Začínáme s Log Analytics v Azure MonitorGet started with Log Analytics in Azure Monitor

Poznámka

V tomto cvičení můžete projít v prostředí Log Analytics, nebo můžete použít naši ukázkovém prostředí, což zahrnuje spoustu ukázková data.You can work through this exercise in your own Log Analytics environment, or you can use our Demo environment, which includes plenty of sample data.

V tomto kurzu se naučíte používat Log Analytics v Azure Portal k zápisu dotazů protokolu Azure Monitor log.In this tutorial you will learn how to use Log Analytics in the Azure portal to write Azure Monitor log queries. Naučíte se, jak:It will teach you how to:

  • Použití Log Analytics k zápisu jednoduchého dotazuUse Log Analytics to write a simple query
  • Pochopení schématu datUnderstand the schema of your data
  • Filtrování, řazení a seskupování výsledkůFilter, sort, and group results
  • Použít časový rozsahApply a time range
  • Vytváření grafůCreate charts
  • Uložení a načtení dotazůSave and load queries
  • Exportovat a sdílet dotazyExport and share queries

Kurz týkající se psaní dotazů na protokoly najdete v tématu Začínáme s dotazy protokolu v Azure monitor.For a tutorial on writing log queries, see Get started with log queries in Azure Monitor.
Další podrobnosti o dotazech protokolu najdete v tématu Přehled dotazů protokolu v Azure monitor.For more details on log queries, see Overview of log queries in Azure Monitor.

Splnění Log AnalyticsMeet Log Analytics

Log Analytics je webový nástroj, který se používá pro zápis a spouštění Azure Monitorch dotazů protokolu.Log Analytics is a web tool used to write and execute Azure Monitor log queries. Otevřete ho tak, že v nabídce Azure Monitor vyberete protokoly .Open it by selecting Logs in the Azure Monitor menu. Začíná novým prázdným dotazem.It starts with a new blank query.

Domovská stránka

Požadavky na bránu firewallFirewall requirements

Pokud chcete použít Log Analytics, váš prohlížeč vyžaduje přístup k následujícím adresám.To use Log Analytics, your browser requires access to the following addresses. Pokud Váš prohlížeč přistupuje k Azure Portal přes bránu firewall, musíte povolit přístup k těmto adresám.If your browser is accessing the Azure portal through a firewall, you must enable access to these addresses.

UriUri IPIP PortyPorts
portal.loganalytics.ioportal.loganalytics.io DynamickéDynamic 80,44380,443
api.loganalytics.ioapi.loganalytics.io DynamickéDynamic 80,44380,443
docs.loganalytics.iodocs.loganalytics.io DynamickéDynamic 80,44380,443

Základní dotazyBasic queries

Dotazy se dají použít k vyhledávání podmínek, identifikaci trendů, analýze vzorů a poskytování mnoha dalších přehledů na základě vašich dat.Queries can be used to search terms, identify trends, analyze patterns, and provide many other insights based on your data. Začněte se základním dotazem:Start with a basic query:

Event | search "error"

Tento dotaz vyhledá v tabulce událostí záznamy, které obsahují chybu v jakékoli vlastnosti.This query searches the Event table for records that contain the term error in any property.

Dotazy mohou začít buď s názvem tabulky, nebo s příkazem hledání .Queries can start with either a table name or a search command. Výše uvedený příklad začíná s _událostí_název tabulky, která načte všechny záznamy z tabulky událostí.The above example starts with the table name Event, which retrieves all records from the Event table. Znak kanálu (|) odděluje příkazy, takže výstup prvního z nich slouží jako vstup z následujícího příkazu.The pipe (|) character separates commands, so the output of the first one serves as the input of the following command. Do jednoho dotazu můžete přidat libovolný počet příkazů.You can add any number of commands to a single query.

Dalším způsobem, jak stejný dotaz napsat, bude:Another way to write that same query would be:

search in (Event) "error"

V tomto příkladu je hledání vymezeno na tabulku událostí a všechny záznamy v této tabulce jsou vyhledány při výskytu chyby.In this example, search is scoped to the Event table, and all records in that table are searched for the term error.

Spuštění dotazuRunning a query

Spusťte dotaz kliknutím na tlačítko Spustit nebo stisknutím SHIFT + ENTER.Run a query by clicking the Run button or pressing Shift+Enter. Vezměte v úvahu následující podrobnosti, které určují kód, který se spustí, a vrácená data:Consider the following details which determine the code that will be run and the data that's returned:

  • Zalomení řádků: Jediné přerušení usnadňuje čtení dotazů.Line breaks: A single break makes your query easier to read. Více konců řádků je rozděleno do samostatných dotazů.Multiple line breaks split it into separate queries.
  • Jeďte Umístěte kurzor někam do dotazu, aby jej bylo možné spustit.Cursor: Place your cursor somewhere inside the query to execute it. Aktuální dotaz se považuje za kód, dokud se nenajde prázdný řádek.The current query is considered to be the code up until a blank line is found.
  • Časový rozsah – ve výchozím nastavení je nastavený časový rozsah za posledních 24 hodin .Time range - A time range of last 24 hours is set by default. Chcete-li použít jiný rozsah, použijte pro výběr času nebo přidejte do dotazu explicitní filtr časového rozsahu.To use a different range, use the time-picker or add an explicit time range filter to your query.

Vysvětlené schématuUnderstand the schema

Schéma je kolekce tabulek vizuálně seskupených do logické kategorie.The schema is a collection of tables visually grouped under a logical category. Některé z kategorií jsou z monitorování řešení.Several of the categories are from monitoring solutions. Kategorie LogManagement obsahuje běžná data, jako jsou události Windows a syslog, údaje o výkonu a prezenční signály agenta.The LogManagement category contains common data such as Windows and Syslog events, performance data, and agent heartbeats.

Schéma

V každé tabulce jsou data uspořádána do sloupců s různými datovými typy, které jsou označeny ikonami vedle názvu sloupce.In each table, data is organized in columns with different data types as indicated by icons next to the column name. Například tabulka událostí zobrazená na snímku obrazovky obsahuje sloupce, jako je například Computer , což je text, EventCategory , což je číslo a TimeGenerated , což je datum a čas.For example, the Event table shown in the screenshot contains columns such as Computer which is text, EventCategory which is a number, and TimeGenerated which is date/time.

Filtrování výsledkůFilter the results

Začněte tím, že získáte vše v tabulce událostí .Start by getting everything in the Event table.

Event

Log Analytics automatické obory výsledků:Log Analytics automatically scopes results by:

  • Časový rozsah: Ve výchozím nastavení jsou dotazy omezené na posledních 24 hodin.Time range: By default, queries are limited to the last 24 hours.
  • Počet výsledků: Výsledky jsou omezené na maximum 10 000 záznamů.Number of results: Results are limited to maximum of 10,000 records.

Tento dotaz je velmi obecný a vrací příliš mnoho výsledků, aby byly užitečné.This query is very general, and it returns too many results to be useful. Výsledky můžete filtrovat buď prostřednictvím prvků tabulky, nebo explicitně přidáním filtru do dotazu.You can filter the results either through the table elements, or by explicitly adding a filter to the query. Filtrování výsledků prostřednictvím prvků tabulky se vztahuje na existující sadu výsledků, zatímco filtr na samotný dotaz vrátí novou filtrovanou sadu výsledků a může proto vytvořit přesnější výsledky.Filtering results through the table elements applies to the existing result set, while a filter to the query itself will return a new filtered result set and could therefore produce more accurate results.

Přidejte filtr do dotazu.Add a filter to the query

Nalevo od každého záznamu se nachází šipka.There is an arrow to the left of each record. Klepnutím na šipku otevřete podrobnosti konkrétního záznamu.Click this arrow to open the details for a specific record.

Najeďte myší nad název sloupce pro ikony "+" a "-", které se mají zobrazit.Hover above a column name for the "+" and "-" icons to display. Chcete-li přidat filtr, který vrátí pouze záznamy se stejnou hodnotou, klikněte na symbol "+".To add a filter that will return only records with the same value, click the "+" sign. Kliknutím na "–" vyloučíte záznamy s touto hodnotou a potom kliknutím na tlačítko Spustit spusťte dotaz znovu.Click "-" to exclude records with this value and then click Run to run the query again.

Přidat filtr do dotazu

Filtrovat přes prvky tabulkyFilter through the table elements

Teď se podíváme na události se závažností chyby.Now let's focus on events with a severity of Error. Tento parametr je určený ve sloupci s názvem EventLevelName.This is specified in a column named EventLevelName. Pro zobrazení tohoto sloupce se budete muset posunout doprava.You'll need to scroll to the right to see this column.

Klikněte na ikonu filtru vedle názvu sloupce a v místním okně vyberte hodnoty začínající textovou chybou:Click the Filter icon next to the column title, and in the pop-up window select values that Starts with the text error:

Filtr

Řazení a seskupení výsledkůSort and group results

Výsledky jsou nyní zúžené tak, aby zahrnovaly pouze chybové události z SQL Server vytvořené za posledních 24 hodin.The results are now narrowed down to include only error events from SQL Server, created in the last 24 hours. Výsledky nejsou ale seřazené jakýmkoli způsobem.However, the results are not sorted in any way. Pokud chcete výsledky seřadit podle konkrétního sloupce, jako je například časové razítko , klikněte na název sloupce.To sort the results by a specific column, such as timestamp for example, click the column title. Jedno kliknutí seřadí vzestupné pořadí, zatímco druhé kliknutí bude seřazeno sestupně.One click sorts in ascending order while a second click will sort in descending.

Seřadit sloupec

Další možností uspořádání výsledků je seskupení.Another way to organize results is by groups. Chcete-li seskupit výsledky podle konkrétního sloupce, jednoduše přetáhněte záhlaví sloupce nad ostatní sloupce.To group results by a specific column, simply drag the column header above the other columns. Chcete-li vytvořit podskupiny, přetáhněte horní panel také další sloupce.To create subgroups, drag other columns the upper bar as well.

Skupiny

Vyberte sloupce, které se mají zobrazit.Select columns to display

Tabulka výsledků často obsahuje mnoho sloupců.The results table often includes a lot of columns. Možná zjistíte, že některé z vrácených sloupců nejsou ve výchozím nastavení zobrazeny, nebo můžete chtít odebrat některé sloupce, které jsou zobrazeny.You might find that some of the returned columns are not displayed by default, or you may want to remove some the columns that are displayed. Chcete-li vybrat sloupce, které chcete zobrazit, klikněte na tlačítko sloupce:To select the columns to show, click the Columns button:

Výběr sloupců

Vybrat časový rozsahSelect a time range

Ve výchozím nastavení Log Analytics použije posledních 24 hodin časového rozsahu.By default, Log Analytics applies the last 24 hours time range. Chcete-li použít jiný rozsah, vyberte jinou hodnotu prostřednictvím výběru času a klikněte na tlačítko Spustit.To use a different range, select another value through the time picker and click Run. Kromě přednastavených hodnot můžete použít možnost vlastní časový rozsah k výběru absolutního rozsahu dotazu.In addition to the preset values, you can use the Custom time range option to select an absolute range for your query.

Výběr času

Když vyberete vlastní časový rozsah, vybrané hodnoty jsou ve formátu UTC, což může být jiné než vaše místní časové pásmo.When selecting a custom time range, the selected values are in UTC, which could be different than your local time zone.

Pokud dotaz explicitně obsahuje filtr pro TimeGenerated, zobrazí se v poli název pro výběr času nastavení v dotazu.If the query explicitly contains a filter for TimeGenerated, the time picker title will show Set in query. Ruční výběr bude zakázán, aby se zabránilo konfliktu.Manual selection will be disabled to prevent a conflict.

GrafyCharts

Kromě vracení výsledků v tabulce je možné výsledky dotazu prezentovat ve vizuálních formátech.In addition to returning results in a table, query results can be presented in visual formats. Jako příklad použijte následující dotaz:Use the following query as an example:

Event 
| where EventLevelName == "Error" 
| where TimeGenerated > ago(1d) 
| summarize count() by Source 

Ve výchozím nastavení se výsledky zobrazují v tabulce.By default, results are displayed in a table. Kliknutím na graf zobrazíte výsledky v grafickém zobrazení:Click Chart to see the results in a graphic view:

Pruhový graf

Výsledky se zobrazují v skládaném pruhovém grafu.The results are shown in a stacked bar chart. Klikněte na Skládaný sloupcový a vyberte výseč , aby se zobrazilo jiné zobrazení výsledků:Click Stacked Column and select Pie to show another view of the results:

Výsečový graf

Různé vlastnosti zobrazení, například osy x a y nebo seskupení a rozdělení předvoleb, lze změnit ručně z ovládacích panelů.Different properties of the view, such as x and y axes, or grouping and splitting preferences, can be changed manually from the control bar.

Můžete také nastavit preferované zobrazení v samotném dotazu pomocí operátoru vykreslení.You can also set the preferred view in the query itself, using the render operator.

Inteligentní DiagnostikaSmart diagnostics

V případě, že je v timechart náhlé špička nebo krok, může se na řádku zobrazit zvýrazněný bod.On a timechart, if there is a sudden spike or step in your data, you may see a highlighted point on the line. To znamená, že inteligentní Diagnostika identifikovala kombinaci vlastností, které odfiltrují náhlé změny.This indicates that Smart Diagnostics has identified a combination of properties that filter out the sudden change. Kliknutím na bod získáte další podrobnosti o filtru a zobrazíte filtrovanou verzi.Click the point to get more detail on the filter, and to see the filtered version. To vám může přispět k identifikaci toho, co způsobilo změnu:This may help you identify what caused the change:

Inteligentní Diagnostika

Připnout na řídicí panelPin to dashboard

Pokud chcete připnout diagram nebo tabulku na některý ze sdílených řídicích panelů Azure, klikněte na ikonu připnutí.To pin a diagram or table to one of your shared Azure dashboards, click the pin icon.

Připnout na řídicí panel

Určitá zjednodušení se u grafu aplikují při jeho připnutí na řídicí panel:Certain simplifications are applied to a chart when you pin it to a dashboard:

  • Sloupce a řádky tabulky: Aby bylo možné tabulku připnout na řídicí panel, musí mít čtyři nebo méně sloupců.Table columns and rows: In order to pin a table to the dashboard, it must have four or fewer columns. Zobrazí se pouze prvních sedm řádků.Only the top seven rows are displayed.
  • Časové omezení: Dotazy jsou automaticky omezeny na posledních 14 dní.Time restriction: Queries are automatically limited to the past 14 days.
  • Omezení počtu přihrádek: Pokud zobrazíte graf s velkým množstvím diskrétních přihrádek, do jedné přihrádky ostatní se automaticky seskupí méně vyplněné přihrádky.Bin count restriction: If you display a chart that has a lot of discrete bins, less populated bins are automatically grouped into a single others bin.

Ukládání dotazůSave queries

Po vytvoření užitečného dotazu ho můžete chtít uložit nebo sdílet s ostatními.Once you've created a useful query, you might want to save it or share with others. Ikona Uložit je na horním panelu.The Save icon is on the top bar.

Jako funkci můžete uložit celou stránku dotazu nebo jeden dotaz.You can save either the entire query page, or a single query as a function. Funkce jsou dotazy, které mohou být také odkazovány jinými dotazy.Functions are queries that can also be referenced by other queries. Chcete-li uložit dotaz jako funkci, je nutné zadat alias funkce, což je název, který se používá k volání tohoto dotazu, pokud na něj odkazují jiné dotazy.In order to save a query as a function, you must provide a function alias, which is the name used to call this query when referenced by other queries.

Save – funkce

Poznámka

Následující znaky jsou podporovány – a–z, A–Z, 0-9, -, _, ., <space>, (, ), | v poli název při ukládání nebo úpravách uloženého dotazu.The following characters are supported - a–z, A–Z, 0-9, -, _, ., <space>, (, ), | in the Name field when saving or editing the saved query.

Log Analytics dotazy se vždycky ukládají do vybraného pracovního prostoru a sdílí se s ostatními uživateli tohoto pracovního prostoru.Log Analytics queries are always saved to a selected workspace, and shared with other users of that workspace.

Načíst dotazyLoad queries

Ikona Průzkumník dotazů je v pravé horní části.The Query Explorer icon is at the top-right area. Zobrazí se seznam všech uložených dotazů podle kategorie.This lists all saved queries by category. Umožňuje také označit konkrétní dotazy jako oblíbené položky a rychle je najít v budoucnu.It also enables you to mark specific queries as Favorites to quickly find them in the future. Dvojím kliknutím na uložený dotaz ho přidejte do aktuálního okna.Double-click a saved query to add it to the current window.

Průzkumník dotazů

Log Analytics podporuje několik metod exportu:Log Analytics supports several exporting methods:

  • Excel: Výsledky uložte jako soubor CSV.Excel: Save the results as a CSV file.
  • Power BI: Exportujte výsledky do Power BI.Power BI: Export the results to Power BI. Podrobnosti najdete v tématu Import dat protokolu Azure monitor do Power BI .See Import Azure Monitor log data into Power BI for details.
  • Sdílet odkaz: Samotný dotaz může být sdílen jako odkaz, který lze následně odeslat a spustit jinými uživateli, kteří mají přístup ke stejnému pracovnímu prostoru.Share a link: The query itself can be shared as a link which can then be sent and executed by other users that have access to the same workspace.

Další krokyNext steps