LAQueryLogs 表的查询

最多请求的 ResourceId

过去 24 小时内查询的资源最多。

LAQueryLogs
| extend reqContext = parse_json(RequestContext)
| extend datasources = array_concat(reqContext["resources"], reqContext["workspaces"], reqContext["applications"])
| mv-expand datasources
| summarize reqCount = count() by tostring(datasources)
| order by reqCount desc

未经授权的用户

获取过去 24 小时内未授权用户的请求计数列表。

LAQueryLogs
| where ResponseCode == "403"
| summarize reqCount = count() by AADObjectId
| order by reqCount desc

受限制的用户

获取受限制用户的列表，其中包含其过去 24 小时内的请求计数。

LAQueryLogs
| where ResponseCode == "429"
| summarize reqCount = count() by AADObjectId
| order by reqCount desc

按 ResponseCode 排序的请求计数

过去 1 小时内的 1 分钟存储桶内按响应代码的请求计数。

LAQueryLogs
| where TimeGenerated > ago(1h)
| summarize count() by tostring(ResponseCode), bin(TimeGenerated, 1m)
| render columnchart with (kind=stacked)

前 10 个资源密集型查询

根据过去 24 小时内的 CPU 消耗) 获取前 10 个资源定义查询 (。

LAQueryLogs
| top 10 by StatsCPUTimeMs desc nulls last 

前 10 个最长时间范围查询

获取过去 24 小时内扫描时间最长的 10 个查询。

LAQueryLogs
| extend DataProcessedTimeRange = format_timespan(StatsDataProcessedEnd - StatsDataProcessedStart, 'dd.hh:mm:ss:FF')
| top 10 by DataProcessedTimeRange desc nulls last