Snippets

Snippet KQL : corréler endpoint HTTP privé Azure Functions

Une requête courte pour distinguer DNS, accès privé, runtime Functions et exception applicative lors d'un incident HTTP privé.

11 juin 2026 kqlazurefunctionsprivate-endpointdnslogsmonitoringrunbookidentity

Utilise cette requête après un curl corrélé depuis le réseau consommateur. Elle montre si la requête atteint Azure Functions, si le runtime signale un problème de storage ou de listener, ou si l’échec est déjà dans le code ou une dépendance.

kusto azure-functions-private-http-correlation.kql

let Window = 2h;
let Host = "api.internal.example.com";
let CorrelationId = "ops-20260611080000";
let Req =
requests
| where timestamp > ago(Window)
| where url has Host or tostring(customDimensions["x-correlation-id"]) == CorrelationId
| project timestamp, Source="request", name, resultCode, success, operation_Id, url, cloud_RoleName;
let Tr =
traces
| where timestamp > ago(Window)
| where message has_any (Host, CorrelationId, "Host lock", "storage", "listener", "Starting", "Stopping", "Function")
| project timestamp, Source="trace", message, severityLevel, operation_Id, cloud_RoleName;
let Ex =
exceptions
| where timestamp > ago(Window)
| project timestamp, Source="exception", message=outerMessage, severityLevel, operation_Id, cloud_RoleName;
Req
| union Tr, Ex
| order by timestamp desc

Lecture rapide : aucune request après le test renvoie vers DNS, Private Endpoint, APIM, Application Gateway ou access restrictions ; une request en 403 ou 503 renvoie vers plateforme et configuration ; une exception corrélée renvoie vers code, identité ou dépendance aval.