A Azure Monitor lévő naplók áttekintéseOverview of log queries in Azure Monitor

A naplók lekérdezései segítségével teljes mértékben kihasználhatja Azure monitor naplókbanösszegyűjtött adatok értékét.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Egy hatékony lekérdezési nyelv lehetővé teszi több táblázatból származó adatok összekapcsolását, nagy mennyiségű adat összesítését, valamint a minimális kóddal rendelkező összetett műveletek végrehajtását.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Gyakorlatilag bármilyen kérdés megválaszolható és elemezhető mindaddig, amíg a támogatási adatok gyűjtése megtörtént, és tisztában van a megfelelő lekérdezés létrehozásával is.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

A Azure Monitor egyes funkciói, például az elemzések és a megoldások feldolgozzák az adatokat, és nem teszik közzé az alapul szolgáló lekérdezéseket.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. A Azure Monitor egyéb funkcióinak teljes körű kihasználása érdekében ismernie kell a lekérdezések összeépítésének módját, valamint azt, hogy miként használhatja őket interaktív módon elemezni Azure Monitor naplókban.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Ez a cikk kiindulási pontként használható a Azure Monitor naplózási lekérdezésének megismeréséhez.Use this article as a starting point to learning about log queries in Azure Monitor. A gyakori kérdésekre ad választ, és más dokumentációra mutató hivatkozásokat is tartalmaz, amelyek további részleteket és tanulságokat biztosítanak.It answers common questions and provides links to other documentation that provides further details and lessons.

Honnan tudhatom meg, Hogyan írhatok le lekérdezéseket?How can I learn how to write queries?

Ha a dolgokra szeretne ugrani, kezdje a következő oktatóanyagokkal:If you want to jump right into things, you can start with the following tutorials:

Miután megtörtént az alapok leállása, a bemutató környezetből származó saját adatokkal vagy adatokkal akár több leckét is elindíthat:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Milyen nyelveket használ a naplók lekérdezése?What language do log queries use?

Azure Monitor naplók az Azure Adatkezelőonalapulnak, és a napló lekérdezéseit ugyanazzal a Kusto lekérdezési nyelvvel (KQL) kell írni.Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Ez egy olyan gazdag nyelv, amely könnyen olvasható és létrehozható, és a lehető legkevesebb útmutatást kell biztosítania a használatához.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Tekintse meg az Azure adatkezelő KQL dokumentációját , amely a KQL és az elérhető különböző funkciókra vonatkozó dokumentációt tartalmazza.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
A Azure Monitor naplókból származó adatokkal a nyelv gyors áttekintéséhez tekintse meg a Azure monitor a naplózási lekérdezések használatának első lépéseit .See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. A Azure Monitor által használt KQL-verzióban található kisebb eltérések esetében tekintse meg a Azure monitor naplózási lekérdezés nyelvi különbségeit .See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Milyen adatforrások érhetők el a lekérdezések naplózásához?What data is available to log queries?

A Azure Monitor naplókban összegyűjtött összes adatok beolvashatók és elemezhetők a naplók lekérdezésében.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. A különböző adatforrások különböző táblákba írják az állapotukat, de több táblát is megadhat egyetlen lekérdezésben, hogy több forrásból elemezze az adatforrásokat.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Amikor létrehoz egy lekérdezést, először határozza meg, hogy mely táblák rendelkeznek a keresett adatokkal, ezért legalább egy alapvető ismeretekkel kell rendelkeznie arról, hogyan épülnek fel Azure Monitor naplókba az adatok.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Tekintse meg Azure monitor naplók forrásaita Azure monitor naplók feltöltésére szolgáló különböző adatforrások listájáért.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Az adatstrukturálás módjáról az Azure monitor naplók struktúrája című témakörben olvashat.See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Mire hasonlít a naplók lekérdezése?What does a log query look like?

A lekérdezés lehet egy egyszerű tábla neve, amellyel az adott táblából származó összes rekord beolvasható:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Vagy szűrheti az egyes rekordokat, összefoglalhatja őket, és megjelenítheti az eredményeket egy diagramon:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Összetettebb elemzések esetén több táblázat adatait is lekérheti egy JOIN paranccsal, és elemezheti az eredményeket együtt.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Még ha nem ismeri a KQL-t, akkor is képesnek kell lennie legalább a lekérdezések által használt alapszintű logika kitalálása.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. A tábla nevével kezdődnek, majd több parancsot is hozzáadhatnak az adatszűréshez és a feldolgozáshoz.They start with the name of a table and then add multiple commands to filter and process that data. Egy lekérdezés tetszőleges számú parancsot használhat, és összetettebb lekérdezéseket is írhat, miközben megismerheti a különböző elérhető KQL-parancsokat.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

A nyelv és a gyakori függvények bevezetésére szolgáló naplózási lekérdezésekkel kapcsolatos oktatóanyagért lásd: Ismerkedés a naplók Azure Monitorával .See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Mi az a Log Analytics?What is Log Analytics?

A Log Analytics a Azure Portal elsődleges eszköze a naplók írásához és az eredmények interaktív elemzéséhez.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Akkor is, ha a naplózási lekérdezést Azure Monitorban máshol használják, általában a Log Analytics használatával fogja írni és tesztelni a lekérdezést.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

A Azure Portal több helyről is elindítható Log Analytics.You can start Log Analytics from several places in the Azure portal. A Log Analytics számára elérhetővé tett adatmennyiséget az elindításának módját határozza meg.The scope of the data available to Log Analytics is determined by how you start it. További részletekért lásd a lekérdezési hatókört .See Query Scope for more details.

  • Válassza a naplók lehetőséget a Azure Monitor menüből vagy log Analytics munkaterületek menüből.Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Válassza az elemzés lehetőséget egy Application Insights alkalmazás Áttekintés lapján.Select Analytics from the Overview page of an Application Insights application.
  • Válassza ki a naplókat egy Azure-erőforrás menüjéből.Select Logs from the menu of an Azure resource.

Log Analytics

A számos funkciójának bevezetéséhez tekintse meg a Azure Monitor log Analyticsának első lépései című log Analytics oktatóanyagot.See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Hol használják a naplózási lekérdezéseket?Where else are log queries used?

A naplózási lekérdezésekkel és azok eredményeivel való interaktív együttműködésen kívül a Log Analytics Azure Monitor azon területei, ahol a lekérdezéseket fogja használni, a következők:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Riasztási szabályok.Alert rules. A riasztási szabályok proaktív módon azonosítják a munkaterületen lévő adatokkal kapcsolatos problémákat.Alert rules proactively identify issues from data in your workspace. Minden riasztási szabály egy naplóbeli keresésen alapul, amely rendszeres időközönként automatikusan fut.Each alert rule is based on a log search that is automatically run at regular intervals. Az eredményeket a rendszer ellenőrzi, hogy létre kell-e hozni egy riasztást.The results are inspected to determine if an alert should be created.
  • Irányítópultok.Dashboards. Bármely lekérdezés eredményét rögzítheti egy Azure-irányítópulton , amely lehetővé teszi a naplók és a metrikai adatok együttes megjelenítését, és opcionálisan megoszthatja őket más Azure-felhasználókkal.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Kilátással.Views. Létrehozhat olyan vizualizációkat, amelyek a tervezővelfelhasználói irányítópultokon is szerepelni fognak.You can create visualizations of data to be included in user dashboards with View Designer. A naplók lekérdezései biztosítják a csempék és a vizualizációs részek által az egyes nézetekben használt adatforrásokat.Log queries provide the data used by tiles and visualization parts in each view.
  • Exportálás.Export. Amikor Azure Monitorba importálja az adatnapló adatait az Excelbe vagy Power BIba, létrehoz egy napló-lekérdezést az exportálandó adatok definiálásához.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. PowerShell-szkriptet futtathat egy parancssorból vagy egy Azure Automation runbook, amely a Get-AzOperationalInsightsSearchResults használatával kérdezi le a naplófájlok adatait Azure monitorról.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Ehhez a parancsmaghoz lekérdezés szükséges a lekérdezni kívánt adatmeghatározáshoz.This cmdlet requires a query to determine the data to retrieve.
  • Azure Monitor naplózó API-t.Azure Monitor Logs API. A Azure monitor logs API lehetővé teszi, hogy bármely REST API ügyfél beolvassa a naplózási adatait a munkaterületről.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. Az API-kérelem tartalmaz egy lekérdezést, amely az Azure Monitoron fut, hogy meghatározza a lekérdezni kívánt adatgyűjtést.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Következő lépésekNext steps