Erste Schritte mit Log Analytics in Azure MonitorGet started with Log Analytics in Azure Monitor

Hinweis

Sie können diese Übung in Ihrer eigenen Umgebung durcharbeiten, wenn Sie Daten von mindestens einem virtuellen Computer sammeln.You can work through this exercise in your own environment if you are collecting data from at least one virtual machine. Andernfalls verwenden Sie die Demoumgebung, die eine Vielzahl von Beispieldaten enthält.If not then use our Demo environment, which includes plenty of sample data.

In diesem Tutorial erfahren Sie, wie Sie mithilfe von Log Analytics im Azure-Portal Azure Monitor-Protokollabfragen schreiben können.In this tutorial you will learn how to use Log Analytics in the Azure portal to write Azure Monitor log queries. Es wird Folgendes vermittelt:It will teach you how to:

  • Verwenden von Log Analytics zum Schreiben einer einfachen AbfrageUse Log Analytics to write a simple query
  • Grundlegendes zum Schema Ihrer DatenUnderstand the schema of your data
  • Filtern, Sortieren und Gruppieren von ErgebnissenFilter, sort, and group results
  • Anwenden eines ZeitbereichsApply a time range
  • Erstellen von DiagrammenCreate charts
  • Speichern und Laden von AbfragenSave and load queries
  • Exportieren und Freigeben von AbfragenExport and share queries

Ein Tutorial zum Schreiben von Protokollabfragen finden Sie unter Erste Schritte mit Protokollabfragen in Azure Monitor.For a tutorial on writing log queries, see Get started with log queries in Azure Monitor.
Weitere Informationen zu Protokollabfragen finden Sie unter Übersicht über Protokollabfragen in Azure Monitor.For more details on log queries, see Overview of log queries in Azure Monitor.

Einführung in Log AnalyticsMeet Log Analytics

Log Analytics ist ein Webtool, das zum Schreiben und Ausführen von Azure Monitor-Protokollabfragen verwendet wird.Log Analytics is a web tool used to write and execute Azure Monitor log queries. Sie können es durch Auswählen von Protokolle im Menü „Azure Monitor“ öffnen.Open it by selecting Logs in the Azure Monitor menu. Zu Beginn wird eine neue leere Abfrage angezeigt.It starts with a new blank query.

Startseite

FirewallanforderungenFirewall requirements

Um Log Analytics verwenden zu können, benötigt Ihr Browser Zugriff auf die folgenden Adressen.To use Log Analytics, your browser requires access to the following addresses. Wenn der Browser über eine Firewall auf das Azure-Portal zugreift, müssen Sie den Zugriff auf diese Adressen aktivieren.If your browser is accessing the Azure portal through a firewall, you must enable access to these addresses.

UriUri IPIP PortsPorts
portal.loganalytics.ioportal.loganalytics.io DynamischDynamic 80, 44380,443
api.loganalytics.ioapi.loganalytics.io DynamischDynamic 80, 44380,443
docs.loganalytics.iodocs.loganalytics.io DynamischDynamic 80, 44380,443

Grundlegende AbfragenBasic queries

Mithilfe von Abfragen können Suchbegriffe verwendet, Trends identifiziert, Muster analysiert und viele andere Informationen basierend auf Ihren Daten ermittelt werden.Queries can be used to search terms, identify trends, analyze patterns, and provide many other insights based on your data. Beginnen Sie mit einer einfachen Abfrage:Start with a basic query:

Event | search "error"

Diese Abfrage durchsucht die Tabelle Event nach Datensätzen, die in einer Eigenschaft den Begriff error enthalten.This query searches the Event table for records that contain the term error in any property.

Abfragen können entweder mit einem Tabellennamen oder einem search-Befehl beginnen.Queries can start with either a table name or a search command. Das obige Beispiel beginnt mit dem Tabellennamen Event, wodurch alle Datensätze aus der Tabelle „Event“ abgerufen werden.The above example starts with the table name Event, which retrieves all records from the Event table. Der senkrechte Strich (|) trennt Befehle, d.h. die Ausgabe des ersten Befehls dient als Eingabe für den folgenden Befehl.The pipe (|) character separates commands, so the output of the first one serves as the input of the following command. Sie können eine beliebige Anzahl von Befehlen zu einer einzelnen Abfrage hinzufügen.You can add any number of commands to a single query.

Eine andere Möglichkeit, die gleiche Abfrage zu schreiben, wäre Folgende:Another way to write that same query would be:

search in (Event) "error"

In diesem Beispiel bezieht sich search auf die Tabelle Event, und alle Datensätze in dieser Tabelle werden nach dem Begriff error durchsucht.In this example, search is scoped to the Event table, and all records in that table are searched for the term error.

Ausführen einer AbfrageRunning a query

Führen Sie eine Abfrage aus, indem Sie auf die Schaltfläche Ausführen klicken oder die UMSCHALT+EINGABETASTE drücken.Run a query by clicking the Run button or pressing Shift+Enter. Beachten Sie die folgenden Details, die den Code, der ausgeführt wird, und die zurückgegebenen Daten bestimmen:Consider the following details which determine the code that will be run and the data that's returned:

  • Zeilenumbrüche: Ein einzelner Umbruch sorgt für eine bessere Lesbarkeit Ihrer Abfrage.Line breaks: A single break makes your query easier to read. Mehrere Zeilenumbrüche teilen diese in separate Abfragen auf.Multiple line breaks split it into separate queries.
  • Cursor: Platzieren Sie den Cursor an einer beliebigen Stelle in der Abfrage, um sie auszuführen.Cursor: Place your cursor somewhere inside the query to execute it. Der Code ist die aktuelle Abfrage bis zum einer leeren Zeile.The current query is considered to be the code up until a blank line is found.
  • Zeitbereich: Standardmäßig ist der Zeitbereich Letzte 24 Stunden festgelegt.Time range - A time range of last 24 hours is set by default. Wenn Sie einen anderen Bereich verwenden möchten, verwenden Sie die Zeitauswahl, oder fügen Sie Ihrer Abfrage einen expliziten Zeitbereichsfilter hinzu.To use a different range, use the time-picker or add an explicit time range filter to your query.

Grundlegendes zum SchemaUnderstand the schema

Das Schema ist eine Auflistung von Tabellen, die visuell unter einer logischen Kategorie gruppiert sind.The schema is a collection of tables visually grouped under a logical category. Mehrere Kategorien stammen aus Überwachungslösungen.Several of the categories are from monitoring solutions. Die Kategorie LogManagement enthält allgemeine Daten wie Windows- und Syslog-Ereignisse, Leistungsdaten und Agent-Takte.The LogManagement category contains common data such as Windows and Syslog events, performance data, and agent heartbeats.

Schema

In jeder Tabelle sind Daten in Spalten mit unterschiedlichen Datentypen angeordnet, was durch Symbole neben dem Spaltennamen angegeben wird.In each table, data is organized in columns with different data types as indicated by icons next to the column name. Die im Screenshot gezeigte Event-Tabelle enthält Spalten wie Computer, bei der es sich um Text handelt, EventCategory, bei der es sich um eine Zahl handelt, und TimeGenerated, bei der es sich um Datum/Uhrzeit handelt.For example, the Event table shown in the screenshot contains columns such as Computer which is text, EventCategory which is a number, and TimeGenerated which is date/time.

Filtern der ErgebnisseFilter the results

Fügen Sie zunächst alle Elemente in die Event-Tabelle ein.Start by getting everything in the Event table.

Event

Log Analytics beschränkt die Ergebnisse automatisch auf Folgendes:Log Analytics automatically scopes results by:

  • Zeitbereich: Abfragen werden standardmäßig auf die letzten 24 Stunden beschränkt.Time range: By default, queries are limited to the last 24 hours.
  • Anzahl von Ergebnissen: Ergebnisse sind auf maximal 10.000 Datensätze beschränkt.Number of results: Results are limited to maximum of 10,000 records.

Diese Abfrage ist sehr allgemein gehalten und gibt zu viele Ergebnisse zurück.This query is very general, and it returns too many results to be useful. Sie können die Ergebnisse entweder über die Tabellenelemente oder explizit durch Hinzufügen eines Filters zur Abfrage filtern.You can filter the results either through the table elements, or by explicitly adding a filter to the query. Das Filtern von Ergebnissen durch die Tabellenelemente gilt für das vorhandene Resultset, während ein Filter für die Abfrage selbst ein neues gefiltertes Resultset zurückgibt und daher genauere Ergebnisse liefern kann.Filtering results through the table elements applies to the existing result set, while a filter to the query itself will return a new filtered result set and could therefore produce more accurate results.

Hinzufügen eines Filters zur AbfrageAdd a filter to the query

Links neben den einzelnen Datensätzen wird ein Pfeil angezeigt.There is an arrow to the left of each record. Klicken Sie auf diesen Pfeil, um die Details für einen bestimmten Datensatz zu öffnen.Click this arrow to open the details for a specific record.

Zeigen Sie auf einen Spaltennamen für die Symbole „+“ und „-“, um diese anzuzeigen.Hover above a column name for the "+" and "-" icons to display. Um einen Filter hinzuzufügen, der nur Datensätze mit dem gleichen Wert zurückgibt, klicken Sie auf das „+“-Zeichen.To add a filter that will return only records with the same value, click the "+" sign. Klicken Sie auf „-“, um Datensätze mit diesem Wert auszuschließen, und klicken Sie dann auf Ausführen, um die Abfrage erneut auszuführen.Click "-" to exclude records with this value and then click Run to run the query again.

Hinzufügen eines Filters zur Abfrage

Filtern über die TabellenelementeFilter through the table elements

Konzentrieren wir uns nun auf Ereignisse mit dem Schweregrad Error.Now let's focus on events with a severity of Error. Dieser wird in einer Spalte namens EventLevelName angegeben.This is specified in a column named EventLevelName. Sie müssen nach rechts scrollen, um diese Spalte anzuzeigen.You'll need to scroll to the right to see this column.

Klicken Sie auf das Filtersymbol neben dem Spaltentitel, und wählen Sie im Popupfenster Werte aus, die bei Beginnt mit den Text error aufweisen:Click the Filter icon next to the column title, and in the pop-up window select values that Starts with the text error:

Filter

Sortieren und Gruppieren von ErgebnissenSort and group results

Die Ergebnisse werden nun nur auf Fehlerereignisse von SQL Server eingegrenzt, die in den letzten 24 Stunden erstellt wurden.The results are now narrowed down to include only error events from SQL Server, created in the last 24 hours. Die Ergebnisse werden jedoch in keinerlei Weise sortiert.However, the results are not sorted in any way. Um die Ergebnisse nach einer bestimmten Spalte wie timestamp zu sortieren, klicken Sie beispielsweise auf den Spaltentitel.To sort the results by a specific column, such as timestamp for example, click the column title. Mit einem Klick erfolgt die Sortierung in aufsteigender Reihenfolge, während diese mit einem zweiten Klick in die absteigende Sortierung geändert wird.One click sorts in ascending order while a second click will sort in descending.

Sortieren einer Spalte

Eine weitere Möglichkeit zum Organisieren von Ergebnissen sind Gruppen.Another way to organize results is by groups. Zum Gruppieren von Ergebnissen nach einer bestimmten Spalte ziehen Sie einfach die Spaltenüberschrift über die anderen Spalten.To group results by a specific column, simply drag the column header above the other columns. Um Untergruppen zu erstellen, ziehen Sie andere Spalten ebenfalls zur oberen Leiste.To create subgroups, drag other columns the upper bar as well.

Gruppen

Auswählen der anzuzeigenden SpaltenSelect columns to display

Die Ergebnistabelle enthält oft viele Spalten.The results table often includes a lot of columns. Einige der zurückgegebenen Spalten werden möglicherweise standardmäßig nicht angezeigt, oder eventuell möchten Sie einige der Spalten entfernen, die angezeigt werden.You might find that some of the returned columns are not displayed by default, or you may want to remove some the columns that are displayed. Um die anzuzeigenden Spalten auszuwählen, klicken Sie auf die Schaltfläche „Spalten“:To select the columns to show, click the Columns button:

Spalten auswählen

Auswählen eines ZeitbereichsSelect a time range

Standardmäßig wendet Log Analytics den Zeitbereich Letzte 24 Stunden an.By default, Log Analytics applies the last 24 hours time range. Um einen anderen Bereich zu verwenden, wählen Sie einen anderen Wert über die Zeitauswahl aus, und klicken Sie auf Ausführen.To use a different range, select another value through the time picker and click Run. Neben den vordefinierten Werten können Sie die Option Benutzerdefinierter Zeitbereich verwenden, um einen absoluten Bereich für Ihre Abfrage auszuwählen.In addition to the preset values, you can use the Custom time range option to select an absolute range for your query.

Zeitauswahl

Wenn Sie einen benutzerdefinierten Zeitbereich auswählen, werden die Werte im UTC-Format angezeigt, das von Ihrer lokalen Zeitzone abweichen könnte.When selecting a custom time range, the selected values are in UTC, which could be different than your local time zone.

Wenn die Abfrage explizit einen Filter für TimeGenerated enthält, zeigt der Titel der Zeitauswahl In Abfrage festlegen an.If the query explicitly contains a filter for TimeGenerated, the time picker title will show Set in query. Die manuelle Auswahl wird deaktiviert, um einen Konflikt zu verhindern.Manual selection will be disabled to prevent a conflict.

DiagrammeCharts

Ergebnisse können nicht nur in einer Tabelle zurückgegeben werden, sondern auch in visuellen Formaten dargestellt werden.In addition to returning results in a table, query results can be presented in visual formats. Verwenden Sie als Beispiel folgende Abfrage:Use the following query as an example:

Event 
| where EventLevelName == "Error" 
| where TimeGenerated > ago(1d) 
| summarize count() by Source 

Standardmäßig werden Ergebnisse in einer Tabelle angezeigt.By default, results are displayed in a table. Klicken Sie auf Diagramm, um die Ergebnisse in einer grafischen Ansicht anzuzeigen:Click Chart to see the results in a graphic view:

Balkendiagramm

Die Ergebnisse werden in einem gestapelten Balkendiagramm angezeigt.The results are shown in a stacked bar chart. Klicken Sie auf Gestapelte Säule, und wählen Sie Kreis aus, um eine andere Ansicht der Ergebnisse anzuzeigen:Click Stacked Column and select Pie to show another view of the results:

Kreisdiagramm

Die verschiedenen Eigenschaften der Ansicht, z.B. x- und y-Achsen, oder die Gruppierung und Aufteilung von Einstellungen kann manuell über die Steuerleiste geändert werden.Different properties of the view, such as x and y axes, or grouping and splitting preferences, can be changed manually from the control bar.

Mit dem render-Operator können Sie auch die bevorzugte Ansicht in der Abfrage selbst festlegen.You can also set the preferred view in the query itself, using the render operator.

Intelligente DiagnoseSmart diagnostics

Wenn in einem Zeitdiagramm eine abrupte Spitze oder ein Sprung in Ihren Daten dargestellt ist, wird unter Umständen ein hervorgehobener Punkt auf der Linie angezeigt.On a timechart, if there is a sudden spike or step in your data, you may see a highlighted point on the line. Dieser gibt an, dass die intelligente Diagnose eine Kombination von Eigenschaften ermittelt hat, die die abrupte Änderung herausfiltert.This indicates that Smart Diagnostics has identified a combination of properties that filter out the sudden change. Klicken Sie auf den Punkt, um weitere Details zum Filter zu erhalten und die gefilterte Version anzuzeigen.Click the point to get more detail on the filter, and to see the filtered version. Dadurch können Sie vielleicht ermitteln, was die Änderung verursacht hat:This may help you identify what caused the change:

Intelligente Diagnose

An Dashboard anheftenPin to dashboard

Um ein Diagramm oder eine Tabelle an eines Ihrer freigegebenen Azure-Dashboards anzuheften, klicken Sie auf das Stecknadelsymbol.To pin a diagram or table to one of your shared Azure dashboards, click the pin icon. Beachten Sie, dass dieses Symbol anders als im nachfolgenden Screenshot an den oberen Rand des Log Analytics-Fensters verschoben wurde.Note that this icon has moved to the top of the Log Analytics window, different from the screenshot below.

An Dashboard anheften

Auf ein Diagramm werden bestimmte Vereinfachungen angewendet, wenn Sie es an ein Dashboard anheften:Certain simplifications are applied to a chart when you pin it to a dashboard:

  • Tabellenspalten und -zeilen: Damit eine Tabelle an das Dashboard angeheftet werden kann, darf sie maximal vier Spalten enthalten.Table columns and rows: In order to pin a table to the dashboard, it must have four or fewer columns. Nur die ersten sieben Zeilen werden angezeigt.Only the top seven rows are displayed.
  • Zeitbeschränkung: Abfragen sind automatisch auf die letzten 14 Tage begrenzt.Time restriction: Queries are automatically limited to the past 14 days.
  • Maximale Anzahl von Containern: Wenn Sie ein Diagramm mit zahlreichen separaten Containern anzeigen, werden die Container mit wenig Daten automatisch in einem einzelnen anderen Container zusammengefasst.Bin count restriction: If you display a chart that has a lot of discrete bins, less populated bins are automatically grouped into a single others bin.

Speichern von AbfragenSave queries

Nachdem Sie eine nützliche Abfrage erstellt haben, sollten Sie diese speichern oder für andere Benutzer freigeben.Once you've created a useful query, you might want to save it or share with others. Das Symbol zum Speichern befindet sich in der oberen Leiste.The Save icon is on the top bar.

Sie können entweder die gesamte Abfrageseite oder eine einzelne Abfrage als Funktion speichern.You can save either the entire query page, or a single query as a function. Funktionen sind Abfragen, auf die auch durch andere Abfragen verwiesen werden kann.Functions are queries that can also be referenced by other queries. Um eine Abfrage als Funktion zu speichern, müssen Sie einen Funktionsalias angeben. Dies ist der Name zum Aufrufen dieser Abfrage, wenn durch andere Abfragen auf diese verwiesen wird.In order to save a query as a function, you must provide a function alias, which is the name used to call this query when referenced by other queries.

Funktion speichern

Hinweis

Folgende Zeichen werden unterstützt: a–z, A–Z, 0-9, -, _, ., <space>, (, ), | (im Feld Name beim Speichern oder Bearbeiten der gespeicherten Abfrage).The following characters are supported - a–z, A–Z, 0-9, -, _, ., <space>, (, ), | in the Name field when saving or editing the saved query.

Log Analytics-Abfragen werden immer in einem ausgewählten Arbeitsbereich gespeichert und für andere Benutzer des Arbeitsbereichs freigegeben.Log Analytics queries are always saved to a selected workspace, and shared with other users of that workspace.

Laden von AbfragenLoad queries

Das Abfrage-Explorer-Symbol wird im oberen rechten Bereich angezeigt.The Query Explorer icon is at the top-right area. Hiermit werden alle gespeicherten Abfragen nach Kategorie aufgeführt.This lists all saved queries by category. Darüber hinaus können Sie bestimmte Abfragen als Favoriten markieren, um diese später schnell finden zu können.It also enables you to mark specific queries as Favorites to quickly find them in the future. Doppelklicken Sie auf eine gespeicherte Abfrage, um sie zum aktuellen Fenster hinzuzufügen.Double-click a saved query to add it to the current window.

Abfrage-Explorer

Log Analytics unterstützt mehrere Exportmethoden:Log Analytics supports several exporting methods:

  • Excel: Speichern Sie die Ergebnisse als CSV-Datei.Excel: Save the results as a CSV file.
  • Power BI: Exportieren Sie die Ergebnisse in Power BI.Power BI: Export the results to Power BI. Einzelheiten finden Sie unter Importieren von Azure Monitor-Protokolldaten in Power BI.See Import Azure Monitor log data into Power BI for details.
  • Freigabe eines Links: Die Abfrage selbst kann als Link freigegeben werden, der dann von anderen Benutzern, die Zugriff auf den gleichen Arbeitsbereich haben, gesendet und ausgeführt werden kann.Share a link: The query itself can be shared as a link which can then be sent and executed by other users that have access to the same workspace.

Nächste SchritteNext steps