Anzeigen oder Analysieren der mit der Log Analytics-Protokollsuche gesammelten DatenView or analyze data collected with Log Analytics log search

In Log Analytics können Sie Protokollsuchen nutzen, indem Sie Abfragen zum Analysieren der gesammelten Daten erstellen, und bereits vorhandene Dashboards verwenden, die Sie mit grafischen Ansichten Ihrer wertvollsten Suchvorgänge anpassen können.In Log Analytics you can leverage log searches by constructing queries to analyze the collected data, use pre-existing dashboards which you can customize with graphical views of your most valuable searches. Nun haben Sie die Sammlung von Betriebsdaten von Ihren Azure-VMs und Aktivitätsprotokollen definiert und erfahren in diesem Tutorial, wie Sie Folgendes durchführen:Now that you have defined collection of operational data from your Azure VMs and Activity Logs, in this tutorial you learn how to:

  • Durchführen einer einfachen Suche von Ereignisdaten und Verwenden von Features zum Ändern und Filtern der ErgebnissePerform a simple search of event data and use features to modify and filter the results
  • Lernen, mit Leistungsdaten zu arbeitenLearn how to work with performance data

Für das Beispiel in diesem Tutorial muss ein virtueller Computer vorhanden sein, der mit dem Log Analytics-Arbeitsbereich verbunden ist.To complete the example in this tutorial, you must have an existing virtual machine connected to the Log Analytics workspace.

Für die Erstellung und Bearbeitung von Abfragen sowie die interaktive Verwendung zurückgegebener Daten stehen zwei Methoden zur Verfügung.Creating and editing queries, in addition to working interactively with returned data, can be accomplished one of two ways. Verwenden Sie für einfache Abfragen die Seite „Protokollsuche“ im Azure-Portal. Für erweiterte Abfragen können Sie das Advanced Analytics-Portal nutzen.For basic queries, use the Log Search page in the Azure portal, or for advanced querying, you can use the Advanced Analytics portal. Weitere Informationen zu den Unterschieden zwischen den beiden Portalen in Bezug auf die Funktionalität finden Sie unter Portale zum Erstellen und Bearbeiten von Protokollabfragen in Azure Log Analytics.To learn more about the difference in functionality between the two portals, see Portals for creating and editing log queries in Azure Log Analytics

In diesem Tutorial arbeiten wir mit der Protokollsuche im Azure-Portal.In this tutorial, we will be working with Log Search in the Azure portal.

Anmelden beim Azure-PortalLog in to Azure portal

Melden Sie sich unter https://portal.azure.com beim Azure-Portal an.Log in to the Azure portal at https://portal.azure.com.

Öffnen des Portals für die ProtokollsucheOpen the Log Search portal

Öffnen Sie zunächst das Portal für die Protokollsuche.Start by opening the Log Search portal.

  1. Klicken Sie im Azure-Portal auf Alle Dienste.In the Azure portal, click All services. Geben Sie in der Liste mit den Ressourcen Log Analytics ein.In the list of resources, type Log Analytics. Sobald Sie mit der Eingabe beginnen, wird die Liste auf der Grundlage Ihrer Eingabe gefiltert.As you begin typing, the list filters based on your input. Wählen Sie Log Analytics.Select Log Analytics.
  2. Klicken Sie im Log Analytics-Abonnementbereich auf einen Arbeitsbereich, und wählen Sie dann die Kachel Protokollsuche.In the Log Analytics subscriptions pane, select a workspace and then select the Log Search tile.

    Schaltfläche „Protokollsuche“Log Search button

Die schnellste Methode, Daten für die weitere Verwendung abzurufen, besteht in einer einfachen Abfrage, die alle Datensätze aus der Tabelle zurückgibt.The quickest way to retrieve some data to work with is a simple query that returns all records in table. Wenn Windows- oder Linux-Clients mit Ihrem Arbeitsbereich verbunden sind, liegen die Daten in der Ereignistabelle (Windows) bzw. in der Syslog-Tabelle (Linux) vor.If you have any Windows or Linux clients connected to your workspace, then you'll have data in either the Event (Windows) or Syslog (Linux) table.

Geben Sie eine der folgenden Abfragen im Suchfeld ein, und klicken Sie auf die Schaltfläche „Suchen“.Type one the following queries in the search box and click the search button.

Event
Syslog

Die Daten werden in der Standardlistenansicht zurückgegeben. Sie können ablesen, wie viele Datensätze insgesamt zurückgegeben wurden.Data is returned in the default list view, and you can see how many total records were returned.

Einfache Abfrage

Es werden nur die ersten paar Eigenschaften zu jedem Datensatz angezeigt.Only the first few properties of each record are displayed. Klicken Sie auf Mehr anzeigen, damit alle Eigenschaften für einen bestimmten Datensatz angezeigt werden.Click show more to display all properties for a particular record.

Filtern der AbfrageergebnisseFilter results of the query

Auf der linken Seite des Bildschirms befindet sich der Filterbereich, über den Sie Filter zu Abfragen hinzufügen können, ohne die Abfrage direkt zu verändern.On the left side of the screen is the filter pane which allows you to add filtering to the query without modifying it directly. Mehrere Datensatzeigenschaften werden für diesen Datensatztyp angezeigt, und Sie können einen oder mehrere Eigenschaftenwerte auswählen, um Ihre Suchergebnisse einzugrenzen.Several record properties are displayed for that record type, and you can select one or more property values to narrow your search results.

Wenn Sie die Ereignistabelle verwenden, wählen Sie das Kontrollkästchen neben Fehler unter EVENTLEVELNAME aus.If you're working with Event, select the checkbox next to Error under EVENTLEVELNAME. Wenn Sie Syslog verwenden, wählen Sie das Kontrollkästchen neben err unter SEVERITYLEVEL aus.If you're working with Syslog, select the checkbox next to err under SEVERITYLEVEL. Dadurch wird die Abfrage wie folgt geändert, um die Ergebnisse auf Fehlerereignisse zu beschränken:This changes the query to one of the following to limit the results to error events.

Event | where (EventLevelName == "Error")
Syslog | where (SeverityLevel == "err")

Filter

Fügen Sie dem Filterbereich Eigenschaften hinzu, indem Sie im Eigenschaftenmenü eines der Datensätze Zu Filtern hinzufügen auswählen.Add properties to the filter pane by selecting Add to filters from the property menu on one of the records.

Menü „Zu Filtern hinzufügen“

Sie können den gleichen Filter festlegen, indem Sie im Eigenschaftenmenü eines Datensatzes mit dem Wert, nach dem Sie filtern möchten, Filter auswählen.You can set the same filter by selecting Filter from the property menu for a record with the value you want to filter.

Die Option Filter ist nur für Eigenschaften verfügbar, deren Name in Blau angezeigt wird, wenn Sie den Cursor darauf setzen.You only have the Filter option for properties with their name in blue when you hover over them. Dies sind durchsuchbare Felder, die für Suchbedingungen indiziert sind.These are searchable fields which are indexed for search conditions. Graue Felder sind Freitextsuchfelder, die nur über die Option Verweise anzeigen verfügen.Fields in grey are free text searchable fields which only have the Show references option. Mit dieser Option werden Datensätze zurückgegeben, bei denen eine beliebige Eigenschaft diesen Wert besitzt.This option returns records that have that value in any property.

Sie können die Ergebnisse nach einer einzelnen Eigenschaft gruppieren, indem Sie im Datensatzmenü die Option Gruppieren nach auswählen.You can group the results on a single property by selecting the Group by option in the record menu. Dadurch wird der Abfrage ein summarize-Operator hinzugefügt, um die Ergebnisse in einem Diagramm anzuzeigen.This will add a summarize operator to your query that displays the results in a chart. Sie können auch nach mehreren Eigenschaften gruppieren, dazu müssen Sie die Abfrage jedoch direkt bearbeiten.You can group on more than one property, but you would need to edit the query directly. Wählen Sie im Datensatzmenü neben der Computer-Eigenschaft Gruppieren nach „Computer“ aus.Select the record menu next the the Computer property and select Group by 'Computer'.

Gruppieren nach „Computer“

Arbeiten mit ErgebnissenWork with results

Das Portal für die Protokollsuche verfügt über eine Reihe von Funktionen zum Arbeiten mit den Ergebnissen einer Abfrage.The Log Search portal has a variety of features for working with the results of a query. Sie können Ergebnisse sortieren, filtern und gruppieren, um die Daten zu analysieren, ohne die Abfrage selbst zu ändern.You can sort, filter, and group results to analyze the data without modifying the actual query. Die Ergebnisse einer Abfrage werden standardmäßig nicht sortiert.Results of a query are not sorted by default.

Klicken Sie zum Anzeigen der Daten in Tabellenform, die über zusätzliche Optionen zum Filtern und Sortieren verfügt, auf Tabelle.To view the data in table form which provides additional options for filtering and sorting, click Table.

Tabellenansicht

Klicken Sie auf den Pfeil neben einem Datensatz, um die Details für diesen Datensatz anzuzeigen.Click the arrow by a record to view the details for that record.

Ergebnisse sortieren

Sortieren Sie nach einem Feld, indem Sie auf den entsprechenden Spaltenkopf klicken.Sort on any field by clicking on its column header.

Ergebnisse sortieren

Filtern Sie die Ergebnisse nach einem bestimmten Wert in der Spalte, indem Sie auf die Schaltfläche „Filter“ klicken und eine Filterbedingung angeben.Filter the results on a specific value in the column by clicking the filter button and providing a filter condition.

Ergebnisse filtern

Gruppieren Sie nach einer Spalte, indem Sie den entsprechenden Spaltenkopf an den Anfang der Ergebnisse ziehen.Group on a column by dragging its column header to the top of the results. Sie können nach mehreren Feldern gruppieren, indem Sie mehrere Spalten nach oben ziehen.You can group on multiple fields by dragging multiple columns to the top.

Ergebnisse gruppieren

Arbeiten mit LeistungsdatenWork with performance data

Leistungsdaten für Windows und Linux-Agents werden im Log Analytics-Arbeitsbereich in der Tabelle Perf gespeichert.Performance data for both Windows and Linux agents is stored in the Log Analytics workspace in the Perf table. Leistungsdatensätze sehen wie andere Datensätze aus, und Sie können eine einfache Abfrage verfassen, mit der wie bei Ereignissen alle Leistungsdatensätze zurückgegeben werden.Performance records look just like any other record, and we are going to write a simple query that returns all performance records just like with events.

Perf

Leistungsdaten

Millionen Datensätze für alle Leistungsobjekte und -indikatoren zurückzugeben, ist jedoch nicht sehr nützlich.Returning millions of records for all performance objects and counters though isn't very useful. Sie können die gleichen Verfahren wie oben verwenden, um die Daten zu filtern, oder einfach die folgende Abfrage direkt in das Protokollsuchfeld eingeben.You can use the same methods you used above to filter the data or just type the following query directly into the log search box. Dadurch werden nur die Datensätze zur Prozessorauslastung für Windows- und Linux-Computer zurückgegeben.This returns only processor utilization records for both Windows and Linux computers.

Perf | where (ObjectName == "Processor")  | where (CounterName == "% Processor Time")

Prozessorauslastung

Dies schränkt die Daten zwar auf einen bestimmten Leistungsindikator ein, damit liegen sie jedoch immer noch nicht in einem nützlichen Format vor.This limits the data to a particular counter, but it still doesn't put it in a form that's particularly useful. Sie können die Daten in einem Liniendiagramm anzeigen, dazu müssen Sie sie jedoch zunächst nach „Computer“ und „TimeGenerated“ gruppieren.You can display the data in a line chart, but first need to group it by Computer and TimeGenerated. Um nach mehreren Feldern zu gruppieren, müssen Sie die Abfrage direkt ändern, ändern Sie die Abfrage daher wie folgt:To group on multiple fields, you need to modify the query directly, so modify the query to the following. Hierbei wird die avg-Funktion für die CounterValue-Eigenschaft verwendet, um für jede Stunde den Durchschnittswert zu berechnen.This uses the avg function on the CounterValue property to calculate the average value over each hour.

Perf  | where (ObjectName == "Processor")  | where (CounterName == "% Processor Time") | summarize avg(CounterValue) by Computer, TimeGenerated

Leistungsdatendiagramm

Nachdem die Daten eine geeignete Gruppierung aufweisen, können Sie sie in einem visuellen Diagramm anzeigen, indem Sie den render-Operator hinzufügen.Now that the data is suitably grouped, you can display it in a visual chart by adding the render operator.

Perf  | where (ObjectName == "Processor")  | where (CounterName == "% Processor Time") | summarize avg(CounterValue) by Computer, TimeGenerated | render timechart

Liniendiagramm

Nächste SchritteNext steps

In diesem Tutorial haben Sie gelernt, einfache Protokollsuchen zur Analyse von Ereignis- und Leistungsdaten zu erstellen.In this tutorial, you learned how to create basic log searches to analyze event and performance data. Fahren Sie mit dem nächsten Tutorial fort, um zu erfahren, wie Sie die Daten durch Erstellen eines Dashboards visualisieren.Advance to the next tutorial to learn how to visualize the data by creating a dashboard.