Protokollabfragen in Azure MonitorLog queries in Azure Monitor

Azure Monitor-Protokolle basieren auf Azure Data Explorer, und Protokollabfragen werden in der Abfragesprache Kusto (Kusto Query Language, KQL) geschrieben.Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Hierbei handelt es sich um eine umfangreiche Sprache, die einfach zu lesen und zu verwenden ist, sodass Sie nach einer grundlegenden Einarbeitung mit dem Schreiben von Abfragen beginnen können.This is a rich language designed to be easy to read and author, so you should be able to start writing queries with some basic guidance.

Abfragen werden beispielsweise in den folgenden Bereichen in Azure Monitor verwendet:Areas in Azure Monitor where you will use queries include the following:

  • Log Analytics:Log Analytics. Das primäre Tool im Azure-Portal zum Bearbeiten von Protokollabfragen und interaktiven Analysieren von deren Ergebnissen.Primary tool in the Azure portal for editing log queries and interactively analyzing their results. Auch wenn Sie an anderer Stelle in Azure Monitor eine Protokollabfrage verwenden möchten, schreiben und testen Sie diese normalerweise in Log Analytics, bevor Sie sie an den endgültigen Speicherort kopieren.Even if you intend to use a log query elsewhere in Azure Monitor, you'll typically write and test it in Log Analytics before copying it to its final location.
  • Protokollwarnungsregeln:Log alert rules. Proaktives Identifizieren von Problemen anhand von Daten in Ihrem Arbeitsbereich.Proactively identify issues from data in your workspace. Jede Warnungsregel basiert auf einer Protokollabfrage, die in regelmäßigen Abständen automatisch ausgeführt wird.Each alert rule is based on a log query that is automatically run at regular intervals. Die Ergebnisse werden überprüft, um zu ermitteln, ob eine Warnung erstellt werden soll.The results are inspected to determine if an alert should be created.
  • Arbeitsmappen:Workbooks. Einfügen der Ergebnisse von Protokollabfragen mithilfe verschiedener Visualisierungen in interaktiven visuellen Berichten im Azure-Portal.Include the results of log queries using different visualizations in interactive visual reports in the Azure portal.
  • Azure-Dashboards:Azure Dashboards. Anheften der Ergebnisse beliebiger Abfragen in einem Azure-Dashboard, wodurch Protokoll- und Metrikdaten gemeinsam visualisiert und optional mit anderen Azure-Benutzern geteilt werden können.Pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Logic Apps:Logic Apps. Verwenden der Ergebnisse einer Protokollabfrage in einem automatisierten Workflow mithilfe von Logic Apps.Use the results of a log query in an automated workflow using Logic Apps.
  • PowerShell:PowerShell. Verwenden der Ergebnisse einer Protokollabfrage in einem PowerShell-Skript über eine Befehlszeile oder ein Azure Automation-Runbook, das „Get-AzOperationalInsightsSearchResults“ verwendet.Use the results of a log query in a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults.
  • Azure Monitor-Protokolle-API.Azure Monitor Logs API. Abrufen von Protokolldaten aus dem Arbeitsbereich von einem beliebigen REST-API-Client.Retrieve log data from the workspace from any REST API client. Die API-Anforderung enthält eine Abfrage, die für Azure Monitor ausgeführt wird, um die abzurufenden Daten zu ermitteln.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Erste SchritteGetting started

Die beste Methode für den Einstieg in das Schreiben von Protokollabfragen mithilfe von KQL bieten die verfügbaren Tutorials und Beispiele.The best way to get started learning to write log queries using KQL is leveraging available tutorials and samples.

  • Log Analytics-Tutorial: Tutorial zur Verwendung der Funktionen von Log Analytics, dem Tool, das Sie im Azure-Portal zum Bearbeiten und Ausführen von Abfragen verwenden.Log Analytics tutorial - Tutorial on using the features of Log Analytics which is the tool that you'll use in the Azure portal to edit and run queries. Es ermöglicht zudem das Schreiben einfacher Abfragen, ohne direkt mit der Abfragesprache zu arbeiten.It also allows you to write simple queries without directly working with the query language. Wenn Sie Log Analytics bisher noch nicht verwendet haben, beginnen Sie hier, damit Sie das Tool verstehen, das Sie dann in den anderen Tutorials und Beispielen verwenden.If you haven't used Log Analytics before, start here so you understand the tool that you'll use with the other tutorials and samples.
  • KQL-Tutorial: Einführung in grundlegende KQL-Konzepte und gängige Operatoren.KQL tutorial - Guided walk through basic KQL concepts and common operators. Dies ist der beste Ausgangspunkt, um sich mit der Sprache selbst und der Struktur von Protokollabfragen vertraut zu machen.This is the best place to start to come up to speed with the language itself and the structure of log queries.
  • Beispielabfragen: Beschreibung der in Log Analytics verfügbaren Beispielabfragen.Example queries - Description of the example queries available in Log Analytics. Sie können die Abfragen ohne Änderungen verwenden oder als Beispiele zum Erlernen von KQL nutzen.You can use the queries without modification or use them as samples to learn KQL.
  • Abfragebeispiele: Beispielabfragen, die eine Vielzahl verschiedener Konzepte veranschaulichen.Query samples - Sample queries illustrating a variety of different concepts.

ReferenzdokumentationReference documentation

Eine Dokumentation für KQL, einschließlich der Referenz für alle Befehle und Operatoren, ist in der Dokumentation zu Azure Data Explorer enthalten.Documentation for KQL including the reference for all commands and operators is available in the Azure Data Explorer documentation. Auch nachdem Sie sich mit der Verwendung von KQL vertraut gemacht haben, nutzen Sie die Referenz noch regelmäßig, um sich mit neuen Befehlen und Szenarien zu befassen, die Sie bisher noch nicht verwendet haben.Even as you get proficient using KQL, you'll still regularly use the reference to investigate new commands and scenarios that you haven't used before.

SprachunterschiedeLanguage differences

Zwar verwendet Azure Monitor dieselbe KQL wie Azure Data Explorer, doch gibt es einige Unterschiede.While Azure Monitor uses the same KQL as Azure Data Explorer, there are some differences. In der KQL-Dokumentation sind die Operatoren angegeben, die nicht von Azure Monitor unterstützt werden oder über unterschiedliche Funktionen verfügen.The KQL documentation will specify those operators that aren't supported by Azure Monitor or that have different functionality. Azure Monitor-spezifische Operatoren sind im Azure Monitor-Inhalt dokumentiert.Operators specific to Azure Monitor are documented in the Azure Monitor content. In den folgenden Abschnitten finden Sie eine Liste der Unterschiede zwischen den Sprachversionen zur schnellen Übersicht.The following sections provide a list the differences between versions of the language for quick reference.

In Azure Monitor nicht unterstützte AnweisungenStatements not supported in Azure Monitor

In Azure Monitor nicht unterstützte FunktionenFunctions not supported in Azure Monitor

In Azure Monitor nicht unterstützte OperatorenOperators not supported in Azure Monitor

In Azure Monitor nicht unterstützte Plug-InsPlugins not supported in Azure Monitor

Zusätzliche Operatoren in Azure MonitorAdditional operators in Azure Monitor

Die folgenden Operatoren unterstützen für Azure Monitor spezifische Features und stehen außerhalb von Azure Monitor nicht zur Verfügung.The following operators support specific Azure Monitor features and are not available outside of Azure Monitor.

Nächste SchritteNext steps