi
VMConnection | where Computer == "acme-demo" | extend bythehour = datetime_part("hour", TimeGenerated) | project bythehour, LinksFailed | summarize failCount = count() by bythehour | sort by bythehour asc | render timechart
Bağlı Bağlantı Noktaları
VMBoundPort
| where TimeGenerated >= ago(24hr)
| where Computer == 'admdemo-appsvr'
| distinct Port, ProcessName
Makineler arasında açık bağlantı noktası sayısı
VMBoundPort
| where Ip != "127.0.0.1"
| summarize by Computer, Machine, Port, Protocol
| summarize OpenPorts=count() by Computer, Machine
| order by OpenPorts desc
Çalışma alanınızdaki işlemleri açık olan bağlantı noktası sayısına göre puanla
VMBoundPort
| where Ip != "127.0.0.1"
| summarize by ProcessName, Port, Protocol
| summarize OpenPorts=count() by ProcessName
| order by OpenPorts desc
Her bağlantı noktası için toplama davranışı
Bu sorgu daha sonra bağlantı noktalarını etkinliğe göre puanlama amacıyla kullanılabilir; örneğin, en çok gelen/giden trafiğe sahip bağlantı noktaları, çoğu bağlantı içeren bağlantı noktaları
//
VMBoundPort
| where Ip != "127.0.0.1"
| summarize BytesSent=sum(BytesSent), BytesReceived=sum(BytesReceived), LinksEstablished=sum(LinksEstablished), LinksTerminated=sum(LinksTerminated), arg_max(TimeGenerated, LinksLive) by Machine, Computer, ProcessName, Ip, Port, IsWildcardBind
| project-away TimeGenerated
| order by Machine, Computer, Port, Ip, ProcessName
Bir makine grubundan giden bağlantıları özetleme
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(VMComputer
| summarize ips=makeset(todynamic(Ipv4Addresses)) by MonitoredMachine=AzureResourceName
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
Performans kayıtları
Analizler Metrics türünde kayıtlarda, sanal makinenin konuk işletim sisteminden performans verileri bulunur. Bu kayıtlar 60 saniyelik aralıklarla toplanır ve aşağıdaki tabloda yer alan özelliklere sahiptir:
Özellik | Açıklama |
---|---|
TenantId | Çalışma alanı için benzersiz tanımlayıcı |
SourceSystem | İçgörüler |
TimeGenerated | Değerin toplandığı saat (UTC) |
Bilgisayar | Bilgisayar FQDN'si |
Kaynak | vm.azm.ms |
Ad Alanı | Performans sayacı kategorisi |
Veri Akışı Adı | Performans sayacının adı |
Val | Toplanan değer |
Etiketler | Kayıtla ilgili ayrıntılar. Farklı kayıt türleriyle kullanılan etiketler için aşağıdaki tabloya bakın. |
AgentId | Her bilgisayarın aracısı için benzersiz tanımlayıcı |
Tür | Analizler Metrics |
ResourceId | Sanal makinenin kaynak kimliği |
şu anda Analizler Metrics tablosunda toplanan performans sayaçları aşağıdaki tabloda listelenmiştir:
Ad Alanı | Veri Akışı Adı | Açıklama | Birim | Etiketler |
---|---|---|---|---|
Bilgisayar | Sinyal | Bilgisayar Sinyali | ||
Bellek | Kullanılabilir Mb | Kullanılabilir Bellek Baytları | Megabayt | memorySizeMB - Toplam bellek boyutu |
Ağ | WriteBytesPerSecond | Saniye Başına Ağ Yazma Bayt sayısı | BytesPerSecond | NetworkDeviceId - Cihazın kimliği bytes - Gönderilen toplam bayt sayısı |
Ağ | ReadBytesPerSecond | Ağ Okuma Bayt/Saniye | BytesPerSecond | networkDeviceId - Cihazın kimliği bytes - Toplam alınan bayt sayısı |
İşleyen | UtilizationPercentage | İşlemci Kullanım Yüzdesi | Yüzde | totalCpus - Toplam CPU sayısı |
MantıksalDisk | WritesPerSecond | Mantıksal Disk Saniyede Yazma | CountPerSecond | mountId - Cihazın bağlama kimliği |
MantıksalDisk | WriteLatencyMs | Mantıksal Disk Yazma Gecikme Süresi Milisaniye | Milisaniye | mountId - Cihazın bağlama kimliği |
MantıksalDisk | WriteBytesPerSecond | Mantıksal Disk Yazma Bayt/Saniye | BytesPerSecond | mountId - Cihazın bağlama kimliği |
MantıksalDisk | TransfersPerSecond | Saniye Başına Mantıksal Disk Aktarımları | CountPerSecond | mountId - Cihazın bağlama kimliği |
MantıksalDisk | TransferLatencyMs | Mantıksal Disk Aktarım Gecikme Süresi Milisaniye | Milisaniye | mountId - Cihazın bağlama kimliği |
MantıksalDisk | ReadsPerSecond | Mantıksal Disk Saniyede Okur | CountPerSecond | mountId - Cihazın bağlama kimliği |
MantıksalDisk | ReadLatencyMs | Mantıksal Disk Okuma Gecikme Süresi Milisaniye | Milisaniye | mountId - Cihazın bağlama kimliği |
MantıksalDisk | ReadBytesPerSecond | Mantıksal Disk Okuma Bayt/Saniye | BytesPerSecond | mountId - Cihazın bağlama kimliği |
MantıksalDisk | FreeSpacePercentage | Mantıksal Disk Boş Alan Yüzdesi | Yüzde | mountId - Cihazın bağlama kimliği |
MantıksalDisk | FreeSpaceMB | Mantıksal Disk Boş Alan Baytları | Megabayt | mountId - Cihazın bağlama kimliği diskSizeMB - Toplam disk boyutu |
MantıksalDisk | BytesPerSecond | Saniye Başına Mantıksal Disk Bayt Sayısı | BytesPerSecond | mountId - Cihazın bağlama kimliği |
Sonraki adımlar
Azure İzleyici'de günlük sorguları yazmaya yeniyseniz günlük sorguları yazmak için Azure portalında Log Analytics'in nasıl kullanılacağını gözden geçirin.
Arama sorguları yazma hakkında bilgi edinin.