Günlük verilerinden bilgi ayıklamak için temel Azure İzleyici günlük sorguları oluşturma
Günlük verilerinden bilgi ayıklamak için Azure İzleyici günlük sorgularını kullanabilirsiniz. Sorgulama, Azure İzleyici'nin yakaladığı günlük verilerini incelemenin önemli bir parçasıdır.
Örnek senaryoda operasyon ekibi, sisteminin durumunu incelemek için Azure İzleyici günlük sorgularını kullanacaktır.
Log Analytics kullanarak Azure İzleyici günlük sorguları yazma
Log Analytics aracını Azure portalında bulabilir ve örnek sorguları çalıştırmak veya kendi sorgularınızı oluşturmak için kullanabilirsiniz:
Azure portalının sol menü bölmesinde İzleyici'yi seçin.
Azure İzleyici sayfası Etkinlik Günlüğü, Uyarılar, Ölçümler ve Günlükler gibi diğer seçeneklerle birlikte görüntülenir.
Günlükler’i seçin.
Burada sorgunuzu girebilir ve çıktıyı görebilirsiniz.
Kusto dilini kullanarak sorgu yazma
Azure'da çalışan hizmetlerinizin günlük bilgilerini sorgulamak için Kusto Sorgu Dili kullanabilirsiniz. Kusto sorgusu verileri işlemeye ve sonuçları döndürmeye yönelik salt okunur bir istektir. Söz diziminin okunmasını, yazmasını ve otomatikleştirilmesini kolaylaştırmak için tasarlanmış bir veri akışı modeli kullanarak sorguyu düz metin olarak belirteceksiniz. Sorgu, Azure SQL Veritabanı benzer bir hiyerarşide düzenlenmiş şema varlıklarını kullanır: veritabanları, tablolar ve sütunlar.
Kusto sorgusu, noktalı virgülle (; ) sınırlandırılmış bir dizi sorgu deyiminden oluşur. En az bir deyim tablosal ifade deyimidir. Tablosal ifade deyimi, sütunların ve satırların tablosu olarak düzenlenmiş verileri biçimlendirir.
Tablosal ifade deyiminin söz dizimi, veri kaynağından başlayarak bir tablosal sorgu işlecinden diğerine tablosal veri akışına sahiptir. Veri kaynağı, veritabanındaki bir tablo veya veri üreten bir işleç olabilir. Ardından veriler, kanal (|) sınırlayıcısı ile birbirine bağlı bir dizi veri dönüştürme işleci üzerinden akar.
Örneğin, aşağıdaki Kusto sorgusu tek bir tablosal ifade deyimine sahiptir. deyimi, adlı Eventsbir tabloya başvuru ile başlar. Bu tabloyu barındıran veritabanı burada örtükdür ve bağlantı bilgilerinin bir parçasıdır. Bu tablonun satırlarda depolanan verileri sütunun StartTime değerine göre filtrelenmiş. Veriler sütunun değerine State göre daha fazla filtrelenmiştir. Sorgu daha sonra elde edilen satırların sayısını döndürür.
Events
| where StartTime >= datetime(2018-11-01) and StartTime < datetime(2018-12-01)
| where State == "FLORIDA"
| count
Dekont
Azure İzleyici'nin kullandığı Kusto sorgu dili büyük/küçük harfe duyarlıdır. Dil anahtar sözcükleri genellikle küçük harfle yazılır. Sorguda tablo veya sütun adlarını kullanırken doğru büyük/küçük harf kullandığınızdan emin olun.
İzlenen bilgisayarların olay günlüklerinden yakalanan olaylar yalnızca bir veri kaynağı türüdür. Azure İzleyici birçok farklı veri kaynağı türü sağlar. Örneğin, Heartbeat veri kaynağı Log Analytics çalışma alanınıza rapor veren tüm bilgisayarların durumunu raporlar. Performans sayaçlarından ve güncelleştirme yönetimi kayıtlarından da veri yakalayabilirsiniz.
Aşağıdaki örnek, her bilgisayar için en son sinyal kaydını alır. Bilgisayar, IP adresiyle tanımlanır. Bu örnekte, işleviyle arg_max toplama işlemisummarize, her IP adresi için en son değere sahip kaydı döndürür.
Heartbeat
| summarize arg_max(TimeGenerated, *) by ComputerIP