Esercitazione su Log AnalyticsLog Analytics tutorial

Log Analytics è uno strumento disponibile nel portale di Azure che consente di modificare ed eseguire query su log dai dati raccolti dai log di Monitoraggio di Azure e analizzarne i risultati in modo interattivo.Log Analytics is a tool in the Azure portal to edit and run log queries from data collected by Azure Monitor Logs and interactively analyze their results. È possibile usare le query di Log Analytics per recuperare i record che corrispondono a determinati criteri, identificare le tendenze, analizzare i modelli e fornire un'ampia varietà di informazioni dettagliate sui dati.You can use Log Analytics queries to retrieve records matching particular criteria, identify trends, analyze patterns, and provide a variety of insights into your data.

Questa esercitazione descrive l'interfaccia di Log Analytics, illustra come iniziare a usare alcune query di base e mostra quali operazioni è possibile eseguire sui risultati.This tutorial walks you through the Log Analytics interface, gets you started with some basic queries, and shows you how you can work with the results. Verranno illustrate le operazioni seguenti:You will learn the following:

  • Comprendere lo schema dei dati di logUnderstand the log data schema
  • Scrivere ed eseguire query semplici e modificare l'intervallo di tempo per le queryWrite and run simple queries, and modify the time range for queries
  • Filtrare, ordinare e raggruppare i risultati delle queryFilter, sort, and group query results
  • Visualizzare, modificare e condividere gli oggetti visivi dei risultati delle queryView, modify, and share visuals of query results
  • Caricare, esportare e copiare query e risultatiLoad, export, and copy queries and results

Importante

Questa esercitazione usa le funzionalità di Log Analytics per compilare ed eseguire una query anziché usare la query stessa.This tutorial uses features of Log Analytics to build and run a query instead of working with the query itself. Verranno usate le funzionalità di Log Analytics per compilare una query e usare un'altra query di esempio.You'll leverage Log Analytics features to build one query and use another example query. Quando si è pronti per apprendere la sintassi delle query e iniziare a modificare direttamente la query stessa, passare all'esercitazione sul linguaggio di query Kusto,When you're ready to learn the syntax of queries and start directly editing the query itself, go through the Kusto Query Language tutorial. che mostra varie query di esempio che è possibile modificare ed eseguire in Log Analytics, sfruttando molte delle funzionalità che verranno illustrate in questa esercitazione.That tutorial walks through several example queries that you can edit and run in Log Analytics, leveraging several of the features that you'll learn in this tutorial.

PrerequisitiPrerequisites

Questa esercitazione usa l'ambiente demo di Log Analytics, che include numerosi dati di esempio che supportano le query di esempio.This tutorial uses the Log Analytics demo environment, which includes plenty of sample data supporting the sample queries. È anche possibile usare la propria sottoscrizione di Azure, ma in questo caso i dati potrebbero non trovarsi nelle stesse tabelle.You can also use your own Azure subscription, but you may not have data in the same tables.

Aprire Log AnalyticsOpen Log Analytics

Aprire l'ambiente demo di Log Analytics oppure selezionare Log dal menu di Monitoraggio di Azure nella sottoscrizione.Open the Log Analytics demo environment or select Logs from the Azure Monitor menu in your subscription. L'ambito iniziale verrà impostato su un'area di lavoro Log Analytics e quindi la query effettuerà la selezione da tutti i dati nell'area di lavoro.This will set the initial scope to a Log Analytics workspace meaning that your query will select from all data in that workspace. Se si seleziona Log dal menu di una risorsa di Azure, l'ambito viene impostato solo sui record di tale risorsa.If you select Logs from an Azure resource's menu, the scope is set to only records from that resource. Per informazioni dettagliate sull'ambito, vedere Ambito della query su log.See Log query scope for details about the scope.

È possibile visualizzare l'ambito nell'angolo in alto a sinistra della schermata.You can view the scope in the top left corner of the screen. Se si usa un ambiente personalizzato, viene visualizzata un'opzione per selezionare un ambito diverso, ma questa opzione non è disponibile nell'ambiente demo.If you're using your own environment, you'll see an option to select a different scope, but this option isn't available in the demo environment.

Ambito delle queryQuery scope

Schema della tabellaTable schema

Il lato sinistro della schermata include la scheda Tabelle che consente di esaminare le tabelle disponibili nell'ambito corrente.The left side of the screen includes the Tables tab which allows you to inspect the tables that are available in the current scope. Per impostazione predefinita, queste sono raggruppate per Soluzione, ma è possibile modificarne il raggruppamento o filtrarle.These are grouped by Solution by default, but you change their grouping or filter them.

Espandere la soluzione Gestione log e individuare la tabella AzureActivity .Expand the Log Management solution and locate the AzureActivity table. È possibile espandere la tabella per visualizzarne lo schema oppure passare il puntatore del mouse sul nome per visualizzare informazioni aggiuntive.You can expand the table to view its schema, or hover over its name to show additional information about it.

Visualizzazione tabelleTables view

Fare clic su Altre informazioni per passare al riferimento a tabella che documenta ogni tabella e le relative colonne.Click Learn more to go to the table reference that documents each table and its columns. Fare clic su Anteprima dati per visualizzare rapidamente alcuni record recenti nella tabella.Click Preview data to have a quick look at a few recent records in the table. Questa operazione può essere utile per assicurarsi che si tratti dei dati previsti prima di eseguire effettivamente una query con tali dati.This can be useful to ensure that this is the data that you're expecting before you actually run a query with it.

Dati di esempioSample data

Scrivere una queryWrite a query

A questo punto, verrà eseguita la scrittura di una query usando la tabella AzureActivity.Let's go ahead and write a query using the AzureActivity table. Fare doppio clic sul nome per aggiungerlo alla finestra della query.Double-click its name to add it to the query window. È anche possibile digitare direttamente nella finestra e sfruttare la funzionalità IntelliSense per completare i nomi delle tabelle nell'ambito corrente e i comandi KQL.You can also type directly in the window and even get intellisense that will help complete the names of tables in the current scope and KQL commands.

Questa è la query più semplice che è possibile scrivere.This is the simplest query that we can write. Restituisce solo tutti i record in una tabella.It just returns all the records in a table. Eseguirla facendo clic sul pulsante Esegui o premendo MAIUSC + INVIO con il cursore posizionato in un punto qualsiasi del testo della query.Run it by clicking the Run button or by pressing Shift+Enter with the cursor positioned anywhere in the query text.

Risultati queryQuery results

Come si può osservare, sono stati restituiti risultati.You can see that we do have results. Il numero di record restituiti dalla query viene visualizzato nell'angolo in basso a destra.The number of records returned by the query is displayed in the bottom right corner.

FiltroFilter

A questo punto, si aggiungerà un filtro alla query per ridurre il numero di record restituiti.Let's add a filter to the query to reduce the number of records that are returned. Selezionare la scheda Filtro nel riquadro a sinistra.Select the Filter tab in the left pane. Verranno visualizzate colonne diverse nei risultati della query che è possibile usare per filtrare i risultati.This shows different columns in the query results that you can use to filter the results. I primi valori di tali colonne vengono visualizzati con il numero di record con tale valore.The top values in those columns are displayed with the number of records with that value. Fare clic su Amministrativo in CategoryValue e quindi su Applica ed esegui.Click on Administrative under CategoryValue and then Apply & Run.

Riquadro queryQuery pane

Viene aggiunga alla query un'istruzione where con il valore selezionato.A where statement is added to the query with the value you selected. I risultati includono ora solo i record con tale valore, per osservare che il numero di record è stato ridotto.The results now include only those records with that value so you can see that the record count is reduced.

Risultati della query filtratiQuery results filtered

Intervallo di oreTime range

Per tutte le tabelle in un'area di lavoro Log Analytics è presente una colonna denominata TimeGenerated che indica l'ora di creazione del record.All tables in a Log Analytics workspace have a column called TimeGenerated which is the time that the record was created. Tutte le query hanno un intervallo di tempo che limita i risultati ai record con un valore TimeGenerated compreso in tale intervallo.All queries have a time range that limits the results to records with a TimeGenerated value within that range. L'intervallo di tempo può essere impostato nella query o con il selettore nella parte superiore della schermata.The time range can either be set in the query or with the selector at the top of the screen.

Per impostazione predefinita, la query restituirà i record delle ultime 24 ore.By default, the query will return records form the last 24 hours. Selezionare il menu a discesa Intervallo di tempo e modificarlo impostandolo su 7 giorni.Select the Time range dropdown and change it to 7 days. Fare di nuovo clic su Esegui per restituire i risultati.Click Run again to return the results. Si noterà che i risultati vengono restituiti, ma è presente un messaggio che indica che non sono visualizzati tutti i risultati,You can see that results are returned, but we have a message here that we're not seeing all of the results. in quanto Log Analytics può restituire un massimo di 10.000 record e la query ha restituito più record rispetto a questo valore.This is because Log Analytics can return a maximum of 10,000 records, and our query returned more records than that.

Intervallo di tempoTime range

Più condizioni di queryMultiple query conditions

A questo punto, i risultati verranno ulteriormente ridotti aggiungendo un'altra condizione di filtro.Let's reduce our results further by adding another filter condition. Una query può includere qualsiasi numero di filtri al fine di ottenere esattamente il set di record desiderato.A query can include any number of filters to target exactly the set of records that you want. Selezionare Riuscita in ActivityStatusValue e fare clic su Applica ed esegui.Select Success under ActivityStatusValue and click Apply & Run.

Risultati della query con più filtriQuery results multiple filters

Analizzare i risultatiAnalyze results

Oltre a facilitare la scrittura e l'esecuzione di query, Log Analytics fornisce anche le funzionalità necessarie per l'utilizzo dei risultati.In addition to helping you write and run queries, Log Analytics provides features for working with the results. Per iniziare, espandere un record per visualizzare i valori per tutte le relative colonne.Start by expanding a record to view the values for all of its columns.

Espandere il recordExpand record

Fare clic sul nome di una colonna per ordinare i risultati in base a tale colonna.Click on the name of any column to sort the results by that column. Fare clic sull'icona del filtro accanto per specificare una condizione di filtro.Click on the filter icon next to it to provide a filter condition. Questa operazione è simile all'aggiunta di una condizione di filtro alla query stessa, con la differenza che questo filtro viene cancellato se la query viene eseguita di nuovo.This is similar to adding a filter condition to the query itself except that this filter is cleared if the query is run again. Usare questo metodo per analizzare rapidamente un set di record come parte dell'analisi interattiva.Use this method if you want to quickly analyze a set of records as part of interactive analysis.

Ad esempio, impostare un filtro nella colonna CallerIpAddress per limitare i record a un singolo chiamante.For example, set a filter on the CallerIpAddress column to limit the records to a single caller.

Filtro dei risultati della queryQuery results filter

Anziché filtrare i risultati, è possibile raggruppare i record in base a una colonna specifica.Instead of filtering the results, you can group records by a particular column. Deselezionare il filtro appena creato e quindi attivare il dispositivo di scorrimento Raggruppa colonne.Clear the filter that you just created and then turn on the Group columns slider.

Raggruppa colonneGroup columns

Trascinare quindi la colonna CallerIpAddress nella riga di raggruppamento.Now drag the CallerIpAddress column into the grouping row. I risultati sono ora organizzati in base a tale colonna ed è possibile comprimere ogni gruppo per semplificare l'analisi.Results are now organized by that column, and you can collapse each group to help you with your analysis.

Risultati della query raggruppatiQuery results grouped

Usare i graficiWork with charts

Verrà ora esaminata una query che usa dati numerici che è possibile visualizzare in un grafico.Let's have a look at a query that uses numerical data that we can view in a chart. Anziché creare una query, verrà selezionata una query di esempio.Instead of building a query, we'll select an example query.

Nel riquadro a sinistro fare clic su Query.Click on Queries in the left pane. In questo riquadro sono incluse le query di esempio che è possibile aggiungere alla finestra Query.This pane includes example queries that you can add to the query window. Se si usa un'area di lavoro personalizzata, sarà presente una serie di query in più categorie, ma se si usa l'ambiente demo, verrà visualizzata una sola categoria Aree di lavoro Log Analytics.If you're using your own workspace, you should have a variety of queries in multiple categories, but if you're using the demo environment, you may only see a single Log Analytics workspaces category. Espanderla per visualizzare le query nella categoria.Expand that to view the queries in the category.

Fare clic sulla query denominata Request Count by ResponseCode (Numero di richieste per codice di risposta).Click on the query called Request Count by ResponseCode. La query verrà aggiunta alla finestra Query.This will add the query to the query window. Si noti che la nuova query è separata dall'altra con una riga vuota.Notice that the new query is separated from the other by a blank line. Una query in KQL termina quando viene rilevata una riga vuota, quindi vengono visualizzate come query separate.A query in KQL ends when it encounters a blank line, so these are seen as separate queries.

Nuova queryNew query

La query corrente corrisponde a quella su cui è posizionato il cursore.The current query is the one that the cursor is positioned on. Come si può notare, la prima query è evidenziata per indicare che si tratta della query corrente.You can see that the first query is highlighted indicating it's the current query. Fare clic in un punto qualsiasi della nuova query per selezionarla e quindi fare clic sul pulsante Esegui per eseguirla.Click anywhere in the new query to select it and then click the Run button to run it.

Grafico dei risultati della queryQuery results chart

Si noti che questo output è un grafico anziché una tabella come l'ultima query.Notice that this output is a chart instead of a table like the last query. Questo perché alla fine della query di esempio è presente un comando render.That's because the example query uses a render command at the end. Si noti che sono disponibili diverse opzioni per l'utilizzo del grafico, ad esempio per modificarlo in un altro tipo.Notice that there are various options for working with the chart such as changing it to another type.

Provare a selezionare Risultati per visualizzare l'output della query sotto forma di tabella.Try selecting Results to view the output of the query as a table.

Tabella dei risultati della queryQuery results table

Passaggi successiviNext steps

Ora che si è appreso come usare Log Analytics, completare l'esercitazione sull'uso delle query su log.Now that you know how to use Log Analytics, complete the tutorial on using log queries.