Общие сведения о запросах журналов в Azure MonitorOverview of log queries in Azure Monitor

Запросы журналов позволяют полностью использовать значения данных, собираемых в журналах Azure Monitor.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Мощный язык запросов позволяет объединять данные из нескольких таблиц, объединять большие наборы данных и выполнять сложные операции с минимальным кодом.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Практически любой вопрос можно ответить и выполнить анализ до тех пор, пока собираются вспомогательные данные, и вы понимаете, как создать правильный запрос.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Некоторые функции в Azure Monitor, такие как Insights и Solutions , обрабатывают данные журнала без предоставления доступа к базовым запросам.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Чтобы полностью использовать другие функции Azure Monitor, необходимо понимать, как создаются запросы и как их можно использовать для интерактивного анализа данных в журналах Azure Monitor.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Используйте эту статью в качестве отправной точки для изучения запросов журнала в Azure Monitor.Use this article as a starting point to learning about log queries in Azure Monitor. Он содержит ответы на часто задаваемые вопросы и ссылки на другую документацию, в которой содержатся дополнительные сведения и занятия.It answers common questions and provides links to other documentation that provides further details and lessons.

Как можно научиться писать запросы?How can I learn how to write queries?

Если вы хотите перейти непосредственно к тому, вы можете начать со следующих учебников:If you want to jump right into things, you can start with the following tutorials:

Получив основные сведения, ознакомьтесь с несколькими занятиями, используя собственные данные или данные из нашей демонстрационной среды, начиная с:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Какие языки используют запросы журнала?What language do log queries use?

Azure Monitor журналы основаны на Обозреватель данныхах Azure, а запросы журнала записываются с помощью того же языка запросов KUSTO (ККЛ).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Это расширенный язык, предназначенный для простоты чтения и создания, и вы можете начать использовать его с минимальными рекомендациями.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Полную документацию по ККЛ и справочные сведения о различных доступных функциях см. в документации по обозреватель данных ККЛ Azure .See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Краткое пошаговое руководство по языку с использованием данных из журналов Azure Monitor см. в статье Приступая к работе с запросами журналов в Azure Monitor .See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Дополнительные отличия в версии ККЛ, используемой Azure Monitor, см. в Azure Monitor разделе различия в языке запросов журналов .See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Какие данные доступны для запросов журнала?What data is available to log queries?

Все данные, собранные в журналах Azure Monitor, доступны для извлечения и анализа в запросах журнала.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Различные источники данных записывают свои данные в разные таблицы, но в одном запросе можно включить несколько таблиц, чтобы анализировать данные в нескольких источниках.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. При создании запроса сначала нужно определить, какие таблицы содержат нужные данные.When you build a query, you start by determining which tables have the data that you're looking for. Описание структурирования данных см. в разделе Структура журналов Azure Monitor .See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Как выглядит запрос журнала?What does a log query look like?

Запрос может быть простым, например, одним именем таблицы для получения всех записей из этой таблицы:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Также можно отфильтровать определенные записи, обобщить их и визуализировать результаты в виде диаграммы:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Для более сложного анализа можно извлечь данные из нескольких таблиц с помощью объединения, чтобы проанализировать результаты вместе.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Даже если вы не знакомы с ККЛ, вы сможете по крайней мере определить базовую логику, используемую этими запросами.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Они начинаются с имени таблицы, а затем добавляют несколько команд для фильтрации и обработки этих данных.They start with the name of a table and then add multiple commands to filter and process that data. Запрос может использовать любое количество команд, и вы можете написать более сложные запросы, когда вы узнаете о различных доступных командах ККЛ.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

В разделе Приступая к работе с запросами журналов в Azure Monitor содержится руководство по запросам журналов, в которых представлен язык и общие функции.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Что такое Log Analytics?What is Log Analytics?

Log Analytics является основным инструментом портала Azure для написания запросов журналов и интерактивного анализа результатов.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Даже если запрос журнала используется где-либо еще в Azure Monitor, обычно вы сначала пишете и тестируете запрос с помощью Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Вы можете запустить Log Analytics из нескольких мест в портал Azure.You can start Log Analytics from several places in the Azure portal. Область данных, доступных для Log Analytics, определяется способом запуска.The scope of the data available to Log Analytics is determined by how you start it. Дополнительные сведения см. в разделе область запроса .See Query Scope for more details.

  • Выберите журналы в меню Azure Monitor или в меню log Analytics рабочие области .Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Выберите журналы на странице Обзор приложения Application Insights.Select Logs from the Overview page of an Application Insights application.
  • Выберите журналы в меню ресурса Azure.Select Logs from the menu of an Azure resource.

Log Analytics

Пошаговое руководство по Log Analytics, в котором представлено несколько функций, см. в статье Приступая к работе с log Analytics в Azure Monitor .See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Где еще используются запросы журнала?Where else are log queries used?

В дополнение к интерактивной работе с запросами журналов и их результатами в Log Analytics области в Azure Monitor, где будут использоваться запросы, включают следующее:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Правила генерации оповещений.Alert rules. Правила генерации оповещений заранее выявляют проблемы с данными в рабочей области.Alert rules proactively identify issues from data in your workspace. Каждое правило генерации оповещений основано на поиске по журналам, который автоматически выполняется через определенные интервалы.Each alert rule is based on a log search that is automatically run at regular intervals. Результаты проверяются, чтобы определить, следует ли создавать оповещение.The results are inspected to determine if an alert should be created.
  • Информационные панели.Dashboards. Результаты любого запроса можно закрепить на панели мониторинга Azure, что даст вам возможность визуализировать данные журналов и метрик вместе и при необходимости использовать совместно с другими пользователями Azure.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Представления.Views. Вы можете создавать визуализации данных, которые добавлены на панели мониторинга пользователя, с помощью конструктора представлений.You can create visualizations of data to be included in user dashboards with View Designer. Запросы к журналам предоставляют данные, используемые плитками и элементами визуализации в каждом просмотре.Log queries provide the data used by tiles and visualization parts in each view.
  • Программе.Export. Когда вы экспортируете данные из Azure Monitor в Excel или Power BI, вы создаете запрос по журналам для определения экспортируемых данных.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • Оболочк.PowerShell. Вы можете запустить сценарий PowerShell из командной строки или модуля Runbook службы автоматизации Azure, который использует Get-азоператионалинсигхтссеарчресултс для получения данных журнала из Azure Monitor.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Для этого командлета требуется запрос, чтобы определить извлекаемые данные.This cmdlet requires a query to determine the data to retrieve.
  • API журналов Azure Monitor.Azure Monitor Logs API. API журналов Azure Monitor позволяет любому клиенту REST API извлекать данные журнала из рабочей области.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. Запрос API включает запрос, который выполняется в Azure Monitor, чтобы определить извлекаемые данные.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Дальнейшие действияNext steps