问题标签 [azure-monitor-workbooks]

我正在尝试为数据工厂实现自定义日志记录。我使用数据收集器 API 创建了自定义日志并摄取了示例数据。

现在，我想使用创建的自定义日志获取我的数据工厂的数据。

以下是样本摄取数据：

那么，问题来了，如何修改 Log Anaytics 中的自定义日志？

我在下面有一个 KQL 查询，它将提供一个非常好的热图，以按国家/地区绘制 Azure WAF 的最高访问权限。

这里的挑战是这个查询不能超过 24 小时，因为我的记录数量太大了。我怎样才能改进它以显示每周和每月的统计数据？

我正在尝试使用参数构建 Log Analytics 工作簿。工作簿无法识别其中一个参数。

这里发生了什么？

例子：

• 使用{STORAGE_ACCOUNT:label}作为参数会导致：

• 错误：" operator:Failed to resolve table or column or scalar expression named '<storageaccountname>'...

• 

• 查询<storageaccountname>中的硬编码不会导致错误

• 

我想让用户选择日志分析工作区作为 Azure Monitor 笔记本中的参数来执行查询，类似于参数文档中的说明。但是，我无法使用变量解析日志分析工作区。

我想做的是：

以下使用字符串文字的查询在 azure 监视器笔记本和日志查询中均成功：

以下失败并在"Unknown function 'workspace'.azure monitor notebook 和日志查询中出现错误：

似乎只允许字符串文字作为函数的参数workspace()。

此外，iff()函数case()只返回标量，因此我不能使用iff()和case()有条件地返回基于 Azure Notebook 参数的表或工作区。

如何向 Azure Monitor Notebook 提供参数以查询特定的日志分析工作区？

我正在尝试在 azure 工作簿中为 GRID 启用分页。但不幸的是我做不到，那么有人可以帮助我吗？

步骤在工作簿中运行查询。

转到 - Log Analytics 工作区 -> 选择工作簿 -> 单击空工作簿 (RHS) -> 单击+ 添加按钮 -> 单击添加查询 -> 转到查询窗口并键入AppTraces并运行它。它只会返回网格中的 250 条记录。

问题 我们在网格中看不到超过 250 条记录，所以我必须为网格启用分页，以便我们可以转到任意数量的记录

提前致谢 ！！！

我使用 Azure Monitor 工作簿为警报历史创建仪表板并查看活动警报。还添加了时间选择器参数以从仪表板设置时间范围，它可以正常工作。但似乎对仪表板拥有只读权限的用户由于只读权限而无法设置时间范围。有人有过这种经历吗？

1. 我们可以在不为仪表板用户提供写访问权限的情况下实现这一点吗？

   或者

2. 是否可以将默认时间范围设置为 Azure 仪表板（可能来自工作簿（不在查询中）并将磁贴固定在 Azure 仪表板中），以便将其应用于所有只读用户，其余的可能是曾经的用户具有写访问权限，他们可以选择时间范围。

您对此的意见非常有帮助。提前致谢

我们正在努力创建一个自定义连接器来摄取 Azure Sentinel 中的数据。我们现在正在研究工作簿。但是在工作簿中，在图表中，我们面临的问题是 x 轴标签显示一半或未显示。

当我们使用条形图作为查询可视化时，x 轴标签会重叠，如下所示。

当我们使用条形图（分类）作为可视化时，很少显示 x 轴标签，而现在很少显示，如下图所示，仅显示第一个标签

有人可以帮我，如何显示所有 x 轴标签完全可见？

我目前正在尝试通过访问控制列表 (ACL) 查找有关 ADLS Gen2 存储容器中文件的访问权限的日志。我对谁获得了访问权（例如 AAD 中的 ObjectID）以及谁授予了它特别感兴趣。后者可以使用存储帐户中的日志（预览）来检索，但不能检索谁已获得访问权限（至少据我所知）。

我知道有一个（工作的）Powershell cmdlet，可以列出谁可以访问文件。但这仅提供当前访问的快照，而不是连续记录。

我还研究了 Azure Resource Graph，但说实话有点不知所措。

如果需要任何其他信息或您有想法，请告诉我。任何帮助都非常感谢，非常感谢！

有人可以确认 Azure 中是否可以使用基于多个资源组的成本仪表板？前任：

我们有一个基于应用程序创建的 RG，并使用基于 Tag 或 RG 的 Runbook 发送成本。但是，我们计划为他们创建一个仪表板，以便他们可以在 Azure 仪表板上查看，而不是手动发送成本。每个应用程序所有者都对其 RG 拥有贡献者权限，他们可以查看部署的所有资源，包括成本。RG 细节为 Ex,

DEV-APP01、UAT-APP01、PRD-APP01 - AppOwner-1 DEV-APP02、UAT-APP02、PRD-APP02 - AppOwner-2 DEV-APP03、UAT-APP03、PRD-APP03 - AppOwner-3

我们使用成本管理功能为 AppOwners 创建仪表板，并通过选择多个 RG 并在 Azure 仪表板中固定相同的内容来创建相同的仪表板。但是 AppOwner 看不到成本，因为成本管理范围是基于订阅的，所以他们看不到所有 RG 的相关成本。无论如何，我们可以整合所有资源组并将其显示在 Azure 仪表板中吗？

我已经使用 Workbook & API 组合定位到订阅以及特定的 RG，但多个 RG 成本显示不起作用。

订阅 API - /subscriptions/{Subscription:Id}/providers/Microsoft.CostManagement/query? - 没有获得 AppOwner 的授权，我认为是由于 RG 的唯一许可

RG-/subscriptions/{Subscription:Id}/resourceGroups/{ResourceGroupName}/providers/Microsoft.CostManagement/query 的 API - 只能拉取一个 RG，如果 AppOwner 选择多个 RG，则不会填充结果。

Microsoft 文档中不清楚了解基于 Azure Monitor 日志的警报类型中的“指标测量”和“结果警报数量”之间的区别。

通过为“指标测量”声明“单独警报”和为“结果数量”声明“单一警报”，不确定在什么情况下可以使用这些以及核心区别是什么。

参考：[MS Docs][1] 例如，

如果我必须在订阅的不同资源组中的多个 vm 上获取有关 Linux 机器可用性的警报，我该如何区分这 2 个类别？

如果我使用单一警报类型（基于结果数量），那么我如何跟踪问题，如果 2、3 个虚拟机使用相同的查询产生，但对于每个虚拟机，我只需要获得一次警报。

此外，如果我使用单独的警报（公制测量）不想再次为相同的 vms 重复警报

并且没有选项可以排除特定窗口的警报（说在晚上 10:00 到早上 6 点）

不清楚以下问题。