Creare ricerche log in Azure Log Analytics tramite il portale per la ricerca logCreate log searches in Azure Log Analytics using the Log Search portal

Nota

Questo articolo descrive il portale per la ricerca log in Azure Log Analytics e l'uso del nuovo linguaggio di query.This article describes the Log Search portal in Azure Log Analytics using the new query language. In Aggiornare l'area di lavoro di Azure Log Analytics alla nuova ricerca log sono disponibili altre informazioni sul nuovo linguaggio e istruzioni per l'aggiornamento dell'area di lavoro.You can learn more about the new language and get the procedure to upgrade your workspace at Upgrade your Azure Log Analytics workspace to new log search.

Se l'area di lavoro non è stata aggiornata al nuovo linguaggio di query, è consigliabile consultare Trovare dati tramite ricerche nei log in Log Analytics per informazioni sulla versione corrente del portale per la ricerca log.If your workspace hasn't been upgraded to the new query language, you should refer to Find data using log searches in Log Analytics for information on the current version of the Log Search portal.

Questo articolo include un'esercitazione che descrive come creare ricerche log e analizzare i dati archiviati nell'area di lavoro di Log Analytics tramite il portale per la ricerca log.This article includes a tutorial that describes how to create log searches and analyze data stored in your Log Analytics workspace using the Log Search portal. L'esercitazione include l'esecuzione di alcune semplici query per restituire diversi tipi di dati e l'analisi dei risultati.The tutorial includes running some simple queries to return different types of data and analyzing results. È incentrata sulle funzionalità del portale per la ricerca log per la modifica della query, anziché sulla modifica diretta.It focuses on features in the Log Search portal for modifying the query rather than modifying it directly. Per informazioni dettagliate su come modificare direttamente la query, vedere Informazioni di riferimento sul linguaggio di query.For details on directly editing the query, see the Query Language reference.

Per creare ricerche nel portale Advanced Analytics anziché nel portale per la ricerca log, vedere Getting Started with the Analytics Portal (Introduzione al portale di Analytics).To create searches in the Advanced Analytics portal instead of the Log Search portal, see Getting Started with the Analytics Portal. Entrambi i portali utilizzano lo stesso linguaggio di query per accedere agli stessi dati nell'area di lavoro di Log Analytics.Both portals use the same query language to access the same data in the Log Analytics workspace.

prerequisitiPrerequisites

In questa esercitazione si presuppone che sia già disponibile un'area di lavoro di Log Analytics con almeno un'origine connessa che genera dati analizzabili tramite le query.This tutorial assumes that you already have a Log Analytics workspace with at least one connected source that generates data for the queries to analyze.

Aprire il portale per la ricerca logOpen the Log Search portal

Per iniziare, aprire il portale per la ricerca log.Start by opening the Log Search portal.

  1. Aprire il Portale di Azure.Open the Azure portal.
  2. Passare a Log Analytics e selezionare l'area di lavoro.Navigate to Log Analytics and select your workspace.
  3. Selezionare Ricerca log.Select Log Search.

Pulsante di ricerca log

Il modo più rapido per recuperare alcuni dati da utilizzare è una query semplice che restituisce tutti i record in una tabella.The quickest way to retrieve some data to work with is a simple query that returns all records in table. In presenza di client Windows o Linux connessi all'area di lavoro, saranno disponibili dati nella tabella Event (Windows) o nella tabella Syslog (Linux).If you have any Windows or Linux clients connected to your workspace, then you'll have data in either the Event (Windows) or Syslog (Linux) table.

Digitare una delle query seguenti nella casella di ricerca e fare clic sul pulsante di ricerca.Type one the following queries in the search box and click the search button.

Event
Syslog

I dati vengono restituiti nella visualizzazione elenco predefinita ed è possibile vedere il numero totale di record restituiti.Data is returned in the default list view, and you can see how many total records were returned.

Query semplice

Vengono visualizzate alcune delle prime proprietà di ogni record.Only the first few properties of each record are displayed. Fare clic su Mostra più per visualizzare tutte le proprietà per un record specifico.Click show more to display all properties for a particular record.

Dettagli sui record

Impostare l'intervallo temporaleSet the time scope

Per ogni record raccolto da Log Analytics esiste una proprietà TimeGenerated che contiene la data e ora di creazione del record.Every record collected by Log Analytics has a TimeGenerated property that contains the date and time that the record was created. Una query nel portale per la ricerca log restituisce solo i record con TimeGenerated incluso nell'intervallo temporale visualizzato sul lato sinistro della schermata.A query in the Log Search portal only returns records with a TimeGenerated within the time scope that's displayed on the left side of the screen.

È possibile modificare il filtro temporale selezionando il valore desiderato nell'elenco a discesa oppure modificando il dispositivo di scorrimento.You can change the time filter either by selecting the dropdown or by modifying the slider. Il dispositivo di scorrimento visualizza un grafico a barre che mostra il numero relativo di record per ogni segmento di tempo all'interno dell'intervallo.The slider displays a bar graph that shows the relative number of records for each time segment within the range. Questo segmento può variare a seconda dell'intervallo.This segment will vary depending on the range.

L'intervallo temporale predefinito è 1 giorno.The default time scope is 1 day. Se si modifica il valore impostando 7 giorni il numero totale di record dovrebbe aumentare.Change this value to 7 days, and the total number of records should increase.

Intervallo temporale

Filtrare i risultati della queryFilter results of the query

Sul lato sinistro della schermata è disponibile il riquadro di filtro che consente di aggiungere filtri alla query senza modificarla direttamente.On the left side of the screen is the filter pane which allows you to add filtering to the query without modifying it directly. Varie proprietà dei record restituiti vengono visualizzate con i relativi primi dieci valori e il numero di record.Several properties of the records returned are displayed with their top ten values with their record count.

Se si sta usando la tabella Event, selezionare la casella di controllo accanto a Error in EVENTLEVELNAME.If you're working with Event, select the checkbox next to Error under EVENTLEVELNAME. Se si sta usando la tabella Syslog, selezionare la casella di controllo accanto a err in SEVERITYLEVEL.If you're working with Syslog, select the checkbox next to err under SEVERITYLEVEL. La query viene modificata come segue per limitare i risultati agli eventi di errore.This changes the query to one of the following to limit the results to error events.

Event | where (EventLevelName == "Error")
Syslog | where (SeverityLevel == "err")

Filtro

Aggiungere proprietà al riquadro di filtro scegliendo Aggiungi ai filtri dal menu della proprietà in uno dei record.Add properties to the filter pane by selecting Add to filters from the property menu on one of the records.

Menu Aggiungi ai filtri

È possibile impostare lo stesso filtro selezionando Filtra dal menu della proprietà per un record con il valore in base al quale si vogliono filtrare i risultati.You can set the same filter by selecting Filter from the property menu for a record with the value you want to filter.

L'opzione Filtra è disponibile solo per le proprietà con il nome in blu.You only have the Filter option for properties with their name in blue. Si tratta di campi disponibili per la ricerca che vengono indicizzati per le condizioni di ricerca.These are searchable fields which are indexed for search conditions. I campi in grigio sono campi disponibili per la ricerca a testo libero per i quali è disponibile solo l'opzione Mostra riferimenti.Fields in grey are free text searchable fields which only have the Show references option. Questa opzione restituisce i record con il valore specificato in qualsiasi proprietà.This option returns records that have that value in any property.

Menu di filtro

È possibile raggruppare i risultati in base a una singola proprietà selezionando l'opzione Raggruppa per nel menu del record.You can group the results on a single property by selecting the Group by option in the record menu. Verrà aggiunto un operatore summarize alla query, che visualizza i risultati in un grafico.This will add a summarize operator to your query that displays the results in a chart. È possibile effettuare il raggruppamento in base a una o più proprietà, ma in questo caso occorre modificare direttamente la query.You can group on more than one property, but you would need to edit the query directly. Selezionare il menu del record accanto alla proprietà Computer e scegliere Raggruppa per 'Computer'.Select the record menu next the Computer property and select Group by 'Computer'.

Raggruppare in base alla proprietà Computer

Usare i risultatiWork with results

Il portale per la ricerca log offre un'ampia gamma di funzionalità per l'utilizzo dei risultati di una query.The Log Search portal has a variety of features for working with the results of a query. È possibile ordinare, filtrare e raggruppare i risultati per analizzare i dati senza modificare la query effettiva.You can sort, filter, and group results to analyze the data without modifying the actual query. I risultati di una query non sono ordinati per impostazione predefinita.Results of a query are not sorted by default.

Per visualizzare i dati in formato di tabella e avere così a disposizione ulteriori opzioni di filtro e ordinamento, fare clic su Tabella.To view the data in table form which provides additional options for filtering and sorting, click Table.

Visualizzazione tabella

Fare clic sulla freccia accanto a un record per visualizzare i dettagli di tale record.Click the arrow by a record to view the details for that record.

Ordinare i risultati

È possibile ordinare i risultati in base a qualsiasi campo facendo clic sulla relativa intestazione di colonna.Sort on any field by clicking on its column header.

Ordinare i risultati

Per filtrare i risultati in base a un valore specifico nella colonna, fare clic sul pulsante di filtro e specificare una condizione di filtro.Filter the results on a specific value in the column by clicking the filter button and providing a filter condition.

Filtrare i risultati

Per raggruppare i risultati in base a una colonna, trascinare l'intestazione della colonna nella parte superiore dei risultati.Group on a column by dragging its column header to the top of the results. È possibile effettuare il raggruppamento in base a più campi trascinando più colonne nella parte superiore.You can group on multiple fields by dragging multiple columns to the top.

Raggruppare i risultati

Utilizzare i dati sulle prestazioniWork with performance data

I dati sulle delle prestazioni per gli agenti Windows e Linux sono archiviati nell'area di lavoro di Log Analytics nella tabella Perf.Performance data for both Windows and Linux agents is stored in the Log Analytics workspace in the Perf table. I record sulle prestazioni hanno lo stesso aspetto di qualsiasi altro record ed è possibile scrivere una query semplice che restituisce tutti i record sulle prestazioni esattamente come per gli eventi.Performance records look just like any other record, and we can write a simple query that returns all performance records just like with events.

Perf

Dati sulle prestazioni

La restituzione di milioni di record per tutti i contatori e gli oggetti prestazioni non è molto utile.Returning millions of records for all performance objects and counters though isn't very useful. È possibile usare gli stessi metodi descritti in precedenza per filtrare i dati oppure digitare la query seguente direttamente nella casella di ricerca log.You can use the same methods you used above to filter the data or just type the following query directly into the log search box. Vengono restituiti solo i record relativi all'utilizzo del processore per i computer Windows e Linux.This returns only processor utilization records for both Windows and Linux computers.

Perf | where (ObjectName == "Processor")  | where (CounterName == "% Processor Time")

Utilizzo del processore

I dati vengono così limitati a un particolare contatore, ma sono ancora presentati in una forma non particolarmente utile.This limits the data to a particular counter, but it still doesn't put it in a form that's particularly useful. È possibile visualizzare i dati in un grafico a linee, ma è prima necessario raggrupparli in base a Computer e TimeGenerated.You can display the data in a line chart, but first need to group it by Computer and TimeGenerated. Per effettuare il raggruppamento in base a più campi, è necessario modificare direttamente la query, quindi modificarla come indicato di seguito.To group on multiple fields, you need to modify the query directly, so modify the query to the following. Questa query usa la funzione avg sulla proprietà CounterValue per calcolare il valore medio ogni ora.This uses the avg function on the CounterValue property to calculate the average value over each hour.

Perf  | where (ObjectName == "Processor")  | where (CounterName == "% Processor Time") | summarize avg(CounterValue) by Computer, TimeGenerated

Grafico dei dati sulle prestazioni

Ora che i dati sono raggruppati in modo adeguato, è possibile visualizzarli in un grafico aggiungendo l'operatore render.Now that the data is suitably grouped, you can display it in a visual chart by adding the render operator.

Perf  | where (ObjectName == "Processor")  | where (CounterName == "% Processor Time") | summarize avg(CounterValue) by Computer, TimeGenerated | render timechart

Grafico a linee

Passaggi successiviNext steps