Руководство по Log Analytics

  • Статья

Log Analytics — это средство на портале Azure для изменения и запуска запросов журнала из данных, собранных журналами Azure Monitor, и интерактивного анализа результатов. Запросы Log Analytics можно использовать для извлечения записей, соответствующих определенным условиям, определения тенденций, анализа шаблонов и предоставления разнообразных сведений о данных.

В этом учебнике описан интерфейс Log Analytics, который позволяет приступить к работе с некоторыми базовыми запросами, и показано, как можно использовать результаты запросов. Вы изучите следующие темы:

  • использовать общую схему данных журнала;
  • создавать и выполнять простые запросы и изменять диапазон времени для запросов;
  • фильтровать, сортировать и группировать результаты запроса;
  • просматривать, изменять и совместно использовать визуальные элементы результатов запроса;
  • загружать, экспортировать и копировать запросы и результаты.

Важно!

В этом учебнике вы будете использовать функции Log Analytics для создания одного запроса и использования примера другого запроса. Когда вы будете готовы к изучению синтаксиса запросов и непосредственному их редактированию, ознакомьтесь с учебником по языку запросов Kusto. В этом руководстве показаны примеры запросов, которые вы можете изменить и выполнить в Log Analytics. В нем используется ряд функций, о которых вы узнаете из этого учебника.

Необходимые компоненты

При работе с этим учебником можно использовать демонстрационную среду Log Analytics, которая включает в себя множество примеров данных, поддерживающих примеры запросов. Вы также можете использовать свою подписку Azure, но у вас может не быть данных в тех же таблицах.

Открытие Log Analytics

Откройте демонстрационную среду Log Analytics или выберите Журналы в меню Azure Monitor в подписке. На этом этапе будет задана начальная область в рабочей области Log Analytics. При выполнении запрос сможет выбирать любые данные в этой рабочей области. Если выбрать Журналы из меню ресурсов Azure, для области будут заданы только записи из этого ресурса. Дополнительные сведения об области см. в разделе Область запросов журнала.

Область можно просмотреть в левом верхнем углу экрана. Если вы используете собственную среду, вам будет предоставлена возможность выбора другой области. Этот параметр недоступен в демонстрационной среде.

Screenshot that shows the Log Analytics scope for the demo.

Просмотр информации о таблицах

В левой части экрана содержится вкладка Таблицы, на которой можно просматривать таблицы, доступные в текущей области. По умолчанию они группируются по решению, но можно изменить параметры их группирования или выполнить фильтрацию.

Разверните решение Управление журналами и найдите таблицу AppRequests. Вы можете развернуть таблицу, чтобы просмотреть ее схему, или навести указатель мыши на ее имя, чтобы отобразить дополнительные сведения.

Screenshot that shows the Tables view.

Выберите ссылку в разделе Полезные ссылки, чтобы перейти к справочной таблице с описанием каждой таблицы и ее столбцов. Выберите Просмотр данных, чтобы быстро взглянуть на несколько последних записей в таблице. Это позволит убедиться, что указаны данные, с которыми необходимо выполнить запрос.

Screenshot that shows preview data for the AppRequests table.

Напишите запрос

Давайте создадим запрос, используя таблицу AppRequests. Дважды щелкните имя таблицы, чтобы добавить ее в окно запроса. Кроме того, можно ввести текст непосредственно в окне. Вы также можете получить доступ к функции IntelliSense, которая поможет завершать ввод имен таблиц в текущей области и командах на языке запросов Kusto (KQL).

Это простейший запрос, который можно написать. Он просто возвращает все записи в таблице. Выполните его, нажав кнопку Запустить или клавиши SHIFT+ВВОД (курсор может находиться в любом месте текста запроса).

Screenshot that shows query results.

Отобразятся результаты. Число записей, возвращенных запросом, отображается в правом нижнем углу.

Диапазон времени

Все запросы возвращают записи, созданные в течение заданного диапазона времени. По умолчанию запрос вернет записи, сформированные за последние 24 часа.

Можно задать другой диапазон времени с помощью оператора WHERE в запросе или с помощью раскрывающегося списка Диапазон времени в верхней части экрана.

Давайте изменим диапазон времени запроса, выбрав Последние 12 часов в раскрывающемся списке Диапазон времени. Нажмите Запустить, чтобы получить результаты.

Примечание.

Изменение диапазона времени с помощью раскрывающегося списка Диапазон времени не приводит к изменению запроса в редакторе запросов.

Screenshot that shows the time range.

Несколько условий запросов

Давайте дополнительно сократим наши результаты, добавив еще одно условие фильтра. Запрос может включать любое количество фильтров, чтобы вы могли отобразить необходимый набор записей. Выберите Get Home/Index в разделе Имя и щелкните Применить и запустить.

Screenshot that shows query results with multiple filters.

Анализ результатов

Помимо поддержки при написании и выполнении запросов Log Analytics предоставляет функции для работы с результатами. Сначала разверните запись, чтобы просмотреть значения для всех ее столбцов.

Screenshot that shows a record expanded in the search results.

Выберите имя любого столбца, чтобы отсортировать результаты по этому столбцу. Щелкните значок фильтра рядом с ним, чтобы указать условие фильтра. Это действие аналогично добавлению условия фильтра к самому запросу за исключением того, что при повторном выполнении запроса этот фильтр будет сброшен. Используйте этот метод для быстрого анализа набора записей в ходе интерактивного анализа.

Например, задайте фильтр для столбца DurationMs, чтобы выбрать только записи, потребовавшие больше 150 миллисекунд обработки.

Screenshot that shows a query results filter.

Поиск по результатма запроса

Давайте выполним поиск по результатам запроса, используя поле поиска в правом верхнем углу области результатов.

Введите Chicago в поле поиска результатов запроса и выберите стрелки, чтобы найти все экземпляры этой строки в результатах поиска.

Screenshot that shows the search box at the top right of the result pane.

Реорганизация и обобщение данных

Чтобы лучше визуализировать данные, вы можете реорганизовать и обобщить данные в результатах запроса в зависимости от ваших потребностей.

Выберите Столбцы справа от области результатов, чтобы открыть боковую панель Столбцы.

Screenshot that shows the Column link to the right of the results pane, which you select to open the Columns sidebar.

На боковой панели отобразится список всех доступных столбцов. Перетащите столбец url в раздел Группы строк. Результаты уже упорядочены по этому столбцу, а вы можете свернуть каждую группу, чтобы упростить анализ. Это действие аналогично добавлению условия фильтра в запрос, но вместо повторного получения данных с сервера выполняется обработка данных, возвращенных исходным запросом. При повторном выполнении запроса Log Analytics извлекает данные на основе исходного запроса. Используйте этот метод для быстрого анализа набора записей в ходе интерактивного анализа.

Screenshot that shows query results grouped by URL.

Создание сводной таблицы

Чтобы проанализировать производительность страниц, создайте сводную таблицу.

На боковой панели Столбцы выберите сводный режим.

Выберите Url и DurationMs, чтобы отобразить общую продолжительность всех вызовов каждого URL-адреса.

Чтобы просмотреть максимальную длительность вызова для каждого URL-адреса, выберите sum(DurationMs)>max.

Screenshot that shows how to turn on Pivot Mode and configure a pivot table based on the URL and DurationMS values.

Теперь давайте отсортируем результаты по максимальной продолжительности вызова, выбрав столбец max(DurationMs) в области результатов.

Screenshot that shows the query results pane being sorted by the maximum DurationMS values.

Работа с диаграммами

Давайте рассмотрим запрос, использующий числовые данные, которые можно просмотреть в диаграмме. Вместо создания запроса мы выберем пример запроса.

Выберите Запросы в области слева. Эта панель содержит примеры запросов, которые можно добавить в окно запроса. Если вы используете собственную рабочую область, у вас будет множество запросов в различных категориях. Если вы используете демонстрационную рабочую область, вы увидите только одну категорию рабочих областей Log Analytics. Разверните ее, чтобы просмотреть запросы в категории.

Выберите запрос Function Error rate в категории Приложения. Запрос будет добавлен в окно запроса. Обратите внимание, что новый запрос отделен от другого пустой строкой. Запрос в KQL завершается, если обнаруживает пустую строку, поэтому они считаются отдельными запросами.

Screenshot that shows a new query.

На текущем запросе будет расположен курсор. Вы можете видеть, что первый запрос выделен, то есть это текущий запрос. Щелкните где угодно в новом запросе, чтобы выбрать его, а затем нажмите кнопку Запустить, чтобы его выполнить.

Screenshot that shows the query results table.

Чтобы просмотреть результаты на диаграмме, в области результатов выберите Диаграмма. Обратите внимание, что существуют различные варианты работы с диаграммой, например можно изменить ее тип.

Screenshot that shows the query results chart.

Следующие шаги

Теперь, когда вы умеете использовать Log Analytics, выполните инструкции из учебника по использованию запросов журнала:

Написание запросов к журналам Azure Monitor