Log Analytics 工作区见解

Log Analytics 工作区见解可让你通过工作区使用情况、性能、运行状况、代理、查询和更改日志的统一视图对工作区进行全面的监视。 本文将帮助你了解如何加入和使用 Log Analytics 工作区见解。

所需的权限

  • 如要查看 Log Analytics 工作区的见解,你需要该工作区的 Microsoft.OperationalInsights/workspaces/read 权限,如 Log Analytics 读者内置角色提供的权限,例如..
  • 例如,若要运行额外的使用情况查询,你需要 */read 权限,如 Log Analytics 读者内置角色提供的权限。

Log Analytics 工作区概述

通过 Azure Monitor 见解访问 Log Analytics 工作区见解时,将显示“大规模”透视图。 在此门户中,可以:

  • 了解工作区在全球的分布情况。
  • 查看其保留期。
  • 查看颜色编码的上限和许可证详细信息。
  • 选择工作区以查看其见解。

Screenshot that shows a Log Analytics Workspace Insights list of workspaces.

若要大规模启动 Log Analytics 工作区见解,请执行以下操作:

  1. 登录 Azure 门户

  2. 在 Azure 门户的左窗格中选择“监视”。 在“见解中心”部分下,选择“Log Analytics 工作区见解”。

查看 Log Analytics 工作区的见解

你可以在特定工作区的上下文中使用见解,以显示工作区性能、使用情况、运行状况、代理、查询和更改的丰富数据和分析结果。

Screenshot that shows the Log Analytics Workspace Insights overview.

若要访问 Log Analytics 工作区见解,请执行以下操作:

  1. 从 Azure Monitor 打开 Log Analytics 工作区见解(如前文所述)。

  2. 选择要深入了解的工作区。

或执行以下步骤:

  1. 在 Azure 门户中,选择“Log Analytics 工作区”。

  2. 选择 Log Analytics 工作区。

  3. 在“监视”下,选择工作区菜单上的“见解”。

数据将按选项卡进行整理。 顶部的时间范围默认为 24 小时,并且适用于所有选项卡。 某些图表和表使用不同的时间范围,其标题中会指出这一点。

概述选项卡

在“概述”选项卡上,你可以查看:

  • 主要统计信息和设置

    • 工作区的每月引入量。
    • 发送检测信号的计算机数。 即在所选时间范围内连接到此工作区的计算机数。
    • 过去一小时内未发送检测信号的计算机数(在所选时间范围内)。
    • 设置的数据保留期。
    • 设置的每日上限,以及最近一天已引入的数据量。
  • 前五个表:用于分析过去一个月中引入最多的五个表的图表:

    • 在每个表中引入的数据量。
    • 每个表中的每日引入量,用于直观显示高峰或低谷。
    • 引入异常:列出在这些表中识别到的引入高峰和低谷。

“使用情况”选项卡

此选项卡提供仪表板显示。

使用情况仪表板

此选项卡提供有关工作区使用情况的信息。 仪表板子选项卡显示表中显示的引入数据。 它默认为所选时间范围内引入最多的五个表。 这些相同的表显示在“概述”页上。 使用“工作区表”下拉列表选择要显示的表。

Screenshot that shows the workspace Usage tab.

  • 主网格:表按解决方案分组,其中包含有关每个表的信息:

    • 在此表中引入的数据量(在所选时间范围内).
    • 此表在所选时间范围内占整个引入量的百分比:此信息有助于确定对引入影响最大的表。 在下面的屏幕截图中,你可以看到 AzureDiagnosticsContainerLog 单独占据了该工作区引入的数据量的三分之二 (64%) 以上。
    • 有关每个表的使用情况统计信息的最新更新 - 我们通常预期使用情况统计信息每小时刷新一次。 刷新使用情况统计信息是一项重复的服务内部操作。 刷新数据时出现的延迟只是为了让你知道如何正确解释数据。 你不应执行任何操作。
    • 可计费项:指示哪些表产生了费用,哪些表是免费的。
  • 特定于表的详细信息:在页面底部,可以查看有关在主网格中选择的表的详细信息。

    • 引入量:从每个资源引入到表中的数据量,以及这些数据在一段时间内的分布情况。 如果某个资源引入的数据量超过发送到此表的总引入量的 30%,那么该资源将标有警告符号。

    • 引入延迟:引入操作花费的时间,根据发送到此表的请求的第 50、90 或 95 百分位进行分析。 此区域的顶部图表描述了从头到尾针对选定百分位的请求的总引入时间。 它横跨从事件发生到引入到工作区的时间段。

      其下方的图表单独显示了代理的延迟,即代理将日志发送到工作区所花费的时间。 该图表还显示了管道的延迟,即服务处理数据并将其推送到工作区所花费的时间。 Screenshot that shows the workspace Usage tab Ingestion Latency subtab.

其他使用情况查询

其他查询”子选项卡公开跨所有工作区表运行的查询(而不是依赖于每小时刷新的使用情况元数据)。 由于该查询的开销要高得多且效率低下,因此它们不会自动运行。 它们可以显示有关哪些资源发送到工作区的日志最多(可能会影响计费)的有趣信息。

Screenshot that shows the workspace Usage tab Additional Queries subtab.

其中一个此类查询是“哪些 Azure 资源发送到工作区的日志最多”(显示前 50 个)。 在演示工作区中,你可以清楚地看到,三个 Kubernetes 群集发送的数据量远超所有其他资源的总和。 有一个群集加载工作区的次数最多。

Screenshot that shows the workspace Usage tab Additional Queries subtab with the results of an additional query.

“运行状况”选项卡

此选项卡显示工作区运行状况状态、该状态的上次报告时间,以及操作错误和警告(从 _LogOperation 表中检索)。 有关所列问题和缓解步骤的详细信息,请参阅在 Azure Monitor 中监视 Log Analytics 工作区的运行状况

Screenshot that shows the workspace Health tab.

“代理”选项卡

此选项卡提供有关向该工作区发送日志的代理的信息。 Screenshot that shows the workspace Agents tab.

  • 操作错误和警告:这些错误和警告专门与代理相关。 它们按错误/警告标题分组,以帮助你更清楚地了解可能发生的不同问题。 可以展开它们以显示所指的确切时间和资源。 可以选择“在日志中运行查询”,并通过日志体验来查询 _LogOperation 表,以查看原始数据并进一步分析该数据。
  • 工作区代理:它们是指在所选时间范围内向工作区发送了日志的代理。 你可以查看代理的类型和运行状况状态。 标记为“正常”的代理不一定运行良好。 此指示仅表示它们在最后一小时内发送了检测信号。 网格中描述了更详细的运行状况状态。
  • 代理活动:此网格显示有关所有代理、正常代理或不正常代理的信息。 同样,此处的“正常”仅指示相应代理在过去一小时内发送了检测信号。 为了更好地了解其状态,请查看网格中显示的趋势。 它显示了该代理随时间发送的检测信号数。 只有在知道了受监视资源如何工作时才能推理出真正的运行状况状态。 例如,如果用户在特定的时间有意关闭了计算机,则可以预期代理的检测信号会按照某种匹配模式间歇性出现。

“查询审核”选项卡

查询审核将创建有关在工作区中执行查询的日志。 如果启用此功能,则这些数据将有利于了解和改善查询的性能、效率与负载。 若要在工作区上启用查询审核或详细了解此功能,请参阅 Azure Monitor 日志中的审核查询

性能

此选项卡显示:

  • 查询持续时间:一段时间内的第 95 百分位和第 50 百分位(中间值)持续时间,以毫秒为单位。
  • 返回的行数:一段时间内的第 95 百分位和第 50 百分位(中间值)行计数。
  • 处理的数据量:一段时间内在所有请求中处理的第 95 百分位、第 50 百分位数据量和数据总量。
  • 响应代码:所选时间范围内响应代码在所有查询中的分布情况。

Screenshot that shows the Query Audit tab Performance subtab.]

慢速和低效查询

慢速和低效查询”子选项卡显示两个网格,可帮助你识别可能需要改进的慢速和低效查询。 不应在仪表板或警报中使用这些查询,因为它们会在工作区中造成不必要的长期负载。

  • 资源最密集的查询:CPU 需求量最高的 10 个查询,以及每个查询的处理数据量 (KB)、时间范围和文本。
  • 最慢的查询:10 个最慢的查询,以及每个查询的时间范围和文本。

Screenshot that shows the Query Audit tab Slow & Inefficient Queries subtab.

查询用户

用户”子选项卡显示针对此工作区执行的用户活动:

  • 按用户列出的查询:每个用户在所选时间范围内运行的查询数。
  • 受限制用户:运行受限制查询的用户(受限制的原因是过度查询工作区)。

“更改日志”选项卡

此选项卡显示过去 90 天内对工作区所做的配置更改(与所选时间范围无关)。 它还会显示执行这些更改的用户。 它旨在帮助你监视谁更改了重要工作区设置(例如数据上限或工作区许可证)。

Screenshot that shows the workspace Change Log tab.

后续步骤

若要了解工作簿在设计上支持的方案以及如何创作新报表和自定义现有报表,请参阅使用 Azure Monitor 工作簿创建交互式报表