Запросы журналов в Azure Monitor

Журналы Azure Monitor основаны на Azure Data Explorer, и запросы журналов пишутся на том же языке запросов Kusto (KQL). Это расширенный язык, который упрощает чтение и создание запросов, поэтому вы можете приступить к написанию запросов, опираясь на базовые рекомендации.

В Azure Monitor вы будете использовать запросы в следующих областях.

  • Log Analytics. Основной инструмент портала Azure для изменения запросов журналов и интерактивного анализа их результатов. Даже если вы планируете использовать запрос журнала в другом месте Azure Monitor, вы обычно пишете и тестируете его в Log Analytics, прежде чем скопировать в конечное расположение.
  • Правила генерации оповещений журнала. Заранее выявляйте проблемы с данными в рабочей области. Каждое правило генерации оповещений основано на запросе журнала, который автоматически выполняется через регулярные интервалы времени. Результаты проверяются, чтобы определить, следует ли создавать оповещение.
  • Workbooks. Включайте результаты запросов журналов с использованием различных визуализаций в интерактивные визуальные отчеты на портале Azure.
  • Панели мониторинга Azure. Закрепляйте результаты любого запроса на панели мониторинга Azure, чтобы визуализировать данные журналов и метрик вместе и при необходимости использовать совместно с другими пользователями Azure.
  • Logic Apps. Используйте результаты запросов журналов в автоматизированном рабочем процессе с помощью Logic Apps.
  • PowerShell. Используйте результаты запроса журнала в скрипте PowerShell из командной строки или в модуле Runbook службы автоматизации Azure, который использует Invoke-AzOperationalInsightsQuery.
  • API журналов Azure Monitor. Получайте данные журнала из рабочей области из любого клиента REST API. Запрос API включает запрос, который выполняется в Azure Monitor, чтобы определить извлекаемые данные.

Начало работы

Лучший способ начать изучать написание запросов к журналу с помощью KQL — это использовать доступные учебники и примеры.

  • Учебник по Log Analytics — обучение использованию функций Log Analytics, инструмента для редактирования и выполнения запросов на портале Azure. Он также позволяет создавать простые запросы без непосредственного использования языка запросов. Если вы еще не работали с Log Analytics, начните сейчас, чтобы изучить этот инструмент, который вы будете использовать в других учебниках и примерах.
  • Учебник по KQL — пошаговое руководство по основным концепциям и типовым операторам KQL. Это лучшая отправная точка для знакомства с самим языком и структурой запросов журнала.
  • Типовые запросы — описание типовых запросов, доступных в Log Analytics. Вы можете использовать запросы без изменений или в качестве примеров для изучения KQL.
  • Примеры запросов — примеры запросов, иллюстрирующие различные концепции.

Справочная документация

Документация по KQL, включая справочник по всем командам и операторам, доступна в документации по Azure Data Explorer. Даже если вы хорошо знакомы с KQL, вы будете регулярно использовать этот справочник для изучения новых команд и сценариев, которые раньше не использовали.

Различия между языками

Хотя Azure Monitor использует тот же KQL, что и Azure Data Explorer, существуют некоторые различия. В документации по KQL будут указаны операторы, которые не поддерживаются Azure Monitor или которые имеют другую функциональность. Операторы, относящиеся к Azure Monitor, описаны в содержимом для Azure Monitor. В следующих разделах приводится список различий между версиями языка для краткой справки.

Инструкции, которые не поддерживаются в Azure Monitor:

Функции, которые не поддерживаются в Azure Monitor:

Операторы, которые не поддерживаются в Azure Monitor:

Подключаемые модули, которые не поддерживаются в Azure Monitor:

Дополнительные операторы в Azure Monitor

Следующие операторы поддерживают конкретные функции Azure Monitor и недоступны вне Azure Monitor.

Дальнейшие действия