Visão geral das consultas de log no Azure MonitorOverview of log queries in Azure Monitor

As consultas de log ajudam você a aproveitar totalmente o valor dos dados coletados nos logs de Azure monitor.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Uma linguagem de consulta eficiente permite unir dados de várias tabelas, agregar grandes conjuntos de dados e executar operações complexas com o mínimo de código.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Praticamente qualquer pergunta pode ser respondida e a análise realizada desde que os dados de suporte tenham sido coletados e você entenda como construir a consulta correta.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Alguns recursos em Azure Monitor como informações e soluções processam dados de log sem expor você às consultas subjacentes.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Para aproveitar totalmente outros recursos do Azure Monitor, você deve entender como as consultas são construídas e como usá-las para analisar interativamente os dados nos logs do Azure Monitor.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Use este artigo como um ponto de partida para aprender sobre consultas de log no Azure Monitor.Use this article as a starting point to learning about log queries in Azure Monitor. Ele responde a perguntas comuns e fornece links para outras documentações que fornecem mais detalhes e lições.It answers common questions and provides links to other documentation that provides further details and lessons.

Como posso aprender a escrever consultas?How can I learn how to write queries?

Se você quiser ir diretamente para as coisas, poderá começar com os seguintes tutoriais:If you want to jump right into things, you can start with the following tutorials:

Depois de obter as noções básicas, percorra várias lições usando seus próprios dados ou dados de nosso ambiente de demonstração, começando com:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Que linguagem as consultas de log usam?What language do log queries use?

Os logs de Azure Monitor baseiam-se no Azure data Explorere as consultas de log são escritas usando a mesma linguagem de consulta KUSTO (KQL).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Essa é uma linguagem avançada criada para ser fácil de ler e criar e você deve ser capaz de começar a usá-la com diretrizes mínimas.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Consulte a documentação do Azure data Explorer KQL para obter a documentação completa sobre o KQL e a referência em funções diferentes disponíveis.See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Consulte Introdução às consultas de log no Azure monitor para obter uma rápida explicação do idioma usando dados de Logs de Azure monitor.See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Veja Azure monitor diferenças na linguagem de consulta de log para pequenas diferenças na versão do KQL usada pelo Azure monitor.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Quais dados estão disponíveis para registrar consultas?What data is available to log queries?

Todos os dados coletados em logs de Azure Monitor estão disponíveis para recuperar e analisar em consultas de log.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Diferentes fontes de dados gravarão seus dados em tabelas diferentes, mas você pode incluir várias tabelas em uma única consulta para analisar dados em várias fontes.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Ao criar uma consulta, você começa determinando quais tabelas têm os dados que está procurando e, portanto, deve ter pelo menos um entendimento básico de como os dados em logs de Azure Monitor são estruturados.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Consulte fontes de logs de Azure monitorpara obter uma lista de diferentes fontes de dados que preenchem Azure monitor logs.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Consulte estrutura de logs de Azure monitor para obter uma explicação de como os dados são estruturados.See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Como é a aparência de uma consulta de log?What does a log query look like?

Uma consulta pode ser tão simples quanto um único nome de tabela para recuperar todos os registros dessa tabela:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Ou poderia filtrar registros específicos, resumi-los e visualizar os resultados em um gráfico:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Para uma análise mais complexa, você pode recuperar dados de várias tabelas usando uma junção para analisar os resultados juntos.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Mesmo que você não esteja familiarizado com o KQL, você deve ser capaz de, pelo menos, descobrir a lógica básica que está sendo usada por essas consultas.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Eles começam com o nome de uma tabela e, em seguida, adicionam vários comandos para filtrar e processar esses dados.They start with the name of a table and then add multiple commands to filter and process that data. Uma consulta pode usar qualquer número de comandos, e você pode escrever consultas mais complexas conforme se familiarizar com os diferentes comandos do KQL disponíveis.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

Consulte Introdução às consultas de log no Azure monitor para obter um tutorial sobre consultas de log que introduzem a linguagem e as funções comuns,.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

O que é o Log Analytics?What is Log Analytics?

Log Analytics é a principal ferramenta na portal do Azure para gravar consultas de log e analisar seus resultados interativamente.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Mesmo que uma consulta de log seja usada em outro lugar na Azure Monitor, você normalmente escreverá e testará a consulta primeiro usando Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Você pode iniciar o Log Analytics de vários locais na portal do Azure.You can start Log Analytics from several places in the Azure portal. O escopo dos dados disponíveis para Log Analytics é determinado pelo modo como você o inicia.The scope of the data available to Log Analytics is determined by how you start it. Consulte escopo da consulta para obter mais detalhes.See Query Scope for more details.

  • Selecione logs no menu Azure monitor ou no menu log Analytics espaços de trabalho .Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Selecione análise na página visão geral de um aplicativo Application insights.Select Analytics from the Overview page of an Application Insights application.
  • Selecione logs no menu de um recurso do Azure.Select Logs from the menu of an Azure resource.

Log Analytics

Confira introdução ao log Analytics no Azure monitor para obter um tutorial explicativo de log Analytics que apresenta vários de seus recursos.See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Onde outras consultas de log são usadas?Where else are log queries used?

Além de trabalhar interativamente com consultas de log e seus resultados em Log Analytics, as áreas em Azure Monitor em que você usará consultas incluem o seguinte:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Regras de alertaAlert rules. As Regras de alerta identificam proativamente os problemas dos dados no workspace.Alert rules proactively identify issues from data in your workspace. Cada regra de alerta é baseada em uma pesquisa de logs que é executada automaticamente em intervalos regulares.Each alert rule is based on a log search that is automatically run at regular intervals. Os resultados são inspecionados para determinar se um alerta deve ser criado.The results are inspected to determine if an alert should be created.
  • Painéis.Dashboards. Você pode fixar os resultados da consulta em um painel do Azure, que permite visualizar os dados de log e de métrica em conjunto e, opcionalmente, compartilhar com outros usuários do Azure.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Exibições.Views. Você pode criar visualizações de dados a serem incluídas em painéis de usuários com Designer de Exibição.You can create visualizations of data to be included in user dashboards with View Designer. As consultas de logs fornecem os dados usados por blocos e blocos de visualização em cada exibição.Log queries provide the data used by tiles and visualization parts in each view.
  • Exportação.Export. Ao importar dados de log do Azure Monitor para o Excel ou o Power BI, você cria uma consulta de logs para definir os dados a serem exportados.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. Você pode executar um script do PowerShell de uma linha de comando ou um runbook de automação do Azure que usa Get-AzOperationalInsightsSearchResults para recuperar dados de log de Azure monitor.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Esse cmdlet requer uma consulta para determinar os dados a serem recuperados.This cmdlet requires a query to determine the data to retrieve.
  • API de Logs do Azure Monitor.Azure Monitor Logs API. A API de Logs do Azure Monitor permite que qualquer cliente da API REST recupere dados de log do workspace.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. A solicitação de API inclui uma consulta que é executada no Azure Monitor para determinar os dados a serem recuperados.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Próximos passosNext steps