Översikt över logg frågor i Azure MonitorOverview of log queries in Azure Monitor

Med logg frågor kan du utnyttja värdet för de data som samlas in i Azure Monitor loggar.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Ett kraftfullt frågespråk gör att du kan koppla data från flera tabeller, aggregera stora mängder data och utföra komplexa åtgärder med minimal kod.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. I stort sett kan alla frågor besvaras och analyseras så länge som stödjande data har samlats in och du förstår hur du skapar rätt fråga.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Vissa funktioner i Azure Monitor, till exempel insikter och lösningar , bearbetar loggdata utan att du exponerar de underliggande frågorna.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. För att helt utnyttja andra funktioner i Azure Monitor bör du förstå hur frågor skapas och hur du kan använda dem för att interaktivt analysera data i Azure Monitor loggar.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Använd den här artikeln som en start punkt för att lära dig om logg frågor i Azure Monitor.Use this article as a starting point to learning about log queries in Azure Monitor. Den svarar på vanliga frågor och innehåller länkar till annan dokumentation som innehåller mer information och lektioner.It answers common questions and provides links to other documentation that provides further details and lessons.

Hur kan jag lära mig att skriva frågor?How can I learn how to write queries?

Om du vill gå direkt till saker kan du börja med följande Självstudier:If you want to jump right into things, you can start with the following tutorials:

När du har fastställt grunderna kan du gå igenom flera lektioner med hjälp av antingen dina egna data eller data från vår demo miljö som börjar med:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Vilket språk använder logg frågor för att använda?What language do log queries use?

Azure Monitor loggar baseras på Azure datautforskaren, och logg frågor skrivs med samma KQL (Kusto Query Language).Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Detta är ett omfattande språk som utformats för att vara lätt att läsa och redigera och du bör kunna börja använda det med minimal vägledning.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

Mer information om KQL och referenser till olika funktioner finns i dokumentationen för Azure DATAUTFORSKAREN KQL .See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Se Kom igång med logg frågor i Azure Monitor för en snabb genom gång av språket som använder data från Azure Monitor-loggar.See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Se Azure Monitor logg frågor språk skillnader för mindre skillnader i den version av KQL som används av Azure Monitor.See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Vilka data är tillgängliga för att logga frågor?What data is available to log queries?

Alla data som samlas in i Azure Monitor-loggar är tillgängliga för att hämta och analysera i logg frågor.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Olika data källor kommer att skriva sina data till olika tabeller, men du kan inkludera flera tabeller i en enda fråga för att analysera data över flera källor.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. När du skapar en fråga börjar du med att bestämma vilka tabeller som har de data som du letar efter, så du bör ha minst en grundläggande förståelse för hur data i Azure Monitor loggar är strukturerade.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

En lista över olika data källor som fyller Azure Monitor loggar finns i källor till Azure Monitor loggar.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Se strukturen i Azure Monitor loggar för en förklaring av hur data är strukturerade.See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Vad ser en logg fråga ut?What does a log query look like?

En fråga kan vara lika enkel som ett enda tabell namn för att hämta alla poster från tabellen:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Du kan också filtrera efter vissa poster, sammanfatta dem och visualisera resultatet i ett diagram:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

För mer komplex analys kan du hämta data från flera tabeller med en koppling för att analysera resultaten tillsammans.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

Även om du inte är bekant med KQL bör du kunna ta bort den grundläggande logiken som används av dessa frågor minst.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. De börjar med namnet på en tabell och lägger sedan till flera kommandon för att filtrera och bearbeta dessa data.They start with the name of a table and then add multiple commands to filter and process that data. En fråga kan använda valfritt antal kommandon, och du kan skriva mer komplexa frågor när du blir bekant med de olika KQL-kommandona som är tillgängliga.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

I Kom igång med logg frågor i Azure Monitor finns en själv studie kurs om logg frågor som beskriver språk och vanliga funktioner.See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Vad är Log Analytics?What is Log Analytics?

Log Analytics är det primära verktyget i Azure Portal för att skriva logg frågor och analysera resultaten interaktivt.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Även om en logg fråga används någon annan stans i Azure Monitor, skriver du vanligt vis och testar frågan först med Log Analytics.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Du kan starta Log Analytics från flera platser i Azure Portal.You can start Log Analytics from several places in the Azure portal. Omfattningen av de data som är tillgängliga för Log Analytics bestäms av hur du startar den.The scope of the data available to Log Analytics is determined by how you start it. Mer information finns i fråge omfånget .See Query Scope for more details.

  • Välj loggar på menyn Azure Monitor eller Log Analytics arbets ytor .Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Välj analys på sidan översikt i ett Application Insights program.Select Analytics from the Overview page of an Application Insights application.
  • Välj loggar på menyn för en Azure-resurs.Select Logs from the menu of an Azure resource.

Log Analytics

Se Kom igång med Log Analytics i Azure Monitor för en själv studie genom gång av Log Analytics som introducerar flera av dess funktioner.See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Var vill du använda logg frågor?Where else are log queries used?

Förutom att interaktivt arbeta med logg frågor och deras resultat i Log Analytics, är områden i Azure Monitor där du kommer att använda frågorna följande:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Aviserings regler.Alert rules. Aviserings regler identifierar proaktivt problem från data i din arbets yta.Alert rules proactively identify issues from data in your workspace. Varje varnings regel baseras på en loggs ökning som körs automatiskt med jämna mellanrum.Each alert rule is based on a log search that is automatically run at regular intervals. Resultaten kontrol leras för att avgöra om en avisering ska skapas.The results are inspected to determine if an alert should be created.
  • Instrument paneler.Dashboards. Du kan fästa resultatet av en fråga i en Azure-instrumentpanel som gör att du kan visualisera logg-och mät data tillsammans och dela dem med andra Azure-användare.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Vyer.Views. Du kan skapa visualiseringar av data som ska ingå i användar instrument paneler med View Designer.You can create visualizations of data to be included in user dashboards with View Designer. Logg frågor ger data som används av paneler och visualiserings delar i varje vy.Log queries provide the data used by tiles and visualization parts in each view.
  • Exportera.Export. När du importerar loggdata från Azure Monitor till Excel eller Power BIskapar du en logg fråga som definierar de data som ska exporteras.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. Du kan köra ett PowerShell-skript från en kommando rad eller en Azure Automation Runbook som använder Get-AzOperationalInsightsSearchResults för att hämta loggdata från Azure Monitor.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Denna cmdlet kräver en fråga för att avgöra vilka data som ska hämtas.This cmdlet requires a query to determine the data to retrieve.
  • API för Azure Monitor loggar.Azure Monitor Logs API. Med API: et för Azure Monitor loggar kan alla REST API klienter Hämta loggdata från arbets ytan.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. API-förfrågan innehåller en fråga som körs mot Azure Monitor för att avgöra vilka data som ska hämtas.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Nästa stegNext steps