Azure Izleyici 'de günlük sorgularına genel bakışOverview of log queries in Azure Monitor

Günlük sorguları, Azure Izleyici günlüklerindetoplanan verilerin değerini tamamen kullanmanıza yardımcı olur.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Güçlü bir sorgu dili, birden çok tablodan veri birleştirme, büyük veri kümelerini toplama ve en az kodla karmaşık işlemler gerçekleştirmenize olanak tanır.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Neredeyse her soru yanıtlanarak, destekleyici veriler toplandıkça ve analiz, doğru sorgunun nasıl oluşturulacağını anlamış olabilir.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query.

Azure Izleyici 'deki Öngörüler ve çözümler gibi bazı özellikler, sizi temel sorgulara açmadan günlük verilerini işler.Some features in Azure Monitor such as insights and solutions process log data without exposing you to the underlying queries. Azure Izleyici 'nin diğer özelliklerinden tamamen yararlanmak için sorguların nasıl oluşturulduğunu ve Azure Izleyici günlüklerinde verileri etkileşimli olarak analiz etmek için bunları nasıl kullanabileceğinizi anlamanız gerekir.To fully leverage other features of Azure Monitor, you should understand how queries are constructed and how you can use them to interactively analyze data in Azure Monitor Logs.

Azure Izleyici 'de günlük sorguları hakkında bilgi edinmek için bu makaleyi başlangıç noktası olarak kullanın.Use this article as a starting point to learning about log queries in Azure Monitor. Ortak soruları yanıtlar ve daha fazla ayrıntı ve ders sağlayan diğer belgelere bağlantılar sağlar.It answers common questions and provides links to other documentation that provides further details and lessons.

Sorguların nasıl yazılacağını nasıl öğrenirim?How can I learn how to write queries?

Herhangi bir öğeye doğrudan gitmek istiyorsanız aşağıdaki öğreticilerle başlayabilirsiniz:If you want to jump right into things, you can start with the following tutorials:

Temel bilgileri aldıktan sonra, tanıtım ortamımızdan başlayarak kendi verilerinizi veya verilerinizi kullanarak birden çok dersi adım adım inceleyin:Once you have the basics down, walk through multiple lessons using either your own data or data from our demo environment starting with:

Günlük sorgularının hangi dillerde kullanıldığı.What language do log queries use?

Azure Izleyici günlükleri azure Veri Gezginitabanlıdır ve günlük sorguları aynı kusto sorgu DILI (KQL) kullanılarak yazılır.Azure Monitor Logs is based on Azure Data Explorer, and log queries are written using the same Kusto query language (KQL). Bu, okunması ve yazarı kolay bir şekilde tasarlanan ve en az kılavuzla kullanmaya başlayabilmeniz gereken zengin bir dildir.This is a rich language designed to be easy to read and author, and you should be able to start using it with minimal guidance.

KQL hakkındaki tüm belgeler ve kullanılabilen farklı işlevlerde başvuru için bkz. Azure Veri Gezgini KQL belgeleri .See Azure Data Explorer KQL documentation for complete documentation on KQL and reference on different functions available.
Azure Izleyici günlüklerinden verileri kullanarak dile yönelik hızlı bir anlatım için bkz. Azure izleyici 'de günlük sorgularıyla çalışmaya başlama .See Get started with log queries in Azure Monitor for a quick walkthrough of the language using data from Azure Monitor Logs. Azure Izleyici tarafından kullanılan KQL sürümündeki küçük farklılıklar için bkz. Azure izleyici günlük sorgu dili farklılıkları .See Azure Monitor log query language differences for minor differences in the version of KQL used by Azure Monitor.

Günlük sorgularının hangi verileri kullanılabilir?What data is available to log queries?

Azure Izleyici günlüklerinde toplanan tüm veriler, günlük sorgularını almak ve analiz etmek için kullanılabilir.All data collected in Azure Monitor Logs is available to retrieve and analyze in log queries. Farklı veri kaynakları verileri farklı tablolara yazacak, ancak birden çok kaynak genelinde verileri çözümlemek için tek bir sorguya birden fazla tablo ekleyebilirsiniz.Different data sources will write their data to different tables, but you can include multiple tables in a single query to analyze data across multiple sources. Bir sorgu oluşturduğunuzda, hangi tabloların Aradığınız verilere sahip olduğunu belirleyerek başlar, bu nedenle Azure Izleyici günlüklerindeki verilerin nasıl yapılandırıldığı hakkında en az bir temel bilgiye sahip olmanız gerekir.When you build a query, you start by determining which tables have the data that you're looking for, so you should have at least a basic understanding of how data in Azure Monitor Logs is structured.

Azure Izleyici günlüklerini dolduran farklı veri kaynaklarının listesi için bkz. Azure Izleyici günlüklerinin kaynakları.See Sources of Azure Monitor Logs, for a list of different data sources that populate Azure Monitor Logs.
Verilerin nasıl yapılandırıldığını gösteren bir açıklama için bkz. Azure Izleyici günlüklerinin yapısı .See Structure of Azure Monitor Logs for an explanation of how the data is structured.

Günlük sorgusu nasıl görünür?What does a log query look like?

Bir sorgu, tablodaki tüm kayıtları almak için tek bir tablo adı kadar basit olabilir:A query could be as simple as a single table name for retrieving all records from that table:

Syslog

Ya da belirli kayıtları filtreleyebilir, özetleyebilir ve sonuçları bir grafik halinde görselleştirebilir:Or it could filter for particular records, summarize them, and visualize the results in a chart:

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| summarize count() by Computer, bin(TimeGenerated, 1h)
| render timechart 

Daha karmaşık analizler için, bir birleştirmeyi kullanarak birden çok tablodan veri alabilir ve sonuçları analiz edebilirsiniz.For more complex analysis, you might retrieve data from multiple tables using a join to analyze the results together.

app("ContosoRetailWeb").requests
| summarize count() by bin(timestamp,1hr)
| join kind= inner (Perf
    | summarize avg(CounterValue) 
      by bin(TimeGenerated,1hr))
on $left.timestamp == $right.TimeGenerated

KQL hakkında bilgi sahibi olmadığınız halde, bu sorgular tarafından kullanılan temel mantığı en az şekilde belirleyebilmelisiniz.Even if you aren't familiar with KQL, you should be able to at least figure out the basic logic being used by these queries. Bunlar bir tablonun adıyla başlar ve bu verileri filtrelemek ve işlemek için birden çok komut eklemektir.They start with the name of a table and then add multiple commands to filter and process that data. Bir sorgu herhangi bir sayıda komutu kullanabilir ve kullanılabilir farklı KQL komutlarına alıştıkça daha karmaşık sorgular yazabilirsiniz.A query can use any number of commands, and you can write more complex queries as you become familiar with the different KQL commands available.

Dili ve ortak işlevleri tanıtan günlük sorguları hakkında bir öğretici için bkz. Azure izleyici 'de günlük sorgularıyla çalışmaya başlama .See Get started with log queries in Azure Monitor for a tutorial on log queries that introduces the language and common functions, .

Log Analytics nedir?What is Log Analytics?

Log Analytics, Azure portalında bulunan ve günlük sorgusu yazmanın yanı sıra bu sorguların sonuçlarının etkileşimli olarak analiz edilmesini sağlayan temel araçtır.Log Analytics is the primary tool in the Azure portal for writing log queries and interactively analyzing their results. Günlük sorgusu Azure Izleyici 'de başka bir yerde kullanılsa bile, genellikle Log Analytics kullanarak sorguyu yazın ve test edersiniz.Even if a log query is used elsewhere in Azure Monitor, you'll typically write and test the query first using Log Analytics.

Azure portal çeşitli yerlerden Log Analytics başlatabilirsiniz.You can start Log Analytics from several places in the Azure portal. Log Analytics için kullanılabilir olan verilerin kapsamı, nasıl başladiğinize göre belirlenir.The scope of the data available to Log Analytics is determined by how you start it. Daha fazla ayrıntı için bkz. sorgu kapsamı .See Query Scope for more details.

  • Azure izleyici menüsünde veya Log Analytics çalışma alanları menüsünden Günlükler ' i seçin.Select Logs from the Azure Monitor menu or Log Analytics workspaces menu.
  • Bir Application Insights uygulamasının genel bakış sayfasında Günlükler ' i seçin.Select Logs from the Overview page of an Application Insights application.
  • Azure kaynağı menüsündeki günlükleri seçin.Select Logs from the menu of an Azure resource.

Log Analytics

Özelliklerinden birkaçını tanıtan bir Log Analytics Öğretici Kılavuzu için bkz. Azure izleyici Log Analytics kullanmaya başlama .See Get started with Log Analytics in Azure Monitor for a tutorial walkthrough of Log Analytics that introduces several of its features.

Günlük sorgularının kullanıldığı yer nedir?Where else are log queries used?

Günlük sorgularıyla etkileşimli olarak çalışmaya ek olarak, Azure Izleyici 'deki sorguları kullanacağınız Log Analytics, Azure Izleyici 'de bulunan ve bunlara ilişkin sonuçlarla birlikte şunları içerir:In addition to interactively working with log queries and their results in Log Analytics, areas in Azure Monitor where you will use queries include the following:

  • Uyarı kuralları.Alert rules. Uyarı kuralları çalışma alanınızdaki verilerden sorunları önceden belirler.Alert rules proactively identify issues from data in your workspace. Her uyarı kuralı, düzenli aralıklarla otomatik olarak çalıştırılan bir günlük aramasını temel alır.Each alert rule is based on a log search that is automatically run at regular intervals. Sonuçlar, bir uyarının oluşturulup oluşturulmadığını belirlemede denetlenir.The results are inspected to determine if an alert should be created.
  • Panoların.Dashboards. Herhangi bir sorgunun sonucunu, günlük ve ölçüm verilerini birlikte görselleştirmenize ve isteğe bağlı olarak diğer Azure kullanıcılarıyla paylaşmanıza olanak sağlayan bir Azure panosuna sabitleyebilirsiniz.You can pin the results of any query into an Azure dashboard which allow you to visualize log and metric data together and optionally share with other Azure users.
  • Görünümler.Views. Görünüm Tasarımcısıile Kullanıcı panolarına dahil edilecek veri görselleştirmeleri oluşturabilirsiniz.You can create visualizations of data to be included in user dashboards with View Designer. Günlük sorguları, her görünümdeki Kutucuklar ve görselleştirme parçaları tarafından kullanılan verileri sağlar.Log queries provide the data used by tiles and visualization parts in each view.
  • İşlemi.Export. Azure Izleyici 'den Excel 'e veya Power BIgünlük verilerini içeri aktardığınızda, dışarı aktarılacak verileri tanımlamak için bir günlük sorgusu oluşturun.When you import log data from Azure Monitor into Excel or Power BI, you create a log query to define the data to export.
  • PowerShell.PowerShell. Azure Izleyici 'den günlük verilerini almak için Get-Azoperationalınsightssearchresults kullanan bir komut satırından veya bir Azure Otomasyonu runbook 'tan PowerShell betiği çalıştırabilirsiniz.You can run a PowerShell script from a command line or an Azure Automation runbook that uses Get-AzOperationalInsightsSearchResults to retrieve log data from Azure Monitor. Bu cmdlet alınacak verileri belirlemede bir sorgu gerektirir.This cmdlet requires a query to determine the data to retrieve.
  • Azure Izleyici günlükleri API 'SI.Azure Monitor Logs API. Azure Izleyici günlükleri API 'si , herhangi bir REST API istemcisinin, çalışma alanından günlük verilerini almasına izin verir.The Azure Monitor Logs API allows any REST API client to retrieve log data from the workspace. API isteği alınacak verileri belirlemede Azure Izleyici 'ye karşı çalıştırılan bir sorgu içerir.The API request includes a query that is run against Azure Monitor to determine the data to retrieve.

Sonraki adımlarNext steps