Transizione al nuovo linguaggio di query di Azure Log Analytics

Nota

In Aggiornare l'area di lavoro di Azure Log Analytics alla nuova ricerca log sono disponibili altre informazioni sul nuovo linguaggio di query di Log Analytics e istruzioni per l'aggiornamento dell'area di lavoro.

Questo articolo offre informazioni utili per la transizione al nuovo linguaggio di query per Log Analytics se si ha già familiarità con il linguaggio legacy.

Convertitore di linguaggio

Se si ha familiarità con il linguaggio di query di Log Analytics legacy, il modo più semplice per creare la stessa query nel nuovo linguaggio consiste nell'usare il convertitore di linguaggio che viene installato nel portale per la ricerca log al momento della conversione dell'area di lavoro. L'uso del convertitore è molto semplice. È sufficiente digitare una query legacy nella casella di testo superiore e quindi fare clic su Converti. È possibile fare clic sul pulsante di ricerca per eseguire la query o copiare e incollare la query per usarla altrove.

Convertitore di linguaggio

Tabella di riepilogo

La tabella seguente mette a confronto i comandi equivalenti di svariate query comuni per il linguaggio di query legacy e nuovo di Azure Log Analytics.

Descrizione Legacy Nuovo
Selezione di dati da una tabella Type=Event Event
Type=Event | select Source, EventLog, EventID Event | project Source, EventLog, EventID
Type=Event | top 100 Event | take 100
Confronto di stringhe Type=Event Computer=srv01.contoso.com Event | where Computer == "srv01.contoso.com"
Type=Event Computer=contains("contoso") Event | where Computer contains "contoso"
Type=Event Computer=RegEx("@contoso@") Event | where Computer matches regex ".contoso"
Confronto di date Type=Event TimeGenerated > NOW-1DAYS Event | where TimeGenerated > ago(1d)
Type=Event TimeGenerated>2017-05-01 TimeGenerated<2017-05-31 Event | where TimeGenerated between (datetime(2017-05-01) .. datetime(2017-05-31))
Confronto booleano Type=Heartbeat IsGatewayInstalled=false Heartbeat
Ordinamento Type=Event | sort Computer asc, EventLog desc, EventLevelName asc Event | sort by Computer asc, EventLog desc, EventLevelName asc
Distinzione Type=Event | dedup Computer | select Computer Event | summarize by Computer, EventLog
Estensione di colonne Type=Perf CounterName="% Processor Time" | EXTEND if(map(CounterValue,0,50,0,1),"HIGH","LOW") as UTILIZATION Perf | where CounterName == "% Processor Time" | extend Utilization = iff(CounterValue > 50, "HIGH", "LOW")
Aggregazione Type=Event | measure count() as Count by Computer Event | summarize Count = count() by Computer
Type=Perf ObjectName=Processor CounterName="% Processor Time" | measure avg(CounterValue) by Computer interval 5minute Perf | where ObjectName=="Processor" and CounterName=="% Processor Time" | summarize avg(CounterValue) by Computer, bin(TimeGenerated, 5min)
Aggregazione con limite Type=Event | measure count() by Computer | top 10 Event | summarize AggregatedValue = count() by Computer | limit 10
Unione Type=Event or Type=Syslog union Event, Syslog
Join Type=NetworkMonitoring | join inner AgentIP (Type=Heartbeat) ComputerIP NetworkMonitoring | join kind=inner (search Type == "Heartbeat") on $left.AgentIP == $right.ComputerIP

Passaggi successivi