Przegląd zapytań dzienników w Azure MonitorOverview of log queries in Azure Monitor

Zapytania dzienników ułatwiają całkowite wykorzystanie wartości danych zebranych w dziennikach Azure monitor.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Zaawansowany język zapytań umożliwia sprzęganie danych z wielu tabel, agregowanie dużych zestawów danych i wykonywanie złożonych operacji przy minimalnym kodzie.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Niemal każde pytanie może być odpowiedzią i analizą wykonywaną, o ile dane pomocnicze zostały zebrane, i zrozumieć, jak utworzyć odpowiednie zapytanie.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Niektóre funkcje w Azure Monitor, takie jak szczegółowe informacje i rozwiązania , przetwarzają dane dziennika bez udostępniania Cię do podstawowych zapytań.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Aby w pełni wykorzystać inne funkcje Azure Monitor, należy zrozumieć, jak są konstruowane zapytania i jak można ich używać do interaktywnego analizowania danych w dziennikach Azure Monitor.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Skorzystaj z tego artykułu jako punktu wyjścia do uczenia się na temat zapytań dzienników w Azure Monitor.Use this article as a starting point to learning about log queries in Azure Monitor. Odpowiedzi na często zadawane pytania i udostępniają linki do innej dokumentacji, która zapewnia dalsze szczegóły i lekcje.It answers common questions and provides links to other documentation that provides further details and lessons.

Jak można dowiedzieć się, jak pisać zapytania?How can I learn how to write queries?

Jeśli chcesz przejść bezpośrednio do elementów, możesz zacząć od następujących samouczków:If you want to jump right into things, you can start with the following tutorials:

Po ustaleniu podstaw możesz zapoznać się z wieloma lekcjami przy użyciu własnych danych lub danych z naszego środowiska demonstracyjnego, zaczynając od:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Jakiego języka używają zapytania dzienników?What language do log queries use?

Dzienniki Azure Monitor opierają się na usłudze Azure Eksplorator danych, a zapytania dzienników są zapisywane przy użyciu tego samego języka zapytań Kusto (KQL).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Jest to bogaty język zaprojektowany, aby można było go łatwo odczytać i utworzyć, i powinien być w stanie rozpocząć korzystanie z niego z minimalnymi wskazówkami.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Zapoznaj się z dokumentacją usługi Azure Eksplorator danych KQL , aby uzyskać pełną dokumentację dotyczącą KQL i informacje o różnych dostępnych funkcjach.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Zobacz Rozpoczynanie pracy z dziennikami w Azure monitor , aby szybko zapoznać się z językiem przy użyciu danych z dzienników Azure monitor.See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Zapoznaj się z tematem różnice w języku zapytań dzienników Azure monitor , aby uzyskać drobne różnice w wersji KQL używanej przez Azure monitor.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Jakie dane są dostępne do rejestrowania zapytań?What data is available to log queries?

Wszystkie dane zbierane w dziennikach Azure Monitor są dostępne do pobierania i analizowania zapytań dzienników.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Różne źródła danych zapisują swoje dane w różnych tabelach, ale można dołączyć wiele tabel w jednym zapytaniu, aby analizować dane w wielu źródłach.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Podczas tworzenia zapytania należy zacząć od określenia, które tabele mają dane, których szukasz, dlatego należy mieć co najmniej podstawową wiedzę na temat sposobu, w jaki dane w dziennikach Azure Monitor są strukturalne.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Aby uzyskać listę różnych źródeł danych, które wypełniają dzienniki Azure Monitor, zobacz źródła dzienników Azure monitor.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Zobacz strukturę dzienników Azure monitor , aby dowiedzieć się, jak dane są strukturalne.See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Jak wygląda zapytanie dziennika?What does a log query look like?

Zapytanie może być proste jako nazwa pojedynczej tabeli do pobrania wszystkich rekordów z tej tabeli:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Można też odfiltrować określone rekordy, podsumowywać je i wizualizować wyniki na wykresie:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Aby uzyskać bardziej złożoną analizę, można pobrać dane z wielu tabel przy użyciu sprzężenia, aby analizować wyniki jednocześnie.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Nawet jeśli nie znasz KQL, powinna być możliwa co najmniej ilustracja podstawowa Logika używana przez te zapytania.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Zaczynają się one od nazwy tabeli, a następnie dodają wiele poleceń do filtrowania i przetwarzania tych danych.They start with the name of a table and then add multiple commands to filter and process that data. Zapytanie może korzystać z dowolnej liczby poleceń i można napisać bardziej skomplikowane zapytania, aby zapoznać się z różnymi poleceniami KQL.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

Zobacz Rozpoczynanie pracy z dziennikami zapytań w Azure monitor , aby zapoznać się z samouczkiem dotyczącym zapytań dziennika, które wprowadzają język i typowe funkcje.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Co to jest usługa Log Analytics?What is Log Analytics?

Log Analytics to podstawowe narzędzie w Azure Portal do zapisywania zapytań dzienników i interaktywnego analizowania ich wyników.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Nawet jeśli zapytanie dziennika jest używane w innym miejscu Azure Monitor, zwykle Napisz i przetestuj zapytanie przy użyciu Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Log Analytics można uruchomić z kilku miejsc w Azure Portal.You can start Log Analytics from several places in the Azure portal. Zakres danych dostępnych do Log Analytics jest określany na podstawie sposobu jego uruchomienia.The scope of the data available to Log Analytics is determined by how you start it. Aby uzyskać więcej informacji, zobacz zakres zapytań .See Query Scope for more details.

  • Wybierz pozycję dzienniki z menu Azure monitor lub log Analytics obszary robocze .Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Wybierz pozycję Analiza na stronie Przegląd aplikacji Application Insightsowej.Select Analytics from the Overview page of an Application Insights application.
  • Wybierz pozycję dzienniki z menu zasobu platformy Azure.Select Logs from the menu of an Azure resource.

Log Analytics

Zobacz artykuł Wprowadzenie do log Analytics w Azure monitor , aby zapoznać się z samouczkiem dotyczącym log Analytics, które wprowadzają kilka funkcji.See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Gdzie są używane zapytania dziennika?Where else are log queries used?

Oprócz interakcyjnej pracy z kwerendami dzienników i ich wyników w Log Analytics, obszary w Azure Monitor, w których będą używane zapytania, obejmują następujące elementy:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Reguły alertów.Alert rules. Reguły alertów aktywnie identyfikują problemy z danych w obszarze roboczym.Alert rules proactively identify issues from data in your workspace. Każda reguła alertu jest oparta na przeszukiwaniu dzienników, który jest automatycznie uruchamiany w regularnych odstępach czasu.Each alert rule is based on a log search that is automatically run at regular intervals. Wyniki są sprawdzane w celu określenia, czy ma zostać utworzony alert.The results are inspected to determine if an alert should be created.
  • Pulpitów nawigacyjnych.Dashboards. Możesz przypiąć wyniki dowolnego zapytania do pulpitu nawigacyjnego platformy Azure , który umożliwia wspólne wizualizację danych dzienników i metryk, a opcjonalnie udostępnianie innym użytkownikom platformy Azure.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Widoki.Views. Wizualizacje danych, które mają być dołączone do pulpitów nawigacyjnych użytkowników, można tworzyć za pomocą projektanta widoków.You can create visualizations of data to be included in user dashboards with View Designer. Zapytania dziennika zapewniają dane używane przez kafelki i części wizualizacji w każdym widoku.Log queries provide the data used by tiles and visualization parts in each view.
  • Eksportowanie.Export. Podczas importowania danych dziennika z Azure Monitor do programu Excel lub Power BI, należy utworzyć zapytanie dziennika w celu zdefiniowania danych do wyeksportowania.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • Narzędzia.PowerShell. Skrypt programu PowerShell można uruchomić z poziomu wiersza polecenia lub Azure Automation elementu Runbook, który używa Get-AzOperationalInsightsSearchResults , aby pobrać dane dziennika z Azure monitor.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. To polecenie cmdlet wymaga zapytania, aby określić dane do pobrania.This cmdlet requires a query to determine the data to retrieve.
  • Interfejs API dzienników Azure Monitor.Azure Monitor Logs API. Interfejs API dzienników Azure monitor umożliwia wszystkim klientom interfejsu API REST pobieranie danych dziennika z obszaru roboczego.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. Żądanie interfejsu API zawiera zapytanie, które jest uruchamiane względem Azure Monitor, aby określić dane do pobrania.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Następne krokiNext steps