Azure Monitor Log Analytics 示例查询

Azure Monitor 资源日志是 Azure 服务发出的日志，用于描述这些服务或资源的操作。 日志导出到 Log Analytics 工作区后，会存储在表中。 本系列文章包含用于从 Log Analytics 表中检索数据的示例查询。 这些查询也可以在 Log Analytics 工作区中使用。

• 最新的删除键值操作
• 最近的客户端错误

• 限制的请求数
• 最常见的服务器错误
• 各 IP 地址的最活跃客户端

• 用户的自定义安全属性审核

• 显示 AADDomainServicesAccountLogon 表中的日志

• 显示 AADDomainServicesAccountManagement 表中的日志

• 显示 AADDomainServicesDirectoryServiceAccess 表中的日志

• 显示 AADDomainServicesLogonLogoff 表中的日志

• 显示 AADDomainServicesPolicyChange 表中的日志

• 显示 AADDomainServicesPrivilegeUse 表中的日志

• 频繁的用户终结点呼叫者 (AAD Graph)
• 失败的组端点请求（AAD Graph）

• 最活跃的托管标识

• 具有多个城市的用户
• 最活跃的 IP 地址

• 过去一周的预配操作
• 预配错误
• 按天预配的对象

• 高风险用户

• 活动服务主体风险检测

• 最活跃的服务主体
• 非活动服务主体

• 最近的用户风险事件
• 活动用户风险检测

• ABAP 审核日志多个 IP 登录
• ABAP 审核日志文件下载

• 客户端到 Direct Line 通道
• 机器人到渠道
• 渠道到机器人
• 从 Facebook 到 Azure 机器人服务的请求
• 从 Azure 机器人服务到 Facebook API 的请求
• 从客户端发送到 Direct Line 的活动
• Direct Line 通道日志
• 失败的请求数
• Direct Line 通道响应代码折线图
• 请求持续时间折线图
• 响应代码折线图
• 响应代码饼图
• 请求操作饼图

• 每个管道运行向资源授予了多少次授权？
• 向资源授予了哪些权利？
• 权利可以授权访问哪些资源？
• 哪些参与者有权访问我的资源？

• 唯一 Redis 客户端 IP 地址
• 每小时的 Redis 客户端连接数

• Microsoft Entra 身份验证审核日志

• 高级消息传递操作
• 高级消息传递操作持续时间百分位数
• 每个操作的高级消息传递前 5 个 IP 地址
• 高级消息传递操作错误
• 高级消息传递操作结果计数
• 高级消息传递通道活动
• 高级消息传递消息状态计数

• 列出不同的身份验证操作
• 计算身份验证操作持续时间百分位数
• 每个身份验证操作的前 5 个 IP 地址
• 身份验证操作错误
• 身份验证操作结果计数

• 获取长调用
• 使用情况细目
• 记录计数明细
• 参与者电话号码
• 参与者电话号码

• 调用自动化操作
• 计算调用自动化操作持续时间百分位数
• 每个调用自动化操作的前 5 个 IP 地址
• 调用自动化操作错误
• 调用自动化操作结果计数
• 调用连接 ID 的调用自动化日志
• 调用的调用自动化 API 操作
• CallAutomation API 调用的 CallDiagnostics 日志
• CallAutomation API 调用的 CallSummary 日志
• 处于 MediaStreaming 活动状态的通话数量
• MediaStreaming 操作成功计数
• MediaStreaming 操作失败计数
• 启用文字转换的通话次数
• 转录操作成功计数
• 听录操作失败次数

• 循环播放成功率
• 向参与者播放的成功率
• 识别成功率
• 各子操作名称的成功率

• 媒体流式处理分钟数
• 每次呼叫的媒体流式处理分钟数
• 每位参与者每次呼叫的媒体流式处理分钟数
• 听录流式处理分钟数
• 每次呼叫的听录流式处理分钟数
• 每位参与者每次呼叫的听录流式处理分钟数

• 获取通话中所有参与者的时间序列媒体统计信息
• 每个媒体类型的指标
• 每种媒体类型和方向的指标直方图

• 计数各类型的客户端操作
• 传出通话失败原因
• 按关键字搜索呼叫
• 在通话中搜索面向所有用户的诊断
• 搜索呼叫中的所有参与者
• 检查通话中所有参与者的网络质量
• 在通话中搜索所有客户端操作

• 每个呼叫的流数量
• 每个呼叫的流数量直方图
• 媒体类型比率
• 传输类型比率
• 平均遥测值
• 平均抖动直方图
• 最大抖动直方图
• 平均数据包丢失率直方图
• 最大数据包丢失率直方图
• 平均往返时间直方图
• 最大往返时间直方图
• 抖动质量比率
• 数据包丢失率质量比率
• 往返时间质量比率
• CallAutomation API 调用的 CallDiagnostics 日志
• 按关键字搜索呼叫
• 搜索呼叫中的所有参与者
• 检查通话中所有参与者的网络质量

• 媒体类型比率
• 传输类型比率
• 平均遥测值
• 平均抖动直方图
• 最大抖动直方图
• 平均数据包丢失率直方图
• 最大数据包丢失率直方图
• 平均往返时间直方图
• 最大往返时间直方图
• 抖动质量比率
• 数据包丢失率质量比率
• 往返时间质量比率

• 通话记录操作
• 计算通话记录操作持续时间百分位数
• 每个通话记录操作的前 5 个 IP 地址
• 通话记录操作错误
• 通话记录操作结果计数
• 各 ID 的通话记录日志

• 通话记录持续时间直方图
• 通话记录持续时间百分位数
• 通话记录的结束原因比率
• 每日通话记录
• 每小时通话记录
• 通话记录的模式比率

• 每次通话的参与者人数
• 参与者电话号码
• 每次群组通话的参与者人数
• 通话类型比率
• 通话持续时间直方图
• 呼叫持续时间百分位数
• 每日通话
• 每小时通话
• 每个通话的终节点
• SDK 版本比率
• 操作系统版本比率
• CallAutomation API 调用的 CallSummary 日志
• 按关键字搜索呼叫
• 搜索呼叫中的所有参与者
• 在通话中搜索所有客户端操作

• 每次通话的参与者人数
• 参与者电话号码
• 每次群组通话的参与者人数
• 通话类型比率
• 通话持续时间直方图
• 呼叫持续时间百分位数
• 每日通话
• 每小时通话
• 每个通话的终节点
• SDK 版本比率
• 操作系统版本比率
• 每个呼叫的流数量
• 每个呼叫的流数量直方图

• 总体呼叫评级
• 音频评级
• 视频评级
• 屏幕共享评级
• 总体呼叫问题
• 音频问题
• 视频问题
• 屏幕共享问题
• 按关键字搜索呼叫
• 搜索呼叫中的所有参与者

• 聊天操作
• 计算聊天操作持续时间百分位数
• 每个聊天操作的前 5 个 IP 地址
• 聊天操作错误
• 聊天操作结果计数

• 电子邮件发送请求摘要

• 各收件人 ID 的电子邮件失败传递
• 各邮件 ID 的电子邮件失败传递
• 电子邮件已退回和被阻止的收件人

• 作业路由器操作
• 计算作业路由器操作持续时间百分位数
• 每个作业路由器操作的前 5 个 IP 地址
• 作业路由器操作错误
• 作业路由器操作结果计数

• 会议室操作错误
• 会议室操作结果计数
• 会议室操作摘要

• 列出不同的短信操作
• 计算短信操作持续时间百分位数
• 每个短信操作的前 5 个 IP 地址
• 短信操作错误
• 短信操作结果计数

• 各重点领域的 AD 建议
• 各计算机的 AD 建议
• 各林的 AD 建议
• 各域的 AD 建议
• 各 DomainController 的 AD 建议
• 各 AffectedObjectType 的 AD 建议
• 每个唯一的 AD 建议触发了多少次？
• 高优先级 AD 评估安全建议

• 活动运行可用性
• 活动运行最新状态

• PipelineRuns 可用性
• 管道运行最新状态

• 前几个 ADFS 帐户锁定

• TriggerRuns 可用性
• 触发器运行最新状态

• 数据历史记录操作失败日志
• 数据历史记录出口延迟

• 数字孪生错误摘要
• 数字孪生 API 延迟

• 事件路由 API 使用情况

• 模型错误摘要
• 模型 API 使用情况

• 查询错误摘要

• 引入批处理大小
• 引入批处理摘要
• 引入批处理持续时间的时间图表

• 按查询次数列出的表使用情况
• 按应用程序列出的表使用情况
• 扫描的表数据 - 前几个时间窗口
• 扫描的表数据 - 前几个表

• AEWComputePipelinesLogs 获取每日任务计数
• AEWComputePipelinesLogs 获取失败的任务详细信息
• AEWComputePipelinesLogs 获取长期作业
• AEWComputePipelinesLogs 获取任务 E2E 延迟时间

• 按特征计算的变体分配计数
• 给定特征的最新记分卡元数据
• 给定特征的最新记分卡结果

• 给定特征的最新记分卡结果

• 给定特征的最新记分卡元数据
• 给定特征的最新记分卡结果

• 聚合操作查询
• 未授权的请求查询

• 每小时客户端请求数
• 每小时 5xx HTTP 响应
• 每小时 4xx HTTP 响应

• 显示登录错误事件

• DICOM 特权操作

• 每个以 Dicom100 错误代码和 CorrelationId 开头的日志的日志计数

• 最近可操作的 MedTech 日志
• 每个 MedTech 日志或异常类型的日志计数
• MedTech 运行状况检查异常
• MedTech 规范化阶段日志
• MedTech FHIR 转换阶段日志

• 每个 SourceIp 的 Kubernetes 审核事件量

• 每个用户名的管理员 Kubernetes 审核事件量
• 部署的管理员 Kubernetes 审核事件

• 群集自动缩放程序日志
• Kubernetes API 服务器日志

• 每个 LB 前端的最新 Snat 端口耗尽

• 按密钥类型列出的密钥传递成功请求计数
• 密钥传递失败请求
• 95 和 99 百分位数的密钥传递请求延迟

• 实时事件引入不连续性操作计数
• 实时事件错误操作

• 媒体帐户运行状况事件

• 按客户端 IP 列出的流式处理终结点成功请求计数
• 流式处理终结点信息请求

• 用户在 dataproduct 上执行的查询

• 行汇总错误
• 按源列出的失败文件汇总

• 存储上的引入操作
• 存储上的删除操作
• 存储上的读取操作
• 输入存储上的读取操作

• Azure Sphere 设备身份验证和证明失败
• Azure Sphere 设备事件时间线
• Azure Sphere 设备检测信号事件时间图表
• 未更新到最新 OS 的 Azure Sphere 设备
• Azure Sphere 设备遥测事件摘要

• 获取运行的所有测试故障转移作业

• 获取复制运行状况历史记录

• 按源和类型计算源的 DNS 失败数
• 按源识别对不存在域的过度查询

• 获取 Top Talkers
• 按源端口和目标端口获取主要通信者
• 获取总带宽使用量

• 最近连接配置更改
• 最近失败的连接配置更改

• AVNM IPAM 池分配更改
• 失败的 AVNM IPAM 池分配更改

• 获取最近的网络组成员身份更改
• 失败的网络组成员身份更改

• 获取最近的安全管理员规则集合更改
• 获取最近失败的安全管理员规则集合更改

• 获取 DNS 失败
• 获取分布式防火墙日志
• 获取 VM 已创建的审核事件
• 获取 VM 已删除的审核事件
• 获取 VM 已启动的审核事件
• 获取 VM 已断开连接的审核事件
• 获取 VM 已重新启动的审核事件
• 获取 VM 已迁移的审核事件
• 获取主机已添加的审核事件
• 获取主机关闭的审核事件
• 获取主机进入维护模式的审核事件
• 获取主机退出维护模式的审核事件
• 获取主机已连接的审核事件
• 获取主机连接中断的审核事件
• 获取群集的审核事件
• 获取 NSX 的审核事件计数
• 获取 vCenter 的审核事件计数
• 获取角色已添加的审核事件
• 获取严重性为“信息”的 AVS 事件

• 每个区域的新用户数
• 所有 AWS CloudTrail 事件
• 用户的 AWSCT
• AWS 控制台登录

• 高严重性结果

• 被拒绝的 IPv4 操作

• 应用程序规则日志
• 所有防火墙决策

• DNS 代理日志

• Azure 防火墙主要流日志

• Azure 防火墙流跟踪日志

• IDPS 事件日志
• 所有防火墙决策

• 内部 FQDN 解析失败

• DNAT 规则日志
• 所有防火墙决策

• 网络规则日志
• 所有防火墙决策

• 威胁情报日志
• 所有防火墙决策

• 是否有故障？
• 是否有慢速请求？
• 此 KeyVault 的活跃状态如何？
• 此 KeyVault 处理请求的速度有多快？
• 上个月发生了哪些更改？
• 谁在调用此 KeyVault？

• 发布详细错误日志
• 发布详细错误日志

• 发布用于混合连接的 HTTP 发送数据

• 发布主题的成功数据
• 发布订阅失败
• 发布命名空间失败
• 发布主题的成功数据
• 发布主题失败
• 发布订阅失败
• 发布命名空间失败

• 发布 AMQP 协议的成功连接
• 发布失败 AAD 日志
• 发布失败 SAS 日志
• 发布发送消息的失败
• 发布命名空间失败
• [经典] 过去 7 天内的错误
• 发布 AMQP 协议的成功连接
• 发布发送消息的失败
• 发布命名空间失败
• 发布失败 AAD 日志
• 发布失败 SAS 日志

• 按命名空间发布拒绝连接
• 发布命名空间 vnet 数据
• 按命名空间发布拒绝连接
• 按命名空间发布虚拟网络事件
• 按命名空间发布拒绝连接
• 按命名空间发布虚拟网络事件

• 按状态分发备份作业
• 按状态分发还原作业
• 所有成功作业数
• 所有失败的作业

• 云存储总消耗量趋势

• 唯一未经授权或禁止的客户端 IP 地址

• 各主题和错误的传递失败
• 各主题和错误的传递失败
• 各域和错误的传递失败
• 主题平均传递延迟
• 域平均传递延迟

• 各主题和错误的发布失败
• 各主题和错误的发布失败
• 各域和错误的发布失败

• 按部门对聚合安全警报进行分组

• 失败的授权

• 农民的农场管理操作状态
• 农民的所有操作的状态
• 基于所执行操作的前 100 位农民的使用趋势

• 农民的作业执行统计数据

• 涉及用户的警报

• 各种 MITRE ATT&CK 技术的警报

• 获取特定 VM 大小的群集的群集事件
• 获取运行节点数
• 运行和空闲节点实例的图表

• 绘制计算群集利用率

• 获取失败的作业
• 获取作业的记录
• 显示前 5 个最长的作业运行

• 计算数据集读取次数

• 请求访问环境的历史记录

• 找到的访问过模型的用户

• 联机终结点控制台日志

• 联机终结点失败事件

• 联机终结点失败请求

• 所有 WRITE 事件

• 获取生产异常（最后一天）
• 获取外部测试异常（最后一天）

• 请求数量
• 最近 100 次调用的日志
• 调用次数(按 API)
• 消耗的带宽
• 请求大小
• 响应大小
• 客户端 TLS 版本
• 错误原因细分
• 最近 100 个失败请求
• 获取因与后端相关的问题而失败的请求
• 获取因与后端不相关的问题而失败的请求
• 总延迟
• 后端延迟
• 客户端延迟
• 缓存命中率

• 失败依赖项

• 排名前 3 的浏览器异常

• 页面查看次数趋势
• 最慢的页

• 显示包含“error”或“exception”一词的应用程序日志
• 显示每个应用程序的错误和异常数

• 显示配置服务器日志
• 显示服务注册表日志
• 显示 Spring Cloud Gateway 日志
• 显示 API 门户日志
• 显示应用程序配置服务日志
• 显示 Spring Cloud Gateway 操作员日志

• 响应时间趋势
• 请求计数趋势
• 响应时间桶
• 操作性能
• 流量前 10 的国家/地区
• 失败请求 - 前 10
• 失败的操作
• 导致请求失败的异常

• 按严重性计算应用日志
• 每个应用程序服务的应用日志

• 与意外用户相关的审核日志

• 来自应用程序服务身份验证的最新错误
• 来自应用程序服务身份验证的最新警告
• 来自应用程序服务身份验证的前 100 个最常见错误和警告

• 查找与应用程序启动相关的控制台日志

• 与“删除”操作相关的文件审核日志

• 应用程序服务运行状况
• 失败分类
• 请求的响应时间
• 前 5 个客户端
• 前 5 台计算机

• 审核自动缩放评估

• 显示前 50 个自动缩放日志
• 自动缩放操作状态
• 自动缩放失败操作

• [经典] 在 AzureActivity 中查找
• 关闭虚拟机
• 50 个最新日志
• 操作的状态
• 最近的 Azure 活动日志
• 失败的操作
• 资源创建
• 在 AzureActivity 中查找
• 显示 AzureActivity 表中的日志
• 显示 AzureActivity 表中的日志
• 显示前 50 个活动日志事件
• 显示活动日志管理事件
• VM 创建
• 显示从策略生成的活动日志事件
• 列出过去 48 小时内的调用方及其关联操作
• 所有 Azure 活动
• 用户的 Azure 活动
• 成功密钥枚举
• JIT 启动网络访问权限
• Azure 活动操作统计信息

• 是否有任何授权失败？
• 是否有慢速请求？
• 此证明提供程序有多活跃？
• 谁正在调用此证明提供程序？
• 证明策略是否有任何更改？
• 尝试配置证明策略时是否出现任何错误？

• 获取所有备份操作

• 自动化作业中的错误
• 查找在最后一天报告自动化作业中的错误的日志
• 已失败、已暂停或已停止的 Azure 自动化作业
• Runbook 成功完成，但出现错误
• 查看历史作业状态
• 已完成的 Azure 自动化作业
• 每个作业的成功任务数
• 每个作业的失败任务数
• 任务持续时间
• 池重设大小
• 池重设大小失败
• [Microsoft CDN（经典）] 每小时请求数
• [Microsoft CDN（经典）] 按 URL 列出的流量
• [Microsoft CDN（经典）] 按 URL 列出的 4XX 错误率
• [Microsoft CDN（经典）] 按用户代理列出的请求错误
• [Microsoft CDN（经典）] 前 10 个 URL 请求计数
• [Microsoft CDN（经典）] 唯一 IP 请求计数
• [Microsoft CDN（经典）] 前 10 个客户端 IP 和 HTTP 版本
• [Azure Front Door 标准版/高级版] 按 IP 和规则列出的前 20 个被阻止客户端
• [Azure Front Door 标准版/高级版] 按路由列出的源请求
• [Azure Front Door 标准版/高级版] 按用户代理列出的请求错误
• [Azure Front Door 标准版/高级版] 前 10 个客户端 IP 和 http 版本
• [Azure Front Door 标准版/高级版] 按主机和路径列出的请求错误
• [Azure Front Door 标准版/高级版] 每小时防火墙阻止的请求计数
• [Azure Front Door 标准版/高级版] 按主机、路径、规则和操作列出的防火墙请求计数
• [Azure Front Door 标准版/高级版] 每小时请求数
• [Azure Front Door 标准版/高级版] 前 10 个 URL 请求计数
• [Azure Front Door 标准版/高级版] 前 10 个 URL 请求计数
• [Azure Front Door 标准版/高级版] 唯一 IP 请求计数
• 在 AzureDiagnostics 中查找
• 超过阈值的执行时间
• 显示最慢查询
• 显示查询的统计信息
• 查看 GENERAL 类中的审核日志事件
• 查看 CONNECTION 类中的审核日志事件
• 超过阈值的执行时间
• 显示最慢查询
• 显示查询的统计信息
• 查看 GENERAL 类中的审核日志事件
• 查看 CONNECTION 类中的审核日志事件
• Autovacuum 事件
• 服务器重启
• 查找错误
• 未经授权的连接
• 死锁数
• 锁争用
• 审核日志
• 表和事件类型的审核日志
• 执行时间超过阈值的查询
• 最慢查询
• 查询统计信息
• 执行计数趋势
• 排名靠前的等待事件
• 等待事件趋势
• 连接错误
• 限制错误最多的设备
• 死终结点
• 错误摘要
• 最近连接的设备
• 设备的 SDK 版本
• 过去 24 小时内消耗的 RU/s
• 过去 24 小时内含限制 (429) 的集合
• 过去 24 小时内消耗的请求单位 (RU) 的主要操作
• 按存储列出的主要逻辑分区键
• [经典] 捕获失败的持续时间
• [经典] 客户端的联接请求
• [经典] 密钥保管库访问 - 未找到密钥
• [经典] 使用密钥保管库执行的操作
• 最近 7 天的错误
• 捕获失败的持续时间
• 客户端的联接请求
• 密钥保管库访问 - 未找到密钥
• 使用密钥保管库执行的操作
• [经典] 此 KeyVault 的活跃状态如何？
• [经典] 谁在调用此密钥保管库？
• [经典] 是否有慢速请求？
• [经典] 此密钥保管库处理请求的速度有多快？
• [经典] 是否有失败？
• [经典] 上个月发生了哪些更改？
• [经典] 列出所有输入反序列化错误
• [经典] 在 AzureDiagnostics 中查找
• 计费的执行总数
• 按工作流列出的逻辑应用执行分配
• 按状态列出的逻辑应用执行分配
• 触发失败计数
• 每小时请求数
• 每小时非 SSL 请求数
• 每小时的失败请求数
• 按用户代理分类的错误
• 按 URI 列出的错误
• 前 10 个客户端 IP
• 主要 HTTP 版本
• 网络安全事件
• 每小时请求数
• 按路由规则列出的已转发后端请求
• 按主机和路径列出的请求错误
• 按用户代理列出的请求错误
• 前 10 个客户端 IP 和 http 版本
• 每小时防火墙阻止的请求计数
• 按 IP 和规则列出的前 20 个被阻止客户端
• 按主机、路径、规则和操作列出的防火墙请求计数
• 应用程序规则日志数据
• 网络规则日志数据
• 威胁情报规则日志数据
• Azure 防火墙日志数据
• Azure 防火墙 DNS 代理日志数据
• BGP 路由表
• BGP 信息性消息
• 监视状态为关闭的终结点
• 成功的 P2S 连接
• 失败的 P2S 连接
• 网关配置更改
• S2S 隧道连接/断开连接事件
• BGP 路由更新
• 显示 AzureDiagnostics 表中的日志
• 失败的备份作业
• [经典] 列出管理操作
• [经典] 错误摘要
• [经典] 密钥保管库访问尝试 - 未找到密钥
• [经典] AutoDeleted 实体
• [经典] 密钥保管库执行的操作
• 过去 7 天内的管理操作
• 错误摘要
• 密钥保管库访问尝试 - 未找到密钥
• AutoDeleted 实体
• Keyvault 执行的操作
• 托管实例上超过 90% 的存储
• 托管实例上超过 95% 的 CPU 使用率阈值
• 显示所有活动智能见解
• 等待统计信息
• 列出所有输入数据错误
• 列出所有输入反序列化错误
• 列出所有 InvalidInputTimeStamp 错误
• 列出所有 InvalidInputTimeStampKey 错误
• 延迟到达的事件
• 提前到达的事件
• 无序到达的事件
• 所有输出数据错误
• 列出所有 RequiredColumnMissing 错误
• 列出所有 ColumnNameInvalid 错误
• 列出所有 TypeConversionError 错误
• 列出所有 RecordExceededSizeLimit 错误
• 列出所有 DuplicateKey 错误
• 所有级别为“错误”的日志
• “失败”的操作
• 输出限制日志（Cosmos DB、Power BI、事件中心）
• 暂时性输入和输出错误
• 过去 7 天内所有数据错误的摘要
• 过去 7 天内所有错误的摘要
• 过去 7 天内的“失败”操作摘要

• Azure 负载测试创建计数
• Azure 负载测试运行创建计数

• HTTP 响应代码的饼图
• 响应时间的折线图
• [经典] 在 AzureMetrics 中查找
• 最新指标
• 在 AzureMetrics 中查找
• ExpressRoute 线路 BitsInPerSecond 流量图
• ExpressRoute 线路 BitsOutPerSecond 流量图
• ExpressRoute 线路 ArpAvailablility 图
• ExpressRoute 线路 BGP 可用性
• 平均 CPU 使用率
• 性能故障排除
• 加载数据
• P2S 连接计数
• P2S 带宽利用率
• 网关吞吐量
• 显示 AzureMetrics 表中的日志
• 显示 AzureMetrics 表中的日志
• 群集可用性 (KeepAlive)

• CCF 应用程序错误

• CIEventsAudit - API 响应代码折线图
• CIEventsAudit - 结果类型 ClientError
• CIEventsAudit - 安全级别错误
• CIEvents - 特定相关 ID 的所有事件
• CIEventsAudit - 特定实例 ID 的所有事件

• CIEventsOperational - 事件类型 ApiEvent
• CIEventsOperational - 事件类型 WorkflowEvent
• CIEvents - 特定相关 ID 的所有事件
• CIEventsOperational - 特定实例 ID 的所有事件

• Cassandra 日志
• Cassandra 错误或警告

• 失败的试验运行
• 上次试验运行的试验事件

• 文件扩展名更改

• 是否有慢速请求？
• 此 Cloud HSM 有多活跃？
• 是否有故障？

• Palo Alto 收集器计算机使用情况
• Cisco ASA 事件类型使用情况
• 设备事件量统计信息

• 按组织 ID 筛选的 Office 通信合规性事件

• 获取机密播放列表别名
• 使用机密播放列表查找事件

• 已停止的 Windows 服务
• 软件更改
• 服务更改
• 每台计算机的软件更改类型
• 已停止的服务
• 每个类别的软件更改计数
• 已移除的软件更改

• 最近停止的自动服务

• 映像清单
• 在 ContainerImageInventory 中查找

• 容器生命周期信息

• 在容器日志表中查找值
• 按日志类型列出的可记账日志数据
• 列出每个命名空间的容器日志
• 在 ContainerLog 中查找

• 在 ContainerLogV2 中查找

• 在 ContainerNodeInventory 中查找

• 显示过去一小时内报告的登录事件

• 显示过去一小时内报告的注册表事件

• 在 ContainerServiceLog 中查找

• 按保管库和备份项类型列出的备份项

• 数据集合规则中的引入和转换错误

• 按虚拟网络和返回代码列出的 DNS 查询

• 发现的对象
• 终端对象状态

• 列出所有 Databricks 诊断设置类别

• 按操作类型筛选的 Dataverse 事件

• DevCenter - DevBoxAgent 运行状况状态摘要

• DevCenter - DevBox 存储和计算使用情况细分（按开发箱）
• DevCenter - 按池划分的 DevBox 计费计量细分

• 失败操作查询

• 休眠不支持的检查

• Exchange 错误

• 清理失败

• 硬件次要
• 硬件警报

• 软件警报

• Skype 错误

• 具有防病毒配置问题的设备

• 不受支持的软件标题

• 受特定漏洞影响的设备

• 解析恶意域的客户端

• TLS 1.3 较低查询

• 身份验证错误查询

• 断开连接原因查询
• 会话断开连接查询

• TLS 1.3 较低查询

• 会话连接查询

• 来自恶意发送方的文件
• 向外部域发送带有附件的电子邮件

• 来自前 10 个发送方域的网络钓鱼电子邮件
• 包含恶意软件的电子邮件

• 交付后管理员操作
• 未处理的交付后网络钓鱼电子邮件检测
• 完整电子邮件处理详细信息

• 电子邮件中的 URL

• 每个节点的 CPU 使用率平均（%）
• 虚拟机失败
• 群集上运行的 VM 总数
• 可用卷容量
• 卷延迟
• 体积 IOPS
• 卷吞吐量
• 群集节点已关闭
• 每个节点的内存使用量（%）
• 引入延迟（端到端）时间图表 - 事件表
• 显示所选事件的趋势
• 计算机上的错误事件缺少安全或关键更新
• 过去一小时内的所有事件
• 事件已启动
• 按事件源排序的事件
• 按事件 ID 排序的事件
• 警告事件
• 警告事件的计数
• OM 中介于 2000 到 3000 之间的事件
• Windows 防火墙策略设置
• 计算机更改了 Windows 防火墙策略设置

• 按错误列出失败引入
• 失败的引入时间图表
• 失败的引入

• 显示函数应用的应用程序日志
• 显示包含警告或异常的日志
• 错误和异常计数
• 一段时间内的函数活动
• 函数结果
• 函数错误率

• 包含严重性信息的 PubSub 订阅日志

• 计算检测信号
• 每台计算机的最后一个检测信号
• 引入延迟（端到端）峰值 - Heartbeat 表
• 代理延迟峰值 - Heartbeat 表
• 最近停止的检测信号 - Heartbeat 表
• 目前的计算机可用性
• 不可用的计算机
• 可用速率
• 未报告 VM
• 计算机列表
• 在 Heartbeat 中查找

• 组成员资格已更改
• 密码更改事件

• 使用明文密码的 LDAP 身份验证过程

• 对 Active Directory 的 SAMR 查询

• IoT Edge：设备脱机或未按预期速率向上游发送消息
• IoT Edge：超出阈值的边缘中心队列大小
• 最大节点磁盘
• 每个节点每秒读取 Prometheus 磁盘数
• 在 InsightsMetrics 中查找
• 正在收集什么数据?
• 虚拟机可用内存
• 绘制 CPU 利用率趋势(按计算机)图表
• 虚拟机可用磁盘空间
• 使用检测信号跟踪 VM 可用性
• CPU 利用率最高的前 10 台虚拟机
• 最低的后 10 个可用磁盘空间百分比

• Kubernetes 事件
• 在 KubeEvents 中查找

• 在 KubeMonAgentEvents 中查找

• 每分钟平均节点 CPU 使用率百分比
• 每分钟平均节点内存使用率百分比
• 每个节点的就绪性状态
• 在 KubeNodeInventory 中查找

• 崩溃循环中的 Pod
• 处于挂起状态的 Pod
• 在 KubePodInventory 中查找

• 在 KubeServices 中查找

• 请求最多的 ResourceId
• 未授权用户
• 受限用户
• 请求计数(按 ResponseCode)
• 前 10 个资源密集型查询
• 时间范围最长的前 10 个查询

• Bin 规则查询持续时间

• 逻辑应用工作流运行时失败的工作流操作计数

• 查询域为“www.google.com”的所有 DNS 事件按时间排序

• 目录的所有 FIM 事件

• 所有最近的门控验证事件

• 查找值处于活动状态的所有条目
• 查找值为最新的所有条目
• 查找 VxlanVlanToVniVlan 类型的所有事件
• 查找 afisafiname 不属于 L2VPN_EVPN 类型的所有条目
• 查找网络实例名称属于 workload-mgmt 类型的所有条目

• 查找会话更新用户是管理员的所有条目

• 从 Syslog 中查找所有错误

• 按持续时间列出收到的快照
• 计数接收到的快照失败
• 接收的快照中的频繁错误
• 每日接收快照的图表

• 按持续时间列出发送的快照
• 计数失败发送快照
• 发送快照时频繁出现错误
• 每日发送快照的图表

• 频繁的用户终结点调用方
• 失败的组终结点请求

• Microsoft Purview 信息保护事件

• 显示 NGINXaaS 访问日志
• 显示 NGINXaaS 错误日志

• 显示 NGINXaaS 安全日志

• 路径诊断

• 失败的测试
• 测试性能

• 每个 NatGateway IP 和目标 IP 所允许发送的数据包和字节总数
• 每个 NatGateway IP 和源 IP 允许发送的数据包和字节总数

• 将流量传输到非标准端口
• 到不常见域的高容量流量

• 显示 NGINXaaS 上游更新日志

• DAG 类型与 DAG 运行摘要统计
• 所有 DAG 运行的相关 ID
• DAG 运行的日志
• DAG 运行的错误日志

• 可视化错误响应代码
• 分析存储日志中的用户活动
• 按 OSDU 服务对日志进行分类
• 可视化用户活动
• 可视化最近活动
• 确保关联 ID 的存在
• 提取和分类 HTTP 响应代码

• 按特征计算的变体分配计数
• 给定特征的最新记分卡元数据
• 给定特征的最新记分卡结果

• 给定特征的最新记分卡结果

• 给定特征的最新记分卡元数据
• 给定特征的最新记分卡结果

• 成功的仓库删除请求计数

• 所有 Office 活动
• 访问文件的用户
• 文件上传操作
• 用户的 Office 活动
• 创建转发规则
• 可疑文件名

• Okta SSO 成功登录

• 非 RDMA 活动
• RDMA 活动
• 正在收集什么数据?
• 内存和 CPU 使用情况
• 过去一天的 CPU 使用率趋势
• 具有最高磁盘空间的前 10 台计算机
• 正在收集什么数据?
• 虚拟机可用内存
• 绘制 CPU 利用率趋势图表
• 虚拟机可用磁盘空间
• CPU 利用率最高的前 10 台虚拟机
• 最低的后 10 个可用磁盘空间百分比
• 容器 CPU
• 容器内存
• 实例平均 CPU 使用率从上周增长
• 在 Perf 中查找

• Power Apps 事件筛选的活动类型

• 按活动类型筛选的 Power Automate 事件

• 按组织 ID 筛选的 PowerBI 事件

• Power Platform 管理事件

• 按活动类型筛选的 Power Platform 连接器事件

• 按活动类型筛选的 Power Platform DLP 事件

• 按组织 ID 筛选的 MS 项目事件

• 签名过期
• 保护状态更新
• 恶意软件检测

• 审核集合删除事件

• 唯一经过身份验证的 Redis 客户端 IP 地址
• 每小时 Redis 客户端身份验证请求数
• 每小时的 Redis 客户端连接数
• 每小时的 Redis 客户端断开连接数
• 对 Redis 缓存的失败身份验证尝试

• 根据 IP 地址分组请求个数
• 触发的操作数
• 基于目标 URI 的调用
• 基于操作名称的调用
• 基于用户的调用

• 已删除的网络流日志
• 前 10 个网络流日志指标

• 设置已更新的池事件

• 耗尽的池事件

• 各重点领域的 SQL 建议
• 各计算机的 SQL 建议
• 各实例的 SQL 建议
• SQL 建议（按数据库）
• 各 AffectedObjectType 的 SQL 建议
• 每个唯一的 SQL 建议触发了多少次？
• 高优先级 SQL 评估建议

• 设置更新的最大池事件数

• 降级的池事件

• 按特定风险级别列出的所有攻击路径

• 安全事件最常见的事件 ID
• 添加到安全组的成员
• 明文密码的使用
• Windows 登录失败
• 所有安全活动
• 设备上的安全活动
• 管理的安全活动
• 按设备进行的登录活动
• 登录次数超过 10 的设备
• 已终止的帐户反恶意软件
• 已终止反恶意软件的设备
• 执行哈希的设备
• 执行的进程名称
• 清除安全日志的设备
• 按帐户划分的登录活动
• 登录次数少于 5 次的帐户
• 设备上的远程登录帐户
• 具有来宾帐户登录的计算机
• 添加到已启用安全组的成员
• 域安全策略更改
• 系统审核策略更改
• 可疑可执行文件
• 使用明文密码登录
• 包含已清理事件日志的计算机
• 帐户登录失败
• 已锁定的帐户
• 更改或重置密码尝试
• 创建或修改的组
• 远程过程调用尝试次数
• 已更改的用户帐户

• 更新与 Office365-Sharepoint 相关的 Sentinel 资源失败

• 客户端连接 ID
• 连接关闭原因
• IP 地址
• 与特定连接 ID 相关的日志
• 与特定消息跟踪 ID 相关的日志
• 与特定用户 ID 相关的日志
• 包含警告或异常的日志
• 服务器连接 ID
• 操作名称的时间图表
• 传输类型
• 用户 ID

• 所有 SiginLogs 事件
• 用户访问的资源
• 每个资源的用户计数
• 每个应用程序的用户计数
• 登录失败原因
• MFA 质询失败
• 失败的应用尝试无提示登录
• 失败的登录计数
• 登录位置
• 登录到资源

• 最常见的错误
• 导致错误最多的操作
• 延迟最高的操作
• 导致服务器端出现限制的操作
• 显示匿名请求
• 频繁操作图表

• 失败的操作
• 失败的启动作业
• 已完成长时间运行的异步操作

• 升级事件

• 活动警告事件

• 每个存储帐户的恶意 Blob 数
• 扫描失败

• 成功的引入
• 成功的引入时间图表

• Synapse Link 表失败事件

• 查找 Linux 内核事件
• 所有 Syslog
• 所有出现错误的 Syslog
• 按设施列出的所有 Syslog
• 所有 Syslog（按进程名称）
• 按计算机添加到 Linux 组的用户
• 计算机创建的新 Linux 组
• Linux 用户密码更改失败
• Ssh 登录失败的计算机
• Su 登录失败的计算机
• Sudo 登录失败的计算机

• 审核 ToolchainOrchestrator 操作
• 审核 ToolchainOrchestrator API 请求

• 工具链协调器目标提供者和解决方案部署失败

• 显示事件源连接错误
• 10 个最新的流入量日志
• 显示反序列化错误

• 以千兆字节为单位的内容分发

• 设备配置

• 缺少安全或关键更新
• 适用于 Windows 计算机的更新
• 适用于 Linux 计算机的更新
• 缺少更新摘要
• 缺少更新列表
• 缺少更新的计算机
• 缺少服务器所需的更新
• 缺少关键安全更新
• 缺少安全或关键更新，需要手动更新
• 缺少更新汇总
• 跨计算机的非重复缺失更新

• 计算机的修补安装失败

• 跨计算机可用的更新摘要
• 缺少特定于更新的产品
• 自动更新配置
• 自动更新配置已禁用

• 允许用户继续操作的链接

• 按数据类型列出使用情况
• 可计费性能数据
• 解决方案的数据量
• 过去 24 小时内工作区引入总数
• 容器见解解决方案可计费数据

• Mongo vCore 按操作请求 P99 持续时间
• 按持续时间分类的 Mongo vCore 请求
• 失败 Mongo vCore 请求
• 按用户代理的 Mongo vCore 请求

• 按帐户 ID 审核视频索引器
• 视频索引器审核前 10 位用户（按操作）
• 视频索引器审核分析的错误消息
• 视频索引器审核失败的操作

• 失败的编制索引操作
• 前 10 个用户

• 列出 IIS 日志条目
• 显示明细响应代码
• 每页所用的最长时间
• 显示 404 页列表
• 平均 HTTP 请求时间
• 服务器出现内部服务器错误
• 按 HTTP 请求方法统计 IIS 日志条目
• 按 HTTP 用户代理统计 IIS 日志条目
• 按客户端 IP 地址的 IIS 日志条目计数
• 客户端 IP 的 IIS 日志条目
• 按 URL 统计 IIS 日志条目数
• 按主机排序的 IIS 日志条目计数
• 按客户端 IP 计算的总字节流量
• 每台 IIS 计算机接收的字节数
• 每个 IIS 服务器 IP 响应客户端的字节数
• 客户端 IP 的平均 HTTP 请求时间

• 审核工作负载业务流程操作
• 审核工作负载编排 API 请求

• 工作负载编排目标提供商和解决方案部署失败

• SessionHost 上的可用会话
• SessionHost 的 HealthChecks

• 按用户计数列出的已发布远程资源

• 一段时间内的平均往返时间
• 所有连接的平均 BW
• 往返时间最多的前 10 个用户
• 带宽最低的前 10 位用户
• 往返时间和带宽摘要

• 连接错误
• 会话持续时间
• 按平均连接持续时间排名前 10 位的用户
• 前 10 名最活跃的用户
• 按主机池列出的平均连接持续时间
• 按用户计数显示的客户端操作系统信息
• Azure 虚拟桌面客户端使用情况信息
• 平均会话登录时间

• 前 10 个连接错误
• 前 10 个源错误

• 更新部署失败
• 设备等待重启以完成更新
• 具有安全措施保留的设备
• 使用安全措施保留的设备的目标生成分布

• 设备服务分支的分发
• 设备 OS 版本的分发
• 功能更新延期配置
• 功能更新暂停配置
• 质量更新延期配置
• 质量更新暂停配置

• 获取播放列表别名
• 使用播放列表查找事件

• WindowsEvent 审核策略事件

• 提供线路数据的代理
• 提供线路数据的代理的 IP 地址
• 通过远程 IP 地址的所有出站通信
• 应用程序协议发送的字节数
• 协议名称接收的字节数
• 按 IP 版本计算的总字节数
• 已与子网“10.0.0.0/8”（任意方向）上的代理通信的远程 IP 地址
• 发起或接收网络流量的进程
• 进程的网络流量数

• 工作负荷监视见解数据收集警告或错误

• 使用 Log Analytics 分析 Azure 存储中的日志
• 详细了解资源日志
• 使用 Azure Monitor REST API 更改资源日志诊断设置