Öğretici: Log Analytics sorgularına başlayınTutorial: Get started with Log Analytics queries

Bu öğretici, Azure portalında Azure Monitor günlük sorgularını yazmak, yürütmek ve yönetmek için Log Analytics'i nasıl kullanacağınızı gösterir.This tutorial shows you how to use Log Analytics to write, execute, and manage Azure Monitor log queries in the Azure portal. Terimleri aramak, eğilimleri belirlemek, desenleri analiz etmek ve verilerinizden daha birçok öngörü sağlamak için Günlük Analizi sorgularını kullanabilirsiniz.You can use Log Analytics queries to search for terms, identify trends, analyze patterns, and provide many other insights from your data.

Bu eğitimde, Log Analytics'i nasıl kullanacağınızı şunları için öğreneceksiniz:In this tutorial, you learn how to use Log Analytics to:

  • Günlük veri şemasını anlamaUnderstand the log data schema
  • Basit sorgular yazın ve çalıştırın ve sorgular için zaman aralığını değiştirinWrite and run simple queries, and modify the time range for queries
  • Filtreleme, sıralama ve grup sorgusu sonuçlarıFilter, sort, and group query results
  • Sorgu sonuçlarının görsellerini görüntüleme, değiştirme ve paylaşmaView, modify, and share visuals of query results
  • Sorguları ve sonuçları kaydetme, yükleme, dışa aktarma ve kopyalamaSave, load, export, and copy queries and results

Günlük sorguları hakkında daha fazla bilgi için Azure Monitor'daki günlük sorgularına genel bakışbölümüne bakın.For more information about log queries, see Overview of log queries in Azure Monitor.
Günlük sorguları yazma yla ilgili ayrıntılı bir öğretici için Azure Monitor'da günlük sorgularına başlayın'abakın.For a detailed tutorial on writing log queries, see Get started with log queries in Azure Monitor.

Açık Günlük AnaliziOpen Log Analytics

Log Analytics'i kullanmak için bir Azure hesabında oturum açmanız gerekir.To use Log Analytics, you need to be signed in to an Azure account. Azure hesabınız yoksa, ücretsiz bir hesap oluşturun.If you don't have an Azure account, create one for free.

Bu öğreticideki adımların çoğunu tamamlamak için, bol miktarda örnek veri içeren bu demo ortamınıkullanabilirsiniz.To complete most of the steps in this tutorial, you can use this demo environment, which includes plenty of sample data. Demo ortamı yla, sorguları kaydedemez veya sonuçları panoya sabitleyemezsin.With the demo environment, you won't be able to save queries or pin results to a dashboard.

En az bir Azure kaynağında günlük verileri toplamak için Azure Monitor kullanıyorsanız, kendi ortamınızı da kullanabilirsiniz.You can also use your own environment, if you're using Azure Monitor to collect log data on at least one Azure resource. Bir Log Analytics çalışma alanı açmak için Azure Monitor'unuzda niçin Günlükler'iseçin.To open a Log Analytics workspace, in your Azure Monitor left navigation, select Logs.

Şemayı anlamaUnderstand the schema

Şema, mantıksal kategoriler altında gruplanmış tablolar topluluğudur.A schema is a collection of tables grouped under logical categories. Demo şeması, izleme çözümlerinden çeşitli kategorilere sahiptir.The Demo schema has several categories from monitoring solutions. Örneğin, LogManagement kategorisi Windows ve Syslog olayları, performans verileri ve aracı kalp atışlarını içerir.For example, the LogManagement category contains Windows and Syslog events, performance data, and agent heartbeats.

Şema tabloları, Log Analytics çalışma alanının Tablolar sekmesinde görünür.The schema tables appear on the Tables tab of the Log Analytics workspace. Tablolar, her biri sütun adının yanındaki simgeyle gösterilen bir veri türüne sahip sütunlar içerir.The tables contain columns, each with a data type shown by the icon next to the column name. Örneğin, Olay tablosu Bilgisayar gibi metin sütunları ve EventCategorygibi sayısal sütunlar içerir.For example, the Event table contains text columns like Computer and numerical columns like EventCategory.

Şema

Temel sorguları yazma ve çalıştırmaWrite and run basic queries

Log Analytics Sorgu düzenleyicisindeyeni bir boş sorguyla açılır.Log Analytics opens with a new blank query in the Query editor.

Log Analytics

Sorgu yazmaWrite a query

Azure Monitor günlük sorguları, Kusto sorgu dilinin bir sürümünü kullanır.Azure Monitor log queries use a version of the Kusto query language. Sorgular bir tablo adı veya arama komutu yla başlayabilir.Queries can begin with either a table name or a search command.

Aşağıdaki sorgu Olay tablosundan tüm kayıtları alır:The following query retrieves all records from the Event table:

Event

Boru (|) karakteri komutları ayırır, bu nedenle ilk komutun çıktısı bir sonraki komutun girişidir.The pipe (|) character separates commands, so the output of the first command is the input of the next command. Tek bir sorguya istediğiniz sayıda komut ekleyebilirsiniz.You can add any number of commands to a single query. Aşağıdaki sorgu, Olay tablosundan kayıtları alır ve sonra herhangi bir özellikte terim hatası için onları arar:The following query retrieves the records from the Event table, and then searches them for the term error in any property:

Event 
| search "error"

Tek satır sonu, sorguların okunmasını kolaylaştırır.A single line break makes queries easier to read. Birden fazla satır sonu sorguyu ayrı sorgulara böler.More than one line break splits the query into separate queries.

Aynı sorguyazmak için başka bir yolu:Another way to write the same query is:

search in (Event) "error"

İkinci örnekte, arama komutu yalnızca Olaylar tablosundaki kayıtları terim hatasıiçin arar.In the second example, the search command searches only records in the Events table for the term error.

Varsayılan olarak, Log Analytics sorguları son 24 saatlik bir zaman aralığıyla sınırlar.By default, Log Analytics limits queries to a time range of the past 24 hours. Farklı bir zaman aralığı ayarlamak için, sorguya açık bir TimeGenerated filtresi ekleyebilir veya Zaman aralığı denetimini kullanabilirsiniz.To set a different time range, you can add an explicit TimeGenerated filter to the query, or use the Time range control.

Zaman aralığı denetimini kullanmaUse the Time range control

Zaman aralığı denetimini kullanmak için, üst çubukta seçin ve ardından açılır listeden bir değer seçin veya özel bir zaman aralığı oluşturmak için Özel'i seçin.To use the Time range control, select it in the top bar, and then select a value from the dropdown list, or select Custom to create a custom time range.

Zaman seçici

  • Zaman aralığı değerleri UTC'dedir ve bu da yerel saat diliminizden farklı olabilir.Time range values are in UTC, which could be different than your local time zone.
  • Sorgu açıkça TimeGeneratediçin bir filtre ayarlarsa , zaman seçici denetimi sorguda Ayarlanan'ıgösterir ve çakışmayı önlemek için devre dışı bırakılır.If the query explicitly sets a filter for TimeGenerated, the time picker control shows Set in query, and is disabled to prevent a conflict.

Sorgu çalıştırmaRun a query

Sorgu çalıştırmak için imlecinizi sorgunun içinde bir yere yerleştirin ve üst çubukta Çalıştır'ı seçin veya Shift+Entertuşuna basın.To run a query, place your cursor somewhere inside the query, and select Run in the top bar or press Shift+Enter. Sorgu boş bir satır bulana kadar çalışır.The query runs until it finds a blank line.

Sonuçları filtrelemeFilter results

Log Analytics sonuçları en fazla 10.000 kayıtla sınırlandırıyor.Log Analytics limits results to a maximum of 10,000 records. Gibi Event genel bir sorgu yararlı olmak için çok fazla sonuç döndürür.A general query like Event returns too many results to be useful. Sorgudaki tablo öğelerini kısıtlayarak veya sonuçlara açıkça filtre ekleyerek sorgu sonuçlarını filtreleyebilirsiniz.You can filter query results either through restricting the table elements in the query, or by explicitly adding a filter to the results. Tablo öğeleri üzerinden filtreleme yeni bir sonuç kümesi döndürür, açık bir filtre varolan sonuç kümesi için geçerlidir.Filtering through the table elements returns a new result set, while an explicit filter applies to the existing result set.

Tablo öğelerini kısıtlayarak filtrelemeFilter by restricting table elements

Sorgudaki Event tablo öğelerini kısıtlayarak sorgu sonuçlarını Hata olaylarına filtrelemek için:To filter Event query results to Error events by restricting table elements in the query:

  1. Sorgu sonuçlarında, EventLevelName sütununda Hata olan herhangi bir kaydın yanındaki açılır ok'u seçin.In the query results, select the dropdown arrow next to any record that has Error in the EventLevelName column.

  2. Genişletilmiş ayrıntılarda, üzerinde gezinmek ve EventLevelNameyanında ... seçin ve sonra "Hata" ekle'yiseçin.In the expanded details, hover over and select the ... next to EventLevelName, and then select Include "Error".

    Sorguya filtre ekleme

  3. Sorgu düzenleyicisindeki sorgunun şimdi aşağıdaki şekilde değiştirildiğe dikkat edin:Notice that the query in the Query editor has now changed to:

    Event
    | where EventLevelName == "Error"
    
  4. Yeni sorguyu çalıştırmak için Çalıştır'ı seçin.Select Run to run the new query.

Sonuçları açıkça filtreleyerek filtrelemeFilter by explicitly filtering results

Event Sorgu sonuçlarını filtreleyerek sorgu sonuçlarını Hata olaylarına filtrelemek için:To filter the Event query results to Error events by filtering the query results:

  1. Sorgu sonuçlarında, EventLevelNamebaşlığı altında sütunun yanındaki Filtre simgesini seçin.In the query results, select the Filter icon next to the column heading EventLevelName.

  2. Açılır pencerenin ilk alanında, "Is" seçeneğini belirleyin ve bir sonraki alana hatagirin.In the first field of the pop-up window, select Is equal to, and in the next field, enter error.

  3. Filtre'yiseçin.Select Filter.

    Filtre

Sütunları sırala, gruplandırma ve seçmeSort, group, and select columns

Sorgu sonuçlarını TimeGenerated [UTC] gibi belirli bir sütuna göre sıralamak için sütun başlığını seçin.To sort query results by a specific column, such as TimeGenerated [UTC], select the column heading. Artan ve azalan sıra arasında geçiş yapmak için başlığı yeniden seçin.Select the heading again to toggle between ascending and descending order.

Sütunu sıralama

Sonuçları düzenlemenin başka bir yolu da gruplara göredir.Another way to organize results is by groups. Sonuçları belirli bir sütuna göre gruplandırmak için, sütun üstbilgisini, sütun üstbilgisini sürükleme etiketli sonuç tablosunun üzerindeki çubuğuna sürükleyin ve bu sütuna göre gruplandırmak için buraya bırakın.To group results by a specific column, drag the column header to the bar above the results table labeled Drag a column header and drop it here to group by that column. Alt gruplar oluşturmak için diğer sütunları üst çubuğuna sürükleyin.To create subgroups, drag other columns to the upper bar. Hiyerarşiyi ve çubuktaki grupların ve alt grupların sırasını yeniden düzenleyebilirsiniz.You can rearrange the hierarchy and sorting of the groups and subgroups in the bar.

Gruplar

Sonuçlardaki sütunları gizlemek veya göstermek için tablonun üzerindeki Sütunlar'ı seçin ve ardından açılan listeden istediğiniz sütunları seçin veya seçin.To hide or show columns in the results, select Columns above the table, and then select or deselect the columns you want from the dropdown list.

Sütun seçme

Grafikleri görüntüleme ve değiştirmeView and modify charts

Sorgu sonuçlarını görsel biçimlerde de görebilirsiniz.You can also see query results in visual formats. Örnek olarak aşağıdaki sorguyu girin:Enter the following query as an example:

Event 
| where EventLevelName == "Error" 
| where TimeGenerated > ago(1d) 
| summarize count() by Source 

Varsayılan olarak, sonuçlar bir tabloda görünür.By default, results appear in a table. Sonuçları grafik görünümünde görmek için tablonun üstündeki Grafik'i seçin.Select Chart above the table to see the results in a graphic view.

Çubuk Grafik

Sonuçlar yığılmış çubuk grafikte görünür.The results appear in a stacked bar chart. Sonuçların diğer görünümlerini göstermek için Yığılmış Sütun veya Pasta gibi diğer seçenekleri seçin.Select other options like Stacked Column or Pie to show other views of the results.

Pasta grafiği

Görünümün x ve y eksenleri gibi özelliklerini veya denetim çubuğundan el ile ayırma ve bölme tercihlerini değiştirebilirsiniz.You can change properties of the view, such as x and y axes, or grouping and splitting preferences, manually from the control bar.

İşle işlecini kullanarak sorgunun kendisinde render tercih edilen görünümü de ayarlayabilirsiniz.You can also set the preferred view in the query itself, using the render operator.

Sonuçları panoya sabitlemePin results to a dashboard

Bir sonuç tablosunu veya grafiği Log Analytics'ten paylaşılan bir Azure panosuna sabitlemek için üst çubuktaki panoya Sabitle'yi seçin.To pin a results table or chart from Log Analytics to a shared Azure dashboard, select Pin to dashboard on the top bar.

Panoya sabitle

Başka bir pano bölmesine Pin'de, sabitlemek için paylaşılan bir pano seçin veya oluşturun ve Uygula'yıseçin.In the Pin to another dashboard pane, select or create a shared dashboard to pin to, and select Apply. Tablo veya grafik, seçili Azure panosunda görünür.The table or chart appears on the selected Azure dashboard.

Panoya sabitlenmiş grafik

Paylaşılan bir panoya sabitlediğiniz bir tablo veya grafik aşağıdaki basitleştirmelere sahiptir:A table or chart that you pin to a shared dashboard has the following simplifications:

  • Veriler son 14 günle sınırlıdır.Data is limited to the past 14 days.
  • Bir tablo da yalnızca en fazla dört sütun ve en üstteki yedi satırı gösterir.A table shows only up to four columns and the top seven rows.
  • Birçok ayrı kategoriye sahip grafikler, daha az nüfuslu kategorileri otomatik olarak tek bir başkası kutusu olarak gruplandırır.Charts with many discrete categories automatically group less populated categories into a single others bin.

Sorguları kaydetme, yükleme veya dışa aktarmaSave, load, or export queries

Bir sorgu oluşturduktan sonra, sorguyu veya sonuçları başkalarıyla kaydedebilir veya paylaşabilirsiniz.Once you create a query, you can save or share the query or results with others.

Sorguları kaydetSave queries

Bir sorgukaydetmek için:To save a query:

  1. Üst çubukta Kaydet'i seçin.Select Save on the top bar.

  2. Kaydet iletişim kutusunda, a-z, A-Z, 0-9, boşluk, tire, alt puan, dönem, parantez veya boru karakterlerini kullanarak sorguya bir Adverin.In the Save dialog, give the query a Name, using the characters a–z, A–Z, 0-9, space, hyphen, underscore, period, parenthesis, or pipe.

  3. Sorguyu Sorgu olarak mı yoksa Işlevolarak mı kaydedin.Select whether to save the query as a Query or a Function. İşlevler, diğer sorguların başvurulabileceği sorgulardır.Functions are queries that other queries can reference.

    Bir sorguyı bir iþlev olarak kaydetmek için, bu sorguyı aramak için kullanılabilen diğer sorgular için kısa bir ad olan Bir ışık TakmaAd sağlayın.To save a query as a function, provide a Function Alias, which is a short name for other queries to use to call this query.

  4. Sorgu için kullanılacak sorgu gezgini kategorisi sağlayın.Provide a Category for Query explorer to use for the query.

  5. Kaydet'iseçin.Select Save.

    Fonksiyonu kaydet

Yükleme sorgularıLoad queries

Kaydedilen bir sorguyüklemek için sağ üstteki Sorgu gezgini'ni seçin.To load a saved query, select Query explorer at upper right. Sorgu gezgini bölmesi, tüm sorguları kategoriye göre listeler.The Query explorer pane opens, listing all queries by category. Kategorileri genişletin veya arama çubuğuna bir sorgu adı girin, ardından sorgu düzenleyicisineyüklemek için bir sorgu seçin.Expand the categories or enter a query name in the search bar, then select a query to load it into the Query editor. Sorgu adının yanındaki yıldızı seçerek sorguyu Sık Kullanılan olarak işaretleyebilirsiniz.You can mark a query as a Favorite by selecting the star next to the query name.

Sorgu gezgini

Sorguları dışa aktarma ve paylaşmaExport and share queries

Sorgu dışa aktarmak için üst çubukta Dışa Aktar'ı seçin ve ardından CSV'ye Dışa Aktar'ıseçin - tüm sütunlar , CSV'ye dışa aktarma - sütunları görüntüle (SütunlarıGüç BI 'ye (M sorgusu) açılır listeden dışa aktarın.To export a query, select Export on the top bar, and then select Export to CSV - all columns, Export to CSV - displayed columns, or Export to Power BI (M query) from the dropdown list.

Sorgu bağlantısını paylaşmak için üst çubuktaki Kopyala bağlantısını seçin ve ardından sorgu için Kopyala bağlantısınıseçin, sorgu metnini kopyalayınveya sorgu sonuçlarını panoya kopyalamak için kopyalayın.To share a link to a query, select Copy link on the top bar, and then select Copy link to query, Copy query text, or Copy query results to copy to the clipboard. Sorgu bağlantısını aynı çalışma alanına erişimi olan diğer herkese gönderebilirsiniz.You can send the query link to others who have access to the same workspace.

Sonraki adımlarNext steps

Azure Monitor günlük sorguları yazma hakkında daha fazla bilgi edinmek için bir sonraki öğreticiye ilerleyin.Advance to the next tutorial to learn more about writing Azure Monitor log queries.