Introducción a las consultas de registro en Azure MonitorOverview of log queries in Azure Monitor

Las consultas de registro ayudan a aprovechar al máximo el valor de los datos recopilados en registros de Azure Monitor.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Un lenguaje de consulta eficaz permite combinar datos de varias tablas, agregar grandes conjuntos de datos y realizar operaciones complejas con una mínima cantidad de código.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Se puede responder casi cualquier pregunta y realizar cualquier análisis, siempre y cuando se hayan recopilado los datos de respaldo y comprenda cómo construir la consulta adecuada.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Algunas características de Azure Monitor, como conclusiones y soluciones procesan datos de registro sin exponer las consultas subyacentes.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Para aprovechar completamente las otras características de Azure Monitor, debe comprender cómo se construyen las consultas y cómo puede usar estas para analizar de forma interactiva los datos en registros de Azure Monitor.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Use este artículo como punto de partida para obtener más información sobre consultas de registros en Azure Monitor.Use this article as a starting point to learning about log queries in Azure Monitor. Proporciona respuestas a preguntas comunes y vínculos a otra documentación que ofrece más detalles y lecciones.It answers common questions and provides links to other documentation that provides further details and lessons.

¿Cómo puedo aprender cómo escribir consultas?How can I learn how to write queries?

Si desea comenzar de inmediato, puede empezar con los siguientes tutoriales:If you want to jump right into things, you can start with the following tutorials:

Cuando comprenda los conceptos básicos, realice varias lecciones con sus propios datos o datos de nuestro entorno de demostración, comenzando por la siguiente:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

¿Qué lenguaje usan las consultas de registro?What language do log queries use?

Los registros de Azure Monitor se basan en Azure Data Explorer y las consultas de registros se escriben con el mismo lenguaje de consulta de Kusto (KQL).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Esto es un lenguaje enriquecido diseñado para ser fácil de leer y crear, y debería poder empezar a usarlo con asistencia mínima.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Consulte la documentación sobre KQL de Azure Data Explorer para obtener documentación completa sobre KQL y referencia de las distintas funciones disponibles.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Consulte Introducción a las consultas de registro en Azure Monitor para ver un tutorial rápido del lenguaje con los datos de registros de Azure Monitor.See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Consulte Diferencias en el lenguaje de consulta de los registros de Azure Monitor para conocer las pequeñas diferencias en la versión de KQL que Azure Monitor usa.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

¿Qué datos están disponibles para registrar consultas?What data is available to log queries?

Todos los datos recopilados en los registros de Azure Monitor están disponibles para recuperar y analizar en consultas de registros.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Diferentes orígenes de datos escribirán sus datos en tablas diferentes, pero puede incluir varias tablas en una sola consulta para analizar datos entre varios orígenes.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Cuando se compila una consulta, primero debe determinar qué tablas tienen los datos que está buscando, por lo que debe tener al menos un conocimiento básico de cómo se estructuran los datos en los registros de Azure Monitor.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Consulte Orígenes de registros de Azure Monitor, para obtener una lista de los diferentes orígenes de datos que rellenan los registros de Azure Monitor.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Consulte Estructura de los registros de Azure Monitor para obtener una explicación de cómo se estructuran los datos.See Structure of Azure Monitor Logs for an explanation of how the data is structured.

¿Qué aspecto tiene una consulta de registro?What does a log query look like?

Una consulta puede ser tan simple como un nombre de tabla única para recuperar todos los registros de esa tabla:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

O bien, podría filtrar registros determinados, resumirlos y visualizar los resultados en un gráfico:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Para un análisis más complejo, puede recuperar datos de varias tablas mediante una combinación para analizar los resultados entre sí.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Incluso si no está familiarizado con KQL, debería poder averiguar al menos la lógica básica que estas consultas usan.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Comienzan por el nombre de una tabla y luego agregan varios comandos para filtrar y procesar los datos.They start with the name of a table and then add multiple commands to filter and process that data. Una consulta puede usar cualquier número de comandos y se pueden escribir consultas más complejas a medida que se familiarice con los distintos comandos de KQL disponibles.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

Consulte Introducción a las consultas de registro en Azure Monitor para obtener un tutorial sobre las consultas de registro en el que se introduce el lenguaje y las funciones comunes.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

¿Qué es Log Analytics?What is Log Analytics?

Log Analytics es la herramienta principal en Azure Portal para escribir consultas de registros y analizar sus resultados de forma interactiva.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Incluso si una consulta de registro se usa en otro lugar en Azure Monitor, normalmente deberá escribir y probar la consulta primero mediante Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Log Analytics se puede iniciar desde varios lugares en Azure Portal.You can start Log Analytics from several places in the Azure portal. El ámbito de los datos disponibles para Log Analytics se determina según el modo en que se inicia.The scope of the data available to Log Analytics is determined by how you start it. Consulte Ámbito de la consulta para obtener más detalles.See Query Scope for more details.

  • Seleccione Registros desde el menú Azure Monitor o el menú Áreas de trabajo de Log Analytics.Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Seleccione Analytics en la página Introducción de una aplicación de Application Insights.Select Analytics from the Overview page of an Application Insights application.
  • Seleccione Registros en el menú de un recurso de Azure.Select Logs from the menu of an Azure resource.

Log Analytics

Consulte Introducción a Log Analytics en Azure Monitor para obtener un tutorial sobre Log Analytics en el que se introducen varias de sus características.See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

¿Dónde se usan las consultas de registros?Where else are log queries used?

Además de trabajar de manera interactiva con consultas de registro y sus resultados en Log Analytics, entre las áreas de Azure Monitor en las que se usan las consultas se incluyen las siguientes:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Reglas de alertas.Alert rules. Las reglas de alertas identifican de manera proactiva los problemas de datos del área de trabajo.Alert rules proactively identify issues from data in your workspace. Cada regla de alertas se basa en una búsqueda de registros que se ejecuta automáticamente a intervalos regulares.Each alert rule is based on a log search that is automatically run at regular intervals. Los resultados se inspeccionan para determinar si se debe crear una alerta.The results are inspected to determine if an alert should be created.
  • Paneles.Dashboards. Puede anclar los resultados de cualquier consulta en un panel de Azure, que le permitirá visualizar los datos de registros y métricas en conjunto y, opcionalmente, compartirlos con otros usuarios de Azure.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Vistas.Views. Puede crear visualizaciones de datos que se incluyan en los paneles de usuario con el diseñador de vistas.You can create visualizations of data to be included in user dashboards with View Designer. Las consultas de registros proporcionan los datos utilizados por iconos y elementos de visualización en cada vista.Log queries provide the data used by tiles and visualization parts in each view.
  • Exportación.Export. Cuando importe datos de registro de Azure Monitor en Excel o Power BI, cree una consulta de registros para definir los datos que se van a exportar.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. Puede ejecutar un script de PowerShell desde una línea de comandos o un runbook de Azure Automation que use Get-AzOperationalInsightsSearchResults para recuperar los datos de registro de Azure Monitor.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Este cmdlet requiere una consulta para determinar los datos que se van a recuperar.This cmdlet requires a query to determine the data to retrieve.
  • API de registros de Azure Monitor.Azure Monitor Logs API. La API de registros de Azure Monitor permite que cualquier cliente de API REST recupere datos de registro del área de trabajo.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. La solicitud de API incluye una consulta que se ejecuta en Azure Monitor para determinar los datos que se van a recuperar.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Pasos siguientesNext steps