Log Analytics 工作區深入解析

Log Analytics 工作區深入解析會透過工作區使用方式、效能、健康情況、代理程式、查詢和變更記錄的統一檢視，來全面監視您的工作區。 本文將協助您了解如何上線及使用 Log Analytics 工作區深入解析。

需要的權限

• 若您需要查看 Log Analytics 工作區的深入解析，您需要該 Log Analytics 工作區的 Microsoft.OperationalInsights/workspaces/read 權限，例如 Log Analytics 讀者內建角色所提供的權限。
• 若要執行其他使用使用量查詢，您需要 */read 權限，例如 Log Analytics 讀者內建角色所提供的權限。

Log Analytics 工作區概觀

透過 Azure 監視器深入解析存取 Log Analytics 工作區深入解析時，即會顯示「大規模」檢視方塊。 您可以在其中：

• 查看您的工作區在世界各地的分散情形。
• 檢閱其保留期。
• 請參閱色彩編碼的上限和授權詳細資料。
• 選擇工作區以查看其深入解析。

若要大規模啟動 Log Analytics 工作區深入解析：

1. 登入 Azure 入口網站。

2. 從 Azure 入口網站的左側窗格中選取 [監視器]。 在 [深入解析中樞] 區段底下，選取 [Log Analytics 工作區深入解析]。

檢視 Log Analytics 工作區的深入解析

您可以在特定工作區的內容中使用深入解析，來顯示工作區效能、使用量、健康情況、代理程式、查詢和變更的豐富資料和分析。

若要存取 Log Analytics 工作區深入解析：

1. 從 Azure 監視器開啟 Log Analytics 工作區深入解析 (如先前所述)。

2. 選取要鑽研的工作區。

或是使用這些步驟：

1. 在 Azure 入口網站中，選取 [Log Analytics 工作區]。

2. 選擇 Log Analytics 工作區。

3. 在 [監視] 下方，選取工作區功能表上的 [深入解析]。

資料會組織在索引標籤中。 頂端的時間範圍預設為 24 小時，且會套用至所有索引標籤。 某些圖表和資料表會使用不同的時間範圍，如各自的標題所示。

概觀索引標籤

在 [概觀] 索引標籤中，您可以看到：

• 主要統計資料和設定：

  • 工作區的每月擷取量。
  • 傳送活動訊號的機器數目。 也就是在選取的時間範圍內連線至此工作區的機器。
  • 在選取的時間範圍內，過去一小時未傳送活動訊號的機器。
  • 資料保留期間集合。
  • 每日上限集合，以及最近一天已擷取的資料量。

• 前五個資料表：分析過去一個月內嵌最多 5 個資料表的圖表：

  • 內嵌至每個資料表的資料量。
  • 每個資料表的每日擷取，以視覺化方式顯示尖峰或下降。
  • 擷取異常：這些資料表的已識別擷取尖峰和下降清單。

使用量索引標籤

此索引標籤提供儀表板顯示。

使用量儀表板

此索引標籤提供有關工作區使用量的資訊。 儀表板子索引標籤會顯示資料表中顯示的擷取資料。 預設為所選時間範圍內五個最內嵌的資料表。 這些相同的資料表會顯示在 [概觀] 頁面上。 透過 [工作區資料表] 下拉式清單選擇要顯示的資料表。

• 主要方格：資料表會依解決方案分組，其中包含每個資料表的相關資訊：

  • 在選取的時間範圍期間擷取多少資料。
  • 此資料表在所選時間範圍內從整個擷取磁碟區取得的百分比：這項資訊有助於識別影響您擷取最多的資料表。 在下列螢幕擷取畫面中，您可以獨立看到 AzureDiagnostics 和 ContainerLog 顯示超過三分之二 (64%) 的資料內嵌至此工作區。
  • 上次針對每個資料表更新使用量統計資料：我們通常會預期使用量統計資料以每小時重新整理。 重新整理使用量統計資料是反覆的服務內部作業。 只會指出重新整理資料的延遲，以便您知道正確解譯資料。 您不應該採取任何動作。
  • 計費：指出哪些資料表是計費的，以及哪些資料表是免費的。

• 資料表特定詳細資料：在頁面底部，您可以看到主要方格中所選資料表的詳細資訊：

  • 擷取量：從每個資源擷取到資料表的資料量，以及其隨時間的分佈。 擷取超過傳送至此資料表總量 30% 的資源會標示為警告符號。

  • 擷取延遲：擷取花費多少時間、分析傳送至此資料表的要求中第 50、90 或第 95 個百分位數。 此區域中最上層圖表描述要求從端到端 (針對所選百分位數) 的總擷取時間。 其從事件發生的時間，直到擷取至工作區為止。

    下圖分別顯示代理程式的延遲，也就是代理程式將記錄傳送至工作區所花費的時間。 此圖表也會顯示管線的延遲，也就是服務處理資料並推送至工作區所花費的時間。

其他使用量查詢

[其他查詢] 子索引標籤會公開跨所有工作區資料表執行的查詢 (而非依賴每小時重新整理的使用量中繼資料)。 由於其查詢更為廣泛且效率較低，因此不會自動執行。 這些查詢可以揭示哪些資源將大部分記錄傳送至工作區的有趣資訊，並可能會影響計費。

此類查詢的其中一個是將最多記錄傳送至此工作區的 Azure 資源為何 (顯示前 50 個)。 在示範工作區中，您可以清楚地看到三個 Kubernetes 叢集傳送的資料遠高於所有其他資源合併的資料。 一個叢集最多載入工作區。

[健康情況] 索引標籤

此索引標籤會顯示工作區健全狀態、上次報告時間，以及作業上從 _LogOperation 資料表擷取的錯誤和警告。 如需列出的問題和風險降低步驟的詳細資訊，請參閱在 Azure 監視器中監視 Log Analytics 工作區的健康情況。

[代理程式] 索引標籤

此索引標籤提供將記錄傳送至此工作區的代理程式相關資訊。

• 作業錯誤和警告：這些是與代理程式特別相關的錯誤和警告。 其會依錯誤/警告標題分組，以協助您更清楚了解可能發生的不同問題。 您可以將其展開，以顯示其參考的確切時間和資源。 您可以選取 [在記錄中執行查詢]，以透過 [記錄] 體驗查詢 _LogOperation 資料表、查看原始資料，然後進一步分析。
• 工作區代理程式：這些代理程式是在所選時間範圍期間將記錄傳送至工作區的代理程式。 您可以看到代理程式的類型和健全狀態。 標示為 [狀況良好] 的代理程式不一定正常運作。 這個指定只會指出他們在最後一小時內傳送活動訊號。 方格會詳細說明更詳細的健全狀態。
• 代理程式活動：此方格會顯示所有代理程式、狀況良好或狀況不良代理程式的相關資訊。 同樣地，這裡的 [狀況良好] 僅表示代理程式在過去一小時內傳送活動訊號。 若要進一步了解其狀態，請檢閱方格中顯示的趨勢。 其會顯示此代理程式經過一段時間傳送的活動訊號數目。 僅在您知道受監視的資源運作方式時，才能推斷出真正的健全狀態。 例如，如果電腦在特定時間刻意關閉，您可以預期代理程式的活動訊號在比對模式中間歇性地出現。

[查詢稽核] 索引標籤

查詢稽核會建立工作區上關於查詢執行的記錄。 如果啟用，這項資料對於了解及改善查詢的效能、效率和負載很有幫助。 若要在您的工作區上啟用查詢稽核或深入瞭解，請參閱 Azure 監視器記錄中的稽核查詢。

效能

此索引標籤會顯示：

• 查詢持續時間：在一段時間內，第 95 和第 50 個百分位數 (中位數) 的持續時間 (毫秒)。
• 傳回的資料列數目：在一段時間內，資料列計數的第 95 和第 50 個百分位數 (中位數)。
• 已處理的資料量：在一段時間內，所有要求中的第 95、第 50 個百分位數，以及已處理的資料總數。
• 回應碼：將回應碼散發至所選時間範圍內的所有查詢。

緩慢且效率不佳的查詢

[緩慢且效率不佳的查詢] 子索引標籤會顯示兩個方格，可協助您識別您想要重新思考的緩慢且效率不佳的查詢。 這些查詢不應該用於儀表板或警示，因為會在您的工作區上建立不必要的長期負載。

• 耗用最多資源的查詢：10 個最耗用 CPU 的查詢，以及處理的資料量 (KB)、每個查詢的時間範圍和文字。
• 最慢的查詢：10 個最慢的查詢，以及每個查詢的時間範圍和文字。

查詢使用者

[使用者] 子索引標籤會顯示此工作區的使用者活動：

• 依使用者的查詢：每個使用者在選取的時間範圍內執行多少個查詢。
• 節流使用者：因為過度查詢工作區而執行節流查詢的使用者。

[變更記錄] 索引標籤

此索引標籤會顯示過去 90 天內 (無論選取的時間範圍為何) 對工作區所做的設定變更。 其也會顯示執行變更者。 如此旨在協助您監視變更重要工作區設定的人員，例如資料上限或工作區授權。

下一步

如需了解設計活頁簿以提供支援、如何編寫新報表和自訂現有報表等的案例，請參閱使用 Azure 監視器活頁簿建立互動式報表。