MS OMS 數據使用方式

OMS 中的數據使用方式 有些人在使用雲端時可能會感覺迷失,可能會對使用率和數據感到不確定,進而感覺自己身在一個不確定的環境中。 在 OMS 儀表板的左方,可以看到一個磚寫著 使用方式。如下圖:   點選進入後,您可以看到分為 資料量、電腦、供應項目、效能、和查詢清單。資料量又分為一段時間的資料量、依照解決方案的資料量、和資料未與電腦相關聯。可以看到一段時間的資料量方塊中有一個圖表依據時間顯示出資料量大小的折線圖,並顯示總共114MB。而在依照解決方案得資料量方塊中,圖表則依據不同的方案分成不同顏色,分別顯示個別資具時間的資料量折線圖。您也可以點擊圖表進入記錄搜尋頁面深入瞭解詳細資訊。如下圖:   電腦的部分則分為傳送資料的電腦和最近24小時沒有傳資料的電腦。從此範例可以看到,最近1小時有23部電腦有回傳資料,而過去24小時內沒有電腦沒回傳資料。同樣地,您也可以點擊圖表進入記錄搜尋頁面深入瞭解詳細資訊。如下圖:   接著可以看到供應項目的部分,分為深入解析與分析節點、自動化與控制節點、安全性節點。此三個部分分別是在計算不同的方案類別所具有的節點數量,此範例中可以看到,深入解析與分析平均有25.1個節點,自動化與控制平均有5.55個節點,而安全性平均有9.90個節點。您也可以點選圖表查看詳細資訊。如下圖:   在效能的部分顯示了收集及編製資料索引所花費的時間。其中圖表顯示了每個時間點延遲的時間長短並分成最大、平均、百分比,分別顯示其過去一小時內延遲的秒數。如下圖:   最後,查詢清單列出了幾個常用的記錄搜尋指令,您只需要點擊有興趣的指令便會自動開始搜尋並顯示結果。

0

利用 OMS 接近即時的性能計數器來檢查一個特定計數器

利用簡單的 OMS 搜尋指令來尋找計數器的狀態 利用 OMS 接近即時的性能計數器,不僅可以檢查特定伺服器的狀態,也能夠檢查眾多計數器中單一計數器的狀態,而且不需要知道伺服器的名稱就能知道這些狀態。 首先,從 OMS 儀表板打開 記錄搜尋,如下圖:   接著在搜尋欄位中輸入以下指令來搜尋接近即時的性能計數器: Type=Perf 執行指令後,很輕易的就回傳了環境中所有伺服器的性能計數器。現在,可以查看性能計數器記錄的其中一個案例,並查看有哪些屬性是能夠更深入查詢的。如下圖:   從圖中可以看到有以下幾種屬性: Computer ObjectName CounterName InstanceName TimeGenerated CounterPath CounterValue SourceSystem 接著您可以依據有興趣的屬性進行過濾。只需要點選記錄屬性左方的 “…“,便會跳出一個方框包含幾個智能選項。如下圖:   此範例以 ObjectName 做過濾,點選[將’ObjectName’篩選為’Process’],將會自動執行以下指令進行過濾: Type=Perf ObjectName=Process   在經過一次過濾後,可以再重複執行以上方法,針對不同屬性再次過濾,如以下範例先過濾 ObjectName,再過濾 CounterName: Type=Perf ObjectName=Process CounterName="% Processor Time"

0

利用電腦過濾 OMS 接近即時的性能計數數據

利用電腦名稱將性能數據分類 首先需要知道的是: 電腦名稱 這些電腦會提供多少數據來測試 第一步,先從 MS OMS 儀表板進入到記錄搜尋。 利用指令 Type=Perf 能夠輕易的找到電腦名稱資訊,接著再利用電腦來過濾紀錄。在指令中利用 Computer 屬性來做測量,利用以下指令: Type=Perf | measure count() by Computer 現在有了電腦名稱和每台電腦具有的記錄數量的一個列表。在搜尋時,您可以過濾出您有興趣的特定電腦。您只需要在搜尋指令中加上 computer = “mycomputername",以下範例搜尋 AzureHRFE 電腦: Type=Perf Computer=AzureHRFE 執行搜尋指令後可以看到有 2M 個結果,其中涵蓋了335個計量。如下圖:   若想要查看計量的圖表,直接點選計量即可查看,如下圖:   深入特定群組中的特定計數器 經過以上步驟,現在您已經指定了特定電腦,接著可以再更加深入瞭解。例如:您可以查看與記憶體相關的性能計數器,只需在搜尋指令中加入 ObjectName=Memory 即可。執行此指令會回傳一組與記憶體相關的計數器。若您要讓執行結果只與一台電腦相關,可以將以上的搜尋指令保留,再加入記憶體指令即可。如以下範例: Type=Perf Computer=AzureHRFE ObjectName=Memory 下圖執行結果中,已經將計量中的 Committed Bytes in Use 展開:   若您想要查看一台特定電腦的特定計數器,可以在指令中加以過濾,如以下範例: Type=Perf Computer=AzureHRFE ObjectName=Memory CounterName="% Committed Bytes In Use"

0

利用 OMS 來視覺化收集的性能數據

有時在收集性能數據的負擔可能會對一台性能很好的機器造成重大負擔,因此這時 OMS 接近即時收集性能計數器就派上用場了。 首先,從 OMS 儀表班進入 記錄搜尋:   在搜尋欄位中加入種類,此範例以 Perf 為種類進行搜尋,如以下範例: Type=Perf   當性能數據回傳後,您除了可以在清單查看記錄的詳細資訊外,也可以點選 計量 來查看視覺化的數據結果。   點選後,您可以看到畫面中出現 電腦、計數器、圖形、最後一個、和平均值。與在清單不同的是,您會發現可以點選電腦名稱,也可以點選右側的 [+] 來展開圖形。當您點選展開後,圖形會展開並顯示出時間軸、電腦名稱、計數器、平均值等。如下圖:   當您將游標移到展開的圖形上時,可以看到一個小方框顯示出該特定時間點的數值。這對於系統效能消除異常是非常有幫助的。如下圖:   當您看完詳細的圖形結果後,可以點選右側的折疊。如下圖:

0

為 OMS 中接近即時的資料收集加入計數器

您可以為效能計數器的特定案例或是所有案例增加一個計數器。您可以指定特定物件(像是 logical disk、network adapter、process、或是 processor),在指定特定的計數器。 有些計數器的名稱是處理時間的百分比、每秒總位元、和每秒讀取的磁盤數。若要計數器的所有範例,可以依照以下形式搜尋: Object name\Counter name Object name(*)\Counter name 例如: LogicalDisk(*)\% Disk Time LogicalDisk\% Disk Read Time 若現在輸入 LogicalDisk\% Disk Read Time,並按下ENTER,可以看到它自動轉換成 LogicalDisk(*)\% Disk Time。如下圖:   若您不確定計數器的名稱,可以利用安裝在 Windows 中的 Perfmon 工具來找線索。以下範例是從10台 Windows 筆電中的 LogicalDisk物件:   值得注意的是 C 碟的案例是用 C:,而非 C 或是 C:\。利用以下範例來找尋計數器: LogicalDisk(c:)\% Disk Read Time   若您在配置過程中發生錯誤,可以按下畫面上方的 [Discard] 來重新設定。此按鈕只會再有修改配置時才會出現。  

0

OMS 中接近即時的效能數據收集

概要:學習設定和使用 OMS 中接近即時的效能數據。 有了接近即時的性能計數數據收集,您可以以最短抽樣間距10秒收集數據來深入瞭解性能問題。此外,在 OMS 中也能將資料結果視覺化。 要啟用接近即時的效能數據收集,首先在 OMS 儀表板中點選 設定:   在 設定 頁面,選擇 Data ,再點選 Windows 效能計數器。 在 Windows 效能計數器畫面,您可以勾選欲加入的效能計數器,再按下[新增選定的效能計數器],接著畫面會跳出以下畫面: 您可以自行設定 抽樣間隔,最短為10秒,若輸入低於10秒的數值,將會被自動設為10秒。您也可以利用右方的 移除 按鈕來移除不需要的計數器。 當您完成效能計數器的設定後,點選左上方的[Save],畫面上方會跳出訊息告訴您已成功儲存配置: 若您想加入特定的計數器,可以直接輸入來搜尋並加入,如下圖: 搜尋到之後,按照上述的步驟按下新增、調整抽樣間隔、最後按下 [Save] 即完成。

0

建立 我的儀表板

利用我的儀表板來建立客製化的控制台 在 MS OMS 記錄搜尋 的文章中有提到可以在記錄搜尋中建立並儲存有用的搜尋指令。 而現在您可以建立一個客製化的儀表板輕易的執行那些儲存好的搜尋指令。操作步驟如下: 1. 建立並儲存一個搜尋指令。將此指令命名為一個有意義且方便您再次尋找的名稱。 2. 從 OMS 的儀表板點選 我的儀表板。 3. 在我的儀表板上方點選 自訂(齒輪符號)。 4. 利用 尋找… 找到您先前儲存的搜尋指令。 5. 找到指令後,點選該指令右側的 +,或是直接將該指令托拉到我的儀表板中。 以下將分項詳細說明。 打開我的儀表板 首先第一步就是要打開 我的儀表板。在 OMS 儀表板的左側,紀錄搜尋圖示的下方,可以看到我的儀表板的圖示。圖示會在記錄搜尋下方是因為您需要先進行過記錄搜尋,再開始編輯我的儀表板。   在此範例中,我的儀表板 已經引入許多搜尋指令,因此可以看到畫面很完整且漂亮。 點選自訂 點選在我的儀表板上方的自訂圖示,會在畫面右側跳出尋找的對話框。若您再次點選自訂圖示,對話框則會消失並跳回我的儀表板。如下圖:   尋找搜尋指令 要尋找搜尋指令,無需完整的輸入指令名稱,只需輸入前幾個字元,便會自動跳出完整的指令。 當您在使用尋找對話框時,無需點擊搜尋或是按下 ENTER,搜尋工具將會自動偵測您是否完成輸入並自動開始找尋指令。   將您的搜尋加入我的儀表板後,切換回我的儀表板頁面。在我的儀表板下拉到最底可以看到剛新增的搜尋指令磚,系統預設將最新新增的搜尋指令加在我的儀表板的最下方。 您可以點選已加入的搜尋,會跳出此搜尋的詳細結果。如下圖:    

0

利用 OMS 搜尋紀錄過濾更多數據

搜尋多種情況 您會想要知道一件事或多件事件的發生,也就是可以利用 OR 的搜尋。在 OMS 紀錄搜尋工具中,您只要在搜尋指令中加入 OR 即可。 在以下範例中,會以搜尋被加入安全性分組的帳戶為例,因此可能會需要搜尋 EventID 4728、EventID 4732、或 event EventID 4756。首先需要先過濾搜尋 SecurityEvent 的資料種類,接著再過濾事件 ID,如以下指令: Type=SecurityEvent  EventID=4732 可以看到回傳了6個安全性事件,執行結果如下圖: 接著,利用 OR 加入其他可能發生的安全性事件。這非常容易,只需要在搜尋時加入 OR 和 EventID= 即可。範例搜尋如下: Type=SecurityEvent  EventID=4728 OR EventID=4732 OR EventID=4756 分組與計算 若要將事件依據特定屬性分組,需要先知道哪些屬性是可用的。您可以從一個單一的事件結果查看,例如: 根據結果中所看到的資訊,您可能會想知道誰被增加了。您可以利用 Measure 來依照 SubjectAccount 屬性計數。關鍵字 Measure 會接在搜尋完安全性事件後,並用 “|" 符號隔開。此範例指定 Count 為測量的種類,並計算 SubjectAccount 屬性: Type=SecurityEvent  EventID=4728 OR EventID=4732 OR EventID=4756 | Measure Count() by SubjectAccount 您也可能會想知道是否有特定分組是被所有額外的事件視為目標的。您可以將搜尋中的屬性改為 TargetAccount: Type=SecurityEvent  EventID=4728…

0

簡易的 MS OMS 搜尋字串

別忘記簡易的搜尋方法 在先前的文章中有介紹利用輸入搜尋指令的方式來客製化想要的搜尋結果,但不要忘了 OMS 被設計得非常容易,也就是說,其實很多指令都已經被建立了。 Note:若要建立客製化的 OMS 搜尋,可以參考:Log Analytics 搜尋參考。 例如:若新增了 WireData 方案,便會產生一個新的資料種類:WireData。可以很輕易地利用以下指令搜尋 WireData 所收集的資料: Type=WireData 若您對區域子網路資料有興趣,只需要點選區域子網路。在下圖可看到總共有4個區域子網路:   點選區域子網路磚後,自動執行的搜尋指令如下: Type:WireData | Measure Sum(TotalBytes) by LocalSubnet 無需額外再自行輸入任何指令,便會自動搜尋。接著可以點選特定產生很多流量的子網路來深入查看。此範例中選擇流量最多的 172.16.10.0/24,點選此子網路後,便會自動執行以下指令: Type:WireData LocalSubnet=”172.16.4.0/22″ 如下圖:   每當選取不一樣的項目時,都可以看到搜尋指令自動改變,並顯示出不同的搜尋結果。這也是很好學習 OMS 搜尋指令的方式。 在 WireData 方案儀表板中,向右拉可以看到一個 WireData 常用的搜尋指令清單可以選擇:   例如:點選清單中的第一項搜尋指令,提供線路傳輸資料的代理程式數,接著 OMS 便會自動執行以下指令開始搜尋: Type=WireData | measure Sum(TotalBytes) by Computer | top 500000   由此可見,在學習使用 OMS 搜尋指令索引的過程中,有許多不同方法能夠細讀收集的資料,能夠利用 OMS…

0

利用 OMS 搜尋不同種類的數據

MS OMS 的指令數據被分為不同種類的資料。依據工作區中所實行的方案,會有不同種類的資料。例如:警示管理方案就會產生警示資料,並可以利用以下指令搜尋: Type=Alert Note:需要注意的是 Type 有些敏感,若您輸入 type = Alert 或是 type alert 都會失敗,並會顯示出 Invalid Number: Alert。 在以下範例搜尋中,有1000筆結果:   您也可以搜尋 ADAssessmentRecommendation: Type:ADAssessmentRecommendation Note:您搜尋時可以使用冒號或是等號,兩者都會有效,而空白鍵也不會影響搜尋。例如:Type:Alert 、 Type=Alert、Type = Alert,都是會成功的。 可以搜尋 ProtectionStatus,會回傳惡意程式的評估: Type:ProtectionStatus 可以使用 ConfigurationChange 種類搜尋從變更追蹤方案產生的資料: Type=ConfigurationChange 伺服器與工作量使用了 ConfigurationObject 種類: Type:ConfigurationObject 安全與稽核方案使用了 SecurityEvent 種類: Type=SecurityEvent 也可以使用 WireData 和 WindowsFirewall 種類,以下兩種搜尋會回傳百萬筆結果: Type=WireData Type=WindowsFirewall Container 方案使用了 ContainerImageInventory 種類來持續追蹤 container: Type=ContainerImageInventory 可以使用 ContainerLog 種類來查看 container 紀錄: Type=ContainerLog SQL 評估使用了 SQLAssessmentRecommendation 種類 Type:SQLAssessmentRecommendation 系統更新方案使用了 Update 種類:…

0