如何查詢 VM 深入解析的記錄
警告
本文參考 CentOS,這是處於終止服務 (EOL) 狀態的 Linux 發行版。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
VM 深入解析會收集效能和及連線計量、電腦和處理序清查資料和健康狀態資訊,並轉送至 Azure 監視器中的 Log Analytics 工作區。 Azure 監視器中的查詢可使用此資料。 您可以將此資料套用至各種案例,包括移轉規劃、容量分析、探索和隨選效能疑難排解。
對應記錄
重要
如果您的虛擬機搭配 Azure 監視器代理程式使用 VM 深入解析,則必須啟用流程和相依性,才能建立這些資料表。
除了當處理序或電腦啟動時、或新增至 VM 深入解析時所產生的記錄外,唯一的各電腦和處理序也會每小時產生一筆記錄。 VMComputer 資料表的欄位及值對應到 ServiceMap Azure Resource Manager API 的電腦資源欄位。 VMProcess 資料表的欄位及值對應到 ServiceMap Azure Resource Manager API 的處理序資源欄位。 _ResourceId 欄位即為對應 Azure Resource Manager 資源的名稱欄位。
有可用來識別唯一處理程序和電腦的內部產生屬性︰
- 電腦:使用 ResourceId 可單獨識別 Log Analytics 工作區的電腦。
- 流程:使用 ResourceId 來唯一識別 Log Analytics 工作區的流程。
因為在指定時間範圍內可以有多筆指定處理序和電腦的記錄,針對相同電腦或處理序的查詢可能會傳回多筆記錄。 若只要包含最新記錄,請在查詢中新增 | summarize arg_max(TimeGenerated, *) by ResourceId
。
連線和連接埠
連線計量功能在 Azure 監視器記錄中加入了兩個新資料表:VMConnection 和 VMBoundPort。 這些資料表提供機器的連線相關資訊 (輸入和輸出),與開啟/使用中的伺服器連接埠。 連線計量也會透過 API 來公開,這類 API 會提供方法來取得某個時間範圍內的特定計量。 在接聽通訊端上接受所產生的 TCP 連線為「輸入」;連線至指定 IP 和連接埠所建立的連線則為「輸出」。 連線的方向會透過 Direction 屬性來表示,此屬性可設為 inbound 或 outbound。
這些資料表中的記錄皆產生自 Dependency Agent 所報告的資料。 每筆記錄皆代表在 1 分鐘時間間隔內的觀測。 TimeGenerated 屬性表示時間間隔的開始時間。 每筆記錄均包含資訊來識別個別的實體 (也就是連線或連接埠),以及與該實體相關聯的計量。 目前只會報告透過 IPv4 使用 TCP 而發生的網路活動。
通用欄位和慣例
下列欄位和慣例皆適用於 VMConnection 和 VMBoundPort:
- Computer:報告機器的完整網域名稱
- AgentId:執行 Azure 監視器或 Log Analytics 代理程式的機器唯一識別碼
- Machine::ServiceMap 所顯示機器的 Azure Resource Manager 資源名稱。 格式為 m-{GUID},其中 GUID 與 AgentId 相同
- Process:ServiceMap 所顯示處理序的 Azure Resource Manager 資源名稱。 格式為 p-{hex string}。 在機器範圍內,處理序皆屬唯一;若要產生跨機器的唯一處理序識別碼,請合併 [機器] 和 [處理序] 欄位。
- ProcessName:報告處理序的可執行檔名稱。
- 所有 IP 位址皆為 IPv4 標準格式的字串,例如 13.107.3.160
為了管理成本及複雜性,連線記錄不代表個別實體網路連線。 將多個實體網路連線群組為一個邏輯連線,其接著會反映於各自的資料表中。 這表示,VMConnection 資料表中的記錄代表一個邏輯群組,而非觀測到的個別實體連線。 在指定的一分鐘時間間隔內,共用下列屬性相同值的實體網路連線會彙總為 VMConnection 中的單一邏輯記錄。
屬性 | 說明 |
---|---|
方向 | 連線的方向,值為 inbound 或 outbound |
機器 | 電腦 FQDN |
處理 | 處理序或處理序群組的身分識別,會起始/接受連線 |
SourceIp | 來源的 IP 位址 |
DestinationIp | 目的地的 IP 位址 |
DestinationPort | 目的地的連接埠號碼 |
通訊協定 | 用於連線的通訊協定。 值為 tcp。 |
為了說明群組的影響,會在記錄的下列屬性中提供群組實體連線數目的相關資訊:
屬性 | 說明 |
---|---|
LinksEstablished | 已在報告時間範圍內建立的實體網路連線數目 |
LinksTerminated | 已在報告時間範圍內終止的實體網路連線數目 |
LinksFailed | 在報告時間範圍內失敗的實體網路連線數目。 此資訊目前僅適用於輸出連線。 |
LinksLive | 已在報告時間範圍結束時開啟的實體網路連線數目 |
計量
除了連線計數計量,在指定邏輯連線或網路連接埠上傳送與接收的資料量相關資訊也會包含於記錄的下列屬性中:
屬性 | 說明 |
---|---|
BytesSent | 已在報告時間範圍內傳送的位元組總數 |
BytesReceived | 已在報告時間範圍內接收的位元組總數 |
回覆 | 已在報告時間範圍內觀測到的回應數目。 |
ResponseTimeMax | 已在報告時間範圍內觀測到的最大回應時間 (毫秒)。 如果沒有值,則此屬性為空白。 |
ResponseTimeMin | 已在報告時間範圍內觀測到的最小回應時間 (毫秒)。 如果沒有值,則此屬性為空白。 |
ResponseTimeSum | 已在報告時間範圍內觀測到的所有回應時間總和 (毫秒)。 如果沒有值,則此屬性為空白。 |
所報告的第三個資料類型是回應時間:呼叫端需要花費多久時間來等候透過連線傳送的要求,此要求會由遠端端點來處理及回應。 所報告的回應時間是基礎應用程式通訊協定的真正回應時間估計值。 這會使用啟發學習法,根據實體網路連線來源和目的端之間資料流程的觀測計算而來的。 概念上,這是要求的最後一個位元組離開傳送端的時間,以及回應的最後一個位元組傳回給它的到達時間之間的差異。 這兩個時間戳記可用來描述指定實體連線上的要求和回應事件。 它們之間的差異代表單一要求的回應時間。
在此功能的第一個版本中,我們的演算法是一個近似值,根據針對指定網路連線所使用的實際應用程式通訊協定,成功的程度可能各有不同。 例如,目前的方法非常適用以要求-回應為基礎的通訊協定 (例如 HTTP (S)),但不適用單向或以訊息佇列為基礎的通訊協定。
此處有一些需要考慮的重要事項:
- 如果處理序會在同一個 IP 位址但透過多個網路介面來接受連線,則將會報告每個介面的個別記錄。
- 使用萬用字元 IP 的記錄將不會包含任何活動。 包含這些連線代表機器的連接埠對傳入流量開放。
- 為了減少詳細程度及資料量,當特定 IP 位址具有相符的記錄 (相同處理序、連接埠及通訊協定) 時,如 IP 包含萬用字元會省略其記錄。 略過萬用字元 IP 記錄時,具有特定 IP 位址的 IsWildcardBind 記錄屬性將設為 "True",以代表連接埠會透過報告機器的每個介面來公開。
- 若連接埠只繫結至特定介面,IsWildcardBind 則設為 False。
命名和分類
為了方便起見,RemoteIp 屬性中會包含連線遠端的 IP 位址。 如果是輸入連線,RemoteIp 相當於 SourceIp,如果是連出連線,則相當於 DestinationIp。 RemoteDnsCanonicalNames 屬性代表適用於 RemoteIp 的機器所報告的 DNS 標準名稱。 RemoteDnsQuestions 屬性代表針電腦所報告的 RemoteIp DNS 問題。 RemoveClassification 屬性會保留供未來使用。
地理位置
VMConnection 也會在記錄的下列屬性中,包含每個連線記錄遠端的地理位置資訊:
屬性 | 說明 |
---|---|
RemoteCountry | 裝載 RemoteIp 的國家/地區名稱。 例如,United States |
RemoteLatitude | 地理位置緯度。 例如,47.68 |
RemoteLongitude | 地理位置經度。 例如:-122.12 |
惡意 IP
VMConnection 資料表中的每個 RemoteIp 屬性均會根據一組具有已知惡意活動的 IP 進行檢查。 如果 RemoteIp 經識別為惡意,則會在記錄的下列屬性填入下列屬性 (當 IP 不被視為惡意時,則屬性為空):
屬性 | 說明 |
---|---|
MaliciousIP | RemoteIp 位址 |
IndicatorThreadType | 偵測到的威脅指標是下列值之一:殭屍網路、C2、CryptoMining、Darknet、DDos、MaliciousUrl、惡意程式碼、網路釣魚、Proxy、PUA、關注清單。 |
描述 | 觀察到的威脅的說明。 |
TLPLevel | 號誌燈通訊協定 (TLP) 層級是已定義的值 (白色、綠色、琥珀色、紅色) 之一。 |
信賴度 | 值為 0 – 100。 |
嚴重性 | 值為 0 — 5 ,其中 5 最嚴重,0 為完全不嚴重。 預設值為 3。 |
FirstReportedDateTime | 提供者第一次回報指標。 |
LastReportedDateTime | Interflow 最後一次看到指標。 |
IsActive | 使用 True 或 False 值表示指標停用。 |
ReportReferenceLink | 與指定的可預見值相關之報告的連結。 若要回報錯誤的警示或取得惡意 IP 的詳細資訊,請開啟支援案例並提供此連結。 |
AdditionalInformation | 提供有關觀察到的威脅的其他資訊 (如果適用的話)。 |
連接埠
若機器上的連接埠主動接受傳入流量或可能會接受流量,但在報告時間範圍期間處於閒置狀態,則會寫入 VMBoundPort 資料表。
VMBoundPort 中的每筆記錄皆可由下列欄位識別:
屬性 | 說明 |
---|---|
處理 | 與連接埠相關聯的處理序 (或處理序群組) 的身分識別。 |
IP | 連接埠 IP 位址 (可為萬用字元 IP、0.0.0.0) |
連接埠 | 連接埠號碼 |
通訊協定 | 通訊協定。 範例:tcp 或 udp (目前僅支援 tcp)。 |
連接埠的身分識別衍生自上述五個欄位,並儲存於 PortId 屬性。 此屬性可用於快速尋找不同時間的特定連接埠記錄。
計量
連接埠記錄包含了表示相關連線的計量。 目前會報告下列計量 (各計量的詳細資料如上一節所述):
- BytesSent 和 BytesReceived
- LinksEstablished、LinksTerminated、LinksLive
- ResposeTime、ResponseTimeMin、ResponseTimeMax、ResponseTimeSum
此處有一些需要考慮的重要事項:
- 如果處理序會在同一個 IP 位址但透過多個網路介面來接受連線,則將會報告每個介面的個別記錄。
- 使用萬用字元 IP 的記錄將不會包含任何活動。 包含這些連線代表機器的連接埠對傳入流量開放。
- 為了減少詳細程度及資料量,當特定 IP 位址具有相符的記錄 (相同處理序、連接埠及通訊協定) 時,如 IP 包含萬用字元會省略其記錄。 若省略萬用字元 IP 記錄,具特定 IP 位址的記錄 IsWildcardBind 屬性將會設為 True。 這表示報告機器的各介面會顯示該連接埠。
- 若連接埠只繫結至特定介面,IsWildcardBind 則設為 False。
VMComputer 記錄
VMComputer 類型記錄包含使用 Dependency Agent 的伺服器清查資料。 這些記錄具有下表中的屬性:
屬性 | Description |
---|---|
TenantId | 工作區的唯一識別碼 |
SourceSystem | 深入解析 |
TimeGenerated | 記錄的時間戳記 (UTC) |
電腦 | 電腦 FQDN |
AgentId | 執行 Azure 監視器或 Log Analytics 代理程式的機器唯一識別碼 |
機器 | ServiceMap 所顯示的機器 Azure Resource Manager 資源名稱。 格式為 m-{GUID},其中 GUID 與 AgentId 相同。 |
DisplayName | Display name |
FullDisplayName | 完整顯示名稱 |
HostName | 無網域名稱的電腦名稱 |
BootTime | 電腦開機時間 (UTC) |
時區 | 標準化時區 |
VirtualizationState | virtual、hypervisor、physical |
Ipv4Addresses | IPv4 位址的陣列 |
Ipv4SubnetMasks | IPv4 子網路遮罩陣列 (與 Ipv4Addresses 順序相同)。 |
Ipv4DefaultGateways | IPv4 閘道的陣列 |
Ipv6Addresses | IPv6 位址的陣列 |
MacAddresses | MAC 位址陣列 |
DnsNames | 與該機器相關聯的 DNS 名稱陣列。 |
DependencyAgentVersion | 在電腦上執行的 Dependency Agent 版本。 |
OperatingSystemFamily | Linux、Windows |
OperatingSystemFullName | 作業系統的完整名稱 |
PhysicalMemoryMB | 實體記憶體 (MB) |
Cpus | 處理器數目 |
CpuSpeed | CPU 速度 (MHz) |
VirtualMachineType | hyperv、vmware、xen |
VirtualMachineNativeId | VM 識別碼 (由其 Hypervisor 指派) |
VirtualMachineNativeName | VM 的名稱 |
VirtualMachineHypervisorId | 裝載 VM 的 Hypervisor 唯一識別碼 |
HypervisorType | hyperv |
HypervisorId | Hypervisor 的唯一識別碼 |
HostingProvider | azure |
_ResourceId | Azure 資源的唯一識別碼 |
AzureSubscriptionId | 識別訂用帳戶的全域唯一識別碼 |
AzureResourceGroup | 機器所屬的 Azure 資源群組名稱。 |
AzureResourceName | Azure 資源的名稱 |
AzureLocation | Azure 資源的位置 |
AzureUpdateDomain | Azure 更新網域的名稱 |
AzureFaultDomain | Azure 容錯網域的名稱 |
AzureVmId | Azure 虛擬機器的唯一識別碼 |
AzureSize | Azure VM 的大小 |
AzureImagePublisher | Azure VM 發行者的名稱 |
AzureImageOffering | Azure VM 供應項目類型名稱 |
AzureImageSku | Azure VM 映像的 SKU |
AzureImageVersion | Azure VM 映像的版本 |
AzureCloudServiceName | Azure 雲端服務的名稱 |
AzureCloudServiceDeployment | 雲端服務的部署識別碼 |
AzureCloudServiceRoleName | 雲端服務角色名稱 |
AzureCloudServiceRoleType | 雲端服務角色類型:背景工作角色或網路 |
AzureCloudServiceInstanceId | 雲端服務角色執行個體識別碼 |
AzureVmScaleSetName | 虛擬機器擴展集的名稱 |
AzureVmScaleSetDeployment | 虛擬機器擴展集部署識別碼 |
AzureVmScaleSetResourceId | 虛擬機器擴展集資源的唯一識別碼。 |
AzureVmScaleSetInstanceId | 虛擬機器擴展集的唯一識別碼 |
AzureServiceFabricClusterId | Azure Service Fabric 叢集的唯一識別碼 |
AzureServiceFabricClusterName | Azure Service Fabric 叢集的名稱 |
VMProcess 記錄
VMProcess 類型記錄包含連線至 TCP 的處理序 (在使用 Dependency Agent 的伺服器上) 清查資料。 這些記錄具有下表中的屬性:
屬性 | Description |
---|---|
TenantId | 工作區的唯一識別碼 |
SourceSystem | 深入解析 |
TimeGenerated | 記錄的時間戳記 (UTC) |
電腦 | 電腦 FQDN |
AgentId | 執行 Azure 監視器或 Log Analytics 代理程式的機器唯一識別碼 |
機器 | ServiceMap 所顯示的機器 Azure Resource Manager 資源名稱。 格式為 m-{GUID},其中 GUID 與 AgentId 相同。 |
處理 | 服務對應處理序的唯一識別碼。 其格式為 p-{GUID}。 |
ExecutableName | 處理序可執行檔的名稱 |
DisplayName | 處理序顯示名稱 |
角色 | 處理序角色:webserver、appServer、databaseServer、ldapServer、smbServer |
群組 | 處理序群組名稱。 相同群組的處理序在邏輯上相關,例如:屬於相同產品或系統元件。 |
StartTime | 處理序集區的開始時間 |
FirstPid | 處理序集區中的第一個 PID |
描述 | 處理序的描述 |
CompanyName | 公司的名稱 |
InternalName | 內部名稱 |
ProductName | 產品的名稱 |
ProductVersion | 產品的版本 |
FileVersion | 檔案的版本 |
ExecutablePath | 可執行檔的路徑 |
CommandLine | 命令列 |
WorkingDirectory | 工作目錄 |
服務 | 正在執行處理序的服務陣列 |
UserName | 執行處理序的帳戶 |
UserDomain | 執行處理序的網域 |
_ResourceId | 工作區中處理序的唯一識別碼 |
範例對應查詢
列出所有已知的機器
VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId
VM 上次啟動時
let Today = now(); VMComputer | extend DaysSinceBoot = Today - BootTime | summarize by Computer, DaysSinceBoot, BootTime | sort by BootTime asc
Azure VM 依映像、位置和 SKU 區分的摘要
VMComputer | where AzureLocation != "" | summarize by Computer, AzureImageOffering, AzureLocation, AzureImageSku
列出所有受控電腦的實體記憶體容量
VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project PhysicalMemoryMB, Computer
列出電腦名稱、DNS、IP 和 OS
VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project Computer, OperatingSystemFullName, DnsNames, Ipv4Addresses
在命令列中尋找具有「sql」的所有處理程序
VMProcess | where CommandLine contains_cs "sql" | summarize arg_max(TimeGenerated, *) by _ResourceId
以資源名稱尋找機器 (最新的記錄)
search in (VMComputer) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by _ResourceId
以 IP 位址尋找機器 (最新的記錄)
search in (VMComputer) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by _ResourceId
列出指定機器上的所有已知處理序
VMProcess | where Machine == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by _ResourceId
列出所有執行 SQL 伺服器的電腦
VMComputer | where AzureResourceName in ((search in (VMProcess) "*sql*" | distinct Machine)) | distinct Computer
列出資料中心內所有唯一 curl 產品版本
VMProcess | where ExecutableName == "curl" | distinct ProductVersion
為所有執行 CentOS 的電腦建立電腦群組
VMComputer | where OperatingSystemFullName contains_cs "CentOS" | distinct Computer
位元組傳送及接收趨勢
VMConnection | summarize sum(BytesSent), sum(BytesReceived) by bin(TimeGenerated,1hr), Computer | order by Computer desc | render timechart
哪個 Azure VM 傳輸大部分的位元組
VMConnection | join kind=fullouter(VMComputer) on $left.Computer == $right.Computer | summarize count(BytesSent) by Computer, AzureVMSize | sort by count_BytesSent desc
連結狀態趨勢
VMConnection | where TimeGenerated >= ago(24hr) | where Computer == "acme-demo" | summarize dcount(LinksEstablished), dcount(LinksLive), dcount(LinksFailed), dcount(LinksTerminated) by bin(TimeGenerated, 1h) | render timechart
連線失敗趨勢
VMConnection | where Computer == "acme-demo" | extend bythehour = datetime_part("hour", TimeGenerated) | project bythehour, LinksFailed | summarize failCount = count() by bythehour | sort by bythehour asc | render timechart
繫結連接埠
VMBoundPort
| where TimeGenerated >= ago(24hr)
| where Computer == 'admdemo-appsvr'
| distinct Port, ProcessName
跨機器開啟的連接埠數目
VMBoundPort
| where Ip != "127.0.0.1"
| summarize by Computer, Machine, Port, Protocol
| summarize OpenPorts=count() by Computer, Machine
| order by OpenPorts desc
依開啟的連接埠數目為工作區中的處理序評分
VMBoundPort
| where Ip != "127.0.0.1"
| summarize by ProcessName, Port, Protocol
| summarize OpenPorts=count() by ProcessName
| order by OpenPorts desc
各連接埠的行為彙總
此查詢便可用於根據活動來評分連接埠,例如:具有大部分輸入/輸出流量的連接埠、具有大部分連線的連接埠
//
VMBoundPort
| where Ip != "127.0.0.1"
| summarize BytesSent=sum(BytesSent), BytesReceived=sum(BytesReceived), LinksEstablished=sum(LinksEstablished), LinksTerminated=sum(LinksTerminated), arg_max(TimeGenerated, LinksLive) by Machine, Computer, ProcessName, Ip, Port, IsWildcardBind
| project-away TimeGenerated
| order by Machine, Computer, Port, Ip, ProcessName
摘要說明來自機器群組的輸出連線
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(VMComputer
| summarize ips=makeset(todynamic(Ipv4Addresses)) by MonitoredMachine=AzureResourceName
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
效能記錄
InsightsMetrics 類型記錄包含虛擬機器客體作業系統的效能資料。 這些記錄會以 60 秒的間隔收集,並具有下表中的屬性:
屬性 | Description |
---|---|
TenantId | 工作區的唯一識別碼 |
SourceSystem | 深入解析 |
TimeGenerated | 收集值的時間 (UTC) |
電腦 | 電腦 FQDN |
原始來源 | vm.azm.ms |
Namespace | 效能計數器的類別 |
名稱 | 效能計數器的名稱 |
Val | 收集的值 |
標籤 | 記錄的相關詳細資料。 如需不同記錄類型所用的標籤,請參閱下表。 |
AgentId | 各電腦代理程式的唯一識別碼 |
類型 | InsightsMetrics |
ResourceId | 虛擬機器的資源識別碼 |
下表列出 InsightsMetrics 資料表目前所收集的效能計數器:
Namespace | 名稱 | 描述 | 單位 | 標籤 |
---|---|---|---|---|
電腦 | 活動訊號 | 電腦活動訊號 | ||
記憶體 | AvailableMB | 記憶體可用位元組 | MB | memorySizeMB - 記憶體總計大小 |
網路 | WriteBytesPerSecond | 網路每秒寫入位元組數 | BytesPerSecond | NetworkDeviceId - 裝置的識別碼 bytes - 已傳送的位元組總數 |
網路 | ReadBytesPerSecond | 網路每秒讀取位元組數 | BytesPerSecond | networkDeviceId - 裝置的識別碼 bytes - 已接收的位元組總數 |
處理器 | UtilizationPercentage | 處理器使用率百分比 | Percent | totalCpus - CPU 總數 |
LogicalDisk | WritesPerSecond | 邏輯磁碟每秒寫入速率 | 每秒計數 | mountId - 裝置的掛接識別碼 |
LogicalDisk | WriteLatencyMs | 邏輯磁碟寫入延遲 (毫秒) | 毫秒 | mountId - 裝置的掛接識別碼 |
LogicalDisk | WriteBytesPerSecond | 邏輯磁碟每秒寫入位元組 | BytesPerSecond | mountId - 裝置的掛接識別碼 |
LogicalDisk | TransfersPerSecond | 邏輯磁碟每秒傳輸數 | 每秒計數 | mountId - 裝置的掛接識別碼 |
LogicalDisk | TransferLatencyMs | 邏輯磁碟傳輸延遲 (毫秒) | 毫秒 | mountId - 裝置的掛接識別碼 |
LogicalDisk | ReadsPerSecond | 邏輯磁碟每秒讀取數 | 每秒計數 | mountId - 裝置的掛接識別碼 |
LogicalDisk | ReadLatencyMs | 邏輯磁碟讀取延遲 (毫秒) | 毫秒 | mountId - 裝置的掛接識別碼 |
LogicalDisk | ReadBytesPerSecond | 邏輯磁碟每秒讀取位元組數 | BytesPerSecond | mountId - 裝置的掛接識別碼 |
LogicalDisk | FreeSpacePercentage | 邏輯磁碟可用空間百分比 | Percent | mountId - 裝置的掛接識別碼 |
LogicalDisk | FreeSpaceMB | 邏輯磁碟可用空間位元組 | MB | mountId - 裝置的掛接識別碼 diskSizeMB - 磁碟總計大小 |
LogicalDisk | BytesPerSecond | 邏輯磁碟每秒位元組數 | BytesPerSecond | mountId - 裝置的掛接識別碼 |
下一步
若您不熟悉如何在 Azure 監視器中撰寫記錄查詢,請檢閱 Azure 入口網站中的如何使用 Log Analytics,以撰寫記錄查詢。
了解如何撰寫搜尋查詢。