Log Analytics-självstudie

  • Artikel

Log Analytics är ett verktyg i Azure-portalen som gör att du kan redigera och köra loggfrågor och data som samlats in av Azure Monitor-loggar och analysera resultatet interaktivt. Du kan använda Log Analytics-frågor till att hämta poster som matchar specifika kriterier, identifiera trender, analyserar mönster och ger olika insikter om dina data.

Den här självstudien vägleder dig genom Log Analytics-gränssnittet, kommer igång med några grundläggande frågor och visar hur du kan arbeta med resultaten. Du lär dig att:

  • Förstå loggdataschemat.
  • Skriv och kör enkla frågor och ändra tidsintervallet för frågor.
  • Filtrera, sortera och gruppera frågeresultat.
  • Visa, ändra och dela visuella objekt för frågeresultat.
  • Läsa in, exportera och kopiera frågor och resultat.

Viktigt!

I den här självstudien använder du Log Analytics-funktioner för att skapa en fråga och använda en annan exempelfråga. När du är redo att lära dig syntaxen för frågor och börja redigera själva frågan direkt läser du självstudien Kusto-frågespråk. Den här självstudien vägleder dig genom exempelfrågor som du kan redigera och köra i Log Analytics. Den använder flera av de funktioner som du lär dig i den här självstudien.

Förutsättningar

I den här självstudien används Log Analytics-demomiljön, som innehåller massor av exempeldata som stöder exempelfrågorna. Du kan också använda din egen Azure-prenumeration, men du kanske inte har data i samma tabeller.

Öppna Log Analytics

Öppna Log Analytics-demomiljön eller välj Loggar på Azure Monitor-menyn i din prenumeration. Det här steget anger det inledande omfånget till en Log Analytics-arbetsyta så att din fråga väljer från alla data på den arbetsytan. Om du väljer Loggar från en Azure-resurss meny är omfånget inställt på endast poster från den resursen. Mer information om omfånget finns i Loggfrågeomfång.

Du kan visa omfånget i det övre vänstra hörnet på skärmen. Om du använder din egen miljö visas ett alternativ för att välja ett annat omfång. Det här alternativet är inte tillgängligt i demomiljön.

Screenshot that shows the Log Analytics scope for the demo.

Visa tabellinformation

Till vänster på skärmen finns fliken Tabeller , där du kan granska de tabeller som är tillgängliga i det aktuella omfånget. Dessa tabeller grupperas som standard som lösning , men du kan ändra deras gruppering eller filtrera dem.

Expandera Log Management-lösningen och leta upp tabellen AppRequests. Du kan expandera tabellen för att visa dess schema eller hovra över dess namn för att visa mer information om den.

Screenshot that shows the Tables view.

Välj länken nedan Användbara länkar för att gå till tabellreferensen som dokumenterar varje tabell och dess kolumner. Välj Förhandsgranska data för att få en snabb titt på några av de senaste posterna i tabellen. Den här förhandsversionen kan vara användbar för att säkerställa att det här är de data som du förväntar dig innan du kör en fråga med den.

Screenshot that shows preview data for the AppRequests table.

Skriva en fråga

Nu ska vi skriva en fråga med hjälp av tabellen AppRequests . Dubbelklicka på namnet för att lägga till det i frågefönstret. Du kan också skriva direkt i fönstret. Du kan till och med hämta IntelliSense som hjälper dig att slutföra namnen på tabellerna i det aktuella omfånget och Kusto-frågespråk -kommandona (KQL).

Det här är den enklaste frågan som vi kan skriva. Den returnerar bara alla poster i en tabell. Kör den genom att välja knappen Kör eller genom att välja Skift+Retur med markören placerad var som helst i frågetexten.

Screenshot that shows query results.

Du kan se att vi har resultat. Antalet poster som frågan har returnerat visas i det nedre högra hörnet.

Tidsintervall

Alla frågor returnerar poster som genererats inom ett angivet tidsintervall. Som standard returnerar frågan poster som genererats under de senaste 24 timmarna.

Du kan ange ett annat tidsintervall med hjälp av where-operatorn i frågan. Du kan också använda listrutan Tidsintervall överst på skärmen.

Nu ska vi ändra tidsintervallet för frågan genom att välja Senaste 12 timmarna i listrutan Tidsintervall . Välj Kör för att returnera resultatet.

Kommentar

Om du ändrar tidsintervallet med hjälp av listrutan Tidsintervall ändras inte frågan i frågeredigeraren.

Screenshot that shows the time range.

Flera frågevillkor

Nu ska vi minska våra resultat ytterligare genom att lägga till ytterligare ett filtervillkor. En fråga kan innehålla valfritt antal filter för att rikta in sig på exakt den uppsättning poster som du vill ha. Välj Hämta start/index under Namn och välj sedan Tillämpa och kör.

Screenshot that shows query results with multiple filters.

Analysera resultat

Förutom att hjälpa dig att skriva och köra frågor tillhandahåller Log Analytics funktioner för att arbeta med resultaten. Börja med att expandera en post för att visa värdena för alla dess kolumner.

Screenshot that shows a record expanded in the search results.

Välj namnet på en kolumn för att sortera resultaten efter kolumnen. Välj filterikonen bredvid den för att ange ett filtervillkor. Den här åtgärden liknar att lägga till ett filtervillkor i själva frågan, förutom att det här filtret rensas om frågan körs igen. Använd den här metoden om du snabbt vill analysera en uppsättning poster som en del av interaktiv analys.

Ange till exempel ett filter för kolumnen DurationMs för att begränsa posterna till de som tog mer än 150 millisekunder.

Screenshot that shows a query results filter.

Sök igenom frågeresultat

Nu ska vi söka igenom frågeresultaten med hjälp av sökrutan längst upp till höger i resultatfönstret.

Ange Chicago i sökrutan för frågeresultat och välj pilarna för att hitta alla instanser av strängen i sökresultaten.

Screenshot that shows the search box at the top right of the result pane.

Omorganisera och sammanfatta data

Om du vill visualisera dina data bättre kan du ordna om och sammanfatta data i frågeresultaten baserat på dina behov.

Välj Kolumner till höger om resultatfönstret för att öppna sidofältet Kolumner .

Screenshot that shows the Column link to the right of the results pane, which you select to open the Columns sidebar.

I sidofältet visas en lista över alla tillgängliga kolumner. Dra url-kolumnen till avsnittet Radgrupper. Resultaten ordnas nu efter den kolumnen och du kan minimera varje grupp för att hjälpa dig med din analys. Den här åtgärden liknar att lägga till ett filtervillkor i frågan, men i stället för att hämta data från servern bearbetar du de data som den ursprungliga frågan returnerade. När du kör frågan igen hämtar Log Analytics data baserat på din ursprungliga fråga. Använd den här metoden om du snabbt vill analysera en uppsättning poster som en del av interaktiv analys.

Screenshot that shows query results grouped by URL.

Skapa en pivottabell

Om du vill analysera prestanda för dina sidor skapar du en pivottabell.

I sidofältet Kolumner väljer du Pivotläge.

Välj URL och Varaktigheter för att visa den totala varaktigheten för alla anrop till varje URL.

Om du vill visa den maximala samtalsvaraktigheten för varje URL väljer du sum(DurationMs)>max.

Screenshot that shows how to turn on Pivot Mode and configure a pivot table based on the URL and DurationMS values.

Nu ska vi sortera resultatet efter den längsta maximala samtalsvaraktigheten genom att välja kolumnen max(DurationMs) i resultatfönstret.

Screenshot that shows the query results pane being sorted by the maximum DurationMS values.

Arbeta med diagram

Nu ska vi titta på en fråga som använder numeriska data som vi kan visa i ett diagram. I stället för att skapa en fråga väljer vi en exempelfråga.

Välj Frågor i det vänstra fönstret. I det här fönstret finns exempelfrågor som du kan lägga till i frågefönstret. Om du använder en egen arbetsyta bör du ha olika frågor i flera kategorier. Om du använder demomiljön kanske du bara ser en enda Log Analytics-arbetsytekategori . Expandera det om du vill visa frågorna i kategorin.

Välj frågan med namnet Funktionsfelfrekvens i kategorin Program . Det här steget lägger till frågan i frågefönstret. Observera att den nya frågan separeras från den andra med en tom rad. En fråga i KQL slutar när den påträffar en tom rad, så dessa betraktas som separata frågor.

Screenshot that shows a new query.

Den aktuella frågan är den som markören är placerad på. Du kan se att den första frågan är markerad, vilket indikerar att det är den aktuella frågan. Klicka var som helst i den nya frågan för att välja den och välj sedan knappen Kör för att köra den.

Screenshot that shows the query results table.

Om du vill visa resultatet i en graf väljer du Diagram i resultatfönstret. Observera att det finns olika alternativ för att arbeta med diagrammet, till exempel att ändra det till en annan typ.

Screenshot that shows the query results chart.

Nästa steg

Nu när du vet hur du använder Log Analytics slutför du självstudien om hur du använder loggfrågor:

Skriva Azure Monitor-loggfrågor