Vue d’ensemble des requêtes de journal dans Azure MonitorOverview of log queries in Azure Monitor

Les requêtes de journal vous aident à tirer pleinement parti de la valeur des données collectées dans les journaux Azure Monitor.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Un puissant langage de requête vous permet de joindre des données provenant de plusieurs tables, d’agréger des jeux de données volumineux et d’effectuer des opérations complexes avec un minimum de code.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Vous pouvez répondre à pratiquement n’importe quelle question et effectuer n’importe quelle analyse tant que les données de soutien ont été collectées et que vous comprenez comment construire la bonne requête.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Certaines fonctionnalités d’Azure Monitor telles que les insights et les solutions traitent les données de journal sans vous exposer à des requêtes sous-jacentes.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Pour tirer pleinement parti des autres fonctionnalités d’Azure Monitor, vous devez comprendre comment les requêtes sont construites et comment vous pouvez les utiliser pour analyser les données dans les journaux d’Azure Monitor de manière interactive.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Utilisez cet article comme point de départ pour l’apprentissage des requêtes de journal dans Azure Monitor.Use this article as a starting point to learning about log queries in Azure Monitor. Il répond aux questions courantes et fournit des liens vers d’autres documents offrant davantage de détails et de leçons.It answers common questions and provides links to other documentation that provides further details and lessons.

Comment puis-je apprendre à écrire des requêtes ?How can I learn how to write queries?

Si vous souhaitez vous lancer directement dans les choses, vous pouvez démarrer avec les didacticiels suivants :If you want to jump right into things, you can start with the following tutorials:

Une fois que vous avez intégré les notions de base, passez en revue les leçons avec vos propres données ou celles de notre environnement de démonstration en commençant par :Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Quel langage les requêtes de journal utilisent-elles ?What language do log queries use?

Azure Monitor Logs repose sur Azure Data Explorer, et les requêtes de journal sont écrites à l’aide du même langage de requête Kusto (KQL).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Il s’agit d’un langage riche conçu pour être facile à lire et écrire, et vous pourrez commencer à l’utiliser avec un minimum de conseils.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Consultez la documentation de KQL pour Azure Data Explorer pour obtenir une documentation complète sur KQL et des informations de référence sur les différentes fonctions disponibles.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Consultez Bien démarrer avec les requêtes de journal dans Azure Monitor pour un bref aperçu du langage avec des données des journaux d’Azure Monitor.See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Consultez Différences propres au langage de requête de journal d'Azure Monitor pour découvrir les différences mineures dans la version de KQL utilisée par Azure Monitor.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Quelles sont les données disponibles pour les requêtes de journal ?What data is available to log queries?

Toutes les données collectées dans Azure Monitor Logs sont disponibles pour récupération et analyse par les requêtes de journal.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Différentes sources de données écriront leurs données dans différentes tables, mais vous pouvez inclure plusieurs tables dans une seule requête pour analyser les données entre plusieurs sources.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Lorsque vous générez une requête, vous commencez par déterminer les tables comportant les données que vous recherchez ; vous devez donc avoir au moins une connaissance élémentaire de la structure des données dans Azure Monitor Logs.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Consultez Sources d’Azure Monitor Logs pour une liste des différentes sources de données qui remplissent Azure Monitor Logs.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Consultez Structure d’Azure Monitor Logs pour une explication de la façon dont les données sont structurées.See Structure of Azure Monitor Logs for an explanation of how the data is structured.

À quoi ressemble une requête de journal ?What does a log query look like?

Une requête peut être aussi simple qu’un seul nom de table pour récupérer tous les enregistrements de cette table :A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Ou vous pouvez filtrer des enregistrements particuliers, les synthétiser et visualiser les résultats dans un graphique :Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Pour une analyse plus complexe, vous pouvez récupérer des données provenant de plusieurs tables à l’aide d’une jointure pour analyser les résultats ensemble.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Même si vous n’êtes pas familiarisé avec KQL, vous devriez au moins pouvoir déterminer la logique de base utilisée par ces requêtes.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Elles commencent par le nom d’une table, et vous y ajoutez plusieurs commandes pour filtrer et traiter ces données.They start with the name of a table and then add multiple commands to filter and process that data. Une requête peut utiliser n’importe quel nombre de commandes, et vous pourrez écrire des requêtes plus complexes après vous être familiarisé avec les différentes commandes KQL disponibles.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

Consultez Bien démarrer avec les requêtes de journal dans Azure Monitor pour obtenir un didacticiel sur les requêtes de journal qui présente le langage et ses fonctions communes.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Présentation de Log AnalyticsWhat is Log Analytics?

Log Analytics est le principal outil dans le portail Azure pour l’écriture de requêtes de journal et l’analyse interactive de leurs résultats.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Même si une requête de journal est utilisée ailleurs dans Azure Monitor, vous allez généralement commencer par écrire et tester la requête dans Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Vous pouvez démarrer Log Analytics à partir de plusieurs endroits dans le portail Azure.You can start Log Analytics from several places in the Azure portal. L’étendue des données disponibles pour Log Analytics est déterminée par la façon dont vous le démarrez.The scope of the data available to Log Analytics is determined by how you start it. Consultez Étendue de requête pour plus d’informations.See Query Scope for more details.

  • Sélectionnez Journaux dans le menu Azure Monitor ou Espaces de travail Log Analytics.Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Sélectionnez Analytique à partir de la page Vue d’ensemble d’une application Application Insights.Select Analytics from the Overview page of an Application Insights application.
  • Sélectionnez Journaux dans le menu d’une ressource Azure.Select Logs from the menu of an Azure resource.

Log Analytics

Consultez Bien démarrer avec Log Analytics dans Azure Monitor pour un didacticiel pas à pas de Log Analytics qui présente plusieurs de ses fonctionnalités.See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Où les requêtes de journal sont-elles utilisées ?Where else are log queries used?

En plus de travailler de manière interactive avec les requêtes de journal et leurs résultats dans Log Analytics, les zones dans Azure Monitor où vous allez utiliser les requêtes sont les suivantes :In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Règles d’alerte.Alert rules. Les règles d’alerte identifient de façon proactive les problèmes à partir des données dans votre espace de travail.Alert rules proactively identify issues from data in your workspace. Chaque règle d’alerte est basée sur une recherche dans les journaux qui est exécutée automatiquement à intervalles réguliers.Each alert rule is based on a log search that is automatically run at regular intervals. Les résultats sont inspectés pour déterminer si une alerte doit être créée.The results are inspected to determine if an alert should be created.
  • Tableaux de bord.Dashboards. Vous pouvez épingler les résultats de n’importe quelle requête dans un tableau de bord Azure afin de visualiser les données de journal et les métriques ensemble et de partager ces informations avec d’autres utilisateurs Azure si vous le souhaitez.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Vues.Views. Vous pouvez créer des visualisations de données à inclure dans les tableaux de bord utilisateur avec le Concepteur de vues.You can create visualizations of data to be included in user dashboards with View Designer. Les requêtes dans les journaux fournissent les données utilisées par les vignettes et les composants de visualisation dans chaque vue.Log queries provide the data used by tiles and visualization parts in each view.
  • Exportation.Export. Lorsque vous importez des données de journal d'Azure Monitor vers Excel ou Power BI, vous créez une requête de journal pour définir les données à exporter.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. Vous pouvez exécuter un script PowerShell à partir d’une ligne de commande ou d’un runbook Azure Automation qui utilise Get-AzOperationalInsightsSearchResults pour récupérer des données de journal à partir d’Azure Monitor.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Cette applet de commande nécessite une requête pour déterminer les données à récupérer.This cmdlet requires a query to determine the data to retrieve.
  • API Journaux d’activité Azure Monitor.Azure Monitor Logs API. L’API Journaux d’activité Azure Monitor permet à tout client d’API REST de récupérer des données de journal d’activité à partir de l’espace de travail.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. La demande API comprend une requête qui est exécutée sur Azure Monitor pour déterminer les données à récupérer.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Étapes suivantesNext steps