Přehled dotazů protokolu v Azure MonitorOverview of log queries in Azure Monitor

Dotazy protokolu umožňují plně využít hodnoty dat shromažďovaných v protokolech Azure monitor.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Výkonný dotazovací jazyk umožňuje spojit data z více tabulek, agregovat velké sady dat a provádět komplexní operace s minimálním kódem.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Prakticky všechny dotazy mohou být zodpovězeny a analýzou provedeny, pokud jsou shromážděna podpůrná data a rozumíte tomu, jak vytvořit správný dotaz.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Některé funkce v Azure Monitor, jako jsou přehledy a řešení , zpracovávají data protokolu bez odhalení základních dotazů.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Abyste mohli plně využít jiné funkce Azure Monitor, měli byste pochopit, jak se vytvářejí dotazy a jak je můžete používat k interaktivní analýze dat v protokolech Azure Monitor.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

V tomto článku se dozvíte, jak se naučíte používat dotazy protokolu v Azure Monitor.Use this article as a starting point to learning about log queries in Azure Monitor. Odpovídá na časté otázky a poskytuje odkazy na další dokumentaci, která poskytuje další podrobnosti a lekce.It answers common questions and provides links to other documentation that provides further details and lessons.

Jak se můžu dozvědět, jak zapisovat dotazy?How can I learn how to write queries?

Pokud chcete přejít přímo na nějaké věci, můžete začít s následujícími kurzy:If you want to jump right into things, you can start with the following tutorials:

Jakmile vyberete základní informace, Projděte si více lekcí s využitím vlastních dat nebo dat z našeho ukázkového prostředí od:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Jaký jazyk používají dotazy protokolu?What language do log queries use?

Protokoly Azure Monitor jsou založené na Azure Průzkumník data dotazy protokolu se zapisují pomocí stejného dotazovacího jazyka KQL (Kusto Query Language).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Jedná se o bohatou jazyk navržený tak, aby bylo snadné ho číst a vytvářet a abyste ho mohli začít používat s minimálními pokyny.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Úplnou dokumentaci k KQL najdete v dokumentaci k Azure Průzkumník dat KQL a referenční informace k různým dostupným funkcím.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Rychlý návod k jazyku s použitím dat z protokolů Azure Monitor najdete v tématu Začínáme s dotazy protokolu v Azure monitor .See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. V tématu Azure monitor rozdíly v jazyce dotazů protokolu pro drobné rozdíly ve verzi KQL používané v Azure monitor.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Jaká data jsou k dispozici pro dotazy protokolů?What data is available to log queries?

Všechna data shromážděná v protokolech Azure Monitor jsou k dispozici pro načtení a analýzu v protokolových dotazech.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Různé zdroje dat zapisují svá data do různých tabulek, ale k analýze dat napříč více zdroji můžete použít více tabulek v jednom dotazu.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Když vytváříte dotaz, začnete tím, že určíte, které tabulky mají data, která hledáte, takže byste měli mít aspoň základní znalosti o tom, jak jsou data v Azure Monitorch protokolech strukturovaná.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Seznam různých zdrojů dat, které naplňují protokoly Azure Monitor, najdete v tématu zdroje protokolů Azure monitor.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Vysvětlení způsobu strukturování dat najdete v tématu Struktura protokolů Azure monitor .See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Jak vypadá dotaz protokolu?What does a log query look like?

Dotaz může být jednoduchý jako název jedné tabulky pro načtení všech záznamů z této tabulky:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Nebo může filtrovat konkrétní záznamy, shrnout je a vizualizovat výsledky v grafu:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Pro složitější analýzu můžete načíst data z více tabulek pomocí spojení k analýze výsledků společně.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

I když nejste obeznámeni s KQL, měli byste být schopni aspoň zjistit základní logiku, kterou tyto dotazy používají.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Začínají názvem tabulky a potom přidávají více příkazů pro filtrování a zpracování těchto dat.They start with the name of a table and then add multiple commands to filter and process that data. Dotaz může používat libovolný počet příkazů a můžete psát složitější dotazy, jak se seznámit s různými KQL příkazy k dispozici.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

V tématu Začínáme s dotazy protokolu v Azure monitor najdete kurz o dotazech protokolů, které zavádí jazyk a běžné funkce.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Co je služba Log Analytics?What is Log Analytics?

Log Analytics je primárním nástrojem v Azure Portal pro zápis dotazů protokolu a interaktivní analýze jejich výsledků.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. I v případě, že se dotaz protokolu používá jinde v Azure Monitor, obvykle nejprve zapíšete a otestujete dotaz pomocí Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Můžete začít Log Analytics z několika míst v Azure Portal.You can start Log Analytics from several places in the Azure portal. Rozsah dat, která jsou k dispozici pro Log Analytics, je určen podle toho, jak je spustíte.The scope of the data available to Log Analytics is determined by how you start it. Další podrobnosti najdete v oboru dotazů .See Query Scope for more details.

  • Z nabídky Azure monitor nebo z nabídky pracovní prostory Log Analytics vyberte protokoly .Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Na stránce Přehled aplikace Application Insights vyberte Analytics .Select Analytics from the Overview page of an Application Insights application.
  • V nabídce prostředku Azure vyberte protokoly .Select Logs from the menu of an Azure resource.

Log Analytics

V článku Začínáme s Log Analytics v Azure monitor najdete návod k Log Analytics, který přináší několik jeho funkcí.See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Kde jinde se používají dotazy protokolu?Where else are log queries used?

Kromě interaktivní práce s dotazy protokolů a jejich výsledky v Log Analytics oblasti v Azure Monitor, kde budete používat dotazy, patří následující:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Pravidla výstrah.Alert rules. Pravidla výstrah proaktivně identifikují problémy z dat ve vašem pracovním prostoru.Alert rules proactively identify issues from data in your workspace. Každé pravidlo výstrahy je založené na prohledávání protokolu, které se automaticky spouští v pravidelných intervalech.Each alert rule is based on a log search that is automatically run at regular intervals. Výsledky jsou zkontrolovány, aby bylo možné určit, zda má být vytvořena výstraha.The results are inspected to determine if an alert should be created.
  • Řídicí panely.Dashboards. Výsledky jakéhokoli dotazu můžete připnout na řídicí panel Azure , který vám umožní vizualizovat data protokolů a metrik společně a volitelně sdílet s ostatními uživateli Azure.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Náhled.Views. Vizualizace dat, která se mají zahrnout do uživatelských řídicích panelů, můžete vytvořit pomocí návrháře zobrazení.You can create visualizations of data to be included in user dashboards with View Designer. Dotazy protokolu poskytují data používaná dlaždicemi a částmi vizualizace v každém zobrazení.Log queries provide the data used by tiles and visualization parts in each view.
  • Export.Export. Když importujete data protokolu z Azure Monitor do aplikace Excel nebo Power BI, vytvoříte dotaz protokolu pro definování dat k exportu.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. PowerShellový skript můžete spustit z příkazového řádku nebo Azure Automation Runbooku, který pomocí rutiny Get-AzOperationalInsightsSearchResults načte data protokolu z Azure monitor.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Tato rutina vyžaduje dotaz k určení dat, která se mají načíst.This cmdlet requires a query to determine the data to retrieve.
  • Rozhraní API protokolů Azure Monitor.Azure Monitor Logs API. Rozhraní API protokolů Azure monitor umožňuje každému klientovi REST API načíst data protokolu z pracovního prostoru.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. Požadavek rozhraní API obsahuje dotaz, který se spouští proti Azure Monitor k určení dat, která se mají načíst.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Další krokyNext steps