Log Analytics-zelfstudie

  • Artikel
  • 6 minuten om te lezen

Log Analytics is een hulpprogramma in Azure Portal om logboekquery's te bewerken en uit te voeren op basis van gegevens die zijn verzameld door Azure Monitor-logboeken en om de resultaten interactief te analyseren. U kunt Log Analytics-query's gebruiken om records op te halen die voldoen aan bepaalde criteria, trends te identificeren, patronen te analyseren en verschillende inzichten in uw gegevens te bieden.

In deze tutorial wordt u begeleid door de Log Analytics-interface, wordt u op weg geholpen met enkele basisquery's en ziet u hoe u met de resultaten kunt werken. U leert het volgende:

  • Inzicht in het schema voor logboekgegevens
  • Eenvoudige query's schrijven en uitvoeren en het tijdsbereik voor query's wijzigen
  • Queryresultaten filteren, sorteren en groeperen
  • Visuals van queryresultaten weergeven, wijzigen en delen
  • Query's en resultaten laden, exporteren en kopiëren

Belangrijk

In deze zelfstudie gebruikt u Log Analytics-functies om één query te bouwen en een andere voorbeeldquery te gebruiken. Als u klaar bent om de syntaxis van query's te leren en de query zelf direct te gaan bewerken, leest u de zelfstudie kusto-querytaal. Deze zelfstudie doorloopt voorbeeldquery's die u kunt bewerken en uitvoeren in Log Analytics. Er worden verschillende functies gebruikt die u in deze zelfstudie leert.

Vereisten

In deze zelfstudie wordt gebruikgemaakt van de Demo-omgeving van Log Analytics,die veel voorbeeldgegevens bevat die ondersteuning bieden voor de voorbeeldquery's. U kunt ook uw eigen Azure-abonnement gebruiken, maar mogelijk hebt u geen gegevens in dezelfde tabellen.

Log Analytics openen

Open de Demo-omgeving van Log Analyticsof selecteer Logboeken in Azure Monitor menu in uw abonnement. Met deze stap wordt het aanvankelijke bereik ingesteld op een Log Analytics-werkruimte, zodat uw query een selectie maakt uit alle gegevens in die werkruimte. Als u Logboeken selecteert in het menu van een Azure-resource, wordt het bereik ingesteld op alleen records van die resource. Zie Logboekquerybereik voor meer informatie over het bereik.

U kunt het bereik weergeven in de linkerbovenhoek van het scherm. Als u uw eigen omgeving gebruikt, ziet u een optie om een ander bereik te selecteren. Deze optie is niet beschikbaar in de demo-omgeving.

Schermopname van het Log Analytics-bereik voor de demo.

Tabelgegevens weergeven

De linkerkant van het scherm bevat het tabblad Tabellen, waar u de tabellen kunt inspecteren die beschikbaar zijn in het huidige bereik. Deze tabellen zijn standaard gegroepeerd op Oplossing, maar u kunt de groepering ervan wijzigen of ze filteren.

Vouw de oplossing Logboekbeheer uit en zoek de tabel AppRequests. U kunt de tabel uitbreiden om het schema ervan weer te geven of de naam ervan aanwijzen om meer informatie over de tabel weer te geven.

Schermopname van de weergave Tabellen.

Selecteer de onderstaande koppeling Handige koppelingen om naar de tabelverwijzing te gaan die elke tabel en de kolommen documenteert. Selecteer Voorbeeld van gegevens om een paar recente records in de tabel te bekijken. Deze preview kan handig zijn om ervoor te zorgen dat dit de gegevens zijn die u verwacht voordat u er een query mee uitvoert.

Schermopname met voorbeeldgegevens.

Een query schrijven

We gaan een query schrijven met behulp van de tabel AppRequests. Dubbelklik op de naam om deze toe te voegen aan het queryvenster. U kunt ook rechtstreeks in het venster typen. U kunt zelfs IntelliSense gebruiken om de namen van tabellen in het huidige bereik en KQL-opdrachten (Kusto Query Language) te voltooien.

Dit is de eenvoudigste query die we kunnen schrijven. Hiermee worden gewoon alle records in een tabel geretourneerd. Voer deze uit door de knop Uitvoeren te selecteren of door Shift+Enter te selecteren met de cursor ergens in de querytekst.

Schermopname met queryresultaten.

U kunt zien dat er resultaten zijn. Het aantal records dat de query heeft geretourneerd, wordt weergegeven in de rechterbenedenhoek.

Queryresultaten filteren

We gaan een filter toevoegen aan de query om het aantal records te verminderen dat wordt geretourneerd. Selecteer het tabblad Filteren in het linkerdeelvenster. Dit tabblad bevat kolommen in de queryresultaten die u kunt gebruiken om de resultaten te filteren. De bovenste waarden in deze kolommen worden weergegeven met het aantal records met die waarde. Selecteer 200 onder ResultCode en selecteer vervolgens Toepassen & Uitvoeren.

Schermopname van het querydeelvenster.

Er wordt een where-instructie toegevoegd aan de query met de waarde die u hebt geselecteerd. De resultaten bevatten nu alleen records met die waarde, zodat u kunt zien dat het aantal records is verminderd.

Schermopname met gefilterde queryresultaten.

Tijdsbereik

Alle tabellen in een Log Analytics-werkruimte hebben een kolom met de naam TimeGenerated. Dit is de tijd waarop de record is gemaakt. Alle query's hebben een tijdsbereik dat de resultaten beperkt tot records met een TimeGenerated-waarde binnen dat bereik. U kunt het tijdsbereik in de query instellen of met behulp van de selector bovenaan het scherm.

De query retourneert standaard records uit de afgelopen 24 uur. U ziet hier een bericht met de melding dat we niet alle resultaten zien. Dit komt doordat Log Analytics maximaal 30.000 records kan retourneren en onze query meer records dan dat heeft geretourneerd. Selecteer de vervolgkeuzelijst Tijdsbereik en wijzig de waarde in 12 uur. Selecteer Opnieuw uitvoeren om de resultaten te retourneren.

Schermopname van het tijdsbereik.

Meerdere queryvoorwaarden

We gaan het aantal resultaten verder verminderen door een andere filtervoorwaarde toe te voegen. Een query kan een willekeurig aantal filters bevatten om precies de gewenste set records te bereiken. Selecteer Start/index op halen onder Naam en selecteer vervolgens Toepassen & Uitvoeren.

Schermopname van queryresultaten met meerdere filters.

Resultaten analyseren

Naast hulp bij het schrijven en uitvoeren van query's, biedt Log Analytics functies voor het werken met de resultaten. Begin met het uitbreiden van een record om de waarden voor alle kolommen te bekijken.

Schermopname van het uitbreiden van een record.

Selecteer de naam van een kolom om de resultaten op die kolom te sorteren. Selecteer het filterpictogram naast de kolom om een filtervoorwaarde op te geven. Dit is vergelijkbaar met het toevoegen van een filtervoorwaarde aan de query zelf, behalve dat dit filter wordt gew cleared als de query opnieuw wordt uitgevoerd. Gebruik deze methode als u snel een set records wilt analyseren als onderdeel van een interactieve analyse.

Stel bijvoorbeeld een filter in op de kolom DurationMs om de records te beperken tot records die meer dan 100 milliseconden duurden.

Schermopname van een filter voor queryresultaten.

In plaats van de resultaten te filteren, kunt u records groeperen op een bepaalde kolom. Schakel het filter dat u zojuist hebt gemaakt uit en schakel vervolgens de schakelknop Groepskolommen in.

Schermopname van het in-/uitschakelen van het groeperen van kolommen.

Sleep de kolom URL naar de groeperingsrij. De resultaten zijn nu geordend op die kolom en u kunt elke groep samenvouwen om u te helpen met uw analyse.

Schermopname van gegroepeerde queryresultaten.

Werken met grafieken

Laten we eens kijken naar een query die gebruikmaakt van numerieke gegevens die we in een grafiek kunnen bekijken. In plaats van een query te maken, selecteert u een voorbeeldquery.

Selecteer Query's in het linkerdeelvenster. Dit deelvenster bevat voorbeeldquery's die u aan het queryvenster kunt toevoegen. Als u uw eigen werkruimte gebruikt, moet u verschillende query's in meerdere categorieën hebben. Als u de demo-omgeving gebruikt, ziet u mogelijk slechts één categorie Log Analytics-werkruimten. Vouw deze uit om de query's in de categorie weer te geven.

Selecteer de query met de naam Functiefoutfrequentie in de categorie Toepassingen. Met deze stap wordt de query toegevoegd aan het queryvenster. De nieuwe query wordt gescheiden van de andere door een lege regel. Een query in KQL eindigt wanneer er een lege regel wordt aangetroffen, zodat deze als afzonderlijke query's worden beschouwd.

Schermopname van een nieuwe query.

De huidige query is het item waarop de cursor zich bevindt. U kunt zien dat de eerste query is gemarkeerd, wat aangeeft dat het de huidige query is. Klik ergens in de nieuwe query om deze te selecteren en selecteer vervolgens de knop Uitvoeren om deze uit te voeren.

Schermopname van de tabel met queryresultaten.

Als u de resultaten in een grafiek wilt weergeven, selecteert u Grafiek in het resultatenvenster. U ziet dat er verschillende opties zijn voor het werken met de grafiek, zoals het wijzigen ervan in een ander type.

Schermopname van de grafiek met queryresultaten.

Volgende stappen

Nu u weet hoe u Log Analytics gebruikt, voltooit u de zelfstudie over het gebruik van logboekquery's:

Azure Monitor-logboekquery's schrijven