Область запросов журнала и временной диапазон в Azure Monitor Log Analytics

  • Статья

При выполнении запроса к журналу в Log Analytics на портале Azure набор данных, оцениваемый запросом, зависит от выбранной области и выбранного диапазона времени. В этой статье описываются область и диапазон времени, а также способы их настройки в зависимости от требований. В ней также описывается поведение различных типов областей.

Требуемые разрешения

У вас должны быть Microsoft.OperationalInsights/workspaces/query/*/read разрешения на запрашиваемые рабочие области Log Analytics, как указано встроенной ролью Log Analytics Reader, например.

Область запроса

Запрос область определяет записи, вычисляемые запросом. Обычно это определение будет включать все записи в одну рабочую область Log Analytics или приложение Аналитика приложения. Log Analytics также позволяет задать область для определенного отслеживаемого ресурса Azure. Это позволяет владельцу ресурса сосредоточиться только на своих данных, даже если этот ресурс выполняет запись в несколько рабочих областей.

Область всегда отображается в левом верхнем углу окна Log Analytics. Значок указывает, является ли областью рабочая область Log Analytics или приложение Application Insights. Отсутствие значка указывает на другой ресурс Azure.

Screenshot of scope displayed in portal.

Метод, используемый для запуска Log Analytics, определяет область, и в некоторых случаях можно изменить область, щелкнув его. В следующей таблице перечислены различные типы используемых областей и различные сведения для каждого из них.

Важно!

Если вы используете приложение на основе рабочей области в Application Insights, его данные хранятся в рабочей области Log Analytics со всеми остальными данными журнала. Для обеспечения обратной совместимости при выборе приложения в качестве области используется классический интерфейс Application Insights. Чтобы просмотреть эти данные в рабочей области Log Analytics, задайте в качестве области рабочую область.

Область запроса Записи в области Как выбрать Изменение области
Рабочая область Log Analytics Все записи в рабочей области Log Analytics. Выберите раздел Журналы в меню Azure Monitor или в меню Рабочие области Log Analytics. Можно изменить область на любой другой тип ресурсов.
Приложение Application Insights Все записи в приложении Application Insights. Выберите раздел Журналы в меню Application Insights для приложения. Можно изменить область только на другое приложение Application Insights.
Группа ресурсов Записи, созданные всеми ресурсами в группе ресурсов. Может включать данные из нескольких рабочих областей Log Analytics. Выберите раздел Журналы в меню группы ресурсов. Не удается изменить область.
Отток подписок Записи, созданные всеми ресурсами в подписке. Может включать данные из нескольких рабочих областей Log Analytics. Выберите раздел Журналы в меню подписки. Не удается изменить область.
Другие ресурсы Azure Записи, созданные ресурсом. Может включать данные из нескольких рабочих областей Log Analytics. Выберите раздел Журналы в меню ресурса.
ИЛИ
Выберите раздел Журналы в меню Azure Monitor, а затем выберите новую область.		 Можно изменить область только на тот же тип ресурса.

Ограничения по области ресурса

Если область запроса является рабочей областью Log Analytics или приложением Application Insights, доступны все параметры на портале и все команды запроса. Когда областью действия является ресурс, следующие параметры на портале будут недоступны, так как они связаны с одной рабочей областью или приложением.

  • Сохранить
  • Обозреватель запросов
  • Новое правило генерации оповещений

При область ресурса нельзя использовать следующие команды в запросе, так как запрос область уже включает в себя все рабочие области с данными для этого ресурса или набора ресурсов:

Ограничения области запроса

Настройка область ресурса или набора ресурсов — это мощная функция Log Analytics, так как она позволяет автоматически объединять распределенные данные в одном запросе. Это может значительно повлиять на производительность, если данные необходимо извлечь из рабочих областей в нескольких регионах Azure.

Log Analytics помогает защититься от чрезмерных издержек запросов, охватывающих рабочие области в нескольких регионах, выдавая предупреждение или ошибку при использовании определенного числа регионов. Запрос получает предупреждение, если область включает рабочие области в 5 или более регионах. он по-прежнему будет выполняться, но может потребоваться слишком много времени для завершения.

Screenshot of query warning.

Выполнение запроса будет заблокировано, если область включает рабочие области в 20 или более регионах. В этом случае вам будет предложено уменьшить количество регионов рабочей области и повторить попытку выполнить запрос. В раскрывающемся списке отобразятся все регионы в области запроса, и необходимо уменьшить количество регионов, прежде чем пытаться снова выполнить запрос.

Screenshot of query failed.

Диапазон времени

Диапазон времени определяет набор записей, которые оцениваются для запроса на основе времени создания записи. Это определяется столбцом TimeGenerated в каждой записи в рабочей области или приложении, как указано в следующей таблице. В классическом приложении Application Insights для диапазона времени используется столбец timestamp.

Задайте диапазон времени, выбрав его из средства выбора времени в верхней части окна Log Analytics. Можно выбрать предопределенный период или выбрать вариант Пользовательский, чтобы указать свой диапазон времени.

Screenshot of the time picker.

Если в запросе задан фильтр, использующий стандартный столбец времени, как показано в таблице выше, то средство выбора времени изменится на Установлено в запросе, а средство выбора времени будет отключено. В этом случае наиболее эффективным является размещение фильтра в верхней части запроса, чтобы любая последующая обработка работала только с отфильтрованными записями.

Screenshot of filtered query.

Если вы используете рабочую область или команду приложения для получения данных из другой рабочей области или классического приложения, средство выбора времени может вести себя по-другому. Если область является рабочей областью Log Analytics и используется приложение, или если область является классическим приложением Аналитика приложения, и вы используете рабочую область, Log Analytics может не понимать, что столбец, используемый в фильтре, должен определить фильтр времени.

В следующем примере в качестве области задается рабочая область Log Analytics. Запрос использует команду workspace для получения данных из другой рабочей области Log Analytics. Средство выбора времени изменяется для Установлено в запросе, так как оно видит фильтр, использующий ожидаемый столбец TimeGenerated.

Screenshot of query with workspace.

Если запрос использует команду app для извлечения данных из классического приложения Application Insights, Log Analytics не распознает столбец timestamp в фильтре, а средство выбора времени остается неизменным. В этом случае применяются оба фильтра. В этом примере в запрос включаются только записи, созданные за последние 24 часа, хотя в предложении where указывается 7 дней.

Screenshot of query with app.

Следующие шаги