Protokollabfragen in Azure Monitor

Azure Monitor-Protokolle basieren auf Azure Data Explorer, und Protokollabfragen werden in der Kusto-Abfragesprache (Kusto Query Language, KQL) geschrieben. Hierbei handelt es sich um eine umfangreiche Sprache, die einfach zu lesen und zu verwenden ist, sodass Sie nach einer grundlegenden Einarbeitung mit dem Schreiben von Abfragen beginnen können.

Abfragen werden beispielsweise in den folgenden Bereichen in Azure Monitor verwendet:

  • Log Analytics: Verwenden Sie dieses wichtige Tool im Azure-Portal zum Bearbeiten und Ausführen von Protokollabfragen und interaktiven Analysieren von deren Ergebnissen. Auch wenn Sie an anderer Stelle in Azure Monitor eine Protokollabfrage verwenden möchten, schreiben und testen Sie diese normalerweise in Log Analytics, bevor Sie sie an den endgültigen Speicherort kopieren.
  • Warnungsregel für die Protokollsuche: Identifizieren Sie proaktiv Probleme durch die Daten in Ihrem Arbeitsbereich. Jede Warnungsregel basiert auf einer Protokollabfrage, die in regelmäßigen Abständen automatisch ausgeführt wird. Die Ergebnisse werden überprüft, um zu ermitteln, ob eine Warnung erstellt werden soll.
  • Arbeitsmappen: Fügen Sie die Ergebnisse von Protokollabfragen mithilfe verschiedener Visualisierungen in interaktiven visuellen Berichten im Azure-Portal ein.
  • Azure-Dashboards: Heften Sie die Ergebnisse beliebiger Abfragen an ein Azure-Dashboard an, das Ihnen ermöglicht, Protokoll- und Metrikdaten gemeinsam zu visualisieren und optional mit anderen Azure-Benutzer*innen zu teilen.
  • Azure Logic Apps: Verwenden Sie die Ergebnisse einer Protokollabfrage mithilfe eines Logic App-Workflows in einem automatisierten Workflow.
  • PowerShell: Verwenden Sie die Ergebnisse einer Protokollabfrage in einem PowerShell-Skript über eine Befehlszeile oder ein Azure Automation-Runbook, das Invoke-AzOperationalInsightsQuery verwendet.
  • Azure Monitor-Protokoll-API: Rufen Sie mit einem beliebigen REST-API-Client Protokolldaten aus dem Arbeitsbereich ab. Die API-Anforderung enthält eine Abfrage, die für Azure Monitor ausgeführt wird, um die abzurufenden Daten zu ermitteln.
  • Azure Monitor-Abfrage-Clientbibliothek: Rufen Sie Protokolldaten aus dem Arbeitsbereich über eine idiomatische Clientbibliothek für die folgenden Ökosysteme ab:

Erste Schritte

Die beste Methode für den Einstieg in das Schreiben von Protokollabfragen mithilfe von KQL bieten die verfügbaren Tutorials und Beispiele:

  • Log Analytics-Tutorial: Tutorial zur Verwendung der Funktionen von Log Analytics, dem Tool, das Sie im Azure-Portal zum Bearbeiten und Ausführen von Abfragen verwenden. Es ermöglicht zudem das Schreiben einfacher Abfragen, ohne direkt mit der Abfragesprache zu arbeiten. Wenn Sie Log Analytics bisher noch nicht verwendet haben, beginnen Sie hier, damit Sie das Tool verstehen, das Sie dann in den anderen Tutorials und Beispielen verwenden.
  • KQL-Tutorial: Einführung in grundlegende KQL-Konzepte und gängige Operatoren. Dies ist der beste Ausgangspunkt, um sich mit der Sprache selbst und der Struktur von Protokollabfragen vertraut zu machen.
  • Beispielabfragen: Hier finden Sie eine Beschreibung der in Log Analytics verfügbaren Beispielabfragen. Sie können die Abfragen ohne Änderungen verwenden oder als Beispiele zum Erlernen von KQL nutzen.
  • Abfragebeispiele: Beispielabfragen, die unterschiedliche Konzepte veranschaulichen.

Referenzdokumentation

Eine Dokumentation für KQL, einschließlich der Referenz für alle Befehle und Operatoren, ist in der Dokumentation zu Azure Data Explorer enthalten. Auch nachdem Sie sich mit der Verwendung von KQL vertraut gemacht haben, sollten Sie die Referenz regelmäßig nutzen, um sich mit neuen Befehlen und Szenarien zu befassen, die Sie bisher noch nicht verwendet haben.

Sprachunterschiede

Zwar verwendet Azure Monitor dieselbe KQL wie Azure Data Explorer, doch es gibt einige Unterschiede. In der KQL-Dokumentation sind die Operatoren angegeben, die nicht von Azure Monitor unterstützt werden oder über unterschiedliche Funktionen verfügen. Azure Monitor-spezifische Operatoren sind im Azure Monitor-Inhalt dokumentiert. In den folgenden Abschnitten finden Sie eine Liste der Unterschiede zwischen den Sprachversionen zur schnellen Übersicht.

In Azure Monitor nicht unterstützte Anweisungen

In Azure Monitor nicht unterstützte Funktionen

In Azure Monitor nicht unterstützter Operator

Clusterübergreifender Join-Vorgang

In Azure Monitor nicht unterstützte Plug-Ins

Andere Operatoren in Azure Monitor

Die folgenden Operatoren unterstützen für Azure Monitor spezifische Features und stehen außerhalb von Azure Monitor nicht zur Verfügung:

Nächste Schritte