직접 사용할 수 있는 Azure Log Analytics 검색 쿼리 예

개요

OMS, Azure Log Analytics의 특징 중 하나는 매우 강력한 검색 기능이다.매우 유연한 조회는 다양한 물건을 추출하고 시각화할 수 있다.
다른 한편, 유연하게 생성할 수 있기 때문에 조회의 기술이 어렵거나 구체적으로 어떻게 사용해야 할지 모른다는 의견도 적지 않다.(실제로는 그렇게 어렵지 않다)
그래서 이 글은 현장에서 바로 사용할 수 있는 샘플 조회를 수집했다.

검색 입력 방법

검색 검색을 입력하려면 Azure 관리 포털의 Log Analytics 또는 OMS 작업공간에서 로그 검색을 클릭합니다.

이제 로그 검색 화면에 검색 검색을 입력할 수 있습니다.

질의를 입력하면 결과가 표시됩니다.

종류에 따라 도표로 표시할 수도 있다.

OMS 관리학과

컴퓨터 최종 데이터 보고 시간

ObjectName!="Advisor Metrics" ObjectName!=ManagedSpace | measure max(TimeGenerated) as LastReportTime by Computer | Sort Computer

레코드 유형

* | Measure count() by Type

서버 관리학과

프로세서 사용률

Type:Perf CounterName="% Processor Time" InstanceName="_Total" | measure avg(CounterValue) by Computer Interval 1HOUR

예기치 않게 꺼진 컴퓨터

Type=Event EventID=6008 Source=EventLog

디스크 공간

* Type=Perf CounterName="Free Megabytes"

지난 1시간 동안 평균 CPU 사용량 Top10

* Type=Perf CounterName="% Processor Time" InstanceName="_Total" TimeGenerated>NOW-1HOUR | Measure avg(CounterValue) as AVGCPU by Computer | Sort AVGCPU desc | Top 10

지난 24시간 동안 디스크 대기열 길이가 가장 높았던 컴퓨터 Top10

* Type=Perf ObjectName=LogicalDisk CounterName="Current Disk Queue Length" TimeGenerated>NOW-24HOUR| Measure Max(CounterValue) as MAXDiskQueue by Computer | Sort MAXDiskQueue desc | Top 10

SQL Server에서 IO를 15초 이상 기다리는 관리 객체

EventID=833 EventLog=Application Source=MSSQLSERVER | measure count() by Computer

보안 관계

주요 업데이트 또는 보안 업데이트 프로그램을 설치하지 않은 모든 컴퓨터

Type=Update UpdateState=Needed Optional=false (Classification="Security Updates" OR Classification="Critical Updates")

고객 계정 로그인 컴퓨터

Type=SecurityEvent EventID=4624 (LogonType=10 or LogonType=3) TargetUserName="Guest" | Measure count() by Computer

지우기 텍스트 암호로 로그인

Type=SecurityEvent EventID=4624 (LogonType=10 or LogonType=3) TargetUserName="Guest" | Measure count() by Computer

계정 로그인 실패

Type=SecurityEvent EventID=4625 | measure count() by TargetAccount

Windows Update 자동 업데이트가 잘못된 컴퓨터에는 적용되지 않는 업데이트 프로그램

Type=Update UpdateState=Needed Optional=false Computer IN {Type=UpdateSummary WindowsUpdateSetting=Manual | measure count() by Computer} | measure count() by KBID

DOMAIN\user 로그인한 컴퓨터에서 로그인한 다른 사용자

Type=SecurityEvent EventID=4624   Account!="DOMAIN\\user" Computer IN { Type=SecurityEvent EventID=4624   Account="DOMAIN\\user" | measure count() by Computer } | measure count() by Account

Reference

이 문제에 관하여(직접 사용할 수 있는 Azure Log Analytics 검색 쿼리 예), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/MasahikoEbisuda/items/0df96b196a64404e431b

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다