Tutorial do Log Analytics

O Log Analytics é uma ferramenta do portal do Azure usada para editar e executar consultas de log dos dados coletados pelos logs do Azure Monitor e analisar os resultados de maneira interativa. Use as consultas do Log Analytics para recuperar registros que correspondem a critérios específicos, identificar tendências, analisar padrões e fornecer uma variedade de insights sobre seus dados.

Este tutorial descreve a interface do Log Analytics, apresenta algumas consultas básicas e mostra como trabalhar com os resultados. Você aprenderá o seguinte:

  • Entender o esquema de dados de log
  • Gravar e executar consultas simples e modificar o intervalo de tempo para consultas
  • Filtrar, classificar e agrupar resultados de consulta
  • Exibir, modificar e compartilhar visuais de resultados de consulta
  • Carregar, exportar e copiar consultas e resultados

Importante

Neste tutorial, você usará os recursos do Log Analytics para criar uma consulta e usar outra consulta de exemplo. Quando estiver pronto para aprender a sintaxe das consultas e começar a editar diretamente a própria consulta, leia o tutorial da linguagem de consulta Kusto. Esse tutorial apresenta consultas de exemplo que podem ser editadas e executadas no Log Analytics. Ela usa vários dos recursos que você aprenderá neste tutorial.

Pré-requisitos

Este tutorial usa o ambiente de demonstração do Log Analytics, que inclui vários dados de exemplo que dão suporte às consultas de exemplo. Você também pode usar sua assinatura do Azure, mas talvez não tenha os dados nas mesmas tabelas.

Abrir Log Analytics

Abra o ambiente de demonstração do Log Analytics ou selecione Logs no menu do Azure Monitor na sua assinatura. Essa etapa definirá o escopo inicial para um workspace do Log Analytics. Portanto, a consulta selecionará todos os dados desse workspace. Se você selecionar Logs no menu de um recurso do Azure, o escopo será definido como somente os registros desse recurso. Para obter detalhes sobre o escopo, confira Escopo da consulta de log.

Veja o escopo no canto superior esquerdo da tela. Se estiver usando seu ambiente, você verá uma opção para selecionar outro escopo. Essa opção não está disponível no ambiente de demonstração.

Screenshot that shows the Log Analytics scope for the demo.

Ver informações da tabela

O lado esquerdo da tela inclui a guia Tabelas, na qual você pode inspecionar as tabelas disponíveis no escopo atual. Por padrão, essas tabelas são agrupadas por Solução, mas você pode filtrá-las ou alterar o agrupamento delas.

Expanda a solução de Gerenciamento de Log e localize a tabela AppRequests. Expanda a tabela para ver o esquema ou posicione o cursor sobre o nome da tabela para mostrar mais informações sobre ela.

Screenshot that shows the Tables view.

Selecione o link abaixo de Links úteis para acessar a referência de tabela que documenta cada tabela e as respectivas colunas. Escolha Visualizar dados para ter uma visão rápida de alguns registros recentes na tabela. Essa visualização pode ser útil para garantir que esses sejam os dados esperados antes de você realmente executar uma consulta com eles.

Screenshot that shows sample data.

Escreva uma consulta

Vamos escrever uma consulta usando a tabela AppRequests. Clique duas vezes no nome dela para adicioná-la à janela de consulta. Digite também o nome diretamente na janela. Você pode, até mesmo, obter o IntelliSense, que ajudará a preencher os nomes das tabelas no escopo atual e os comandos KQL (Kusto Query Language).

Essa é a consulta mais simples que podemos escrever. Ela só retorna todos os registros em uma tabela. Execute-a selecionando o botão Executar ou SHIFT + ENTER com o cursor posicionado em qualquer lugar do texto da consulta.

Screenshot that shows query results.

Você pode ver que temos resultados. O número de registros que a consulta retornou é exibido no canto inferior direito.

Filtrar resultados da consulta

Vamos adicionar um filtro à consulta para reduzir o número de registros retornados. Selecione a guia Filtrar no painel esquerdo. Essa guia mostra colunas nos resultados da consulta que podem ser usadas para filtrar os resultados. Os valores superiores nessas colunas são exibidos com o número de registros que têm esse valor. Selecione 200 em ResultCode e escolha Aplicar e Executar.

Screenshot that shows the query pane.

Uma instrução where é adicionada à consulta com o valor selecionado. Agora, os resultados incluem apenas os registros com esse valor. Portanto, você pode ver que a contagem de registros foi reduzida.

Screenshot that shows query results filtered.

Intervalo de horas

Todas as tabelas de um workspace do Log Analytics têm uma coluna chamada TimeGenerated, que é a hora em que o registro foi criado. Todas as consultas têm um intervalo de tempo que limita os resultados aos registros que tenham um valor TimeGenerated dentro desse intervalo. Defina o intervalo de tempo na consulta ou usando o seletor na parte superior da tela.

Por padrão, a consulta retorna os registros das últimas 24 horas. Você verá uma mensagem aqui informando que não estão sendo mostrados todos os resultados. Isso ocorre porque o Log Analytics pode retornar, no máximo, 30 mil registros, e nossa consulta retornou mais registros que isso. Selecione a lista suspensa Intervalo de tempo e altere esse valor para 12 horas. Clique em Executar novamente para retornar os resultados.

Screenshot that shows the time range.

Condições de várias consultas

Vamos reduzir ainda mais nossos resultados adicionando outra condição de filtro. Uma consulta pode incluir qualquer número de filtros para ter como alvo exatamente o conjunto de registros desejado. Selecione Obter Página Inicial/Índice em Nome e escolha Aplicar e Executar.

Screenshot that shows query results with multiple filters.

Analisar resultados

Além de ajudar você a escrever e executar consultas, o Log Analytics fornece recursos para trabalhar com os resultados. Comece expandindo um registro para ver os valores de todas as colunas.

Screenshot that shows expanding a record.

Selecione o nome de qualquer coluna para classificar os resultados de acordo com ela. Selecione o ícone de filtro ao lado dela para fornecer uma condição de filtro. Isso é semelhante à adição de uma condição de filtro à própria consulta, exceto pelo fato de que esse filtro será limpo se a consulta for executada novamente. Use esse método se desejar analisar rapidamente um conjunto de registros como parte da análise interativa.

Por exemplo, defina um filtro na coluna DurationMs para limitar os registros àqueles que levaram mais de 100 milissegundos.

Screenshot that shows a query results filter.

Em vez de filtrar os resultados, você pode agrupar os registros por uma coluna específica. Limpe o filtro recém-criado e ative a alternância Agrupar colunas.

Screenshot that shows turning on grouping of columns.

Arraste a coluna URL para a linha de agrupamento. Os resultados agora são organizados por essa coluna, e você pode recolher cada grupo para ajudar com a sua análise.

Screenshot that shows query results grouped.

Trabalhar com gráficos

Vamos examinar uma consulta que usa dados numéricos que podemos ver em um gráfico. Em vez de criar uma consulta, selecionaremos uma consulta de exemplo.

Selecione Consultas no painel esquerdo. Esse painel inclui consultas de exemplo que você pode adicionar à janela de consulta. Se estiver usando seu workspace, você terá uma variedade de consultas em várias categorias. Se estiver usando o ambiente de demonstração, poderá ver apenas uma categoria individual de workspaces do Log Analytics. Expanda-a para ver as consultas da categoria.

Selecione a consulta chamada Taxa de erro de função na categoria Aplicativos. Essa etapa adicionará a consulta à janela de consulta. Observe que a nova consulta é separada da outra por uma linha em branco. Uma consulta em KQL é encerrada quando encontra uma linha em branco. Portanto, elas são consideradas consultas separadas.

Screenshot that shows a new query.

A consulta atual é aquela na qual o cursor está posicionado. Você poderá ver que a primeira consulta está realçada, indicando que ela é a consulta atual. Clique em qualquer lugar da nova consulta para selecioná-la e escolha o botão Executar para executá-la.

Screenshot that shows the query results table.

Para ver os resultados em um grafo, selecione Gráfico no painel de resultados. Observe que há várias opções para trabalhar com o gráfico, como alterá-lo para outro tipo.

Screenshot that shows the query results chart.

Próximas etapas

Agora que você já sabe como usar o Log Analytics, conclua o tutorial sobre como usar consultas de log: