Tutoriel Log Analytics

Log Analytics est un outil présent dans le portail Azure pour modifier et d’exécuter des requêtes de journal à partir de données collectées par les journaux Azure Monitor et d’analyser leurs résultats de manière interactive. Vous pouvez utiliser des requêtes Log Analytics pour récupérer des enregistrements correspondant à des critères particuliers, identifier des tendances, analyser des modèles et fournir divers insights sur vos données.

Ce tutoriel vous guide dans l’interface Log Analytics, présente quelques requêtes de base et vous montre comment tirer parti des résultats. Vous découvrirez comment effectuer les actions suivantes :

  • Comprendre le schéma des données de journal.
  • Écrire et exécuter des requêtes simples, et modifier l’intervalle de temps pour les requêtes.
  • Filtrer, trier et regrouper les résultats de requête.
  • Afficher, modifier et partager des visuels des résultats de requête.
  • Charger, exporter et copier des requêtes et des résultats.

Important

Dans ce tutoriel, vous tirerez parti des fonctionnalités de Log Analytics pour générer une requête et utiliser un autre exemple de requête. Lorsque vous êtes prêt à apprendre la syntaxe des requêtes et à commencer à modifier directement la requête, lisez le tutoriel sur le langage de requête Kusto (KQL). Ce tutoriel vous fait parcourir des exemples de requêtes que vous pouvez modifier et exécuter dans Log Analytics. Il utilise plusieurs des fonctionnalités que vous allez apprendre dans ce tutoriel.

Prérequis

Ce tutoriel utilise l’environnement de démonstration Log Analytics, qui comprend de nombreux exemples de données prenant en charge les exemples de requêtes. Vous pouvez également utiliser votre propre abonnement Azure, mais vous ne disposerez peut-être pas de données dans les mêmes tables.

Ouvrir Log Analytics

Ouvrez l’environnement de démonstration Log Analytics ou sélectionnez Journaux dans le menu Azure Monitor de votre abonnement. Cette étape définit un espace de travail Log Analytics comme étendue initiale, ce qui signifie que votre requête effectue une sélection parmi toutes les données de cet espace de travail. Si vous sélectionnez Journaux dans le menu d’une ressource Azure, l’étendue est définie sur les seuls enregistrements de cette ressource. Pour plus d’informations sur l’étendue, consultez Étendue de requête de journal.

Vous pouvez voir l’étendue dans l’angle supérieur gauche de l’écran. Si vous utilisez votre propre environnement, vous verrez une option permettant de sélectionner une autre étendue. Cette option n’est pas disponible dans l’environnement de démonstration.

Screenshot that shows the Log Analytics scope for the demo.

Afficher les informations de table

Le côté gauche de l’écran comprend l’onglet Tables, où vous pouvez inspecter les tables disponibles dans l’étendue actuelle. Ces tables sont regroupées par Solution par défaut, mais vous pouvez modifier leur regroupement ou les filtrer.

Développez la solution Gestion des journaux et recherchez la table AppRequests. Vous pouvez développer la table pour afficher son schéma, ou pointer sur son nom pour afficher des informations supplémentaires à son sujet.

Screenshot that shows the Tables view.

Sélectionnez Liens utiles pour accéder à la référence des tables qui documente chaque table et ses colonnes. Sélectionnez Aperçu des données pour jeter un œil à quelques enregistrements récents dans la table. Cette préversion peut être utile pour s’assurer qu’il s’agit bien des données que vous attendez, avant d’exécuter une requête avec elles.

Screenshot that shows preview data for the AppRequests table.

Écrivez votre requête.

Commençons par écrire une requête à l’aide de la table AppRequests. Double-cliquez sur son nom pour l’ajouter à la fenêtre de requête. Vous pouvez aussi taper directement dans la fenêtre. Vous pouvez même faire en sorte qu’IntelliSense vous aide à compléter les noms des tables dans l’étendue actuelle et les commandes Kusto Query Language (KQL).

Il s’agit de la requête la plus simple que nous pouvons écrire. Elle retourne simplement tous les enregistrements d’une table. Exécutez-la en sélectionnant le bouton Exécuter ou en sélectionnant Maj+Entrée avec le curseur positionné n’importe où dans le texte de la requête.

Screenshot that shows query results.

Vous pouvez constater que nous avons des résultats. Le nombre d’enregistrements retournés par la requête s’affiche dans le coin inférieur droit.

Plage temporelle

Toutes les requêtes retournent des enregistrements générés dans un intervalle de temps défini. Par défaut, la requête retourne les enregistrements générés dans les dernières 24 heures.

Vous pouvez définir un autre intervalle de temps en utilisant l’opérateur where dans la requête. Vous pouvez également utiliser la liste déroulante Intervalle de temps en haut de l’écran.

Modifions l’intervalle de temps de la requête en sélectionnant 12 dernières heures dans la liste déroulante Intervalle de temps. Sélectionnez Exécuter pour retourner les résultats.

Notes

La modification de l’intervalle de temps en utilisant la liste déroulante Intervalle de temps ne modifie pas la requête dans l’éditeur de requête.

Screenshot that shows the time range.

Plusieurs conditions de requête

Nous allons réduire les résultats en ajoutant une autre condition de filtre. Une requête peut inclure un nombre quelconque de filtres pour cibler exactement le jeu d’enregistrements souhaité. Sélectionnez Accéder à la page d’accueil/d’index sous Nom, puis sélectionnez Appliquer et exécuter.

Screenshot that shows query results with multiple filters.

Analyser les résultats

En plus de vous aider à écrire et à exécuter des requêtes, Log Analytics offre des fonctionnalités permettant d’exploiter les résultats. Commencez par développer un enregistrement pour afficher les valeurs de toutes ses colonnes.

Screenshot that shows a record expanded in the search results.

Sélectionnez le nom d’une colonne pour trier les résultats selon cette colonne. Sélectionnez l’icône de filtre en regard de celle-ci pour fournir une condition de filtre. Cette action est similaire à l’ajout d’une condition de filtre à la requête elle-même, sauf que ce filtre est effacé si la requête est réexécutée. Appliquez cette méthode si vous souhaitez analyser rapidement un jeu d’enregistrements dans le cadre de l’analyse interactive.

Par exemple, définissez un filtre sur la colonne DurationMs pour limiter les enregistrements à ceux qui ont pris plus de 150 millisecondes.

Screenshot that shows a query results filter.

Rechercher dans les résultats de la requête

Effectuons une recherche dans les résultats de la requête en utilisant la zone de recherche située en haut à droite du volet de résultats.

Entrez Chicago dans la zone de recherche des résultats de la requête et sélectionnez les flèches pour trouver toutes les instances de cette chaîne dans vos résultats de recherche.

Screenshot that shows the search box at the top right of the result pane.

Réorganiser et synthétiser des données

Pour mieux visualiser vos données, vous pouvez réorganiser et synthétiser les données dans les résultats de la requête en fonction de vos besoins.

Sélectionnez Colonnes à droite du volet de résultats pour ouvrir la barre latérale Colonnes.

Screenshot that shows the Column link to the right of the results pane, which you select to open the Columns sidebar.

Dans la barre latérale, vous verrez une liste de toutes les colonnes disponibles. Faites glisser la colonne URL dans la section Groupes de lignes. Les résultats sont désormais organisés d’après cette colonne, et vous pouvez réduire chaque groupe pour vous aider dans votre analyse. Cette action est similaire à l’ajout d’une condition de filtre à la requête, mais au lieu de récupérer à nouveau des données à partir du serveur, vous traitez les données retournées par votre requête d’origine. Lorsque vous réexécutez la requête, Log Analytics récupère les données en fonction de votre requête d’origine. Appliquez cette méthode si vous souhaitez analyser rapidement un jeu d’enregistrements dans le cadre de l’analyse interactive.

Screenshot that shows query results grouped by URL.

Créer un tableau croisé dynamique

Pour analyser les performances de vos pages, créez un tableau croisé dynamique.

Dans la barre latérale Colonnes, sélectionnez Mode croisé dynamique.

Sélectionnez URL et DurationMs pour afficher la durée totale de tous les appels à chaque URL.

Pour afficher la durée maximale des appels à chaque URL, sélectionnez sum(DurationMs)>max.

Screenshot that shows how to turn on Pivot Mode and configure a pivot table based on the URL and DurationMS values.

Nous allons maintenant trier les résultats par durée maximale d’appel la plus longue en sélectionnant la colonne max(DurationMs) dans le volet de résultats.

Screenshot that shows the query results pane being sorted by the maximum DurationMS values.

Utiliser des graphiques

Examinons une requête qui utilise des données numériques que nous pouvons afficher dans un graphique. Au lieu de créer une requête, nous allons sélectionner un exemple de requête.

Dans le volet gauche, sélectionnez Requêtes. Ce volet comprend des exemples de requêtes que vous pouvez ajouter à la fenêtre de requête. Si vous utilisez votre propre espace de travail, vous devriez avoir diverses requêtes dans plusieurs catégories. Si vous utilisez l’environnement de démonstration, vous ne voyez peut-être que des espaces de travail Log Analytics. Développez-la pour afficher les requêtes de la catégorie.

Sélectionnez la requête appelée Taux d’erreur de fonction dans la catégorie Applications. Cette étape ajoute la requête à la fenêtre de requête. Notez que la nouvelle requête est séparée de l’autre par une ligne vide. Une requête en KQL se termine lorsqu’elle rencontre une ligne vide. Elles sont donc considérées comme des requêtes distinctes.

Screenshot that shows a new query.

La requête active est celle sur laquelle le curseur est positionné. Vous pouvez voir que la première requête est mise en surbrillance, indiquant qu’il s’agit de la requête active. Cliquez n’importe où dans la nouvelle requête pour la sélectionner, puis sélectionnez le bouton Exécuter pour l’exécuter.

Screenshot that shows the query results table.

Pour afficher les résultats dans un graphique, sélectionnez Graphique dans le volet des résultats. Notez qu’il existe différentes options pour manipuler le graphique, par exemple pour le remplacer par un autre type.

Screenshot that shows the query results chart.

Étapes suivantes

Maintenant que vous savez comment utiliser Log Analytics, suivez le tutoriel sur l’utilisation des requêtes de journal :