Tutorial: Introducción a las consultas de Log AnalyticsTutorial: Get started with Log Analytics queries

En este tutorial se indica cómo usar Log Analytics para escribir, ejecutar y administrar consultas de registro de Azure Monitor en Azure Portal.This tutorial shows you how to use Log Analytics to write, execute, and manage Azure Monitor log queries in the Azure portal. Las consultas de Log Analytics se pueden usar para buscar términos, identificar tendencias, analizar patrones y proporcionar muchas otras conclusiones basadas en los datos.You can use Log Analytics queries to search for terms, identify trends, analyze patterns, and provide many other insights from your data.

En este tutorial, aprenderá a usar Log Analytics para:In this tutorial, you learn how to use Log Analytics to:

  • Comprender el esquema de datos del registroUnderstand the log data schema
  • Escribir y ejecutar consultas sencillas, y modificar el intervalo de tiempo de las consultasWrite and run simple queries, and modify the time range for queries
  • Filtrar, ordenar y agrupar los resultados de las consultasFilter, sort, and group query results
  • Ver, modificar y compartir los objetos visuales de los resultados de las consultasView, modify, and share visuals of query results
  • Guardar, cargar, exportar y copiar consultas y resultadosSave, load, export, and copy queries and results

Para obtener más información sobre las consultas de registro, vea Análisis de datos de registro en Azure Monitor.For more information about log queries, see Overview of log queries in Azure Monitor.
Para ver un tutorial detallado sobre cómo escribir consultas de registro, consulte Introducción a las consultas de registro en Azure Monitor.For a detailed tutorial on writing log queries, see Get started with log queries in Azure Monitor.

Apertura de Log AnalyticsOpen Log Analytics

Para usar Log Analytics debe iniciar sesión en una cuenta de Azure.To use Log Analytics, you need to be signed in to an Azure account. Si no tiene una cuenta de Azure, cree una gratis.If you don't have an Azure account, create one for free.

Para completar la mayoría de los pasos de este tutorial, puede usar este entorno de demostración que incluye gran cantidad de datos de ejemplo.To complete most of the steps in this tutorial, you can use this demo environment, which includes plenty of sample data. En este entorno, no podrá guardar consultas ni anclar resultados en un panel.With the demo environment, you won't be able to save queries or pin results to a dashboard.

También puede usar su propio entorno si va a utilizar Azure Monitor para recopilar datos de registro en al menos un recurso de Azure.You can also use your own environment, if you're using Azure Monitor to collect log data on at least one Azure resource. Para abrir un área de trabajo de Log Analytics, seleccione Registros en el panel de navegación izquierdo de Azure Monitor.To open a Log Analytics workspace, in your Azure Monitor left navigation, select Logs.

Información sobre el esquemaUnderstand the schema

Un esquema es una colección de tablas que se agrupan en categorías lógicas.A schema is a collection of tables grouped under logical categories. El esquema de demostración incluye varias categorías de soluciones de supervisión.The Demo schema has several categories from monitoring solutions. Por ejemplo, la categoría LogManagement contiene eventos, datos de rendimiento y latidos del agente de Windows y Syslog.For example, the LogManagement category contains Windows and Syslog events, performance data, and agent heartbeats.

Las tablas del esquema aparecen en la pestaña Tablas del área de trabajo de Log Analytics.The schema tables appear on the Tables tab of the Log Analytics workspace. Las tablas contienen columnas, cada una con un tipo de datos que muestra el icono situado junto al nombre de la columna.The tables contain columns, each with a data type shown by the icon next to the column name. Por ejemplo, la tabla Eventos contiene columnas de texto como Equipo y columnas numéricas como EventCategory.For example, the Event table contains text columns like Computer and numerical columns like EventCategory.

La captura de pantalla muestra la página de registros de Azure Portal con una nueva consulta, en la que se resalta el panel Tablas con el equipo y EventCategory resaltados.

Escritura y ejecución de consultas básicasWrite and run basic queries

Log Analytics se abre con una nueva consulta en blanco en el Editor de consultas.Log Analytics opens with a new blank query in the Query editor.

Log Analytics

Escriba una consulta.Write a query

Las consultas de registro de Azure Monitor usan una versión del lenguaje de consulta de Kusto.Azure Monitor log queries use a version of the Kusto query language. Las consultas pueden comenzar por un nombre de tabla o un comando search.Queries can begin with either a table name or a search command.

La siguiente consulta recupera todos los registros de la tabla Eventos:The following query retrieves all records from the Event table:

Event

El carácter de barra vertical (|) separa los comandos, de manera que la salida del primer comando es la entrada del siguiente.The pipe (|) character separates commands, so the output of the first command is the input of the next command. A una consulta se puede agregar cualquier cantidad de comandos.You can add any number of commands to a single query. La consulta siguiente recupera los registros de la tabla Eventos y, a continuación, busca en ellos el término error en todas las propiedades:The following query retrieves the records from the Event table, and then searches them for the term error in any property:

Event 
| search "error"

Un solo salto de línea hace que las consultas sean más fáciles de leer.A single line break makes queries easier to read. Más de un salto de línea divide la consulta en consultas independientes.More than one line break splits the query into separate queries.

Esta es otra forma de escribir la misma consulta:Another way to write the same query is:

search in (Event) "error"

En el segundo ejemplo, el comando search solo busca en los registros de la tabla Eventos el término error.In the second example, the search command searches only records in the Events table for the term error.

De forma predeterminada, Log Analytics limita las consultas a un intervalo de tiempo de las últimas 24 horas.By default, Log Analytics limits queries to a time range of the past 24 hours. Para establecer un intervalo de tiempo diferente, puede agregar un filtro TimeGenerated explícito a la consulta o utilizar el control Intervalo de tiempo.To set a different time range, you can add an explicit TimeGenerated filter to the query, or use the Time range control.

Uso del control Intervalo de tiempoUse the Time range control

Para utilizar el control Intervalo de tiempo selecciónelo en la barra superior y, después, seleccione un valor de la lista desplegable o seleccione Personalizado para crear un intervalo de tiempo personalizado.To use the Time range control, select it in the top bar, and then select a value from the dropdown list, or select Custom to create a custom time range.

Selector de hora

  • Los valores del intervalo de tiempo están en formato UTC, el cual podría ser diferente de su zona horaria local.Time range values are in UTC, which could be different than your local time zone.
  • Si la consulta establece explícitamente un filtro para TimeGenerated, en el control selector de hora aparece Establecer en la consulta y se deshabilita para evitar un conflicto.If the query explicitly sets a filter for TimeGenerated, the time picker control shows Set in query, and is disabled to prevent a conflict.

Ejecución de una consultaRun a query

Para ejecutar una consulta, sitúe el cursor en algún lugar de esta y seleccione Ejecutar en la barra superior o presione Mayús+Entrar.To run a query, place your cursor somewhere inside the query, and select Run in the top bar or press Shift+Enter. La consulta se ejecuta hasta que encuentra una línea en blanco.The query runs until it finds a blank line.

Filtrar resultadosFilter results

Log Analytics limita los resultados a un máximo de 10 000 registros.Log Analytics limits results to a maximum of 10,000 records. Una consulta general como Event devuelve demasiados resultados para ser útil.A general query like Event returns too many results to be useful. Puede filtrar los resultados mediante la restricción de los elementos de la tabla de la consulta o agregando explícitamente un filtro a los resultados.You can filter query results either through restricting the table elements in the query, or by explicitly adding a filter to the results. El filtrado mediante elementos de tabla devuelve un nuevo conjunto de resultados mientras que un filtro explícito se aplica al conjunto de resultados ya existente.Filtering through the table elements returns a new result set, while an explicit filter applies to the existing result set.

Filtro mediante la restricción de elementos de tablaFilter by restricting table elements

Para filtrar los resultados de la consulta de Event por eventos de Error mediante la restricción de elementos de tabla de la consulta:To filter Event query results to Error events by restricting table elements in the query:

  1. En los resultados de la consulta, seleccione la flecha desplegable situada junto a cualquier registro que contenga Error en la columna EventLevelName.In the query results, select the dropdown arrow next to any record that has Error in the EventLevelName column.

  2. En los detalles expandidos, pase el puntero y seleccione el icono ... situado junto a EventLevelName y, después, seleccione Incluir "Error" .In the expanded details, hover over and select the ... next to EventLevelName, and then select Include "Error".

    Agregar filtro a consulta

  3. Observe que la consulta del Editor de consultas ha cambiado ahora a:Notice that the query in the Query editor has now changed to:

    Event
    | where EventLevelName == "Error"
    
  4. Seleccione Ejecutar para ejecutar la nueva consulta.Select Run to run the new query.

Filtro mediante el filtrado explícito de los resultadosFilter by explicitly filtering results

Para filtrar los resultados de la consulta de Event por eventos de Error mediante el filtrado de los resultados de la consulta:To filter the Event query results to Error events by filtering the query results:

  1. En los resultados de la consulta, seleccione el icono de Filtro situado junto al encabezado de la columna EventLevelName.In the query results, select the Filter icon next to the column heading EventLevelName.

  2. En el primer campo de la ventana emergente, seleccione Es igual que y, en el siguiente campo, escriba error.In the first field of the pop-up window, select Is equal to, and in the next field, enter error.

  3. Seleccione Filtro.Select Filter.

    La captura de pantalla muestra una tabla de resultados con un menú contextual para filtrar los resultados por EventLevelName.

Ordenación, agrupación y selección de columnasSort, group, and select columns

Para ordenar los resultados de una consulta por una columna específica, como TimeGenerated [UTC] , seleccione el encabezado de la columna.To sort query results by a specific column, such as TimeGenerated [UTC], select the column heading. Seleccione el encabezado de nuevo para cambiar entre un orden ascendente o descendente.Select the heading again to toggle between ascending and descending order.

Ordenación de la columna

Otra manera de organizar los resultados es por grupos.Another way to organize results is by groups. Para agrupar resultados por una columna específica, arrastre el encabezado de la columna a la barra situada sobre la tabla de resultados con la etiqueta Drag a column header and drop it here to group by that column (Arrastrar un encabezado de columna y soltarlo aquí para agrupar por esa columna).To group results by a specific column, drag the column header to the bar above the results table labeled Drag a column header and drop it here to group by that column. Para crear subgrupos, arrastre otras columnas a la barra superior.To create subgroups, drag other columns to the upper bar. Puede reorganizar la jerarquía y ordenar los grupos y subgrupos en la barra.You can rearrange the hierarchy and sorting of the groups and subgroups in the bar.

Captura de pantalla que muestra los resultados de la consulta con los subgrupos de EventLevelName y Equipo.

Para ocultar o mostrar las columnas de los resultados, seleccione Columnas situado encima de la tabla y, a continuación, seleccione o anule la selección de las columnas que desee en la lista desplegable.To hide or show columns in the results, select Columns above the table, and then select or deselect the columns you want from the dropdown list.

Select columns

Visualización y modificación de gráficosView and modify charts

También puede ver los resultados de la consulta en formatos visuales.You can also see query results in visual formats. Escriba la siguiente consulta como ejemplo:Enter the following query as an example:

Event 
| where EventLevelName == "Error" 
| where TimeGenerated > ago(1d) 
| summarize count() by Source 

De forma predeterminada, los resultados aparecen en una tabla.By default, results appear in a table. Seleccione Gráfico en la parte superior de la tabla para ver los resultados en una vista gráfica.Select Chart above the table to see the results in a graphic view.

Gráfico de barras

Los resultados aparecen en un gráfico de barras apiladas.The results appear in a stacked bar chart. Seleccione otras opciones como Columna apilada o Circular para mostrar otras vistas de los resultados.Select other options like Stacked Column or Pie to show other views of the results.

Gráfico circular

Las propiedades de la vista, como los ejes "x" e "y", o las preferencias de agrupación y división, se pueden cambiar manualmente en la barra de control.You can change properties of the view, such as x and y axes, or grouping and splitting preferences, manually from the control bar.

También puede establecer la vista que prefiera en la propia consulta mediante el operador de representación.You can also set the preferred view in the query itself, using the render operator.

Anclaje de resultados a un panelPin results to a dashboard

Para anclar una tabla o gráfico de resultados desde Log Analytics en un panel compartido de Azure, seleccione Anclar al panel en la barra superior.To pin a results table or chart from Log Analytics to a shared Azure dashboard, select Pin to dashboard on the top bar.

Anclar al panel

En el panel Anclar a otro panel, seleccione un panel al que realizar el anclaje, o créelo, y seleccione Aplicar.In the Pin to another dashboard pane, select or create a shared dashboard to pin to, and select Apply. La tabla o gráfico aparece en el panel de Azure seleccionado.The table or chart appears on the selected Azure dashboard.

Gráfico anclado al panel

La tablas o gráficos que ancle a un panel compartido tendrán las siguientes limitaciones:A table or chart that you pin to a shared dashboard has the following simplifications:

  • Los datos se limitan a los últimos 14 días.Data is limited to the past 14 days.
  • Una tabla solo muestra un máximo de cuatro columnas y las siete primeras filas.A table shows only up to four columns and the top seven rows.
  • Los gráficos con muchas categorías discretas agrupan automáticamente las categorías menos pobladas en una única categoría otros.Charts with many discrete categories automatically group less populated categories into a single others bin.

Guardar, cargar o exportar consultasSave, load, or export queries

Después de crear una consulta, puede guardarla o compartir la consulta o los resultados con otros.Once you create a query, you can save or share the query or results with others.

Guardado de consultasSave queries

Para guardar una consulta:To save a query:

  1. Seleccione Guardar en la barra superior.Select Save on the top bar.

  2. En el cuadro de diálogo Guardar, asigne a la consulta un Nombre mediante los caracteres a – z, A – Z, 0-9, espacio, guión, carácter de subrayado, punto, paréntesis o barra vertical.In the Save dialog, give the query a Name, using the characters a–z, A–Z, 0-9, space, hyphen, underscore, period, parenthesis, or pipe.

  3. Seleccione si desea guardar la consulta como Consulta o como Función.Select whether to save the query as a Query or a Function. Las funciones son consultas a las que pueden hacer referencia otras consultas.Functions are queries that other queries can reference.

    Para guardar una consulta como una función, proporcione un Alias de función, que es un nombre corto que otras consultas usan para llamar a esta consulta.To save a query as a function, provide a Function Alias, which is a short name for other queries to use to call this query.

  4. Si está en un área de trabajo de Log Analytics, proporcione una categoría para el Explorador de consultas que se usará para la consulta.If you are in a Log Analytics workspace, provide a Category for Query explorer to use for the query. (Las categorías no están disponibles para las consultas de Applications Insights)(Categories aren't available for Applications Insights queries)

  5. Seleccione Guardar.Select Save.

    Función Guardar

Carga de consultasLoad queries

Para cargar una consulta guardada, seleccione Explorador de consultas en la esquina superior derecha.To load a saved query, select Query explorer at upper right. Se abre el panel Explorador de consultas, donde se muestran todas las consultas por categoría.The Query explorer pane opens, listing all queries by category. Expanda las categorías o escriba un nombre de consulta en la barra de búsqueda y, a continuación, seleccione una consulta para cargarla en el Editor de consultas.Expand the categories or enter a query name in the search bar, then select a query to load it into the Query editor. Para marcar una consulta como Favorita, seleccione la estrella situada junto al nombre de la consulta.You can mark a query as a Favorite by selecting the star next to the query name.

Explorador de consultas

Exportar y compartir consultasExport and share queries

Para exportar una consulta, seleccione Exportar en la barra superior y, después, seleccione Exportar a CSV: todas las columnas, Exportar a CSV: columnas mostradas o Exportar a Power BI (M Query) en la lista desplegable.To export a query, select Export on the top bar, and then select Export to CSV - all columns, Export to CSV - displayed columns, or Export to Power BI (M query) from the dropdown list.

En el vídeo siguiente se muestra cómo integrar Log Analytics con Excel.The following video shows you how to integrate Log Analytics with Excel.

Para compartir un vínculo a una consulta, seleccione Copiar vínculo en la barra superior y, a continuación, seleccione Copiar vínculo a la consulta, Copiar texto de la consulta o Copiar resultados de la consulta para copiarlos en el portapapeles.To share a link to a query, select Copy link on the top bar, and then select Copy link to query, Copy query text, or Copy query results to copy to the clipboard. Puede enviar el vínculo de la consulta a otros usuarios que tengan acceso a la misma área de trabajo.You can send the query link to others who have access to the same workspace.

Pasos siguientesNext steps

Prosiga con el siguiente tutorial para más información sobre la escritura de consultas de registro de Azure Monitor.Advance to the next tutorial to learn more about writing Azure Monitor log queries.