Loggfrågor i Azure Monitor

Azure Monitor baseras på Azure Data Explorer och loggfrågor skrivs med samma Kusto-frågespråk (KQL). Det här är ett omfattande språk som är utformat för att vara enkelt att läsa och skriva, så du bör kunna börja skriva frågor med viss grundläggande vägledning.

Områden i Azure Monitor där du kommer att använda frågor är följande:

• Log Analytics. Det primära verktyget i Azure Portal för att redigera loggfrågor och analysera resultaten interaktivt. Även om du tänker använda en loggfråga någon annanstans i Azure Monitor skriver och testar du den vanligtvis i Log Analytics innan du kopierar den till den slutliga platsen.
• Logga aviseringsregler. Identifiera proaktivt problem från data på din arbetsyta. Varje aviseringsregel baseras på en loggfråga som körs automatiskt med jämna mellanrum. Resultaten granskas för att avgöra om en avisering ska skapas.
• Arbetsböcker. Inkludera resultatet av loggfrågor med hjälp av olika visualiseringar i interaktiva visuella rapporter i Azure Portal.
• Azure-instrumentpaneler. Fäst resultatet av en fråga på en Azure-instrumentpanel så att du kan visualisera logg- och måttdata tillsammans och eventuellt dela med andra Azure-användare.
• Logic Apps. Använd resultatet av en loggfråga i ett automatiserat arbetsflöde med hjälp av Logic Apps.
• PowerShell. Använd resultatet av en loggfråga i ett PowerShell-skript från en kommandorad eller en Azure Automation som använder Invoke-AzOperationalInsightsQuery.
• API Azure Monitor Logs. Hämta loggdata från arbetsytan från valfri REST API klient. API-begäran innehåller en fråga som körs mot Azure Monitor för att fastställa vilka data som ska hämtas.

Komma igång

Det bästa sättet att komma igång med att skriva loggfrågor med KQL är att använda tillgängliga självstudier och exempel.

• Log Analytics-självstudie – Självstudie om hur du använder funktionerna i Log Analytics som är det verktyg som du använder i Azure Portal för att redigera och köra frågor. Du kan också skriva enkla frågor utan att arbeta direkt med frågespråket. Om du inte har använt Log Analytics tidigare kan du börja här så att du förstår verktyget som du kommer att använda med de andra självstudierna och exemplen.
• KQL-självstudie – Guidad genomgång av grundläggande KQL-begrepp och vanliga operatorer. Det här är den bästa platsen att börja komma igång med själva språket och strukturen för loggfrågor.
• Exempelfrågor – Beskrivning av de exempelfrågor som är tillgängliga i Log Analytics. Du kan använda frågorna utan ändringar eller använda dem som exempel för att lära dig KQL.
• Frågeexempel – Exempelfrågor som illustrerar en mängd olika begrepp.

Referensdokumentation

Dokumentation för KQL, inklusive referensen för alla kommandon och operatorer, finns i Azure Data Explorer dokumentationen. Även om du lär dig att använda KQL använder du fortfarande regelbundet referensen för att undersöka nya kommandon och scenarier som du inte har använt tidigare.

Språkskillnader

Även Azure Monitor använder samma KQL som Azure Data Explorer, finns det vissa skillnader. KQL-dokumentationen anger de operatorer som inte stöds av Azure Monitor eller som har olika funktioner. Operatorer som är specifika Azure Monitor beskrivs i Azure Monitor innehåll. Följande avsnitt innehåller en lista över skillnaderna mellan versioner av språket för snabbreferens.

Instruktioner som inte stöds i Azure Monitor

• Alias
• Frågeparametrar

Funktioner som inte stöds i Azure Monitor

• cluster()
• cursor_after()
• cursor_before_or_at()
• cursor_current(), current_cursor()
• database()
• current_principal()
• extent_id()
• extent_tags()

Operatorer stöds inte i Azure Monitor

• Koppling mellan kluster

Plugin-program stöds inte i Azure Monitor

• Python-plugin-program
• sql_request-plugin-program

Ytterligare operatorer i Azure Monitor

Följande operatorer stöder specifika Azure Monitor och är inte tillgängliga utanför Azure Monitor.

• app()
• resource()
• workspace()

Nästa steg

• Gå igenom en självstudie om att skriva frågor.
• Öppna den fullständiga referensdokumentationen för Kusto-frågespråket.