Log Analytics-TutorialLog Analytics tutorial

Log Analytics ist ein Tool im Azure-Portal, mit dem Protokollabfragen aus den von Azure Monitor-Protokollen erfassten Daten bearbeitet und ausgeführt sowie deren Ergebnisse interaktiv analysiert werden können.Log Analytics is a tool in the Azure portal to edit and run log queries from data collected by Azure Monitor Logs and interactively analyze their results. Mit Log Analytics-Abfragen können Sie Datensätze abrufen, die bestimmte Kriterien erfüllen, Trends identifizieren, Muster analysieren und eine Vielzahl von Erkenntnissen aus Ihren Daten gewinnen.You can use Log Analytics queries to retrieve records matching particular criteria, identify trends, analyze patterns, and provide a variety of insights into your data.

In diesem Tutorial werden die Log Analytics-Benutzeroberfläche, die ersten Schritte mit einigen einfachen Abfragen und die Möglichkeiten zur Verwendung der Ergebnisse erläutert.This tutorial walks you through the Log Analytics interface, gets you started with some basic queries, and shows you how you can work with the results. Sie lernen Folgendes:You will learn the following:

  • Das Schema von Protokolldaten nachvollziehenUnderstand the log data schema
  • Einfache Abfragen schreiben und ausführen sowie den Zeitbereich für Abfragen ändernWrite and run simple queries, and modify the time range for queries
  • Abfrageergebnisse filtern, sortieren und gruppierenFilter, sort, and group query results
  • Visuelle Elemente der Abfrageergebnisse anzeigen, ändern und teilenView, modify, and share visuals of query results
  • Abfragen und Ergebnisse laden, exportieren und kopierenLoad, export, and copy queries and results

Wichtig

In diesem Tutorial werden Features von Log Analytics zum Erstellen und Ausführen einer Abfrage verwendet, anstatt mit der Abfrage selbst zu arbeiten.This tutorial uses features of Log Analytics to build and run a query instead of working with the query itself. Sie nutzen Log Analytics-Features, um eine Abfrage zu erstellen, und verwenden eine weitere Beispielabfrage.You'll leverage Log Analytics features to build one query and use another example query. Wenn Sie sich über die Syntax von Abfragen informieren und direkt mit dem Bearbeiten der Abfrage selbst beginnen möchten, schauen Sie sich das Tutorial zur Kusto-Abfragesprache an.When you're ready to learn the syntax of queries and start directly editing the query itself, go through the Kusto Query Language tutorial. In diesem Tutorial werden mehrere Beispielabfragen erläutert, die Sie in Log Analytics mit einigen der hier vorgestellten Features bearbeiten und ausführen können.That tutorial walks through several example queries that you can edit and run in Log Analytics, leveraging several of the features that you'll learn in this tutorial.

VoraussetzungenPrerequisites

In diesem Tutorial wird die Demoumgebung von Log Analytics verwendet, die zahlreiche Beispieldaten zum Ausführen der Beispielabfragen enthält.This tutorial uses the Log Analytics demo environment, which includes plenty of sample data supporting the sample queries. Sie können auch Ihr eigenes Azure-Abonnement verwenden, verfügen dann aber möglicherweise nicht über Daten in denselben Tabellen.You can also use your own Azure subscription, but you may not have data in the same tables.

Öffnen von Log AnalyticsOpen Log Analytics

Öffnen Sie die Demoumgebung von Log Analytics, oder wählen Sie im Azure Monitor-Menü in Ihrem Abonnement die Option Protokolle aus.Open the Log Analytics demo environment or select Logs from the Azure Monitor menu in your subscription. Dadurch wird der Anfangsbereich auf einen Log Analytics-Arbeitsbereich festgelegt. Dies bedeutet, dass Ihre Abfrage die Auswahl auf Grundlage aller Daten in diesem Arbeitsbereich trifft.This will set the initial scope to a Log Analytics workspace meaning that your query will select from all data in that workspace. Wenn Sie die Option Protokolle im Menü einer Azure-Ressource auswählen, wird der Bereich nur auf Datensätze in dieser Ressource festgelegt.If you select Logs from an Azure resource's menu, the scope is set to only records from that resource. Ausführliche Informationen zum Bereich finden Sie unter Protokollabfragebereich.See Log query scope for details about the scope.

Sie können den Bereich in der oberen linken Ecke des Bildschirms anzeigen.You can view the scope in the top left corner of the screen. Wenn Sie Ihre eigene Umgebung verwenden, wird eine Option zum Auswählen eines anderen Bereichs angezeigt, in der Demoumgebung ist diese Option jedoch nicht verfügbar.If you're using your own environment, you'll see an option to select a different scope, but this option isn't available in the demo environment.

AbfragebereichQuery scope

TabellenschemaTable schema

Auf der linken Seite des Bildschirms finden Sie die Registerkarte Tabellen, auf der Sie die im aktuellen Bereich verfügbaren Tabellen untersuchen können.The left side of the screen includes the Tables tab which allows you to inspect the tables that are available in the current scope. Diese sind standardmäßig nach Projektmappe gruppiert, Sie können die Gruppierung jedoch ändern oder die Tabellen filtern.These are grouped by Solution by default, but you change their grouping or filter them.

Erweitern Sie die Projektmappe Log Management, und suchen Sie nach der Tabelle AzureActivity.Expand the Log Management solution and locate the AzureActivity table. Sie können die Tabelle erweitern, um das Schema anzuzeigen, oder auf ihren Namen zeigen, um zusätzliche Informationen zu erhalten.You can expand the table to view its schema, or hover over its name to show additional information about it.

TabellenansichtTables view

Klicken Sie auf Weitere Informationen, um zum Tabellenverweis zu wechseln, unter dem die einzelnen Tabellen und die zugehörigen Spalten dokumentiert sind.Click Learn more to go to the table reference that documents each table and its columns. Klicken Sie auf Datenvorschau, um einen kurzen Blick auf einige der aktuellen Datensätze in der Tabelle zu werfen.Click Preview data to have a quick look at a few recent records in the table. So können Sie sicherstellen, dass es sich hierbei um die erwarteten Daten handelt, bevor Sie damit eine Abfrage ausführen.This can be useful to ensure that this is the data that you're expecting before you actually run a query with it.

BeispieldatenSample data

Schreiben Sie eine Abfrage.Write a query

Jetzt schreiben Sie mithilfe der Tabelle AzureActivity eine Abfrage.Let's go ahead and write a query using the AzureActivity table. Doppelklicken Sie auf den Namen der Tabelle, um ihn dem Abfragefenster hinzuzufügen.Double-click its name to add it to the query window. Sie können den Namen auch direkt in das Fenster eingeben und sogar IntelliSense nutzen, um die Namen von Tabellen im aktuellen Bereich und KQL-Befehle vervollständigen zu lassen.You can also type directly in the window and even get intellisense that will help complete the names of tables in the current scope and KQL commands.

Dies ist die einfachste Abfrage, die wir schreiben können.This is the simplest query that we can write. Sie gibt lediglich alle Datensätze in einer Tabelle zurück.It just returns all the records in a table. Führen Sie die Abfrage aus, indem Sie auf die Schaltfläche Ausführen klicken oder den Cursor an einer beliebigen Stelle im Abfragetext positionieren und UMSCHALT+EINGABETASTE drücken.Run it by clicking the Run button or by pressing Shift+Enter with the cursor positioned anywhere in the query text.

AbfrageergebnisseQuery results

Wie Sie sehen, werden Ergebnisse angezeigt.You can see that we do have results. Die Anzahl von Datensätzen, die von der Abfrage zurückgegeben werden, wird in der unteren rechten Ecke angezeigt.The number of records returned by the query is displayed in the bottom right corner.

FilternFilter

Nun fügen Sie der Abfrage einen Filter hinzu, um die Anzahl zurückgegebener Datensätze zu verringern.Let's add a filter to the query to reduce the number of records that are returned. Klicken Sie im linken Bereich auf die Registerkarte Filter.Select the Filter tab in the left pane. Dort werden verschiedene Spalten in den Abfrageergebnissen angezeigt, die Sie zum Filtern der Ergebnisse verwenden können.This shows different columns in the query results that you can use to filter the results. Die obersten Werte in den Spalten werden mit der Anzahl von Datensätzen angezeigt, die diesen Wert enthalten.The top values in those columns are displayed with the number of records with that value. Klicken Sie unter CategoryValue auf Administrativ und dann auf Anwenden und ausführen.Click on Administrative under CategoryValue and then Apply & Run.

AbfragebereichQuery pane

Der Abfrage wird eine where-Anweisung mit dem von Ihnen ausgewählten Wert hinzugefügt.A where statement is added to the query with the value you selected. Die Ergebnisse enthalten jetzt nur die Datensätze mit diesem Wert, und die Anzahl von Datensätzen ist entsprechend geringer.The results now include only those records with that value so you can see that the record count is reduced.

Gefilterte AbfrageergebnisseQuery results filtered

UhrzeitbereichTime range

Alle Tabellen in einem Log Analytics-Arbeitsbereich verfügen über eine Spalte TimeGenerated, die den Zeitpunkt der Erstellung des Datensatzes angibt.All tables in a Log Analytics workspace have a column called TimeGenerated which is the time that the record was created. Alle Abfragen weisen einen Zeitbereich auf, durch den die Ergebnisse auf Datensätze mit einem TimeGenerated-Wert innerhalb dieses Bereichs beschränkt werden.All queries have a time range that limits the results to records with a TimeGenerated value within that range. Der Zeitbereich kann entweder in der Abfrage oder mit dem Selektor oben auf dem Bildschirm festgelegt werden.The time range can either be set in the query or with the selector at the top of the screen.

Standardmäßig gibt die Abfrage Datensätze der letzten 24 Stunden zurück.By default, the query will return records form the last 24 hours. Wählen Sie das Dropdownmenü Zeitbereich aus, und ändern Sie den Wert in 7 Tage.Select the Time range dropdown and change it to 7 days. Klicken Sie erneut auf Ausführen, um die Ergebnisse zurückzugeben.Click Run again to return the results. Wie Sie sehen, werden Ergebnisse zurückgegeben, eine Meldung weist jedoch darauf hin, dass nicht alle Ergebnisse angezeigt werden.You can see that results are returned, but we have a message here that we're not seeing all of the results. Dies liegt daran, dass Log Analytics maximal 10.000 Datensätze zurückgeben kann und unsere Abfrage mehr Datensätze zurückgegeben hat.This is because Log Analytics can return a maximum of 10,000 records, and our query returned more records than that.

UhrzeitbereichTime range

Mehrere AbfragebedingungenMultiple query conditions

Jetzt reduzieren Sie die Ergebnisse nochmals, indem Sie eine weitere Filterbedingung hinzufügen.Let's reduce our results further by adding another filter condition. Eine Abfrage kann beliebig viele Filter enthalten, um genau die gewünschte Gruppe von Datensätzen als Ziel festzulegen.A query can include any number of filters to target exactly the set of records that you want. Wählen Sie unter ActivityStatusValue die Option Erfolg aus, und klicken Sie auf Anwenden und ausführen.Select Success under ActivityStatusValue and click Apply & Run.

Abfrageergebnisse bei Verwendung mehrerer FilterQuery results multiple filters

ErgebnisanalysenAnalyze results

Zusätzlich zur Unterstützung beim Schreiben und Ausführen von Abfragen bietet Log Analytics Features, die Ihnen die Arbeit mit den Ergebnissen erleichtern.In addition to helping you write and run queries, Log Analytics provides features for working with the results. Erweitern Sie zunächst einen Datensatz, um die Werte für alle zugehörigen Spalten anzuzeigen.Start by expanding a record to view the values for all of its columns.

Erweitern eines DatensatzesExpand record

Klicken Sie auf den Namen einer beliebigen Spalte, um die Ergebnisse nach dieser Spalte zu sortieren.Click on the name of any column to sort the results by that column. Klicken Sie auf das Filtersymbol neben dem Spaltennamen, um eine Filterbedingung anzugeben.Click on the filter icon next to it to provide a filter condition. Dies ist mit dem Hinzufügen einer Filterbedingung zur Abfrage selbst vergleichbar. Der einzige Unterschied besteht darin, dass dieser Filter bei der erneuten Ausführung der Abfrage gelöscht wird.This is similar to adding a filter condition to the query itself except that this filter is cleared if the query is run again. Verwenden Sie diese Methode, wenn Sie eine Gruppe von Datensätzen im Rahmen der interaktiven Analyse schnell analysieren möchten.Use this method if you want to quickly analyze a set of records as part of interactive analysis.

Legen Sie z. B. einen Filter für die Spalte CallerIpAddress fest, um die Datensätze auf einen einzelnen Aufrufer zu beschränken.For example, set a filter on the CallerIpAddress column to limit the records to a single caller.

Filter für AbfrageergebnisseQuery results filter

Anstatt die Ergebnisse zu filtern, können Sie Datensätze auch nach einer bestimmten Spalte gruppieren.Instead of filtering the results, you can group records by a particular column. Löschen Sie den soeben erstellten Filter, und aktivieren Sie dann den Schieberegler Spalten gruppieren.Clear the filter that you just created and then turn on the Group columns slider.

Spalten gruppierenGroup columns

Ziehen Sie nun die Spalte CallerIpAddress in die Gruppierungszeile.Now drag the CallerIpAddress column into the grouping row. Die Ergebnisse werden nun nach dieser Spalte organisiert, und Sie können die einzelnen Gruppen zu Analysezwecken reduzieren.Results are now organized by that column, and you can collapse each group to help you with your analysis.

Gruppierte AbfrageergebnisseQuery results grouped

Arbeiten mit DiagrammenWork with charts

Sehen wir uns nun eine Abfrage mit numerischen Daten an, die in einem Diagramm angezeigt werden können.Let's have a look at a query that uses numerical data that we can view in a chart. Anstatt eine Abfrage zu erstellen, wählen wir eine Beispielabfrage aus.Instead of building a query, we'll select an example query.

Klicken Sie im linken Bereich auf Abfragen.Click on Queries in the left pane. Dieser Bereich enthält Beispielabfragen, die Sie dem Abfragefenster hinzufügen können.This pane includes example queries that you can add to the query window. Wenn Sie Ihren eigenen Arbeitsbereich verwenden, haben Sie wahrscheinlich eine Vielzahl von Abfragen in mehreren Kategorien. Bei der Verwendung der Demoumgebung sehen Sie jedoch möglicherweise nur eine einzelne Kategorie namens Log Analytics-Arbeitsbereiche.If you're using your own workspace, you should have a variety of queries in multiple categories, but if you're using the demo environment, you may only see a single Log Analytics workspaces category. Erweitern Sie diese Kategorie, um die darin enthaltenen Abfragen anzuzeigen.Expand that to view the queries in the category.

Klicken Sie auf die Abfrage Request Count by ResponseCode.Click on the query called Request Count by ResponseCode. Dadurch wird die Abfrage dem Abfragefenster hinzugefügt.This will add the query to the query window. Beachten Sie, dass die neue Abfrage durch eine leere Zeile von der anderen Abfrage getrennt ist.Notice that the new query is separated from the other by a blank line. Abfragen in KQL werden beendet, wenn sie auf eine leere Zeile treffen, und daher als separate Abfragen betrachtet.A query in KQL ends when it encounters a blank line, so these are seen as separate queries.

Neue AbfrageNew query

Die aktuelle Abfrage ist die, auf der der Cursor positioniert ist.The current query is the one that the cursor is positioned on. Die erste Abfrage ist hervorgehoben, was bedeutet, dass dies die aktuelle Abfrage ist.You can see that the first query is highlighted indicating it's the current query. Klicken Sie an einer beliebigen Stelle in der neuen Abfrage, um sie auszuwählen, und klicken Sie dann auf die Schaltfläche Ausführen, um sie auszuführen.Click anywhere in the new query to select it and then click the Run button to run it.

Diagramm der AbfrageergebnisseQuery results chart

Beachten Sie, dass es sich bei dieser Ausgabe um ein Diagramm handelt und nicht wie bei der letzten Abfrage um eine Tabelle.Notice that this output is a chart instead of a table like the last query. Der Grund hierfür ist der render-Befehl am Ende der Beispielabfrage.That's because the example query uses a render command at the end. Zum Arbeiten mit dem Diagramm stehen Ihnen verschiedene Optionen zur Verfügung, Sie können es z. B. in einen anderen Typ ändern.Notice that there are various options for working with the chart such as changing it to another type.

Wählen Sie Ergebnisse aus, um die Ausgabe der Abfrage als Tabelle anzuzeigen.Try selecting Results to view the output of the query as a table.

Tabelle der AbfrageergebnisseQuery results table

Nächste SchritteNext steps

Nachdem Sie sich nun mit Log Analytics vertraut gemacht haben, können Sie mit dem Tutorial zur Verwendung von Protokollabfragen fortfahren.Now that you know how to use Log Analytics, complete the tutorial on using log queries.