Руководство по Log Analytics

Log Analytics — это средство на портале Azure для изменения и запуска запросов журнала из данных, собранных журналами Azure Monitor, и интерактивного анализа результатов. Запросы Log Analytics можно использовать для извлечения записей, соответствующих определенным условиям, определения тенденций, анализа шаблонов и предоставления разнообразных сведений о данных.

В этом учебнике описан интерфейс Log Analytics, который позволяет приступить к работе с некоторыми базовыми запросами, и показано, как можно использовать результаты запросов. Вы узнаете следующее:

  • Изучение общей схемы данных журнала.
  • Создание и выполнение простых запросов и изменение диапазона времени для запросов.
  • Фильтрация, сортировка и группирование результатов запроса.
  • Просмотр, изменение и совместное использование визуальных элементов результатов запроса.
  • Загрузка, экспорт и копирование запросов и результатов.

Важно!

В этом учебнике вы будете использовать функции Log Analytics для создания одного запроса и использования примера другого запроса. Когда вы будете готовы к изучению синтаксиса запросов и непосредственному их редактированию, ознакомьтесь с учебником по языку запросов Kusto. В этом учебнике показаны примеры запросов, которые вы можете изменить и запустить в Log Analytics. В нем используется ряд функций, о которых вы узнаете из этого учебника.

Предварительные требования

При работе с этим учебником можно использовать демонстрационную среду Log Analytics, которая включает в себя множество примеров данных, поддерживающих примеры запросов. Вы также можете использовать свою подписку Azure, но у вас может не быть данных в тех же таблицах.

Открытие Log Analytics

Откройте демонстрационную среду Log Analytics или выберите Журналы в меню Azure Monitor в подписке. На этом этапе будет задана начальная область в рабочей области Log Analytics. При выполнении запрос сможет выбирать из всех данных в этой рабочей области. Если выбрать Журналы из меню ресурсов Azure, для области будут заданы только записи из этого ресурса. Дополнительные сведения об области см. в разделе Область запросов журнала.

Область можно просмотреть в левом верхнем углу экрана. Если вы используете собственную среду, вам будет предоставлена возможность выбора другой области. Этот параметр недоступен в демонстрационной среде.

Снимок экрана: область Log Analytics, используемая для демонстрации.

Просмотр сведений о таблицах

В левой части экрана содержится вкладка Таблицы, на которой можно просматривать таблицы, доступные в текущей области. По умолчанию они группируются по решению, но можно изменить параметры их группирования или выполнить фильтрацию.

Разверните решение Управление журналами и найдите таблицу AppRequests. Вы можете развернуть таблицу, чтобы просмотреть ее схему, или навести указатель мыши на ее имя, чтобы отобразить дополнительные сведения.

Снимок экрана, на котором показано представление "Таблицы".

Выберите ссылку в разделе Полезные ссылки, чтобы перейти к справочной таблице с описанием каждой таблицы и ее столбцов. Выберите Просмотр данных, чтобы быстро взглянуть на несколько последних записей в таблице. Это позволит убедиться, что указаны данные, с которыми необходимо выполнить запрос.

Снимок экрана, на котором показаны примеры данных.

Напишите запрос

Давайте создадим запрос, используя таблицу AppRequests. Дважды щелкните имя таблицы, чтобы добавить ее в окно запроса. Кроме того, можно ввести текст непосредственно в окне. Вы также можете получить доступ к функции IntelliSense, которая поможет завершать ввод имен таблиц в текущей области и командах на языке запросов Kusto (KQL).

Это простейший запрос, который можно написать. Он просто возвращает все записи в таблице. Выполните его, нажав кнопку Запустить или клавиши SHIFT+ВВОД (курсор может находиться в любом месте текста запроса).

Снимок экрана, на котором показаны результаты запроса.

Отобразятся результаты. Число записей, возвращенных запросом, отображается в правом нижнем углу.

фильтровать результаты запроса;

Давайте добавим фильтр к запросу, чтобы сократить количество возвращаемых записей. В области слева выберите вкладку Фильтр. На этой вкладке в результатах запроса отобразятся столбцы, которые можно использовать для фильтрации результатов. Верхние значения в этих столбцах отображаются с количеством записей, которые содержат это значение. В разделе ResultCode выберите 200, а затем — Применить и запустить.

Снимок экрана, на котором показана область запросов.

Оператор where будет добавлен в запрос с выбранным значением. Теперь результаты содержат только записи с этим значением. Вы можете увидеть, что количество записей уменьшилось.

Снимок экрана, на котором показаны отфильтрованные результаты запроса.

Диапазон времени

Все таблицы в рабочей области Log Analytics содержат столбец с именем TimeGenerated, который отображает время создания записи. Все запросы имеют диапазон времени, ограничивающий результаты записями со значением TimeGenerated в пределах этого диапазона. Диапазон времени можно задать либо в запросе, либо с помощью селектора в верхней части экрана.

По умолчанию запрос вернет записи, сформированные за последние 24 часа. Вы можете увидеть сообщение о том, что отображены не все результаты. Это связано с тем, что Log Analytics может возвращать не более 30 000 записей, а наш запрос вернул большее количество. Выберите раскрывающийся список Диапазон времени и измените значение на 12 ч. Выберите Запустить еще раз, чтобы вернуть результаты.

Снимок экрана, на котором показан диапазон времени.

Несколько условий запросов

Давайте дополнительно сократим наши результаты, добавив еще одно условие фильтра. Запрос может включать любое количество фильтров, чтобы вы могли отобразить необходимый набор записей. Выберите Get Home/Index в разделе Имя и щелкните Применить и запустить.

Снимок экрана, показывающий результаты запроса с несколькими фильтрами.

Анализ результатов

Помимо поддержки при написании и выполнении запросов Log Analytics предоставляет функции для работы с результатами. Сначала разверните запись, чтобы просмотреть значения для всех ее столбцов.

Снимок экрана, показывающий развертывание записи.

Выберите имя любого столбца, чтобы отсортировать результаты по этому столбцу. Щелкните значок фильтра рядом с ним, чтобы указать условие фильтра. Это аналогично добавлению условия фильтра к самому запросу за исключением того, что при повторном выполнении запроса этот фильтр будет сброшен. Используйте этот метод для быстрого анализа набора записей в ходе интерактивного анализа.

Например, задайте фильтр для столбца DurationMs, чтобы выбрать только записи, потребовавшие больше 100 миллисекунд обработки.

Снимок экрана, на котором показан фильтр результатов запроса.

Вместо фильтрации результатов можно группировать записи по определенному столбцу. Очистите только что созданный фильтр, а затем активируйте переключатель Группировать столбцы.

Снимок экрана, показывающий включение группирования столбцов.

Перетащите столбец Url в строку группирования. Результаты уже упорядочены по этому столбцу, а вы можете свернуть каждую группу, чтобы упростить анализ.

Снимок экрана, на котором показаны сгруппированные результаты запроса.

Работа с диаграммами

Давайте рассмотрим запрос, использующий числовые данные, которые можно просмотреть в диаграмме. Вместо создания запроса мы выберем пример запроса.

Выберите Запросы в области слева. Эта панель содержит примеры запросов, которые можно добавить в окно запроса. Если вы используете собственную рабочую область, у вас будет множество запросов в различных категориях. Если вы используете демонстрационную рабочую область, вы увидите только одну категорию рабочих областей Log Analytics. Разверните ее, чтобы просмотреть запросы в категории.

Выберите запрос Function Error rate в категории Приложения. Запрос будет добавлен в окно запроса. Обратите внимание, что новый запрос отделен от другого пустой строкой. Запрос в KQL завершается, если обнаруживает пустую строку, поэтому они считаются отдельными запросами.

Снимок экрана, на котором показан новый запрос.

На текущем запросе будет расположен курсор. Вы можете видеть, что первый запрос выделен, то есть это текущий запрос. Щелкните где угодно в новом запросе, чтобы выбрать его, а затем нажмите кнопку Запустить, чтобы его выполнить.

Снимок экрана, на котором показаны результаты запроса в таблице.

Чтобы просмотреть результаты на диаграмме, в области результатов выберите Диаграмма. Обратите внимание, что существуют различные варианты работы с диаграммой, например можно изменить ее тип.

Снимок экрана, на котором показаны результаты запроса на диаграмме.

Дальнейшие действия

Теперь, когда вы умеете использовать Log Analytics, выполните инструкции из учебника по использованию запросов журнала: