Azure Monitor Log Analytics 示例查询。

Azure Monitor 资源日志是 Azure 服务发出的日志，用于描述这些服务或资源的操作。 日志导出到 Log Analytics 工作区后，会存储在表中。 本系列文章包含用于从 Log Analytics 表中检索数据的示例查询。 这些查询也可以在 Log Analytics 工作区中使用。

按表列出的示例查询

AACAudit

• 最新的删除键值操作
• 最近的客户端错误

AACHttpRequest

• 限制的请求数
• 最常见的服务器错误
• 按 IP 地址排序的最活跃客户端

AAD自定义安全属性审核日志

• 用户的自定义安全属性审核

AAD域服务账户登录

• 显示 AADDomainServicesAccountLogon 表中的日志

AADDomainServicesAccountManagement

• 显示 AADDomainServicesAccountManagement 表中的日志

AADDomainServicesDirectoryServiceAccess

• 显示 AADDomainServicesDirectoryServiceAccess 表中的日志

AAD域服务登录注销

• 显示 AADDomainServicesLogonLogoff 表中的日志

AAD域服务策略更改

• 显示 AADDomainServicesPolicyChange 表中的日志

AADDomainServicesPrivilegeUse

• 显示 AADDomainServicesPrivilegeUse 表中的日志

AADGraphActivityLogs

• 频繁的用户终结点呼叫者 (AAD Graph)
• 失败的组端点请求（AAD Graph）

AADManagedIdentitySignInLogs

• 最活跃的托管标识

AAD非互动用户登录日志

• 具有多个城市的用户
• 最活跃的 IP 地址

AADProvisioningLogs

• 过去一周的预配操作
• 预配错误
• 预配的对象（按天列出）

AADRiskyUsers

• 高风险用户

AADServicePrincipalRiskEvents

• 活动服务主体风险检测

AADServicePrincipalSignInLogs

• 最活跃的服务主体
• 非活动服务主体

AADUserRiskEvents

• 最近的用户风险事件
• 活动用户风险检测

ABAPAuditLog

• ABAP 审核日志多次 IP 登录
• ABAP 审核日志文件下载

ABSBotRequests

• 客户端到 Direct Line 通道
• 机器人到通道
• 通道到机器人
• 从 Facebook 到 Azure 机器人服务的请求
• 从 Azure 机器人服务到 Facebook API 的请求
• 从客户端发送到 Direct Line 的活动
• Direct Line 通道日志
• 失败的请求
• Direct Line 通道响应代码折线图
• 请求时长折线图
• 响应代码折线图
• 响应代码饼图
• 请求操作饼图

ACICollaborationAudit

• 每次管道运行时，一个资源被授予了多少次授权？
• 我的资源被授予了哪些权利？
• 哪些资源被赋予了访问权限？
• 哪些参与者有权访问我的资源？

ACRConnectedClientList

• 唯一 Redis 客户端 IP 地址
• 每小时的 Redis 客户端连接数

ACREntra认证审计日志

• Microsoft Entra 身份验证审核日志

ACS高级消息操作

• 高级消息传递操作
• 高级消息传递操作持续时间百分位数
• 每次操作时高级消息传递的前 5 个 IP 地址
• 高级消息传递操作错误
• 高级消息传递操作结果计数
• 高级消息传递通道活动
• 高级消息传递消息状态计数

ACSAuthIncomingOperations

• 列出不同的身份验证操作
• 计算身份验证操作持续时间百分位数
• 每个身份验证操作的前 5 个 IP 地址
• 身份验证操作错误
• 身份验证操作结果计数

ACSBillingUsage

• 接听长时间电话
• 使用情况细目
• 记录计数明细
• 参与者电话号码
• 参与者电话号码

ACSCallAutomationIncomingOperations

• 调用自动化操作
• 计算调用自动化操作持续时间百分位数
• 每个自动化调用操作中的前 5 个 IP 地址
• 通话自动化运行错误
• 调用自动化操作结果计数
• 调用连接 ID 的调用自动化日志
• 针对具体调用的调用自动化 API
• CallAutomation API 调用的 CallDiagnostics 日志
• CallAutomation API 调用的 CallSummary 日志
• 处于 MediaStreaming 活动状态的通话数量
• MediaStreaming 操作成功计数
• MediaStreaming 操作失败计数
• 启用文字转换的通话次数
• 转录操作成功计数
• 听录操作失败次数

ACSCallAutomation媒体摘要

• 循环播放成功率
• 播放到参与者的成功率
• 识别成功率
• 各子操作名称的成功率

ACSCallAutomationStreamingUsage

• 媒体流式处理分钟数
• 每次呼叫的媒体流式处理分钟数
• 每位参与者每次呼叫的媒体流式处理分钟数
• 听录流式处理分钟数
• 每次呼叫的听录流式处理分钟数
• 每位参与者每次呼叫的听录流式处理分钟数

ACSCallClientMediaStatsTimeSeries

• 提取通话中所有参与者的时序媒体统计信息
• 每个媒体类型的指标
• 每种媒体类型和方向的指标直方图

ACSCallClientOperations

• 计数各类型的客户端操作
• 传出呼叫失败原因
• 按关键字搜索呼叫
• 搜索通话中所有面向用户的诊断
• 搜索呼叫中的所有参与者
• 检查通话中所有参与者的网络质量
• 在通话中搜索所有客户端操作

ACSCallDiagnostics

• 每次通话的流数
• 每次呼叫的流量分布直方图
• 媒体类型比率
• 传输类型比率
• 平均遥测值
• 平均抖动直方图
• 最大抖动直方图
• 平均数据包丢失率直方图
• 丢包率最大值直方图
• 平均往返时间直方图
• 最大往返时间直方图
• 抖动质量比率
• 数据包丢失率质量比率
• 往返时间质量比率
• CallAutomation API 调用的 CallDiagnostics 日志
• 按关键字搜索呼叫
• 搜索呼叫中的所有参与者
• 检查通话中所有参与者的网络质量

ACS通话诊断更新

• 媒体类型比率
• 传输类型比率
• 平均遥测值
• 平均抖动直方图
• 最大抖动直方图
• 平均数据包丢失率直方图
• 丢包率最大值直方图
• 平均往返时间直方图
• 最大往返时间直方图
• 抖动质量比率
• 数据包丢失率质量比率
• 往返时间质量比率

ACSCallRecordingIncomingOperations

• 通话记录操作
• 计算通话记录操作持续时间百分位数
• 每个通话记录操作的前 5 个 IP 地址
• 通话记录操作错误
• 通话录音操作结果统计
• 按 ID 列出的通话记录日志

ACS通话录音概要

• 通话记录持续时间直方图
• 通话记录持续时间百分位数
• 通话记录的结束原因比例
• 每日通话记录
• 每小时通话记录
• 通话记录的模式比率

ACSCallSummary

• 每次通话的参与者人数
• 参与者电话号码
• 每次群组通话的参与者人数
• 通话类型比率
• 通话持续时间直方图
• 呼叫持续时间百分位数
• 每日通话
• 每小时通话
• 每个通话的终节点
• SDK 版本比率
• 操作系统版本比率
• CallAutomation API 调用的 CallSummary 日志
• 按关键字搜索呼叫
• 搜索呼叫中的所有参与者
• 在通话中搜索所有客户端操作

ACSCallSummaryUpdates

• 每次通话的参与者人数
• 参与者电话号码
• 每次群组通话的参与者人数
• 通话类型比率
• 通话持续时间直方图
• 呼叫持续时间百分位数
• 每日通话
• 每小时通话
• 每个通话的终节点
• SDK 版本比率
• 操作系统版本比率
• 每次通话的流数
• 每次呼叫的流量分布直方图

ACSCallSurvey

• 总体呼叫评级
• 音频评级
• 视频评级
• 屏幕共享评级
• 总体呼叫问题
• 音频问题
• 视频问题
• 屏幕共享问题
• 按关键字搜索呼叫
• 搜索呼叫中的所有参与者

ACSChatIncomingOperations

• 聊天操作
• 计算聊天操作持续时间百分位数
• 每个聊天操作的前 5 个 IP 地址
• 聊天操作错误
• 聊天操作结果计数

ACSEmailSendMailOperational

• 电子邮件发送请求摘要

ACS邮件状态更新正常

• 按收件人 ID 统计的电子邮件发送失败情况
• 按邮件 ID 分类的电子邮件传递失败情况
• 电子邮件退还且收件人被屏蔽

ACSJobRouterIncomingOperations

• 作业路由器操作
• 计算作业路由器操作持续时间百分位数
• 每个作业路由器操作的前 5 个 IP 地址
• 作业路由器操作错误
• 作业路由器操作结果计数

ACSRoomsIncomingOperations

• 会议室操作错误
• 会议室操作结果计数
• 会议室操作摘要

ACSSMSIncomingOperations

• 列出不同的短信操作
• 计算短信操作持续时间百分位数
• 每个短信操作的前 5 个 IP 地址
• 短信操作错误
• 短信操作结果计数

ADAssessmentRecommendation

• 各重点领域的 AD 建议
• AD 建议（按计算机）
• AD 建议（按林）
• AD 建议（按域）
• AD 建议（按 DomainController）
• AD 建议（按 AffectedObjectType）
• 每个唯一 AD 建议触发了多少次？
• 高优先级 AD 评估安全性建议

ADFActivityRun

• 活动运行可用性
• 活动运行的最新状态

ADFPipelineRun

• PipelineRuns 可用性
• 管道运行最新状态

ADFSSignInLogs

• 最频繁的 ADFS 帐户锁定

ADFTriggerRun

• TriggerRuns 可用性
• 触发器运行最新状态

ADTDataHistoryOperation

• 数据历史记录操作失败日志
• 数据历史记录出口延迟

ADTDigitalTwinsOperation

• DigitalTwin 错误摘要
• DigitalTwin API 使用情况

ADTEventRoutesOperation

• 事件路由 API 使用情况

ADTModelsOperation

• 模型错误摘要
• 模型 API 使用情况

ADTQueryOperation

• 查询错误摘要

ADXIngestionBatching

• 引入批处理大小
• 引入批处理摘要
• 引入批处理持续时间的时间图表

ADX表格使用统计

• 按查询次数列出的表使用情况
• 按应用程序列出的表使用情况
• 扫描的表数据 - 最佳时间窗口
• 扫描的表数据 - 最佳表

AEWComputePipelinesLogs

• AEWComputePipelinesLogs 获取每日任务计数
• AEWComputePipelinesLogs 获取失败任务详情
• AEWComputePipelinesLogs 获取长时间运行作业
• AEWComputePipelinesLogs 获取任务端到端延迟时间

AEWExperimentAssignmentSummary

• 按功能排序的变体分配计数
• 给定特征的最新记分卡元数据
• 给定特征的最新记分卡结果

AEWExperimentScorecardMetricPairs

• 给定特征的最新记分卡结果

AEWExperimentScorecards

• 给定特征的最新记分卡元数据
• 给定特征的最新记分卡结果

AFSAuditLogs

• 聚合操作查询
• 未授权的请求查询

AGCAccessLogs

• 每小时客户端请求数
• 每小时 5xx HTTP 响应
• 每小时 4xx HTTP 响应

AGSGrafanaLoginEvents

• 显示登录错误事件

AHDSDicomAuditLogs

• DICOM 特权操作

AHDSDicomDiagnosticLogs

• 每个以 Dicom100 错误代码和 CorrelationId 开头的日志的日志计数

AHDSMedTechDiagnosticLogs

• 最近可操作的 MedTech 日志
• 每个 MedTech 日志或异常类型的日志计数
• MedTech 运行状况检查异常
• MedTech 规范化阶段日志
• MedTech FHIR 转换阶段日志

AKSAudit

• 每个 SourceIp 的 Kubernetes 审核事件量

AKSAuditAdmin

• 每个用户名的管理员 Kubernetes 审核事件量
• 用于部署的管理员 Kubernetes 审核事件

AKSControlPlane

• 群集自动调整器日志
• Kubernetes API 服务器日志

ALBHealthEvent

• 每个 LB 前端的最新 Snat 端口耗尽情况

AMS密钥交付请求

• 按密钥类型列出的密钥传递成功请求计数
• 密钥传递失败请求
• 95 和 99 百分位数的密钥传递请求延迟

AMSLiveEventOperations

• 实时事件引入不连续操作计数
• 实时事件错误操作

AMSMediaAccountHealth

• 媒体帐户运行状况事件

AMS流媒体端点请求

• 流式处理终结点成功请求计数（按客户端 IP）
• 流媒体端点信息请求

AOIDatabaseQuery

• 用户在 dataproduct 上执行的查询

AOIDigestion

• 行数据处理错误
• 按源分类的失败文件处理

AOIStorage

• 存储上的数据导入操作
• 删除存储上的操作
• 存储上的读取操作
• 输入存储上的读取操作

ASCDeviceEvents

• Azure Sphere 设备身份验证和证明失败
• Azure Sphere 设备事件时间线
• Azure Sphere 设备检测信号事件时间图表
• 未更新到最新 OS 的 Azure Sphere 设备
• Azure Sphere 设备遥测事件摘要

ASRJobs

• 获取所有运行的测试故障转移作业

ASRReplicatedItems

• 获取复制运行状况历史记录

ASimDnsActivityLogs

• 按源和类型计算源的 DNS 失败数
• 按源识别对不存在域的过度查询

ATCExpressRouteCircuitIpfix

• 获取 Top Talkers
• 按源端口和目标端口获取主要通信者
• 获取总带宽使用量

AVNM连接配置更改

• 最近连接配置更改
• 最近失败的连接配置更改

AVNMIPAMPoolAllocationChange

• AVNM IPAM 池分配更改
• AVNM IPAM 池分配更改失败

AVNm网络组成员变更

• 获取最近的网络组成员身份更改
• 失败的网络组成员身份更改

AVNMRuleCollectionChange

• 获取最近的安全管理员规则集合更改
• 获取最近失败的安全管理员规则集合更改

AVSSyslog

• 获取 DNS 失败
• 获取分布式防火墙日志
• 获取 VM 已创建的审核事件
• 获取 VM 已删除的审核事件
• 获取 VM 已开机的审核事件
• 获取 VM 已断开连接的审核事件
• 获取 VM 已重启的审核事件
• 获取 VM 已迁移的审核事件
• 获取主机已添加的审核事件
• 获取主机已关机的审核事件
• 获取主机进入维护模式的审核事件
• 获取主机退出维护模式的审核事件
• 获取主机已连接的审核事件
• 获取主机连接已断开的审核事件
• 获取群集的审核事件
• 获取 NSX 的审核事件计数
• 获取 vCenter 的审核事件计数
• 获取角色已添加的审核事件
• 获取严重性为“信息”的 AVS 事件

AWSCloudTrail

• 每个区域的新用户数
• 所有 AWS CloudTrail 事件
• 用户的 AWSCT
• AWS 控制台登录

AWSGuardDuty

• 高严重性发现

AWSVPCFlow

• 被拒绝的 IPv4 操作

AZFWApplicationRule

• 应用程序规则日志
• 所有防火墙决策

AZFWDnsQuery

• DNS 代理日志

AZFWFatFlow

• Azure 防火墙主要流日志

AZFWFlowTrace

• Azure 防火墙流跟踪日志

AZFWIdpsSignature

• IDPS 事件日志
• 所有防火墙决策

AZFW内部FQDN解析失败

• 内部 FQDN 解析失败

AZFWNatRule

• DNAT 规则日志
• 所有防火墙决策

AZFWNetworkRule

• 网络规则日志
• 所有防火墙决策

AZFWThreatIntel

• 威胁情报日志
• 所有防火墙决策

AZKVAuditLogs

• 是否有故障？
• 是否有慢速请求？
• 此 KeyVault 的活跃状态如何？
• 此 KeyVault 处理请求的速度有多快？
• 上个月发生了哪些更改？
• 谁在调用此 KeyVault？

AZMSDiagnosticErrorLogs

• 发布详细错误日志
• 发布详细错误日志

AZMS混合连接事件

• 发布用于混合连接的 HTTP 发送数据

AZMSOperationalLogs

• 发布主题的成功数据
• 发布订阅失败
• 发布命名空间失败
• 发布主题的成功数据
• 发布主题失败
• 发布订阅失败
• 发布命名空间失败

AZMS运行时审核日志

• 发布 AMQP 协议的成功连接
• 发布失败的 AAD 日志
• 发布失败的 SAS 日志
• 发布发送消息失败
• 发布命名空间失败
• [经典] 过去 7 天内的错误
• 发布 AMQP 协议的成功连接
• 发布发送消息失败
• 发布命名空间失败
• 发布失败的 AAD 日志
• 发布失败的 SAS 日志

AZMSVnetConnectionEvents

• 按命名空间发布拒绝连接
• 发布命名空间 vnet 数据
• 按命名空间发布拒绝连接
• 按命名空间发布虚拟网络事件
• 按命名空间发布拒绝连接
• 按命名空间发布虚拟网络事件

AddonAzureBackupJobs

• 按状态分发备份作业
• 按状态划分的还原作业分布
• 所有成功的作业
• 所有失败的作业

AddonAzureBackupStorage

• 云存储总消耗量趋势

AegDataPlaneRequests

• 唯一未经授权或禁止的客户端 IP 地址

AegDeliveryFailureLogs

• 按主题和错误分类的传递失败
• 按主题和错误分类的传递失败
• 按域和错误分类的传递失败
• 主题平均传递延迟
• 域平均传递延迟

AegPublishFailureLogs

• 按主题和错误发布失败日志
• 按主题和错误发布失败日志
• 按域和错误发布失败日志

AggregatedSecurityAlert

• 按部门对聚合安全警报进行分组

AgriFoodApplicationAuditLogs

• 失败的授权

AgriFoodFarmManagementLogs

• 农民的农场管理操作状态
• 农户所有操作的状态
• 根据执行的操作，显示前 100 名农民的使用情况趋势

AgriFoodJobProcessedLogs

• 农民的作业执行统计数据

AlertEvidence

• 涉及用户的警报

AlertInfo

• 基于 MITRE ATT&CK 技术的警报

AmlComputeClusterEvent

• 获取特定 VM 大小的群集的群集事件
• 获取运行节点数
• 运行和空闲节点实例的图表

AmlCompute CPU GPU 利用率

• 绘制计算群集利用率

AmlComputeJobEvent

• 获取失败的作业
• 获取作业的记录
• 显示前 5 个最长的作业运行

AmlDataSetEvent

• 计算数据集读取次数

AmlEnvironmentEvent

• 请求访问环境的历史记录

AmlModelsEvent

• 找到的访问过模型的用户

AmlOnlineEndpointConsoleLog

• 联机终结点控制台日志

Aml在线端点事件日志

• 联机终结点失败事件

AmlOnlineEndpointTrafficLog (在线终端流量日志)

• 在线终结点请求失败

AmlRegistryWriteEventsLog

• 所有 WRITE 事件

异常

• 获取生产异常（过去一天）
• 获取外部测试异常（过去一天）

ApiManagementGatewayLogs

• 请求数量
• 最近 100 次调用的日志
• 调用次数(按 API)
• 消耗的带宽
• 请求大小
• 响应大小
• 客户端 TLS 版本
• 错误原因细分
• 最近 100 个失败请求
• 获取因与后端相关的问题而失败的请求
• 获取因与后端无关的问题而失败的请求
• 总延迟
• 后端延迟
• 客户端延迟
• 缓存命中率

AppDependencies

• 失败依赖项

AppExceptions

• 排名前 3 的浏览器异常

AppPageViews

• 页面查看次数趋势
• 最慢的页

AppPlatformLogsforSpring

• 显示包含“error”或“exception”一词的应用程序日志
• 显示每个应用程序的错误和异常数

AppPlatformSystemLogs

• 显示配置服务器日志
• 显示服务注册表日志
• 显示 Spring Cloud Gateway 日志
• 显示 API 门户日志
• 显示应用程序配置服务日志
• 显示 Spring Cloud Gateway 操作员日志

AppRequests

• 响应时间趋势
• 请求计数趋势
• 响应时间桶
• 操作性能
• 流量前 10 的国家/地区
• 失败的请求 - 前 10 个
• 失败的操作
• 导致请求失败的异常

AppServiceAppLogs

• 按严重性对应用日志计数
• 每个应用程序服务的应用日志

AppServiceAuditLogs

• 与意外用户相关的审核日志

AppServiceAuthenticationLogs

• 来自应用程序服务身份验证的最新错误
• 来自应用程序服务身份验证的最新警告
• 来自应用程序服务身份验证的前 100 个最常见错误和警告

AppServiceConsoleLogs

• 查找与应用程序启动相关的控制台日志

AppServiceFileAuditLogs

• 与“删除”操作相关的文件审核日志

AppServiceHTTPLogs

• 应用程序服务运行状况
• 失败分类
• 请求的响应时间
• 前 5 个客户端
• 前 5 台计算机

AutoscaleEvaluationsLog

• 查看自动缩放评估

AutoscaleScaleActionsLog

• 显示前 50 条自动缩放日志
• 自动缩放操作状态
• 自动缩放失败操作

AzureActivity

• [经典] 在 AzureActivity 中查找
• 关闭虚拟机
• 50 个最新日志
• 操作的状态
• 最近的 Azure 活动日志
• 失败的操作
• 资源创建
• 在 AzureActivity 中查找
• 显示 AzureActivity 表中的日志
• 显示 AzureActivity 表中的日志
• 显示前 50 个活动日志事件
• 显示活动日志管理事件
• VM 创建
• 显示从策略生成的活动日志事件
• 列出过去 48 小时内的来电者及其关联操作
• 所有 Azure 活动
• 用户的 Azure 活动
• 成功密钥枚举
• 网络访问权限 JIT 启动
• Azure 活动操作统计信息

AzureAttestationDiagnostics

• 是否有任何授权失败？
• 是否有慢速请求？
• 该认证提供商的活跃程度如何？
• 谁在调用此证明提供程序？
• 证明策略是否有任何更改？
• 尝试配置证明策略时是否出现任何错误？

AzureBackupOperations

• 获取所有备份操作

AzureDiagnostics

• 自动化作业中的错误
• 查找在过去一天自动化作业中报告错误的日志
• 已失败、已暂停或已停止的 Azure 自动化作业
• Runbook 成功完成，但出现错误
• 查看历史作业状态
• 已完成的 Azure 自动化作业
• 每个作业的成功任务数
• 每个作业失败的任务数
• 任务持续时间
• 池大小调整
• 池调整大小失败
• [Microsoft CDN（经典）] 每小时请求数
• [Microsoft CDN（经典）] 按 URL 列出的流量
• [Microsoft CDN（经典）] 4XX 错误率（按 URL）
• [Microsoft CDN（经典）] 按用户代理列出的请求错误
• [Microsoft CDN（经典）] 前 10 个 URL 请求计数
• [Microsoft CDN（经典）] 唯一 IP 请求计数
• [Microsoft CDN（经典）] 前 10 个客户端 IP 和 HTTP 版本
• [Azure Front Door 标准版/高级版] 按 IP 和规则列出的前 20 个被阻止客户端
• [Azure Front Door 标准版/高级版] 按路由发送到源服务器的请求
• [Azure Front Door 标准版/高级版] 按用户代理列出的请求错误
• [Azure Front Door 标准版/高级版] 前 10 个客户端 IP 和 http 版本
• [Azure Front Door 标准版/高级版] 按主机和路径列出的请求错误
• [Azure Front Door 标准版/高级版] 防火墙每小时阻止的请求数
• [Azure Front Door 标准版/高级版] 按主机、路径、规则和操作列出的防火墙请求计数
• [Azure Front Door 标准版/高级版] 每小时请求数
• [Azure Front Door 标准版/高级版] 前 10 个 URL 请求计数
• [Azure Front Door 标准版/高级版] 前 10 个 URL 请求计数
• [Azure Front Door 标准版/高级版] 唯一 IP 请求计数
• 在 AzureDiagnostics 中查找
• 超过阈值的执行时间
• 显示最慢查询
• 显示查询的统计信息
• 查看 GENERAL 类中的审核日志事件
• 查看 CONNECTION 类中的审核日志事件
• 超过阈值的执行时间
• 显示最慢查询
• 显示查询的统计信息
• 查看 GENERAL 类中的审核日志事件
• 查看 CONNECTION 类中的审核日志事件
• 自动清理事件
• 服务器重启
• 查找错误
• 未经授权的连接
• 死锁
• 锁争用
• 审核日志
• 表和事件类型的审核日志
• 执行时间超过阈值的查询
• 最慢查询
• 查询统计信息
• 执行计数趋势
• 主要等待事件
• 等待事件趋势
• 连接错误
• 限流错误最多的设备
• 死终结点
• 错误摘要
• 最近连接的设备
• 设备的 SDK 版本
• 过去 24 小时内使用的 RU/s
• 过去 24 小时内受限制 (429) 的集合
• 按过去 24 小时内消耗的请求单位 (RU) 的主要操作
• 按存储列出的主要逻辑分区键
• [经典] 捕获失败的持续时间
• [经典] 客户端加入请求
• [经典] 密钥保管库访问 - 未找到密钥
• [经典] 使用密钥保管库执行的操作
• 最近 7 天的错误
• 捕获失败的持续时间
• 向客户端发送加入请求
• 密钥保管库访问 - 未找到密钥
• 使用密钥保管库执行的操作
• [经典] 此 KeyVault 的活跃状态如何？
• [经典] 谁在调用此密钥保管库？
• [经典] 是否有慢速请求？
• [经典] 此密钥保管库处理请求的速度有多快？
• [经典] 是否有任何故障？
• [经典] 上个月发生了哪些更改？
• [经典] 列出所有输入反序列化错误
• [经典] 在 AzureDiagnostics 中查找
• 计费的执行总数
• 按工作流列出的逻辑应用执行分配
• 逻辑应用执行情况按状态分布
• 故障触发次数
• 每小时请求数
• 每小时非 SSL 请求数
• 每小时的失败请求数
• 按用户代理分类的错误
• 按 URI 的错误数
• 前 10 个客户端 IP
• 主要 HTTP 版本
• 网络安全事件
• 每小时请求数
• 按路由规则列出的已转发后端请求
• 按主机和路径列出的请求错误
• 按用户代理列出的请求错误
• 前 10 个客户端 IP 和 http 版本
• 防火墙阻止的请求计数（每小时）
• 按 IP 和规则列出的前 20 个被阻止客户端
• 按主机、路径、规则和操作列出的防火墙请求计数
• 应用程序规则日志数据
• 网络规则日志数据
• 威胁情报规则日志数据
• Azure 防火墙日志数据
• Azure 防火墙 DNS 代理日志数据
• BGP 路由表
• BGP 信息消息
• 监视状态关闭的终结点
• 成功的 P2S 连接
• 失败的 P2S 连接
• 网关配置更改
• S2S 隧道连接/断开连接事件
• BGP 路由更新
• 显示 AzureDiagnostics 表中的日志
• 失败的备份作业
• [经典] 列表管理操作
• [经典] 错误摘要
• [经典] 密钥保管库访问尝试 - 未找到密钥
• [经典] AutoDeleted 实体
• [经典] Keyvault 已投入运行
• 过去 7 天内的管理操作
• 错误摘要
• 密钥保管库访问尝试 - 未找到密钥
• 自动删除的实体
• Keyvault 已投入运行
• 托管实例中存储超过 90%
• 托管实例上 CPU 使用率的阈值超过 95%
• 显示所有活动的智能见解
• 等待统计信息
• 列出所有输入数据错误
• 列出所有输入反序列化错误
• 列出所有 InvalidInputTimeStamp 错误
• 列出所有 InvalidInputTimeStampKey 错误
• 延迟到达的事件
• 早到的事件
• 无序到达的事件
• 所有输出数据错误
• 列出所有 RequiredColumnMissing 错误
• 列出所有 ColumnNameInvalid 错误
• 列出所有 TypeConversionError 错误
• 列出所有 RecordExceededSizeLimit 错误
• 列出所有 DuplicateKey 错误
• 所有级别为“错误”的日志
• “失败”的操作
• 输出限制日志（Cosmos DB、Power BI、事件中心）
• 暂时性输入和输出错误
• 过去 7 天内所有数据错误的摘要
• 过去 7 天内所有错误的摘要
• 过去 7 天内的“失败”操作摘要

AzureLoadTestingOperation

• Azure 负载测试的创建次数
• Azure 负载测试运行创建次数

AzureMetrics

• HTTP 响应代码的饼图
• 响应时间的折线图
• [经典] 在 AzureMetrics 中查找
• 最新指标
• 在 AzureMetrics 中查找
• ExpressRoute 线路 BitsInPerSecond 流量图
• ExpressRoute 线路 BitsOutPerSecond 流量图
• ExpressRoute 线路 ArpAvailablility 图
• ExpressRoute 线路 BGP 可用性
• 平均 CPU 使用率
• 性能故障排除
• 加载数据
• P2S 连接计数
• P2S 带宽利用率
• 网关吞吐量
• 显示 AzureMetrics 表中的日志
• 显示 AzureMetrics 表中的日志
• 群集可用性 (KeepAlive)

CCFApplicationLogs

• CCF 应用程序错误

CIEventsAudit

• CIEventsAudit - API 响应代码折线图
• CIEventsAudit - 结果类型 ClientError
• CIEventsAudit - 安全级别错误
• CIEvents - 特定相关 ID 的所有事件
• CIEventsAudit - 特定实例 ID 的所有事件

CIEventsOperational

• CIEventsOperational - 事件类型 ApiEvent
• CIEventsOperational - 事件类型 WorkflowEvent
• CIEvents - 特定相关 ID 的所有事件
• CIEventsOperational - 特定实例 ID 的所有事件

CassandraLogs

• Cassandra 日志
• Cassandra 错误或警告

ChaosStudioExperimentEventLogs

• 失败的试验运行
• 上次实验运行中的事件

CloudAppEvents

• 文件扩展名更改

CloudHsmServiceOperationAuditLogs

• 是否有慢速请求？
• 此云 HSM 有多活跃？
• 是否有故障？

CommonSecurityLog

• Palo Alto 收集器计算机使用情况
• Cisco ASA 事件类型使用情况
• 设备事件量统计信息

通信合规活动

• 按组织 ID 筛选的 Office 通信合规性事件

ConfidentialWatchlist

• 获取机密关注列表别名
• 使用机密关注列表查找事件

配置更改

• 已停止的 Windows 服务
• 软件更改
• 服务更改
• 每台计算机的软件更改类型
• 已停止的服务
• 每个类别的软件更改计数
• 已移除的软件更改

ConfigurationData

• 最近停止的自动服务

ContainerImageInventory

• 映像清单
• 在 ContainerImageInventory 中查找

ContainerInventory

• 容器生命周期信息

ContainerLog

• 在容器日志表中查找值
• 按日志类型列出的可记账日志数据
• 列出每个命名空间的容器日志
• 在 ContainerLog 中查找

ContainerLogV2

• 在 ContainerLogV2 中查找

ContainerNodeInventory

• 在 ContainerNodeInventory 中查找

ContainerRegistryLoginEvents

• 显示过去一小时内报告的登录事件

容器注册表库事件

• 显示过去一小时内报告的注册表事件

ContainerServiceLog

• 在 ContainerServiceLog 中查找

CoreAzureBackup

• 按保管库和备份项类型列出的备份项

DCRLogErrors

• 数据集合规则中的引入和转换错误

DNSQueryLogs

• 按虚拟网络和返回代码列出的 DNS 查询

DataTransferOperations

• 发现的对象
• 终端对象状态

Databricks预算政策中心

• 列出所有 Databricks 诊断设置类别

DataverseActivity

• 按操作类型筛选的 Dataverse 事件

DevCenterAgentHealthLogs

• DevCenter - DevBoxAgent 运行状况状态摘要

DevCenterBillingEventLogs

• DevCenter - 按开发箱划分的 DevBox 存储和计算使用情况明细
• DevCenter - 按池划分的 DevBox 计费计量明细

DevCenterDiagnosticLogs

• 失败的操作查询

DevCenterResourceOperationLogs

• 休眠不受支持的检查

DeviceCalendar

• Exchange 错误

DeviceCleanup

• 清理失败

DeviceHardwareHealth

• 硬件小问题
• 硬件警报

DeviceHealth

• 软件警报

DeviceSkypeHeartbeat

• Skype 错误

设备TVM安全配置评估

• 具有防病毒配置问题的设备

DeviceTvmSoftwareInventory

• 不受支持的软件标题

设备Tvm软件漏洞

• 受特定漏洞影响的设备

DnsEvents

• 客户端解析恶意域

EGNFailedHttpDataPlaneOperations

• TLS 1.3 低级查询

EGNFailedMqttConnections

• 身份验证错误查询

EGNMqttDisconnections

• 断开连接原因查询
• 会话断开连接查询

EGNSuccessfulHttpDataPlaneOperations

• TLS 1.3 低级查询

EGNSuccessfulMqttConnections（成功的MQTT连接）

• 会话连接查询

电子邮件附件信息

• 来自恶意发送方的文件
• 向外部域发送带有附件的电子邮件

EmailEvents

• 来自前 10 个发送方域的网络钓鱼电子邮件
• 包含恶意软件的电子邮件

EmailPostDeliveryEvents

• 交付后管理员操作
• 未修正的送达后网络钓鱼电子邮件检测
• 完整电子邮件处理详细信息

EmailUrlInfo

• 电子邮件中的 URL

事件

• 每个节点的 CPU 使用率平均（%）
• 虚拟机失败
• 群集上运行的 VM 总数
• 可用卷容量
• 存储卷延迟
• 体积 IOPS
• 卷吞吐量
• 群集节点已关闭
• 每个节点的内存使用量（%）
• 引入延迟（端到端）时间图表 - 事件表
• 显示所选事件的趋势
• 计算机上的错误事件缺少安全或关键更新
• 过去一小时内的所有事件
• 事件已启动
• 按事件源排序的事件
• 按事件 ID 排序的事件
• 警告事件
• 警告事件的计数
• OM中从2000到3000年期间的事件
• Windows 防火墙策略设置
• 计算机更改了 Windows 防火墙策略设置

数据导入失败

• 因错误导致的引入失败
• 失败的引入时间图表
• 失败的引入

FunctionAppLogs

• 显示函数应用的应用程序日志
• 显示包含警告或异常的日志
• 错误和异常计数
• 一段时间内的函数活动
• 函数结果
• 函数错误率

GCPAuditLogs

• 包含严重性信息的 PubSub 订阅日志

检测信号

• 计数检测信号数
• 每台计算机的最后一个心跳
• 摄取延迟（端到端）峰值 - 心跳表
• 代理延迟峰值 - Heartbeat 表
• 最近停止的心跳 - 心跳表
• 目前的计算机可用性
• 不可用的计算机
• 可用速率
• 未报告的虚拟机
• 计算机列表
• 在检测信号中查找

IdentityDirectoryEvents

• 组成员资格已更改
• 密码更改事件

身份登录事件

• 使用明文密码的 LDAP 身份验证过程

IdentityQueryEvents

• 对 Active Directory 的 SAMR 查询

IlumioInsights

• Ilumio Insights multiple deny events

InsightsMetrics

• IoT Edge：设备脱机或未按预期速率向上游发送消息
• IoT Edge：边缘中心集线器队列大小超过阈值
• 最大节点磁盘
• 每节点每秒进行的 Prometheus 磁盘读取次数
• 在 InsightsMetrics 中查找
• 正在收集什么数据?
• 虚拟机可用内存
• 绘制 CPU 利用率趋势图表（按计算机）
• 虚拟机空闲磁盘空间
• 使用心跳信号跟踪 VM 可用性
• CPU 利用率最高的前 10 台虚拟机
• 排名最低的 10 个可用磁盘空间百分比

KubeEvents

• Kubernetes 事件
• 在 KubeEvents 中查找

KubeMonAgentEvents

• 在 KubeMonAgentEvents 中查找

KubeNodeInventory

• 每分钟平均节点 CPU 使用率百分比
• 每分钟平均节点内存使用率百分比
• 每个节点的就绪性状态
• 在 KubeNodeInventory 中查找

KubePodInventory

• 崩溃循环中的 Pod
• 处于挂起状态的 Pod
• 在 KubePodInventory 中查找

KubeServices

• 在 KubeServices 中查找

LAQueryLogs

• 请求最多的资源 ID
• 未授权用户
• 受限用户
• 按 ResponseCode 列出的请求数
• 前 10 个资源密集型查询
• 时间范围最长的前 10 个查询

LASummaryLogs

• Bin 规则查询持续时间

LogicAppWorkflowRuntime

• 逻辑应用工作流运行时失败的工作流操作计数

MDCDetectionDNSEvents

• 查询域为“www.google.com”的所有 DNS 事件按时间排序

MDCDetectionFimEvents

• 目录的所有 FIM 事件

MDCDetectionGatingValidationEvents

• 所有最近的门控验证事件

MNFDeviceUpdates

• 查找值处于活动状态的所有条目
• 查找值增加的所有条目
• 查找 VxlanVlanToVniVlan 类型的所有事件
• 查找 afisafiname 不属于 L2VPN_EVPN 类型的所有条目
• 查找网络实例名称属于 workload-mgmt 类型的所有条目

MNF系统会话历史更新

• 查找会话更新用户是管理员的所有条目

MNF系统状态消息更新

• 从 Syslog 中查找所有错误

微软数据共享接收快照日志 (MicrosoftDataShareReceivedSnapshotLog)

• 按持续时间列出收到的快照
• 计算接收失败的快照数
• 已接收的快照中的频繁错误
• 每日接收的快照的图表

MicrosoftDataShareSentSnapshotLog

• 按持续时间列出发送的快照
• 对发送失败的快照计数
• 发送快照时频繁出现错误
• 每日发送的快照的图表

MicrosoftGraphActivityLogs

• 频繁的用户终结点呼叫者
• 失败的组接口请求

MicrosoftPurviewInformationProtection

• Microsoft Purview 信息保护事件

NGXOperationLogs

• 显示 NGINXaaS 访问日志
• 显示 NGINXaaS 错误日志

NGXSecurityLogs

• 显示 NGINXaaS 安全日志

NW连接监控路径结果

• 路径诊断

NWConnectionMonitorTestResult

• 失败的测试
• 测试性能

NatGatewayFlowlogsV1

• 每个 NatGateway IP 和目标 IP 所允许发送的数据包和字节的总数
• 每个 NatGateway IP 和源 IP 允许发送的数据包和字节总数

NetworkSessions

• 将流量传输到非标准端口
• 到不常见域的大量流量

NginxUpstreamUpdateLogs

• 显示 NGINXaaS 上游更新日志

OEPAirFlowTask

• DAG 类型与 DAG 运行摘要统计信息
• 所有 DAG 运行的相关 ID
• DAG 运行的日志
• DAG 运行的错误日志

OEPDataplaneLogs

• 可视化错误响应代码
• 分析存储日志中的用户活动
• 按 OSDU 服务对日志进行分类
• 可视化用户活动
• 可视化最近活动
• 确保关联 ID 的存在
• 提取和分类 HTTP 响应代码

OEWExperimentAssignmentSummary

• 按功能排序的变体分配计数
• 给定特征的最新记分卡元数据
• 给定特征的最新记分卡结果

OEWExperimentScorecardMetricPairs

• 给定特征的最新记分卡结果

OEWExperimentScorecards

• 给定特征的最新记分卡元数据
• 给定特征的最新记分卡结果

OLPSupplyChainEntityOperations

• 成功的仓库删除请求的计数

OfficeActivity

• 所有 Office 活动
• 访问文件的用户
• 文件上传操作
• 用户的 Office 活动
• 创建转发规则
• 可疑文件名

OktaSystemLogs

• Okta SSO 成功登录

Perf

• 非 RDMA 活动
• RDMA 活动
• 正在收集什么数据?
• 内存和 CPU 使用情况
• 过去一天的 CPU 使用率趋势
• 具有最高磁盘空间的前 10 台计算机
• 正在收集什么数据?
• 虚拟机可用内存
• 绘制 CPU 利用率趋势图表
• 虚拟机空闲磁盘空间
• CPU 利用率最高的前 10 台虚拟机
• 排名最低的 10 个可用磁盘空间百分比
• 容器 CPU
• 容器内存
• 实例平均 CPU 使用率比上周增长
• 在 Perf 中查找

PowerAppsActivity

• Power Apps 事件筛选的活动类型

PowerAutomateActivity

• 按活动类型筛选的 Power Automate 事件

PowerBIActivity

• 按组织 ID 筛选的 PowerBI 事件

PowerPlatformAdminActivity

• Power Platform 管理事件

PowerPlatformConnectorActivity

• 按活动类型筛选的 Power Platform 连接器事件

PowerPlatformDlpActivity

• 按活动类型筛选的 Power Platform DLP 事件

ProjectActivity

• 按组织 ID 筛选的 MS 项目事件

ProtectionStatus

• 签名过期
• 保护状态更新
• 恶意软件检测

PurviewSecurityLogs

• 审核集合删除事件

REDConnectionEvents

• 唯一经过身份验证的 Redis 客户端 IP 地址
• 每小时 Redis 客户端身份验证请求数
• 每小时的 Redis 客户端连接数
• 每小时的 Redis 客户端断开连接数
• 对 Redis 缓存的失败身份验证尝试

ResourceManagementPublicAccessLogs

• 按 IP 地址对请求数进行分组
• 触发的操作数
• 基于目标 URI 的调用
• 基于操作名称的调用
• 基于用户的调用

RetinaNetworkFlowLogs

• 已删除的网络流日志
• 前 10 个网络流日志指标

SCGPoolExecutionLog

• 设置更新池事件

SCGPoolRequestLog

• 耗尽的池事件

SQL评估建议 (SQLAssessmentRecommendation)

• 各重点领域的 SQL 建议
• 各计算机的 SQL 建议
• 各实例的 SQL 建议
• SQL 建议（按数据库）
• 按受影响对象类型的 SQL 建议
• 每个唯一 SQL 建议触发了多少次?
• 高优先级 SQL 评估建议

SVMPoolExecutionLog

• 设置更新的最大池事件数

SVMPoolRequestLog

• 降级的池事件

SecurityAttackPathData

• 按特定风险级别列出的所有攻击路径

SecurityEvent

• 安全事件最常见的事件 ID
• 添加到安全组的成员
• 明文密码的使用
• Windows 登录失败
• 所有安全活动
• 设备上的安全活动
• 管理员的安全活动
• 按设备进行的登录活动
• 登录次数超过 10 的设备
• 已终止反恶意软件的帐户
• 已终止反恶意软件的设备
• 执行哈希的设备
• 执行的进程名称
• 安全日志已清除的设备
• 按帐户划分的登录活动
• 登录次数少于 5 次的帐户
• 设备上的远程登录帐户
• 具有来宾帐户登录的计算机
• 添加到已启用安全机制的组的成员
• 域安全策略更改
• 系统审核策略更改
• 可疑可执行文件
• 使用明文密码的登录
• 已清理事件日志的计算机
• 帐户登录失败
• 已锁定的帐户
• 更改或重置密码尝试
• 创建或修改的组
• 远程过程调用尝试次数
• 已更改的用户帐户

SentinelAudit

• 更新与 Office365-Sharepoint 相关的 Sentinel 资源失败

SignalRServiceDiagnosticLogs

• 客户端连接 ID
• 连接关闭原因
• IP 地址
• 与特定连接 ID 相关的日志
• 与特定消息跟踪 ID 相关的日志
• 与特定用户 ID 相关的日志
• 包含警告或异常的日志
• 服务器连接 ID
• 操作名称时间表
• 传输类型
• 用户 ID

SigninLogs

• 所有 SiginLogs 事件
• 用户访问的资源
• 每个资源的用户计数
• 每个应用程序的用户计数
• 登录失败原因
• 失败的 MFA 质询
• 应用尝试无提示登录失败
• 失败的登录计数
• 登录位置
• 登录到资源

StorageBlobLogs

• 最常见的错误
• 导致错误最多的操作
• 延迟最高的操作
• 导致服务器端限速的操作
• 显示匿名请求
• 频繁操作图表

存储缓存操作事件

• 失败的操作
• 失败的启动作业
• 已完成的长时间运行的异步操作

存储缓存升级事件

• 升级事件

存储缓存警告事件

• 活动警告事件

存储恶意软件扫描结果

• 每个存储帐户的恶意 Blob 数量
• 扫描失败

成功摄取

• 成功的引入
• 成功的引入时间表

SynapseLinkEvent

• Synapse Link 表故障事件

Syslog

• 查找 Linux 内核事件
• 所有 Syslog
• 所有包含错误的 Syslog
• 按设施列出的所有 Syslog
• 所有 Syslog 按进程名称分类
• 按计算机列出的添加到 Linux 组的用户
• 计算机创建的新 Linux 组
• Linux 用户密码更改失败
• Ssh 登录失败的计算机
• SU 登录失败的计算机
• Sudo 登录失败的计算机

TOUserAudits

• 审核 ToolchainOrchestrator 操作
• 审核 ToolchainOrchestrator API 请求

TOUserDiagnostics

• 工具链业务流程协调程序目标提供程序和解决方案部署失败

TSIIngress

• 显示事件源连接错误
• 10 条最新的 Ingress 日志
• 显示反序列化错误

UCDOAggregatedStatus

• 以千兆字节为单位的内容分发

UCDOStatus

• 设备配置

更新

• 缺少安全或关键更新
• 适用于 Windows 计算机的更新
• 适用于 Linux 计算机的更新
• 缺少更新摘要
• 缺少更新列表
• 缺少更新的计算机
• 缺少服务器所需的更新
• 缺少关键安全更新
• 缺少手动更新的安全性或关键性
• 缺少更新汇总
• 不同计算机缺失的不同更新

UpdateRunProgress

• 您的机器的补丁安装失败

UpdateSummary

• 跨计算机可用的更新摘要
• 缺少特定于更新的产品
• 自动更新配置
• 自动更新配置已禁用

UrlClickEvents

• 允许用户继续操作的链接

使用情况

• 按数据类型列出使用情况
• 可计费性能数据
• 解决方案的数据量
• 过去 24 小时内工作区引入总数
• 容器分析解决方案的可计费数据

VCoreMongoRequests

• 按操作划分的 Mongo vCore 请求 P99 持续时间
• 按持续时间分组的 Mongo vCore 请求
• Mongo vCore 请求失败
• 按用户代理划分的 Mongo vCore 请求

VIAudit

• 按帐户 ID 审核视频索引
• 视频索引器审核排名前 10 的用户（按操作）
• 视频索引器审核分析的错误消息
• 视频索引器审核失败操作

VIIndexing

• 失败的编制索引操作
• 前 10 个用户

W3CIISLog

• 列出 IIS 日志条目
• 显示详细响应代码
• 每页所用的最长时间
• 显示 404 页列表
• 平均 HTTP 请求时间
• 服务器出现内部服务器错误
• 按 HTTP 请求方法统计 IIS 日志条目
• 按 HTTP 用户代理计算 IIS 日志条目数
• 按客户端 IP 地址的 IIS 日志条目计数
• 客户端 IP 的 IIS 日志条目
• 按 URL 统计 IIS 日志条目数
• 按主机排序的 IIS 日志条目计数
• 按客户端 IP 计算的总字节流量
• 每台 IIS 计算机接收的字节数
• 每个 IIS 服务器 IP 响应客户端的字节数
• 客户端 IP 的平均 HTTP 请求时间

WOUserAudits

• 审核工作负载业务流程操作
• 审核工作负载编排 API 请求

WOUserDiagnostics

• 工作负载编排目标提供商和解决方案部署失败

WVDAgentHealthStatus

• SessionHost 上的可用会话
• SessionHost 的 HealthChecks

WVDCheckpoints

• 按用户计数列出的已发布远程资源

WVDConnectionNetworkData

• 一段时间内的平均往返时间
• 所有连接的平均 BW
• 往返时间最多的前 10 个用户
• 带宽最低的前 10 位用户
• 往返时间和带宽摘要

WVDConnections

• 连接错误
• 会话持续时间
• 按平均连接持续时间排名前 10 位的用户
• 前 10 名最活跃的用户
• 按主机池列出的平均连接持续时间
• 按用户计数显示的客户端操作系统信息
• Azure 虚拟桌面客户端使用情况信息
• 平均会话登录时间

WVDErrors

• 前 10 个连接错误
• 前 10 个源错误

WaaSDeploymentStatus

• 更新部署失败
• 设备等待重启以完成更新
• 具有安全措施保留功能的设备
• 具有安全措施保留功能的设备的目标版本分布

WaaSUpdateStatus

• 设备服务分支的分配
• 设备 OS 版本的分发
• 功能更新延期配置
• 功能更新暂停配置
• 质量更新延期配置
• 质量更新暂停配置

监视列表

• 获取监视列表别名
• 使用播放列表查找事件

WindowsEvent

• WindowsEvent 审核策略事件

WireData

• 提供线路数据的代理
• 提供线路数据的代理的 IP 地址
• 通过远程 IP 地址的所有出站通信
• 应用程序协议发送的字节数
• 接收的字节数（按协议名称）
• 按 IP 版本计算的总字节数
• 已与位于子网“10.0.0.0/8”（任意方向）上的代理进行通信的远程 IP 地址
• 发起或接收网络流量的进程
• 进程的网络流量数

WorkloadDiagnosticLogs

• 工作负载监视见解数据收集警告或错误

后续步骤

• 使用 Log Analytics 分析 Azure 存储中的日志
• 详细了解资源日志
• 使用 Azure Monitor REST API 更改资源日志诊断设置