Übung – Weiterleiten von Ressourcenprotokollen an Log Analytics und anschließendes Anzeigen von Protokolldaten
In dieser Übung erstellen Sie einen Log Analytics-Arbeitsbereich, erstellen eine Diagnoseeinstellung, mit der Protokolle an diesen Arbeitsbereich weitergeleitet werden, und verwenden Sie dann eine Abfrage, um Aktivitäten in Ihrem Speicherkonto anzuzeigen.
Erstellen eines Log Analytics-Arbeitsbereichs
Suchen Sie im Azure-Portal nach Log Analytics-Arbeitsbereichen, und wählen Sie sie aus.
Wählen Sie +Erstellen aus, und geben Sie dann Werte für die folgenden Optionen an:
Wählen Sie im Dropdown-Menü die Option "Concierge-Abonnement" aus.
Wählen Sie für "Ressourcengruppe" die Ressourcengruppe
[Sandkastenressourcengruppe] aus.Geben Sie einen Namen für den neuen Log Analytics-Arbeitsbereich an, z. B. DefaultLAWorkspace. Dieser Name muss innerhalb einer Ressourcengruppe eindeutig sein.
Wählen Sie eine verfügbare Region aus.
Wählen Sie "Überprüfen" und "Erstellen " aus, um die Einstellungen zu überprüfen, und wählen Sie dann "Erstellen" aus, um den Arbeitsbereich zu erstellen.
Erstellen einer Diagnoseeinstellung
Wählen Sie im Azure-Portalmenü "Speicherkonten" aus.
Wählen Sie auf der Seite "Speicherkonten " den Namen des Speicherkontos aus, das Sie in der vorherigen Übung erstellt haben.
Wählen Sie im Menübereich unter "Überwachung" die Option "Diagnoseeinstellungen" aus.
Wählen Sie im Bereich "Diagnoseeinstellungen " blob aus, und wählen Sie dann "+Diagnoseeinstellung hinzufügen" aus.
Geben Sie im Feld "Name der Diagnoseeinstellung " einen Namen für die Einstellung an.
Aktivieren Sie im Abschnitt "Kategorien " das Kontrollkästchen für StorageRead. Aktivieren Sie im Abschnitt "Zieldetails " das Kontrollkästchen neben dem Arbeitsbereich "An Log Analytics senden".
Wählen Sie in der Dropdownliste des Log Analytics-Arbeitsbereichs den Log Analytics-Arbeitsbereich aus, den Sie im vorherigen Abschnitt erstellt haben.
Wählen Sie "Speichern" aus.
Herunterladen eines Blobs zum Generieren von Aktivitäten
Kehren Sie zu Ihrem Speicherkonto zurück. Wählen Sie im Abschnitt "Datenspeicher" die Option "Container" aus.
Wählen Sie im Bereich "Container " den Container aus, den Sie in der letzten Übung erstellt haben.
Wählen Sie ein hinzugefügtes Blob aus, wählen Sie ..., und wählen Sie "Herunterladen" aus.
Anzeigen protokollierter Aktivitäten mithilfe einer Log Analytics-Abfrage
Kehren Sie zu Ihrem Speicherkonto zurück. Wählen Sie im Menübereich unter "Überwachung" die Option "Protokolle" aus.
Das Hubfenster "Abfragen " wird angezeigt. Dieses Fenster enthält mehrere Abfragen, die Sie ausführen können. Sie können diese Abfragen auch anpassen, indem Sie mit dem Mauszeiger auf die Abfrage zeigen und dann auf In den Editor laden klicken, das für die Abfrage erscheint. Für diese Übung erstellen wir eine Abfrage von Grund auf neu.
Schließen Sie das Fenster "Abfragen ", indem Sie " X " in der Ecke des Fensters auswählen.
Der Abfrage-Editor wird angezeigt.
Wählen Sie in der oberen rechten Ecke des Menüs "Abfrage" in der Dropdownliste den KQL-Modus aus.
Fügen Sie im Abfrage-Editor die folgende Abfrage hinzu.
StorageBlobLogs | where OperationName == "GetBlobServiceProperties" and Category == "StorageRead" | project TimeGenerated, AuthenticationType, OperationName, Category, UriDiese Abfrage zeigt Lesevorgänge an, die während dieser Übung aufgetreten sind. Es enthält verschiedene Felder, z. B. wie die Anforderung authentifiziert wurde, den Namen des Vorgangs, die Kategorie des Vorgangs und den URI der Ressource. Für den soeben ausgeführten Vorgang sollte ein Ergebnis angezeigt werden.
Wählen Sie "Ausführen" aus.