Panoramica delle query di log in monitoraggio di AzureOverview of log queries in Azure Monitor

Le query di log consentono di sfruttare appieno il valore dei dati raccolti nei log di monitoraggio di Azure.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Un linguaggio di query avanzato consente di unire dati da più tabelle, aggregare set di dati di grandi dimensioni ed eseguire operazioni complesse con codice minimo.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. È possibile rispondere a qualsiasi domanda ed eseguire l'analisi fino a quando i dati di supporto sono stati raccolti e si comprende come costruire la query corretta.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Alcune funzionalità di monitoraggio di Azure, ad esempio Insights e Solutions , elaborano i dati di log senza esporre le query sottostanti.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Per sfruttare appieno le altre funzionalità di monitoraggio di Azure, è necessario comprendere come vengono costruite le query e come usarle per analizzare in modo interattivo i dati nei log di monitoraggio di Azure.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Usare questo articolo come punto di partenza per acquisire familiarità con le query di log in monitoraggio di Azure.Use this article as a starting point to learning about log queries in Azure Monitor. Risponde a domande comuni e fornisce collegamenti ad altra documentazione che fornisce ulteriori dettagli e lezioni.It answers common questions and provides links to other documentation that provides further details and lessons.

Come è possibile imparare a scrivere query?How can I learn how to write queries?

Se si vuole passare direttamente a qualcosa, è possibile iniziare con le esercitazioni seguenti:If you want to jump right into things, you can start with the following tutorials:

Una volta apportate le nozioni di base, esaminare più lezioni usando i dati o i dati dell'ambiente demo a partire da:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Che lingua usa le query di log?What language do log queries use?

I log di monitoraggio di Azure si basano su Esplora dati di Azuree le query di log vengono scritte usando lo stesso linguaggio di query kusto (KQL).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Si tratta di un linguaggio avanzato progettato per essere facile da leggere e creare e dovrebbe essere possibile iniziare a usarlo con istruzioni minime.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Vedere la documentazione di Azure Esplora dati KQL per la documentazione completa su KQL e informazioni di riferimento sulle diverse funzioni disponibili.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Per una rapida procedura dettagliata del linguaggio usando i dati dei log di monitoraggio di Azure, vedere Introduzione alle query di log in monitoraggio di Azure .See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Vedere le differenze del linguaggio di query del log di monitoraggio di Azure per le differenze minime nella versione di KQL usata da monitoraggio di Azure.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Quali dati sono disponibili per le query di log?What data is available to log queries?

Tutti i dati raccolti nei log di monitoraggio di Azure sono disponibili per il recupero e l'analisi nelle query di log.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Origini dati diverse scriveranno i dati in tabelle diverse, ma è possibile includere più tabelle in una singola query per analizzare i dati in più origini.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Quando si compila una query, si inizia determinando le tabelle che contengono i dati che si stanno cercando, quindi è necessario avere almeno una conoscenza di base della struttura dei dati nei log di monitoraggio di Azure.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Vedere origini dei log di monitoraggio di Azureper un elenco di origini dati diverse che popolano i log di monitoraggio di Azure.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Per una spiegazione del modo in cui sono strutturati i dati, vedere struttura dei log di monitoraggio di Azure .See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Che aspetto ha una query di log?What does a log query look like?

Una query può essere semplice come un nome di tabella singolo per recuperare tutti i record da tale tabella:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

In alternativa, è possibile filtrare per record specifici, riepilogarli e visualizzare i risultati in un grafico:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Per un'analisi più complessa, è possibile recuperare i dati da più tabelle utilizzando un join per analizzare i risultati insieme.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Anche se non si ha familiarità con KQL, si dovrebbe essere in grado di determinare almeno la logica di base usata da queste query.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Iniziano con il nome di una tabella e quindi aggiungono più comandi per filtrare ed elaborare i dati.They start with the name of a table and then add multiple commands to filter and process that data. Una query può usare un numero qualsiasi di comandi ed è possibile scrivere query più complesse Man mano che si acquisiscono familiarità con i diversi comandi KQL disponibili.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

Per un'esercitazione sulle query di log che introduce il linguaggio e le funzioni comuni, vedere Introduzione alle query di log in monitoraggio di Azure .See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Cos'è Log Analytics?What is Log Analytics?

Log Analytics è lo strumento principale nell'portale di Azure per la scrittura di query di log e l'analisi interattiva dei risultati.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Anche se viene usata una query di log in un'altra posizione in monitoraggio di Azure, in genere si scrive e si testa la query usando Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

È possibile avviare Log Analytics da diverse posizioni nell'portale di Azure.You can start Log Analytics from several places in the Azure portal. L'ambito dei dati disponibili per Log Analytics è determinato dalla modalità di avvio.The scope of the data available to Log Analytics is determined by how you start it. Per altri dettagli, vedere ambito della query .See Query Scope for more details.

  • Selezionare registri dal menu monitoraggio di Azure o dal menu aree di lavoro log Analytics .Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Selezionare Analytics dalla pagina Panoramica di un'applicazione Application Insights.Select Analytics from the Overview page of an Application Insights application.
  • Selezionare registri dal menu di una risorsa di Azure.Select Logs from the menu of an Azure resource.

Log Analytics

Per una procedura dettagliata relativa all'Log Analytics in cui sono state introdotte diverse funzionalità, vedere Introduzione a log Analytics in monitoraggio di Azure .See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

In quali altri casi vengono usate le query di log?Where else are log queries used?

Oltre a lavorare in modo interattivo con le query di log e i relativi risultati in Log Analytics, le aree di monitoraggio di Azure in cui si utilizzeranno le query includono quanto segue:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Regole di avviso.Alert rules. Le regole di avviso consentono di identificare in modo proattivo i problemi dai dati nell'area di lavoro.Alert rules proactively identify issues from data in your workspace. Ogni regola di avviso è basata su una ricerca log che viene eseguita automaticamente a intervalli regolari.Each alert rule is based on a log search that is automatically run at regular intervals. I risultati vengono esaminati per determinare se è necessario creare un avviso.The results are inspected to determine if an alert should be created.
  • Dashboard.Dashboards. È possibile aggiungere i risultati di qualsiasi query in un dashboard Azure che consente di visualizzare i dati di metriche e log insieme ed eventualmente condividerli con altri utenti di Azure.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Visualizzazioni.Views. È possibile creare visualizzazioni dei dati da includere nei dashboard degli utenti con Progettazione viste.You can create visualizations of data to be included in user dashboards with View Designer. Le query di log forniscono i dati usati da riquadri e parti della visualizzazione in ogni vista.Log queries provide the data used by tiles and visualization parts in each view.
  • Esportazione.Export. Quando si importano dati di log da Monitoraggio di Azure in Excel o Power BI, si crea una query di log per definire i dati da esportare.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. È possibile eseguire uno script di PowerShell da una riga di comando o da un Runbook di automazione di Azure che usa Get-AzOperationalInsightsSearchResults per recuperare i dati di log da monitoraggio di Azure.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Questo cmdlet richiede una query per determinare i dati da recuperare.This cmdlet requires a query to determine the data to retrieve.
  • API di log di Monitoraggio di Azure.Azure Monitor Logs API. L'API di log di Monitoraggio di Azure consente a qualsiasi client API REST di recuperare dati di log dall'area di lavoro.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. La richiesta dell'API include una query eseguita su Monitoraggio di Azure per determinare i dati da recuperare.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Passaggi successiviNext steps