Aan de slag met Log Analytics in Azure MonitorGet started with Log Analytics in Azure Monitor

Notitie

U kunt via deze oefening werkt in uw eigen omgeving Log Analytics, of kunt u onze Demo-omgeving, waaronder volop voorbeeldgegevens.You can work through this exercise in your own Log Analytics environment, or you can use our Demo environment, which includes plenty of sample data.

In deze zelf studie leert u hoe u Log Analytics in de Azure Portal kunt gebruiken om Azure Monitor logboek query's te schrijven.In this tutorial you will learn how to use Log Analytics in the Azure portal to write Azure Monitor log queries. U leert het volgende:It will teach you how to:

  • Log Analytics gebruiken om een eenvoudige query te schrijvenUse Log Analytics to write a simple query
  • Inzicht in het schema van uw gegevensUnderstand the schema of your data
  • Resultaten filteren, sorteren en groeperenFilter, sort, and group results
  • Een tijds bereik Toep assenApply a time range
  • Grafieken makenCreate charts
  • Query's opslaan en ladenSave and load queries
  • Query's exporteren en delenExport and share queries

Zie aan de slag met logboek query's in azure monitorvoor een zelf studie over het schrijven van logboek query's.For a tutorial on writing log queries, see Get started with log queries in Azure Monitor.
Zie overzicht van logboek query's in azure monitorvoor meer informatie over logboek query's.For more details on log queries, see Overview of log queries in Azure Monitor.

Voldoen aan Log AnalyticsMeet Log Analytics

Log Analytics is een webprogramma dat wordt gebruikt om Azure Monitor-logboek query's te schrijven en uit te voeren.Log Analytics is a web tool used to write and execute Azure Monitor log queries. Open het door Logboeken te selecteren in het menu Azure monitor.Open it by selecting Logs in the Azure Monitor menu. Deze begint met een nieuwe lege query.It starts with a new blank query.

Startpagina

Firewall vereistenFirewall requirements

Als u Log Analytics wilt gebruiken, moet uw browser toegang hebben tot de volgende adressen.To use Log Analytics, your browser requires access to the following addresses. Als uw browser toegang heeft tot de Azure Portal via een firewall, moet u toegang tot deze adressen inschakelen.If your browser is accessing the Azure portal through a firewall, you must enable access to these addresses.

URIUri IPIP PoortenPorts
portal.loganalytics.ioportal.loganalytics.io DynamischDynamic 80,44380,443
api.loganalytics.ioapi.loganalytics.io DynamischDynamic 80,44380,443
docs.loganalytics.iodocs.loganalytics.io DynamischDynamic 80,44380,443

Eenvoudige query'sBasic queries

Query's kunnen worden gebruikt om termen te zoeken, trends te identificeren, patronen te analyseren en veel andere inzichten te bieden op basis van uw gegevens.Queries can be used to search terms, identify trends, analyze patterns, and provide many other insights based on your data. Beginnen met een basis query:Start with a basic query:

Event | search "error"

Met deze query wordt de gebeurtenis tabel doorzocht op records die de term fout bevatten in een wille keurige eigenschap.This query searches the Event table for records that contain the term error in any property.

Query's kunnen beginnen met een tabel naam of een Zoek opdracht.Queries can start with either a table name or a search command. Het bovenstaande voor beeld begint met de _gebeurtenis_tabel naam, waarmee alle records uit de gebeurtenis tabel worden opgehaald.The above example starts with the table name Event, which retrieves all records from the Event table. Het sluis teken (|) scheidt opdrachten, waardoor de uitvoer van de eerste opdracht als de invoer van de volgende opdrachten fungeert.The pipe (|) character separates commands, so the output of the first one serves as the input of the following command. U kunt elk gewenst aantal opdrachten toevoegen aan één query.You can add any number of commands to a single query.

Een andere manier om dezelfde query te schrijven, is:Another way to write that same query would be:

search in (Event) "error"

In dit voor beeld is het bereik van de Zoek opdracht naar de gebeurtenis tabel en worden alle records in de tabel doorzocht op de _fout_term.In this example, search is scoped to the Event table, and all records in that table are searched for the term error.

Een query uitvoerenRunning a query

Voer een query uit door op de knop uitvoeren te klikken of op SHIFT + ENTERte drukken.Run a query by clicking the Run button or pressing Shift+Enter. Houd rekening met de volgende details die bepalen welke code wordt uitgevoerd en welke gegevens worden geretourneerd:Consider the following details which determine the code that will be run and the data that's returned:

  • Regel einden: Met één breuk wordt uw query gemakkelijker te lezen.Line breaks: A single break makes your query easier to read. Meerdere regel einden worden in afzonderlijke query's gesplitst.Multiple line breaks split it into separate queries.
  • Cursor Plaats de cursor ergens in de query om deze uit te voeren.Cursor: Place your cursor somewhere inside the query to execute it. De huidige query wordt als code beschouwd totdat een lege regel wordt gevonden.The current query is considered to be the code up until a blank line is found.
  • Tijds bereik: een tijds bereik van de laatste 24 uur wordt standaard ingesteld.Time range - A time range of last 24 hours is set by default. Als u een ander bereik wilt gebruiken, gebruikt u de tijd kiezer of voegt u een expliciet tijds bereik filter toe aan uw query.To use a different range, use the time-picker or add an explicit time range filter to your query.

Informatie over het schemaUnderstand the schema

Het schema is een verzameling tabellen die visueel worden gegroepeerd onder een logische categorie.The schema is a collection of tables visually grouped under a logical category. Diverse categorieën zijn van bewakings oplossingen.Several of the categories are from monitoring solutions. De categorie LogManagement bevat algemene gegevens, zoals Windows-en syslog-gebeurtenissen, prestatie gegevens en Heartbeats van agents.The LogManagement category contains common data such as Windows and Syslog events, performance data, and agent heartbeats.

Schema

In elke tabel worden gegevens geordend in kolommen met verschillende gegevens typen, zoals wordt aangegeven door de pictogrammen naast de naam van de kolom.In each table, data is organized in columns with different data types as indicated by icons next to the column name. Bijvoorbeeld, de gebeurtenis tabel weergegeven in de schermafbeelding bevat kolommen zoals Computer is tekst, Culture die een getal is en TimeGenerated die datum/tijd is.For example, the Event table shown in the screenshot contains columns such as Computer which is text, EventCategory which is a number, and TimeGenerated which is date/time.

De resultaten filterenFilter the results

Begin met het ophalen van alles in de gebeurtenis tabel.Start by getting everything in the Event table.

Event

Log Analytics resultaten automatisch bereiken:Log Analytics automatically scopes results by:

  • Tijdsbereik: Query's zijn standaard beperkt tot de afgelopen 24 uur.Time range: By default, queries are limited to the last 24 hours.
  • Aantal resultaten: De resultaten zijn beperkt tot Maxi maal 10.000 records.Number of results: Results are limited to maximum of 10,000 records.

Deze query is zeer algemeen en er worden te veel resultaten geretourneerd om nuttig te zijn.This query is very general, and it returns too many results to be useful. U kunt de resultaten filteren door middel van de tabel elementen of door expliciet een filter toe te voegen aan de query.You can filter the results either through the table elements, or by explicitly adding a filter to the query. Het filteren van resultaten via de tabel elementen is van toepassing op de bestaande resultatenset, terwijl een filter op de query zelf een nieuwe gefilterde resultatenset retourneert, waardoor nauw keurigere resultaten kunnen worden verkregen.Filtering results through the table elements applies to the existing result set, while a filter to the query itself will return a new filtered result set and could therefore produce more accurate results.

Een filter toevoegen aan de queryAdd a filter to the query

Er staat een pijl links van elke record.There is an arrow to the left of each record. Klik op deze pijl om de details voor een bepaalde record openen.Click this arrow to open the details for a specific record.

Beweeg de muis aanwijzer boven een kolom naam voor de pictogrammen ' + ' en '-' om weer te geven.Hover above a column name for the "+" and "-" icons to display. Als u een filter wilt toevoegen waarmee alleen records met dezelfde waarde worden geretourneerd, klikt u op het plus teken (+).To add a filter that will return only records with the same value, click the "+" sign. Klik op-om records met deze waarde uit te sluiten en klik vervolgens op uitvoeren om de query opnieuw uit te voeren.Click "-" to exclude records with this value and then click Run to run the query again.

Filter aan query toevoegen

De tabel elementen filterenFilter through the table elements

We gaan nu de aandacht richten op gebeurtenissen met een Ernst fout.Now let's focus on events with a severity of Error. Dit is opgegeven in een kolom met de naam EventLevelName.This is specified in a column named EventLevelName. U moet naar rechts schuiven om deze kolom weer te geven.You'll need to scroll to the right to see this column.

Klik op het filter pictogram naast de kolom Titel en selecteer in het pop-upvenster waarden die beginnen met de tekst fout:Click the Filter icon next to the column title, and in the pop-up window select values that Starts with the text error:

Filteren

Resultaten sorteren en groeperenSort and group results

De resultaten worden nu beperkt zodat er alleen fout gebeurtenissen van SQL Server worden opgenomen, die in de afgelopen 24 uur zijn gemaakt.The results are now narrowed down to include only error events from SQL Server, created in the last 24 hours. De resultaten worden echter op geen enkele manier gesorteerd.However, the results are not sorted in any way. Als u de resultaten wilt sorteren op een specifieke kolom, zoals tijds tempel , klikt u op de kolom Titel.To sort the results by a specific column, such as timestamp for example, click the column title. Met één klik kunt u in oplopende volg orde sorteren terwijl een tweede klik aflopend wordt gesorteerd.One click sorts in ascending order while a second click will sort in descending.

Kolom sorteren

Een andere manier om de resultaten te organiseren is per groep.Another way to organize results is by groups. Als u resultaten wilt groeperen op een specifieke kolom, sleept u de kolomkop naar boven de andere kolommen.To group results by a specific column, simply drag the column header above the other columns. Als u subgroepen wilt maken, sleept u ook andere kolommen de bovenste balk.To create subgroups, drag other columns the upper bar as well.

Groepen

Kolommen selecteren om weer te gevenSelect columns to display

De resultaten tabel bevat vaak veel kolommen.The results table often includes a lot of columns. Het kan voor komen dat sommige van de geretourneerde kolommen standaard niet worden weer gegeven of dat u een aantal kolommen wilt verwijderen die worden weer gegeven.You might find that some of the returned columns are not displayed by default, or you may want to remove some the columns that are displayed. Als u de kolommen wilt selecteren die u wilt weer geven, klikt u op de knop kolommen:To select the columns to show, click the Columns button:

Kolommen selecteren

Een tijdsbereik selecterenSelect a time range

Log Analytics past standaard het tijds bereik van de laatste 24 uur toe.By default, Log Analytics applies the last 24 hours time range. Als u een ander bereik wilt gebruiken, selecteert u een andere waarde door middel van de tijd kiezer en klikt u op uitvoeren.To use a different range, select another value through the time picker and click Run. Naast de vooraf ingestelde waarden, kunt u de optie aangepast tijds bereik gebruiken om een absoluut bereik voor uw query te selecteren.In addition to the preset values, you can use the Custom time range option to select an absolute range for your query.

Tijd kiezer

Wanneer u een aangepast tijds bereik selecteert, zijn de geselecteerde waarden in UTC. Dit kan afwijken van uw lokale tijd zone.When selecting a custom time range, the selected values are in UTC, which could be different than your local time zone.

Als de query expliciet een filter voor _TimeGenerated_bevat, wordt in de titel van de tijd kiezer de _set in de query_weer gegeven.If the query explicitly contains a filter for TimeGenerated, the time picker title will show Set in query. Hand matige selectie wordt uitgeschakeld om conflicten te voor komen.Manual selection will be disabled to prevent a conflict.

GrafiekenCharts

Naast het retour neren van resultaten in een tabel, kunnen query resultaten in visuele indelingen worden weer gegeven.In addition to returning results in a table, query results can be presented in visual formats. Gebruik de volgende query als voor beeld:Use the following query as an example:

Event 
| where EventLevelName == "Error" 
| where TimeGenerated > ago(1d) 
| summarize count() by Source 

Standaard worden de resultaten weer gegeven in een tabel.By default, results are displayed in a table. Klik op grafiek om de resultaten in een grafische weer gave te bekijken:Click Chart to see the results in a graphic view:

Staafdiagram

De resultaten worden weer gegeven in een gestapeld staaf diagram.The results are shown in a stacked bar chart. Klik op gestapelde kolom en selecteer cirkel om een andere weer gave van de resultaten weer te geven:Click Stacked Column and select Pie to show another view of the results:

Cirkeldiagram

Verschillende eigenschappen van de weer gave, zoals x-en y-assen, of groeperings-en splits voorkeuren, kunnen hand matig worden gewijzigd vanuit de controle balk.Different properties of the view, such as x and y axes, or grouping and splitting preferences, can be changed manually from the control bar.

U kunt ook de gewenste weer gave in de query zelf instellen met behulp van de operator render.You can also set the preferred view in the query itself, using the render operator.

Slimme diagnostische gegevensSmart diagnostics

Als er sprake is van een plotselinge Prikker of stap in uw gegevens, ziet u mogelijk een gemarkeerd punt op de regel.On a timechart, if there is a sudden spike or step in your data, you may see a highlighted point on the line. Dit geeft aan dat slimme diagnostische gegevens een combi natie van eigenschappen heeft geïdentificeerd waarmee de onverwachte wijziging wordt gefilterd.This indicates that Smart Diagnostics has identified a combination of properties that filter out the sudden change. Klik op het punt om meer details te krijgen over het filter en om de gefilterde versie te bekijken.Click the point to get more detail on the filter, and to see the filtered version. Zo kunt u zien wat de wijziging heeft veroorzaakt:This may help you identify what caused the change:

Slimme diagnostische gegevens

Vastmaken aan dashboardPin to dashboard

Als u een diagram of tabel wilt vastmaken aan een van uw gedeelde Azure-Dash boards, klikt u op het speld pictogram.To pin a diagram or table to one of your shared Azure dashboards, click the pin icon.

Vastmaken aan dashboard

Bepaalde vereenvoudigingen worden toegepast op een grafiek wanneer u deze vastmaakt aan een dash board:Certain simplifications are applied to a chart when you pin it to a dashboard:

  • Tabel kolommen en rijen: Als u een tabel wilt vastmaken aan het dash board, moet deze vier of minder kolommen bevatten.Table columns and rows: In order to pin a table to the dashboard, it must have four or fewer columns. Alleen de bovenste zeven rijen worden weer gegeven.Only the top seven rows are displayed.
  • Tijds beperking: Query's worden automatisch beperkt tot de afgelopen veer tien dagen.Time restriction: Queries are automatically limited to the past 14 days.
  • Beperking voor het aantal bakken: Als u een grafiek met een groot aantal afzonderlijke opslag locaties weergeeft, worden minder gevulde opslag locaties automatisch gegroepeerd in één andere opslag locatie.Bin count restriction: If you display a chart that has a lot of discrete bins, less populated bins are automatically grouped into a single others bin.

Query's opslaanSave queries

Wanneer u een nuttige query hebt gemaakt, wilt u deze mogelijk opslaan of met anderen delen.Once you've created a useful query, you might want to save it or share with others. Het pictogram Opslaan bevindt zich op de bovenste balk.The Save icon is on the top bar.

U kunt de volledige query pagina of een enkele query opslaan als een functie.You can save either the entire query page, or a single query as a function. Functies zijn query's waarnaar ook kan worden verwezen door andere query's.Functions are queries that can also be referenced by other queries. Als u een query als een functie wilt opslaan, moet u een functie alias opgeven. Dit is de naam die wordt gebruikt om deze query aan te roepen wanneer ernaar wordt verwezen door andere query's.In order to save a query as a function, you must provide a function alias, which is the name used to call this query when referenced by other queries.

De functie opslaan

Notitie

De volgende tekens worden ondersteund: a–z, A–Z, 0-9, -, _, ., <space>, (, ), | in het veld naam bij het opslaan of bewerken van de opgeslagen query.The following characters are supported - a–z, A–Z, 0-9, -, _, ., <space>, (, ), | in the Name field when saving or editing the saved query.

Log Analytics query's worden altijd opgeslagen naar een geselecteerde werk ruimte en gedeeld met andere gebruikers van die werk ruimte.Log Analytics queries are always saved to a selected workspace, and shared with other users of that workspace.

Query's ladenLoad queries

Het pictogram query Verkenner bevindt zich in de rechter bovenhoek.The Query Explorer icon is at the top-right area. Hiermee worden alle opgeslagen query's per categorie weer gegeven.This lists all saved queries by category. U kunt hiermee ook specifieke query's markeren als favorieten om ze in de toekomst snel te vinden.It also enables you to mark specific queries as Favorites to quickly find them in the future. Dubbel klik op een opgeslagen query om deze toe te voegen aan het huidige venster.Double-click a saved query to add it to the current window.

Queryverkenner

Log Analytics ondersteunt verschillende methoden voor exporteren:Log Analytics supports several exporting methods:

  • Excel: Sla de resultaten op als een CSV-bestand.Excel: Save the results as a CSV file.
  • Power BI: De resultaten exporteren naar Power BI.Power BI: Export the results to Power BI. Zie Azure monitor logboek gegevens importeren in Power bi voor meer informatie.See Import Azure Monitor log data into Power BI for details.
  • Een koppeling delen: De query zelf kan worden gedeeld als een koppeling die vervolgens kan worden verzonden en uitgevoerd door andere gebruikers die toegang hebben tot dezelfde werk ruimte.Share a link: The query itself can be shared as a link which can then be sent and executed by other users that have access to the same workspace.

Volgende stappenNext steps