Consultas de log no Azure Monitor

Os Logs do Azure Monitor baseiam-se no Azure Data Explorer e as consultas de log também são escritas usando KQL (Linguagem de Consulta Kusto). Essa é uma linguagem avançada criada para ser fácil de ler e criar, portanto, você deve conseguir começar a escrever consultas seguindo algumas diretrizes básicas.

As áreas no Azure Monitor em que você usará as consultas incluem o seguinte:

  • Log Analytics. A principal ferramenta no portal do Azure para editar consultas de log e analisar interativamente os resultados das consultas. Mesmo que pretenda usar uma consulta de log em outro lugar no Azure Monitor, normalmente você escreverá e testará essa consulta no Log Analytics antes de copiá-la para o local final.
  • Regras de alerta do log. Identifique proativamente os problema de dados no workspace. Cada regra de alerta é baseada em uma consulta de log que é executada automaticamente em intervalos regulares. Os resultados são inspecionados para determinar se um alerta deve ser criado.
  • Workbooks. Inclua os resultados das consultas de log usando visualizações diferentes em relatórios visuais interativos no portal do Azure.
  • Painel do Azure. Fixe os resultados da consulta em um painel do Azure que permite visualizar dados de log e de métricas em conjunto e, opcionalmente, compartilhar com outros usuários do Azure.
  • Aplicativos Lógicos. Use os resultados de uma consulta de log em um fluxo de trabalho automatizado utilizando Aplicativos Lógicos.
  • PowerShell. Use os resultados de uma consulta de log em um script do PowerShell com uma linha de comando ou um runbook da Automação do Azure que usa o Invoke-AzOperationalInsightsQuery.
  • API de Logs do Azure Monitor. Recupere dados de log do workspace de clientes da API REST. A solicitação de API inclui uma consulta que é executada no Azure Monitor para determinar os dados a serem recuperados.

Introdução

A melhor maneira de começar a aprender a gravar consultas de log usando o KQL é aproveitando os tutoriais e os exemplos disponíveis.

  • Tutorial do Log Analytics: esse tutorial ensina os recursos do Log Analytics, que é a ferramenta que você utilizará no portal do Azure para editar e executar consultas. Ele também permite que você escreva consultas simples sem trabalhar diretamente com a linguagem de consulta. Se você nunca usou o Log Analytics, comece por aqui para entender a ferramenta que você usará com os outros tutoriais e exemplos.
  • Tutorial do KQL: explicação guiada por conceitos básicos de KQL e operadores comuns. Este é o melhor lugar para você começar a se familiarizar com a linguagem e a estrutura das consultas de log.
  • Exemplos de consulta: descrição dos exemplos de consultas disponíveis no Log Analytics. Você pode usar as consultas sem modificação ou usá-las como exemplos para aprender KQL.
  • Amostras consultas: amostras de consultas que ilustram uma variedade de diferentes conceitos.

Documentação de referência

A documentação do KQL, incluindo a referência para todos os comandos e operadores, está disponível na documentação do Azure Data Explorer. Mesmo que você se torne proficiente no uso do KQL, ainda continuará usando regularmente a referência para investigar novos comandos e cenários não utilizados anteriormente.

Diferenças da linguagem

Embora o Azure Monitor use o mesmo KQL que o Azure Data Explorer, há algumas diferenças. A documentação do KQL especifica os operadores que não são compatíveis com o Azure Monitor ou que tenham funcionalidades diferentes. Os operadores específicos para o Azure Monitor são documentados no conteúdo do Azure Monitor. Para uma referência rápida, as seções a seguir fornecem uma lista com as diferenças entre as versões de linguagem.

Instruções não compatíveis com o Azure Monitor

Funções não compatíveis com o Azure Monitor

Operadores não compatíveis com o Azure Monitor

Plug-ins não compatíveis com o Azure Monitor

Operadores adicionais no Azure Monitor

Os seguintes operadores dão suporte a recursos específicos do Azure Monitor e não estão disponíveis fora do Azure Monitor.

Próximas etapas