Overzicht van logboek query's in Azure MonitorOverview of log queries in Azure Monitor

Met logboek query's kunt u de waarde van de gegevens die in Azure monitor logboekenworden verzameld, volledig benutten.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Met een krachtige query taal kunt u gegevens uit meerdere tabellen samen voegen, grote gegevens sets verzamelen en complexe bewerkingen met minimale code uitvoeren.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Vrijwel elke vraag kan worden beantwoord en de analyse wordt uitgevoerd zolang de ondersteunende gegevens zijn verzameld en u begrijpt hoe u de juiste query kunt bouwen.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Sommige functies in Azure Monitor, zoals inzichten en oplossingen , verwerken logboek gegevens zonder dat u de onderliggende query's hoeft aan te bieden.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Als u andere functies van Azure Monitor volledig wilt benutten, moet u weten hoe query's worden samengesteld en hoe u deze kunt gebruiken om gegevens in Azure Monitor logboeken interactief te analyseren.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Gebruik dit artikel als uitgangs punt voor het leren over logboek query's in Azure Monitor.Use this article as a starting point to learning about log queries in Azure Monitor. De oplossing beantwoordt veelgestelde vragen en bevat koppelingen naar andere documentatie met meer informatie en lessen.It answers common questions and provides links to other documentation that provides further details and lessons.

Hoe kan ik zien hoe ik query's kan schrijven?How can I learn how to write queries?

Als u direct naar dingen wilt gaan, kunt u beginnen met de volgende zelf studies:If you want to jump right into things, you can start with the following tutorials:

Wanneer u de basis principes hebt, kunt u meerdere lessen door lopen met uw eigen gegevens of gegevens uit onze demo omgeving, te beginnen met:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Welke taal gebruiken logboek query's?What language do log queries use?

Azure Monitor Logboeken is gebaseerd op Azure Data Exploreren logboek query's worden geschreven met dezelfde Kusto query language (KQL).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Dit is een uitgebreide taal, ontworpen om gemakkelijk te lezen en te schrijven, en u kunt deze met minimale richt lijnen gaan gebruiken.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Zie de documentatie van Azure Data Explorer KQL voor volledige documentatie over KQL en naslag informatie over de verschillende beschik bare functies.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Zie aan de slag met logboek query's in azure monitor voor een snelle walkthrough van de taal met gegevens uit Azure monitor Logboeken.See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Zie Azure monitor taal verschillen in de logboeken voor kleine verschillen in de versie van KQL die door Azure monitor wordt gebruikt.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Welke gegevens zijn beschikbaar voor logboek query's?What data is available to log queries?

Alle gegevens die in Azure Monitor logboeken zijn verzameld, kunnen worden opgehaald en geanalyseerd in logboek query's.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Met verschillende gegevens bronnen worden de gegevens naar verschillende tabellen geschreven, maar u kunt meerdere tabellen in één query toevoegen om gegevens te analyseren over meerdere bronnen.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Wanneer u een query bouwt, moet u eerst bepalen welke tabellen de gegevens bevatten die u zoekt. u hebt dus mini maal een basis informatie over hoe gegevens in Azure Monitor logboeken zijn gestructureerd.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Zie bronnen van Azure monitor logboekenvoor een lijst met verschillende gegevens bronnen waarmee Azure monitor-logboeken worden ingevuld.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Zie de structuur van Azure monitor logboeken voor een uitleg van de manier waarop de gegevens worden gestructureerd.See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Hoe ziet een logboek query eruit?What does a log query look like?

Een query kan net zo eenvoudig zijn als een enkele tabel naam voor het ophalen van alle records uit de tabel:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

U kunt ook filteren op bepaalde records, deze samenvatten en de resultaten in een grafiek visualiseren:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Voor complexere analyses kunt u gegevens uit meerdere tabellen ophalen met behulp van een koppeling om de resultaten samen te analyseren.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Zelfs als u niet bekend bent met KQL, moet u in staat zijn om ten minste de basis logica te gebruiken die wordt gebruikt door deze query's.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Ze beginnen met de naam van een tabel en voegen vervolgens meerdere opdrachten toe om die gegevens te filteren en verwerken.They start with the name of a table and then add multiple commands to filter and process that data. Een query kan elk wille keurig aantal opdrachten gebruiken en u kunt complexere query's schrijven wanneer u vertrouwd raakt met de verschillende KQL-opdrachten die beschikbaar zijn.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

Zie aan de slag met logboek query's in azure monitor voor een zelf studie over logboek query's waarmee de taal en algemene functies worden geïntroduceerd.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Wat is Log Analytics?What is Log Analytics?

Log Analytics is het primaire hulp programma in de Azure Portal voor het schrijven van logboek query's en het interactief analyseren van de resultaten.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Zelfs als een logboek query elders in Azure Monitor wordt gebruikt, moet u de query doorgaans eerst schrijven en testen met behulp van Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

U kunt Log Analytics vanaf verschillende locaties in de Azure Portal starten.You can start Log Analytics from several places in the Azure portal. Het bereik van de beschik bare gegevens voor Log Analytics is afhankelijk van hoe u het start.The scope of the data available to Log Analytics is determined by how you start it. Zie query bereik voor meer informatie.See Query Scope for more details.

  • Selecteer Logboeken in het menu Azure monitor of log Analytics werk ruimte menu.Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Selecteer analyses op de pagina overzicht van een Application Insights-toepassing.Select Analytics from the Overview page of an Application Insights application.
  • Selecteer Logboeken in het menu van een Azure-resource.Select Logs from the menu of an Azure resource.

Log Analytics

Zie aan de slag met log Analytics in azure monitor voor een zelfstudie overzicht van log Analytics waarin verschillende functies worden geïntroduceerd.See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Waar worden ook logboek query's gebruikt?Where else are log queries used?

Naast het interactief werken met logboek query's en hun resultaten in Log Analytics, zijn de volgende gebieden in Azure Monitor waar u query's gaat gebruiken:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Waarschuwings regels.Alert rules. Waarschuwings regels identificeren proactief problemen van gegevens in uw werk ruimte.Alert rules proactively identify issues from data in your workspace. Elke waarschuwings regel is gebaseerd op een zoek opdracht in logboeken die automatisch regel matig wordt uitgevoerd.Each alert rule is based on a log search that is automatically run at regular intervals. De resultaten worden gecontroleerd om te bepalen of er een waarschuwing moet worden gemaakt.The results are inspected to determine if an alert should be created.
  • Dash boards.Dashboards. U kunt de resultaten van een wille keurige query vastmaken aan een Azure-dash board , zodat u logboek-en metrische gegevens samenvoegt en optioneel kunt delen met andere Azure-gebruikers.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Weergaven.Views. U kunt visualisaties van gegevens maken die moeten worden opgenomen in gebruikers dashboards met de weer gave Designer.You can create visualizations of data to be included in user dashboards with View Designer. Logboek query's bieden de gegevens die worden gebruikt door tegels en visualisatie onderdelen in elke weer gave.Log queries provide the data used by tiles and visualization parts in each view.
  • Exporteren.Export. Wanneer u logboek gegevens importeert van Azure Monitor naar Excel of Power bi, kunt u een logboek query maken om de gegevens te definiëren die moeten worden geëxporteerd.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • Zo.PowerShell. U kunt een Power shell-script uitvoeren vanaf een opdracht regel of een Azure Automation runbook dat gebruikmaakt van Get-AzOperationalInsightsSearchResults om logboek gegevens op te halen van Azure monitor.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Voor deze cmdlet is een query vereist om te bepalen welke gegevens moeten worden opgehaald.This cmdlet requires a query to determine the data to retrieve.
  • API voor Azure Monitor-Logboeken.Azure Monitor Logs API. Met de API voor Azure monitor-logboeken kan elke rest API-client logboek gegevens uit de werk ruimte ophalen.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. De API-aanvraag bevat een query die wordt uitgevoerd op Azure Monitor om te bepalen welke gegevens moeten worden opgehaald.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Volgende stappenNext steps