Overzicht van Logboeken-query's in Azure MonitorOverview of log queries in Azure Monitor

Logboeken-query's kunnen u volledig gebruikmaken van de waarde van de gegevens die zijn verzameld logboeken van Azure Monitor.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Een krachtige querytaal kunt u gegevens uit meerdere tabellen samenvoegen, aggregeren van grote gegevenssets en complexe bewerkingen met minimale code uitvoeren.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Kan vrijwel alle vragen worden beantwoord en analyse, zolang de ondersteunende gegevens zijn verzameld, en u begrijpt hoe u een van de juiste query uitgevoerd.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Sommige functies in Azure Monitor, zoals insights en oplossingen logboekgegevens verwerken zonder dat u op de onderliggende query's.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Als u wilt volledig gebruikmaken van andere functies van Azure Monitor, dient u te begrijpen hoe query's zijn gebouwd en hoe u deze kunt gebruiken voor het analyseren van gegevens in Azure controleren logboeken interactief.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Gebruik dit artikel als uitgangspunt om te leren kennen logboeken-query's in Azure Monitor.Use this article as a starting point to learning about log queries in Azure Monitor. Het antwoorden op veelgestelde vragen en vindt u koppelingen naar andere documentatie die meer details en geleerde lessen biedt.It answers common questions and provides links to other documentation that provides further details and lessons.

Hoe kan ik meer informatie over het schrijven van query's?How can I learn how to write queries?

Als u meteen in dingen wilt, kunt u beginnen met de volgende zelfstudies:If you want to jump right into things, you can start with the following tutorials:

Zodra u de basisprincipes omlaag hebt, helpt u bij meerdere lessen met behulp van uw eigen gegevens of de gegevens van onze demo-omgeving die beginnen met:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Welke taal zich aanmelden query's gebruiken?What language do log queries use?

Logboeken in Azure Monitor is gebaseerd op Azure Data Explorer, en logboeken-query's zijn geschreven met behulp van de dezelfde Kusto-querytaal (KQL).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Dit is een uitgebreide taal die is ontworpen om gemakkelijk te lezen en auteur, en u zou het mogelijk om deze te gebruiken met minimale begeleiding.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Zie documentatie Azure Data Explorer KQL voor volledige documentatie over KQL en naslaginformatie over de verschillende functies die beschikbaar zijn.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Zie aan de slag met Logboeken-query's in Azure Monitor voor een snel overzicht van de taal met gegevens uit Azure Monitor-Logboeken.See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Zie Azure Monitor log-query language verschillen voor kleine verschillen in de versie van KQL die worden gebruikt door Azure Monitor.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Welke gegevens is beschikbaar voor het melden van query's?What data is available to log queries?

Alle gegevens die zijn verzameld in Logboeken van Azure Monitor is beschikbaar voor het ophalen en analyseren in Logboeken-query's.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Verschillende gegevensbronnen hun gegevens naar verschillende tabellen worden geschreven, maar u kunt meerdere tabellen opnemen in één query om gegevens te analyseren via meerdere bronnen.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Wanneer u een query bouwen, start u door te bepalen welke tabellen bevatten de gegevens die u zoekt, dus u moet ten minste een basiskennis hebben van hoe de gegevens in Logboeken van Azure Monitor is opgebouwd.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Zie bronnen van Azure Monitor logboekenvoor een lijst van verschillende gegevensbronnen die Azure Monitor-logboeken te vullen.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Zie structuur van Azure Monitor logboeken voor een uitleg van hoe de gegevens is opgebouwd.See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Hoe een logboekquery eruit?What does a log query look like?

Een query kan worden net zo eenvoudig als naam van één tabel voor het ophalen van alle records uit deze tabel:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Of het kan filteren op bepaalde records, samenvatten en visualiseren van de resultaten in een grafiek:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Voor meer complexe analyse, kunt u gegevens ophalen uit meerdere tabellen met behulp van een join voor het analyseren van de resultaten samen.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Zelfs als u niet bekend bent met KQL, zou het mogelijk om de basislogica wordt gebruikt door deze query's ten minste te achterhalen.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Ze beginnen met de naam van een tabel en voeg vervolgens meerdere opdrachten om te filteren en verwerken van die gegevens.They start with the name of a table and then add multiple commands to filter and process that data. Een query een willekeurig aantal opdrachten kunt gebruiken en kunt u complexere query's als u vertrouwd raken met de verschillende KQL opdrachten die beschikbaar zijn.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

Zie aan de slag met Logboeken-query's in Azure Monitor voor een zelfstudie over Logboeken-query's die de taal en de algemene functies geïntroduceerd.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Wat is Log Analytics?What is Log Analytics?

Log Analytics is het primaire hulpprogramma in de Azure-portal voor het schrijven van Logboeken-query's en interactief analyseren van de resultaten ervan.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Zelfs als een query voor elders in Azure Monitor wordt gebruikt, u gewoonlijk schrijven en testen van de query eerst met behulp van Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Log Analytics kunt u starten vanaf verschillende plaatsen in de Azure-portal.You can start Log Analytics from several places in the Azure portal. Het bereik van de gegevens beschikbaar voor Log Analytics wordt bepaald door de manier waarop u deze start.The scope of the data available to Log Analytics is determined by how you start it. Zie querybereik voor meer informatie.See Query Scope for more details.

  • Selecteer logboeken uit de Azure Monitor menu of Log Analytics-werkruimten menu.Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Selecteer Analytics uit de overzicht pagina van een Application Insights-toepassing.Select Analytics from the Overview page of an Application Insights application.
  • Selecteer logboeken in het menu van een Azure-resource.Select Logs from the menu of an Azure resource.

Log Analytics

Zie aan de slag met Log Analytics in Azure Monitor voor een zelfstudie overzicht van Log Analytics, waarmee meerdere functies worden geïntroduceerd.See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Waar worden de logboeken-query's gebruikt?Where else are log queries used?

Naast interactief werken met Logboeken-query's en de resultaten in Log Analytics, omvatten gebieden in Azure Monitor waar u query's wilt gebruiken in het volgende:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Regels voor waarschuwingen.Alert rules. Waarschuwingsregels proactief problemen van gegevens in uw werkruimte te identificeren.Alert rules proactively identify issues from data in your workspace. De waarschuwingsregel is gebaseerd op een logboekzoekopdracht die automatisch met regelmatige tussenpozen wordt uitgevoerd.Each alert rule is based on a log search that is automatically run at regular intervals. De resultaten worden gecontroleerd om te bepalen of een waarschuwing moet worden gemaakt.The results are inspected to determine if an alert should be created.
  • Dashboards.Dashboards. U kunt de resultaten van elke query in vastmaken een Azure-dashboard waarmee u logboek- en metrische gegevens bij elkaar te visualiseren en (optioneel) delen met andere Azure-gebruikers.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Weergaven.Views. Kunt u visualisaties van gegevens moeten worden opgenomen in de Gebruikersdashboards met Weergaveontwerper.You can create visualizations of data to be included in user dashboards with View Designer. Logboeken-query's leveren de gegevens die worden gebruikt door tegels en visualisatie delen in elke weergave.Log queries provide the data used by tiles and visualization parts in each view.
  • Exporteren.Export. Wanneer u logboekgegevens van Azure Monitor in Excel importeert of Power BI, maakt u een logboekquery voor het definiëren van de gegevens te exporteren.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. U kunt een PowerShell-script uitvoeren vanaf een opdrachtregel of een Azure Automation-runbook die gebruikmaakt van Get-AzOperationalInsightsSearchResults om op te halen van logboekgegevens van Azure Monitor.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Deze cmdlet is vereist voor een query om te bepalen van de gegevens moeten worden opgehaald.This cmdlet requires a query to determine the data to retrieve.
  • API voor Azure Monitor-Logboeken.Azure Monitor Logs API. De logboeken-API van Azure Monitor kan een client REST-API om op te halen van logboekgegevens uit de werkruimte.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. De API-aanvraag bevat een query die wordt uitgevoerd op Azure Monitor om te bepalen van de gegevens moeten worden opgehaald.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Volgende stappenNext steps