Log Analytics-Tutorial

  • Artikel

Log Analytics ist ein Tool im Azure-Portal, mit dem Protokollabfragen aus den von Azure Monitor-Protokollen erfassten Daten bearbeitet und ausgeführt sowie deren Ergebnisse interaktiv analysiert werden können. Mit Log Analytics-Abfragen können Sie Datensätze abrufen, die bestimmte Kriterien erfüllen, Trends identifizieren, Muster analysieren und verschiedene Erkenntnisse aus Ihren Daten gewinnen.

In diesem Tutorial werden die Log Analytics-Benutzeroberfläche, die ersten Schritte mit einigen einfachen Abfragen und die Möglichkeiten zur Verwendung der Ergebnisse erläutert. Sie lernen Folgendes:

  • Nachvollziehen des Schemas von Protokolldaten.
  • Schreiben und Ausführen einfacher Abfragen sowie Ändern des Zeitbereichs für Abfragen.
  • Filtern, Sortieren und Gruppieren von Abfrageergebnissen.
  • Anzeigen, Ändern und Teilen von visuellen Elementen der Abfrageergebnisse.
  • Laden, Exportieren und Kopieren von Abfragen und Ergebnissen.

Wichtig

In diesem Tutorial nutzen Sie Log Analytics-Features, um eine Abfrage zu erstellen, und verwenden eine weitere Beispielabfrage. Wenn Sie sich über die Syntax von Abfragen informieren und direkt mit dem Bearbeiten der Abfrage selbst beginnen möchten, lesen Sie das Tutorial zur Kusto-Abfragesprache. Dieses Tutorial führt Sie schrittweise durch Beispielabfragen, die Sie in Log Analytics bearbeiten und ausführen können. Es werden einige der Features verwendet, die Sie in diesem Tutorial kennen lernen werden.

Voraussetzungen

In diesem Tutorial wird die Demoumgebung von Log Analytics verwendet, die zahlreiche Beispieldaten zum Ausführen der Beispielabfragen enthält. Sie können auch Ihr eigenes Azure-Abonnement verwenden, verfügen dann aber möglicherweise nicht über Daten in denselben Tabellen.

Öffnen von Log Analytics

Öffnen Sie die Demoumgebung von Log Analytics, oder wählen Sie im Azure Monitor-Menü in Ihrem Abonnement die Option Protokolle aus. Mit diesem Schritt wird der Anfangsbereich auf einen Log Analytics-Arbeitsbereich festgelegt, sodass Ihre Abfrage die Auswahl auf Grundlage aller Daten in diesem Arbeitsbereich trifft. Wenn Sie die Option Protokolle im Menü einer Azure-Ressource auswählen, wird der Bereich nur auf Datensätze in dieser Ressource festgelegt. Ausführliche Informationen zum Bereich finden Sie unter Protokollabfragebereich.

Sie können den Bereich in der oberen linken Ecke des Bildschirms anzeigen. Wenn Sie Ihre eigene Umgebung verwenden, wird eine Option zum Auswählen eines anderen Bereichs angezeigt. Diese Option ist in der Demoumgebung nicht verfügbar.

Screenshot that shows the Log Analytics scope for the demo.

Anzeigen von Tabelleninformationen

Auf der linken Seite des Bildschirms finden Sie die Registerkarte Tabellen, auf der Sie die im aktuellen Bereich verfügbaren Tabellen untersuchen können. Diese Tabellen sind standardmäßig nach Lösung gruppiert, Sie können die Gruppierung jedoch ändern oder die Tabellen filtern.

Erweitern Sie die Projektmappe Protokollverwaltung, und suchen Sie nach der Tabelle AppRequests. Sie können die Tabelle erweitern, um ihr Schema anzuzeigen, oder auf ihren Namen zeigen, um weitere Informationen zu erhalten.

Screenshot that shows the Tables view.

Klicken Sie auf den Link unterhalb von Nützliche Links, um zur Tabellenreferenz zu wechseln, in der die einzelnen Tabellen mit den zugehörigen Spalten dokumentiert sind. Wählen Sie Datenvorschau aus, um einen kurzen Blick auf einige der aktuellen Datensätze in der Tabelle zu werfen. Mit dieser Vorschau können Sie sicherstellen, dass es sich hierbei um die erwarteten Daten handelt, bevor Sie damit eine Abfrage ausführen.

Screenshot that shows preview data for the AppRequests table.

Schreiben Sie eine Abfrage

Schreiben wir nun eine Abfrage unter Verwendung der Tabelle AppRequests. Doppelklicken Sie auf den Namen der Tabelle, um ihn dem Abfragefenster hinzuzufügen. Sie können ihn auch direkt in das Fenster eingeben. Sie können sogar IntelliSense nutzen, um die Namen von Tabellen im aktuellen Bereich und KQL-Befehle (Kusto Query Language) vervollständigen zu lassen.

Dies ist die einfachste Abfrage, die wir schreiben können. Sie gibt lediglich alle Datensätze in einer Tabelle zurück. Führen Sie die Abfrage aus, indem Sie die Schaltfläche Ausführen auswählen oder den Cursor an einer beliebigen Stelle im Abfragetext positionieren und UMSCHALT+EINGABETASTE drücken.

Screenshot that shows query results.

Wie Sie sehen, werden Ergebnisse angezeigt. Die Anzahl von Datensätzen, die von der Abfrage zurückgegeben wurden, wird in der unteren rechten Ecke angezeigt.

Uhrzeitbereich

Alle Abfragen geben Datensätze zurück, die innerhalb eines festgelegten Zeitbereichs generiert wurden. Standardmäßig gibt die Abfrage Datensätze zurück, die in den letzten 24 Stunden generiert wurden.

Sie können einen anderen Zeitbereich festlegen, indem Sie den where-Operator in der Abfrage verwenden. Sie können auch die Dropdownliste Zeitbereich oben auf dem Bildschirm verwenden.

Ändern Sie den Zeitbereich der Abfrage, indem Sie Letzte 12 Stunden aus der Dropdownliste Zeitbereich auswählen. Wählen Sie Ausführen aus, um die Ergebnisse zurückzugeben.

Hinweis

Wenn Sie den Zeitbereich über die Dropdownliste Zeitbereich ändern, wird die Abfrage im Abfrage-Editor nicht geändert.

Screenshot that shows the time range.

Mehrere Abfragebedingungen

Jetzt reduzieren Sie die Ergebnisse nochmals, indem Sie eine weitere Filterbedingung hinzufügen. Eine Abfrage kann beliebig viele Filter enthalten, um genau die gewünschte Gruppe von Datensätzen als Ziel festzulegen. Wählen Sie unter Name die Option Get Home/Index aus, und klicken Sie auf Anwenden und ausführen.

Screenshot that shows query results with multiple filters.

Ergebnisanalysen

Zusätzlich zur Unterstützung beim Schreiben und Ausführen von Abfragen bietet Log Analytics Features, die Ihnen die Arbeit mit den Ergebnissen erleichtern. Erweitern Sie zunächst einen Datensatz, um die Werte für alle zugehörigen Spalten anzuzeigen.

Screenshot that shows a record expanded in the search results.

Wählen Sie den Namen einer beliebigen Spalte aus, um die Ergebnisse nach dieser Spalte zu sortieren. Wählen Sie das Filtersymbol neben der Spalte aus, um eine Filterbedingung anzugeben. Diese Aktion ist mit dem Hinzufügen einer Filterbedingung zur Abfrage selbst vergleichbar. Der einzige Unterschied besteht darin, dass dieser Filter bei der erneuten Ausführung der Abfrage gelöscht wird. Verwenden Sie diese Methode, wenn Sie eine Gruppe von Datensätzen im Rahmen der interaktiven Analyse schnell analysieren möchten.

Legen Sie beispielsweise einen Filter für die Spalte DurationMs fest, um die Datensätze auf diejenigen zu beschränken, die länger als 150 Millisekunden gedauert haben.

Screenshot that shows a query results filter.

Durchsuchen von Abfrageergebnissen

Durchsuchen Sie die Abfrageergebnisse mithilfe des Suchfelds oben rechts im Ergebnisbereich.

Geben Sie Chicago in das Suchfeld für die Abfrageergebnisse ein, und klicken Sie auf die Pfeile, um alle Instanzen dieser Zeichenfolge in Ihren Suchergebnissen zu finden.

Screenshot that shows the search box at the top right of the result pane.

Neuorganisieren und Zusammenfassen von Daten

Um Ihre Daten besser zu visualisieren, können Sie diese in den Abfrageergebnissen entsprechend Ihren Anforderungen neu organisieren und zusammenfassen.

Wählen Sie rechts neben dem Ergebnisbereich die Option Spalten aus, um die Seitenleiste Spalten zu öffnen.

Screenshot that shows the Column link to the right of the results pane, which you select to open the Columns sidebar.

In der Seitenleiste wird eine Liste aller verfügbaren Spalten angezeigt. Ziehen Sie die Spalte Url in den Abschnitt Zeilengruppen. Die Ergebnisse werden nun nach dieser Spalte organisiert, und Sie können die einzelnen Gruppen zu Analysezwecken reduzieren. Diese Aktion ähnelt dem Hinzufügen einer Filterbedingung zur Abfrage, aber anstatt Daten erneut vom Server abzurufen, verarbeiten Sie die Daten, die Ihre ursprüngliche Abfrage zurückgegeben hat. Wenn Sie die Abfrage erneut ausführen, ruft Log Analytics Daten basierend auf Ihrer ursprünglichen Abfrage ab. Verwenden Sie diese Methode, wenn Sie eine Gruppe von Datensätzen im Rahmen der interaktiven Analyse schnell analysieren möchten.

Screenshot that shows query results grouped by URL.

Erstellen einer PivotTable

Um die Leistung Ihrer Seiten zu analysieren, erstellen Sie eine PivotTable.

Wählen Sie in der Seitenleiste Spalten die Option Pivot-Modus aus.

Wählen Sie Url und DurationMs aus, um die Gesamtdauer aller Aufrufe für jede URL anzuzeigen.

Um die maximale Aufrufdauer für jede URL anzuzeigen, wählen Sie sum(DurationMs)>max aus.

Screenshot that shows how to turn on Pivot Mode and configure a pivot table based on the URL and DurationMS values.

Jetzt sortieren Sie die Ergebnisse nach der längsten maximalen Aufrufdauer, indem Sie die Spalte max(DurationMs) im Ergebnisbereich auswählen.

Screenshot that shows the query results pane being sorted by the maximum DurationMS values.

Arbeiten mit Diagrammen

Sehen wir uns nun eine Abfrage mit numerischen Daten an, die in einem Diagramm angezeigt werden können. Anstatt eine Abfrage zu erstellen, wählen wir eine Beispielabfrage aus.

Wählen Sie im linken Bereich Abfragen aus. Dieser Bereich enthält Beispielabfragen, die Sie dem Abfragefenster hinzufügen können. Wenn Sie Ihren eigenen Arbeitsbereich verwenden, sollten Sie über verschiedene Abfragen in mehreren Kategorien verfügen. Wenn Sie die Demoumgebung verwenden, wird möglicherweise nur eine einzelne Kategorie für Log Analytics-Arbeitsbereiche angezeigt. Erweitern Sie diese Kategorie, um die darin enthaltenen Abfragen anzuzeigen.

Wählen Sie in der Kategorie Anwendungen die Abfrage Funktionsfehlerrate aus. Durch diesen Schritt wird die Abfrage dem Abfragefenster hinzugefügt. Beachten Sie, dass die neue Abfrage durch eine leere Zeile von der anderen Abfrage getrennt ist. Eine Abfrage in KQL wird beendet, wenn sie auf eine leere Zeile trifft, weshalb sie als separate Abfragen betrachtet wird.

Screenshot that shows a new query.

Die aktuelle Abfrage ist die, auf der der Cursor positioniert ist. Die erste Abfrage ist hervorgehoben, was bedeutet, dass dies die aktuelle Abfrage ist. Klicken Sie an einer beliebigen Stelle in der neuen Abfrage, um sie auszuwählen, und klicken Sie dann auf die Schaltfläche Ausführen, um sie auszuführen.

Screenshot that shows the query results table.

Um die Ergebnisse in einem Diagramm anzuzeigen, wählen Sie im Ergebnisbereich Diagramm aus. Zum Arbeiten mit dem Diagramm stehen Ihnen verschiedene Optionen zur Verfügung, Sie können es z. B. in einen anderen Typ ändern.

Screenshot that shows the query results chart.

Nächste Schritte

Nachdem Sie sich nun mit Log Analytics vertraut gemacht haben, können Sie mit dem Tutorial zur Verwendung von Protokollabfragen fortfahren:

Schreiben von Azure Monitor-Protokollabfragen