簡易的 MS OMS 搜尋字串

別忘記簡易的搜尋方法

在先前的文章中有介紹利用輸入搜尋指令的方式來客製化想要的搜尋結果,但不要忘了 OMS 被設計得非常容易,也就是說,其實很多指令都已經被建立了。

Note: 若要建立客製化的 OMS 搜尋,可以參考:Log Analytics 搜尋參考

例如:若新增了 WireData 方案,便會產生一個新的資料種類:WireData。可以很輕易地利用以下指令搜尋 WireData 所收集的資料:

Type=WireData

若您對區域子網路資料有興趣,只需要點選區域子網路。在下圖可看到總共有4個區域子網路:

 

點選區域子網路磚後,自動執行的搜尋指令如下:

Type:WireData | Measure Sum(TotalBytes) by LocalSubnet


無需額外再自行輸入任何指令,便會自動搜尋。接著可以點選特定產生很多流量的子網路來深入查看。此範例中選擇流量最多的 172.16.10.0/24,點選此子網路後,便會自動執行以下指令:

Type:WireData LocalSubnet=”172.16.4.0/22″

如下圖:

 

每當選取不一樣的項目時,都可以看到搜尋指令自動改變,並顯示出不同的搜尋結果。這也是很好學習 OMS 搜尋指令的方式。

在 WireData 方案儀表板中,向右拉可以看到一個 WireData 常用的搜尋指令清單可以選擇:

 

例如:點選清單中的第一項搜尋指令,提供線路傳輸資料的代理程式數,接著 OMS 便會自動執行以下指令開始搜尋:

Type=WireData | measure Sum(TotalBytes) by Computer | top 500000

 

由此可見,在學習使用 OMS 搜尋指令索引的過程中,有許多不同方法能夠細讀收集的資料,能夠利用 OMS 自動產生的搜尋指令來學習並客製化出自己需要的指令與結果。