Übersicht über Protokollabfragen in Azure MonitorOverview of log queries in Azure Monitor

Mithilfe von Protokollabfragen können Sie die Daten, die in Azure Monitor-Protokollen erfasst werden, in vollem Umfang nutzen.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Eine leistungsstarke Abfragesprache ermöglicht es Ihnen, Daten aus mehreren Tabellen zusammenzufügen, größere Mengen an Daten zu aggregieren und komplexe Vorgänge mit möglichst wenig Code auszuführen.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Beinahe jede Frage kann beantwortet und jede Analyse durchgeführt werden, solange unterstützende Daten erfasst wurden und Sie wissen, wie die richtige Abfrage erstellt werden muss.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Einige Features in Azure Monitor (z. B. Einblicke und Lösungen) verarbeiten Protokolldaten, ohne die zugrunde liegenden Abfragen für Sie offenzulegen.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Sie sollten wissen, wie Abfragen aufgebaut sind und wie Sie sie verwenden können, um Daten auf interaktive Weise in Azure Monitor-Protokollen analysieren zu können, damit Sie auch die anderen Features von Azure Monitor in vollem Umfang nutzen können.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Verwenden Sie diesen Artikel als Ausgangspunkt, um sich über Protokollabfragen in Azure Monitor zu informieren.Use this article as a starting point to learning about log queries in Azure Monitor. Im Laufe des Artikels werden häufig gestellte Fragen beantwortet sowie Links zu anderen Dokumentationen angegeben, die weitere Informationen sowie Lerneinheiten umfassen.It answers common questions and provides links to other documentation that provides further details and lessons.

Wie erfahre ich, wie ich Abfragen schreiben kann?How can I learn how to write queries?

Wenn Sie direkt loslegen möchten, können Sie mit den folgenden Tutorials beginnen:If you want to jump right into things, you can start with the following tutorials:

Sobald Sie die Grundlagen kennen, können Sie einige Lerneinheiten durchgehen, für die Sie entweder Ihre eigenen Daten oder Daten aus unserer Demoumgebung verwenden. Beginnen Sie mit der folgenden Einheit:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Welche Sprache verwenden Protokollabfragen?What language do log queries use?

Azure Monitor-Protokolle basieren auf Azure Data Explorer, und Protokollabfragen werden in der Abfragesprache Kusto (Kusto Query Language, KQL) geschrieben.Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Es handelt sich dabei um eine umfangreiche Sprache, die einfach zu lesen und zu verwenden ist. Sie sollten sie nach kurzer Einarbeitung verwenden können.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Die vollständige Dokumentation zur Verwendung von KQL mit Azure Data Explorer und Verweise auf die verschiedenen verfügbaren Funktionen finden Sie hier.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Eine kurze exemplarische Vorgehensweise für die Sprache bei der Verwendung von Daten aus Azure Monitor-Protokollen finden Sie unter Erste Schritte mit Azure Monitor-Protokollabfragen.See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Informationen zu kleineren Unterschieden bei der KQL-Version, die von Azure Monitor verwendet wird, finden Sie unter Azure Monitor – Unterschiede in der Protokollabfragesprache.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Welchen Daten stehen für Protokollabfragen zur Verfügung?What data is available to log queries?

Sämtliche Daten, die in Azure Monitor-Protokollen erfasst werden, können bei Protokollabfragen abgerufen und analysiert werden.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Verschiedene Datenquellen schreiben ihre Daten auch in unterschiedliche Tabellen. Sie können aber auch mehrere Tabellen in einer einzelnen Abfrage zusammenfassen, um Daten über mehrere Quellen hinweg zu analysieren.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Wenn Sie eine Abfrage erstellen möchten, beginnen Sie damit zu ermitteln, welche Tabellen die Daten enthalten, die Sie suchen. Dafür benötigen Sie zumindest grundlegende Kenntnisse darüber, wie Daten in Azure Monitor-Protokollen strukturiert sind.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Eine Liste der verschiedenen Datenquellen, die Azure Monitor-Protokolle auffüllen, finden Sie unter Quellen von Azure Monitor-Protokollen.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Eine Erklärung zur Strukturierung der Daten finden Sie unter Structure of Azure Monitor Logs (Struktur von Azure Monitor-Protokollen).See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Wie sieht eine Protokollabfrage aus?What does a log query look like?

Eine Abfrage kann beispielsweise aus einem einfachen Tabellennamen bestehen, über den alle Einträge einer Tabelle abgerufen werden können:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Alternativ kann auch nach bestimmten Einträgen gefiltert werden, die anschließend zusammengefasst und die Ergebnisse in einem Diagramm dargestellt werden:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Bei komplexeren Analysen können Sie Daten aus mehreren Tabellen abrufen und eine Verknüpfung verwenden, um die Ergebnisse zusammen zu analysieren.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Auch wenn Sie nicht mit KQL vertraut sind, sollten Sie zumindest die zugrunde liegende Logik ermitteln können, die von diesen Abfragen verwendet wird.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Diese Abfragen beginnen mit dem Namen einer Tabelle und fügen anschließend mehrere Befehle hinzu, um die Daten zu filtern und zu verarbeiten.They start with the name of a table and then add multiple commands to filter and process that data. Eine Abfrage kann beliebig viele Befehle verwenden, und Sie können komplexere Abfragen schreiben, wenn Sie erst einmal mit den verschiedenen verfügbaren KQL-Befehlen vertraut sind.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

Ein Tutorial zu Protokollabfragen, in dem die Sprache sowie allgemeine Funktionen erläutert werden, finden Sie unter Erste Schritte mit Azure Monitor-Protokollabfragen.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Was ist Log Analytics?What is Log Analytics?

Log Analytics ist das wichtigste Tool, das im Azure-Portal zum Schreiben von Protokollabfragen und interaktiven Analysieren von deren Ergebnissen verwendet wird.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Auch wenn eine Protokollabfrage an einer anderen Stelle in Azure Monitor verwendet wird, sollten Sie die Abfrage in der Regel zunächst mithilfe von Log Analytics schreiben und testen.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Sie können Log Analytics über verschiedene Orte im Azure-Portal starten.You can start Log Analytics from several places in the Azure portal. Der Umfang der Daten, die für Log Analytics verfügbar sind, ist von der Art und Weise abhängig, wie Sie das Tool starten.The scope of the data available to Log Analytics is determined by how you start it. Weitere Informationen finden Sie unter Query Scope (Abfrageumfang).See Query Scope for more details.

  • Klicken Sie im Menü Azure Monitor oder im Menü Log Analytics-Arbeitsbereiche auf Protokolle.Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Klicken Sie in einer Application Insights-Anwendung auf der Seite Übersicht auf Analytics.Select Analytics from the Overview page of an Application Insights application.
  • Klicken Sie im Menü einer Azure-Ressource auf Protokolle.Select Logs from the menu of an Azure resource.

Log Analytics

Ein Tutorial zu Log Analytics, in dem verschiedene Features vorgestellt werden, finden Sie unter Get started with Log Analytics in Azure Monitor (Erste Schritte mit Log Analytics in Azure Monitor).See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Wofür werden Protokollabfragen außerdem noch verwendet?Where else are log queries used?

Neben dem interaktiven Arbeiten mit Protokollabfragen und deren Ergebnissen in Log Analytics können Sie außerdem in den folgenden Bereichen in Azure Monitor Abfragen verwenden:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Warnungsregeln.Alert rules. Warnungsregeln identifizieren proaktiv Probleme durch die Daten in Ihrem Arbeitsbereich.Alert rules proactively identify issues from data in your workspace. Jede Warnungsregel basiert auf einer Protokollsuche, die in regelmäßigen Abständen automatisch ausgeführt wird.Each alert rule is based on a log search that is automatically run at regular intervals. Die Ergebnisse werden überprüft, um zu ermitteln, ob eine Warnung erstellt werden soll.The results are inspected to determine if an alert should be created.
  • Dashboards.Dashboards. Sie können die Ergebnisse beliebiger Abfragen in einem Azure-Dashboard anheften, was es Ihnen ermöglicht, Protokoll- und Metrikdaten gemeinsam zu visualisieren und optional mit anderen Azure-Benutzern zu teilen.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Ansichten.Views. Sie können mit Ansicht-Designer Visualisierungen von Daten erstellen, die in Benutzerdashboards einbezogen werden sollen.You can create visualizations of data to be included in user dashboards with View Designer. Protokollabfragen stellen die von Kacheln und Visualisierungsparts in jeder Ansicht verwendeten Daten bereit.Log queries provide the data used by tiles and visualization parts in each view.
  • Export:Export. Wenn Sie Protokolldaten aus Azure Monitor nach Excel oder Power BI importieren, erstellen Sie eine Protokollabfrage, um die zu exportierenden Daten zu definieren.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. Sie können ein PowerShell-Skript über eine Befehlszeile oder ein Azure Automation-Runbook ausführen, das Protokolldaten mithilfe von Get-AzOperationalInsightsSearchResults aus Azure Monitor abruft.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Dieses Cmdlet erfordert eine Abfrage, um die abzurufenden Daten festzulegen.This cmdlet requires a query to determine the data to retrieve.
  • Azure Monitor-Protokolle-API.Azure Monitor Logs API. Die Azure Monitor-Protokolle-API ermöglicht einem beliebigen REST-API-Client, Protokolldaten aus dem Arbeitsbereich abzurufen.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. Die API-Anforderung enthält eine Abfrage, die für Azure Monitor ausgeführt wird, um die abzurufenden Daten zu ermitteln.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Nächste SchritteNext steps