Инсайты рабочей области Log Analytics

Log Analytics Workspace Insights обеспечивает всесторонний мониторинг ваших рабочих областей с помощью единого представления об использовании, производительности, работоспособности, агентах, запросах и журналах изменений вашей рабочей области. В этой статье показано, как подключить и использовать Log Analytics Workspace Insights.

Требуемые разрешения

• Вам нужны Microsoft.OperationalInsights/workspaces/read разрешения на рабочую область Log Analytics, аналитические сведения о которой вы хотите просмотреть, как указано встроенной ролью Log Analytics Reader, например.
• Для выполнения дополнительных запросов на использование необходимы */read разрешения, как, например, указано в встроенной роли Log Analytics Reader.

Обзор рабочих областей Log Analytics

При доступе к Log Analytics Workspace Insights с помощью Azure Monitor Insights отображается масштабируемая перспектива. Здесь можно:

• Узнайте, как ваши рабочие пространства располагаются по всему миру.
• Просмотрите их хранение.
• См. сведения о закодированных цветом ограничениях и лицензиях.
• Выберите рабочую область, чтобы просмотреть ее аналитические сведения.

Чтобы запустить Log Analytics Workspace Insights в большом масштабе, выполните следующие действия.

1. Войдите на портал Azure.

2. Выберите Монитор в левой области в портале Azure. В разделе Концентратор аналитики выберите Log Analytics Workspace Insights.

Просмотр аналитических сведений для рабочей области Log Analytics

Вы можете использовать аналитические сведения в контексте конкретной рабочей области для отображения расширенных данных и аналитики производительности рабочей области, использования, работоспособности, агентов, запросов и изменений.

Чтобы получить доступ к данным рабочей области Log Analytics:

1. Откройте Log Analytics Workspace Insights из Azure Monitor (как описано ранее).

2. Выберите рабочую область для детального просмотра.

Или выполните следующие действия:

1. В портале Azure выберите Рабочие области Log Analytics.

2. Выберите рабочую область Log Analytics.

3. В разделе "Мониторинг" выберите "Аналитика " в меню рабочей области.

Данные упорядочивается на вкладках. Диапазон времени по умолчанию составляет 24 часа и применяется ко всем вкладкам. В некоторых диаграммах и таблицах используется другой диапазон времени, указанный в их заголовках.

Вкладка «Обзор»

На вкладке "Обзор" можно увидеть следующее:

• Основная статистика и параметры:

  • Ежемесячный объем поступления рабочего пространства.
  • Сколько компьютеров отправило пульс. То есть компьютеры, подключенные к этой рабочей области, в выбранном диапазоне времени.
  • Компьютеры, которые не отправляли пульса за последний час в выбранном диапазоне времени.
  • Период хранения данных установлен.
  • Ежедневное ограничение и сколько данных уже было загружено за последний день.

• Пять самых популярных таблиц: диаграммы, которые анализируют пять наиболее часто используемых таблиц за последний месяц.

  • Объем данных, поступающих в каждую таблицу.
  • Ежедневного приема данных для каждого из них, чтобы визуально отобразить пики или спады.
  • Аномалии приема: список определенных пиков и спадов в приеме к этим таблицам.

Вкладка "Использование"

На этой вкладке отображается панель мониторинга.

Панель мониторинга использования

На этой вкладке представлена информация об использовании рабочей области. В подвкладке панели мониторинга отображаются данные сбора, представленные в таблицах. По умолчанию в выбранном диапазоне времени используются пять наиболее используемых таблиц. Эти же таблицы отображаются на странице обзора . Используйте раскрывающийся список таблиц рабочей области для выбора отображаемых таблиц.

• Основная сетка: таблицы группируются по решениям со сведениями о каждой таблице:

  • Сколько данных было загружено в него в течение выбранного диапазона времени.
  • Процент, который эта таблица составляет от общего объема данных в выбранном диапазоне времени: эта информация помогает определить, какие таблицы больше всего влияют на прием данных. На следующем снимке экрана вы можете увидеть, что AzureDiagnostics и ContainerLog составляют более двух третей (64%) данных, загруженных в эту рабочую область.
  • Последнее обновление статистики использования для каждой таблицы: обычно ожидается, что статистика использования обновляется почасово. Обновление статистики использования — это повторяющаяся внутренняя операция службы. Задержка при обновлении данных отмечается только таким образом, чтобы вы знали правильно интерпретировать данные. Нет никаких действий, которые вы должны предпринять.
  • Оплачиваемые: указывает, какие таблицы подлежат оплате и какие не подлежат оплате.

• Сведения о таблице: в нижней части страницы можно просмотреть подробные сведения о таблице, выбранной в главной сетке:

  • Объем загрузки данных: сколько данных было загружено в таблицу из каждого ресурса и как они распределяются с течением времени. Ресурсы, которые получают более 30% от общего объема, отправляемого в эту таблицу, помечены знаком предупреждения.
  • Задержка приема данных: сколько времени заняла обработка запросов, проанализированная для 50-го, 90-го или 95-го процентиля запросов, отправленных в эту таблицу. Верхняя диаграмма в этой области показывает общее время приема запросов на выбранный процентиль от конца до конца. Он охватывает период от момента, когда событие произошло, до его приема в рабочую область.

  На приведенной ниже диаграмме показано отдельное время задержки агента, которое требуется агенту для отправки журнала в рабочую область. На диаграмме также показана задержка конвейера, представляющая собой время, которое понадобилось службе для обработки данных и отправки их в рабочую область.

  

Дополнительные запросы использования

Подзадач "Дополнительные запросы " предоставляет запросы, которые выполняются во всех таблицах рабочей области (вместо того, чтобы полагаться на метаданные использования, которые обновляются почасово). Так как запросы гораздо более обширны и менее эффективны, они не выполняются автоматически. Они могут предоставлять интересные данные о том, какие ресурсы отправляют наибольшее количество журналов в рабочее пространство и, возможно, влияют на выставление счетов.

Один из таких запросов — какие ресурсы Azure отправляют наибольшее количество журналов в эту рабочую область (показывая первые 50). В демонстрационной рабочей области видно, что три кластера Kubernetes отправляют гораздо больше данных, чем все остальные ресурсы. Один кластер загружает рабочую область чаще всего.

Вкладка "Работоспособность"

На этой вкладке показано состояние работоспособности рабочей области, когда оно было получено в последний раз, а также операционные ошибки и предупреждения , полученные из _LogOperation таблицы. Дополнительные сведения о перечисленных проблемах и шагах по устранению рисков см. в статье "Мониторинг работоспособности рабочей области Log Analytics" в Azure Monitor.

ВкладкаАгенты

Эта вкладка содержит сведения об агентах, отправляющих журналы в эту рабочую область.

• Ошибки и предупреждения операции: эти ошибки и предупреждения связаны специально с агентами. Они группируются по заголовку ошибки или предупреждения, чтобы получить более четкое представление о различных проблемах, которые могут возникнуть. Их можно развернуть, чтобы показать точное время и ресурсы, к которым они относятся. Вы можете выбрать "Выполнить запрос в журналах", чтобы запросить таблицу через интерфейс журналов _LogOperation, чтобы просмотреть необработанные данные и проанализировать их дальше.
• Агенты рабочей области: эти агенты — это агенты, отправляющие журналы в рабочую область в течение выбранного диапазона времени. Вы можете увидеть типы и состояние работоспособности агентов. Агенты, помеченные как "Работоспособные" , не обязательно работают хорошо. Это обозначение указывает только на то, что они послали пульс в течение последнего часа. Более подробное состояние работоспособности описано в сетке.
• Активность агентов: в этой таблице отображаются сведения обо всех агентах, работоспособных и неработоспособных. Здесь также Здоров только указывает, что агент отправил сигнал состояния в течение последнего часа. Чтобы лучше понять его состояние, просмотрите тенденцию, показанную в сетке. В нем показано, сколько сердечных ритмов этот агент отправил за определённое время. Истинное состояние работоспособности можно определить только в том случае, если вы знаете, как работает отслеживаемый ресурс. Например, если компьютер намеренно выключается в определенное время, вы можете ожидать, что сердцебиение агента будет появляться периодически по аналогичной схеме.

Вкладка "Аудит запросов"

Аудит запросов создает журналы о выполнении запросов в рабочей области. Если этот параметр включен, эти данные полезны для понимания и повышения производительности, эффективности и загрузки запросов. Чтобы включить аудит запросов в рабочей области или получить дополнительные сведения об этом, см. статью Аудит запросов в журналах Azure Monitor.

Производительность

На этой вкладке отображается следующее:

• Длительность запроса: длительность для 95-го процентиля и 50-го процентиля (медианы) в мс в течение времени.
• Число возвращаемых строк: 95-й процентиль и 50-й процентиль (медиана) количества строк со временем.
• Объем обработанных данных: 95-й процентиль, 50-й процентиль и общий объем обработанных данных во всех запросах со временем.
• Кодответа: распределение кодов ответов ко всем запросам в выбранном диапазоне времени.

Медленные и неэффективные запросы

В подразделе "Медленные и неэффективные запросы" показаны две сетки , которые помогут вам определить медленные и неэффективные запросы, которые может потребоваться переосмыслить. Эти запросы не должны использоваться в панелях мониторинга или оповещениях, так как они будут создавать ненужные хронические нагрузки в рабочей области.

• Большинство ресурсоемких запросов: 10 наиболее требовательных к ЦП запросов, а также объем обработанных данных (КБ), диапазон времени и текст каждого запроса.
• Самые медленные запросы: 10 медленных запросов, а также диапазон времени и текст каждого запроса.

Запросы пользователей

В подвкладке "Пользователи" отображается активность пользователей в этой рабочей области.

• Запросы пользователя: сколько запросов каждый пользователь выполнял в выбранном диапазоне времени.
• Ограниченные пользователи: пользователи, выполняющие запросы, которые были ограничены из-за чрезмерного количества запросов к рабочей области.

Вкладка "Правила сбора данных"

Правила сбора данных (DCR) и конечные точки сбора данных (DCEs) можно использовать для настройки типов и источников журналов, которые отправляются в рабочую область.

В некоторых случаях рабочая область имеет уникальный DCE для управления отправкой данных в эту рабочую область. Например, если репликация рабочей области включена, создается DCE для конкретной рабочей области, чтобы при необходимости направлять прием журналов в основную или вторичную рабочую область.

На этой вкладке показаны DCE рабочей области, если задано одно, и все контроллеры домена, предназначенные для этой рабочей области.

В принципе, если в рабочей области есть DCE, запросы на изменение домена, предназначенные для этой рабочей области, должны быть связаны с DCE рабочей области. Если это не так, в сетке отображается предупреждение, указывающее его.

Вкладка "Изменить журнал"

На этой вкладке показаны изменения конфигурации, внесенные в рабочую область за последние 90 дней независимо от выбранного диапазона времени. В нем также показано, кто внесли изменения. Он предназначен для отслеживания изменений важных параметров рабочей области, таких как ограничение данных или лицензия рабочей области.

Следующие шаги

Сведения о сценариях, которые рабочие книги предназначены для поддержки, а также о том, как создавать новые отчеты и настраивать существующие, см. в Создание интерактивных отчетов с помощью рабочих книг Azure Monitor.