Log Analytics-självstudie

  • Artikel
  • 6 minuter för att läsa

Log Analytics är ett verktyg i Azure Portal att redigera och köra loggfrågor från data som samlas in av Azure Monitor Logs och interaktivt analysera deras resultat. Du kan använda Log Analytics-frågor för att hämta poster som matchar särskilda kriterier, identifiera trender, analysera mönster och ge en mängd olika insikter om dina data.

Den här självstudien går igenom Log Analytics-gränssnittet, hjälper dig att komma igång med några grundläggande frågor och visar hur du kan arbeta med resultaten. Du får lära dig följande:

  • Förstå schemat för loggdata
  • Skriva och köra enkla frågor och ändra frågetidsintervallet
  • Filtrera, sortera och gruppera frågeresultat
  • Visa, ändra och dela visuella objekt för frågeresultat
  • Läsa in, exportera och kopiera frågor och resultat

Viktigt

I den här självstudien använder du Log Analytics-funktioner för att skapa en fråga och använda en annan exempelfråga. När du är redo att lära dig syntaxen för frågor och börja redigera själva frågan direkt läser du självstudien Kusto Query Language. Den här självstudien går igenom exempelfrågor som du kan redigera och köra i Log Analytics. Den använder flera av de funktioner som du lär dig i den här självstudien.

Förutsättningar

I den här självstudien används Log Analytics-demomiljön, som innehåller massor av exempeldata som stöder exempelfrågorna. Du kan också använda din egen Azure-prenumeration, men du kanske inte har data i samma tabeller.

Öppna Log Analytics

Öppna Log Analytics-demomiljöneller välj Loggar på Azure Monitor i din prenumeration. Det här steget anger det första omfånget till en Log Analytics-arbetsyta, så att din fråga väljer bland alla data i arbetsytan. Om du väljer Loggar från en Azure-resurss meny anges omfånget till endast poster från den resursen. Mer information om omfånget finns i Log query scope.

Du kan visa omfånget i det övre vänstra hörnet på skärmen. Om du använder en egen miljö visas ett alternativ för att välja ett annat omfång. Det här alternativet är inte tillgängligt i demomiljön.

Skärmbild som visar Log Analytics-omfånget för demonstrationen.

Visa tabellinformation

Till vänster på skärmen finns fliken Tabeller, där du kan granska de tabeller som är tillgängliga i det aktuella omfånget. Dessa tabeller är grupperade efter lösning som standard, men du kan ändra deras gruppering eller filtrera dem.

Expandera logghanteringslösningen och leta upp tabellen AppRequests. Du kan expandera tabellen om du vill visa dess schema eller hovra över dess namn om du vill visa mer information om den.

Skärmbild som visar tabellvyn.

Välj länken nedan Användbara länkar för att gå till tabellreferensen som dokumenterar varje tabell och dess kolumner. Välj Förhandsgranska data för att få en snabb titt på några av de senaste posterna i tabellen. Den här förhandsversionen kan vara användbar för att säkerställa att det här är de data som du förväntar dig innan du kör en fråga med den.

Skärmbild som visar exempeldata.

Skriva en fråga

Nu ska vi skriva en fråga med hjälp av tabellen AppRequests. Dubbelklicka på dess namn för att lägga till det i frågefönstret. Du kan också skriva direkt i fönstret. Du kan till och med hämta IntelliSense som hjälper dig att slutföra namnen på tabeller i det aktuella omfånget och KQL-kommandon (Kusto Query Language).

Det här är den enklaste frågan som vi kan skriva. Den returnerar bara alla poster i en tabell. Kör den genom att välja knappen Kör eller genom att välja Skift+Retur med markören placerad var som helst i frågetexten.

Skärmbild som visar frågeresultat.

Du kan se att vi har resultat. Antalet poster som frågan har returnerat visas i det nedre högra hörnet.

Filtrera frågeresultat

Nu ska vi lägga till ett filter i frågan för att minska antalet poster som returneras. Välj fliken Filter i den vänstra rutan. På den här fliken visas kolumner i frågeresultaten som du kan använda för att filtrera resultaten. De översta värdena i dessa kolumner visas med antalet poster som har det värdet. Välj 200 under ResultCode(Resultatkod) och välj & Kör.

Skärmbild som visar frågefönstret.

En where-instruktion läggs till i frågan med det värde som du har valt. Resultatet innehåller nu bara poster med det värdet, så du kan se att antalet poster har minskat.

Skärmbild som visar filtrerade frågeresultat.

Tidsintervall

Alla tabeller på en Log Analytics-arbetsyta har en kolumn med namnet TimeGenerated, vilket är den tid då posten skapades. Alla frågor har ett tidsgränsintervall som begränsar resultatet till poster som har ett TimeGenerated-värde inom det intervallet. Du kan ange ett tidsintervall i frågan eller med hjälp av väljaren överst på skärmen.

Som standard returnerar frågan poster från de senaste 24 timmarna. Du bör se ett meddelande här som säger att vi inte ser alla resultat. Det beror på att Log Analytics kan returnera högst 30 000 poster, och vår fråga returnerade fler poster än så. Välj listrutan Time range (Tidsintervall) och ändra värdet till 12 timmar. Välj Kör igen för att returnera resultatet.

Skärmbild som visar ett tidsintervall.

Flera frågevillkor

Nu ska vi minska våra resultat ytterligare genom att lägga till ytterligare ett filtervillkor. En fråga kan innehålla val av antal filter för att rikta in sig på exakt den uppsättning poster som du vill ha. Välj Get Home/Index (Hämta start/index) under Name (Namn) och välj & Kör.

Skärmbild som visar frågeresultat med flera filter.

Analysera resultat

Förutom att hjälpa dig att skriva och köra frågor innehåller Log Analytics funktioner för att arbeta med resultaten. Börja med att expandera en post för att visa värdena för alla dess kolumner.

Skärmbild som visar expansion av en post.

Välj namnet på en kolumn för att sortera resultaten efter kolumnen. Välj filterikonen bredvid den för att ange ett filtervillkor. Detta liknar att lägga till ett filtervillkor i själva frågan, förutom att det här filtret rensas om frågan körs igen. Använd den här metoden om du snabbt vill analysera en uppsättning poster som en del av interaktiv analys.

Du kan till exempel ange ett filter i kolumnen Varaktigheter för att begränsa posterna till poster som tog mer än 100 millisekunder.

Skärmbild som visar ett frågeresultatfilter.

I stället för att filtrera resultaten kan du gruppera poster efter en viss kolumn. Rensa filtret som du nyss skapade och aktivera sedan reglaget Gruppera kolumner.

Skärmbild som visar hur du slår på gruppering av kolumner.

Dra url-kolumnen till den grupperande raden. Resultaten är nu ordnade efter den kolumnen och du kan komprimera varje grupp för att hjälpa dig med analysen.

Skärmbild som visar grupperade frågeresultat.

Arbeta med diagram

Nu ska vi titta på en fråga som använder numeriska data som vi kan visa i ett diagram. I stället för att skapa en fråga väljer vi en exempelfråga.

Välj Frågor i det vänstra fönstret. I det här fönstret finns exempelfrågor som du kan lägga till i frågefönstret. Om du använder en egen arbetsyta bör du ha en mängd olika frågor i flera kategorier. Om du använder demomiljön kanske du bara ser en enda kategori för Log Analytics-arbetsytor. Expandera det för att visa frågorna i kategorin.

Välj frågan Function Error rate (Felfrekvens för funktion) i kategorin Program. Det här steget lägger till frågan i frågefönstret. Observera att den nya frågan avgränsas från den andra med en tom rad. En fråga i KQL slutar när den påträffar en tom rad, så dessa betraktas som separata frågor.

Skärmbild som visar en ny fråga.

Den aktuella frågan är den som markören är placerad på. Du kan se att den första frågan är markerad, vilket indikerar att det är den aktuella frågan. Klicka var som helst i den nya frågan för att markera den och välj sedan knappen Kör för att köra den.

Skärmbild som visar tabellen med frågeresultat.

Om du vill visa resultatet i en graf väljer du Diagram i resultatfönstret. Observera att det finns olika alternativ för att arbeta med diagrammet, till exempel att ändra det till en annan typ.

Skärmbild som visar frågeresultatdiagrammet.

Nästa steg

Nu när du vet hur du använder Log Analytics slutför du självstudien om att använda loggfrågor:

Skriva Azure Monitor loggfrågor