Log Analytics 教學課程

  • 發行項

Log Analytics 是 Azure 入口網站中的一項工具,可從 Azure 監視器記錄所收集的資料中編輯和執行記錄查詢,並以互動方式分析結果。 您可以使用 Log Analytics 查詢來擷取符合特定準則的記錄、識別趨勢、分析模式,以及提供資料的各種深入解析。

本教學課程將逐步引導您了解 Log Analytics 介面並開始使用一些基本查詢,也會說明如何解讀結果。 您將了解如何:

  • 了解記錄資料結構描述。
  • 撰寫和執行簡單的查詢,以及修改查詢的時間範圍。
  • 對查詢結果進行篩選、排序和分組。
  • 檢視、修改和共用查詢結果的視覺效果。
  • 載入、匯出及複製查詢和結果。

重要

在本教學課程中,您將使用 Log Analytics 功能建立一個查詢,並使用另一個範例查詢。 在準備好了解查詢的語法且開始直接編輯查詢本身時,請閱讀 Kusto 查詢語言教學課程。 該教學課程會逐步說明您可在 Log Analytics 中編輯和執行的範例查詢。 其會使用您將在本教學課程中學到的好幾項功能。

必要條件

本教學課程使用 Log Analytics 示範環境,其中包含許多支援範例查詢的範例資料。 您也可以使用自己的 Azure 訂用帳戶,但相同的資料表中可能不會有資料。

開啟 Log Analytics

開啟 Log Analytics 示範環境或從訂用帳戶的 Azure 監視器功能表中選取 [記錄]。 此步驟會將初始範圍設定為 Log Analytics 工作區,讓您的查詢從該工作區中的所有資料進行選取。 如果您從 Azure 資源的功能表中選取 [記錄],則範圍會設定為僅限來自該資源的記錄。 如需範圍的詳細資訊,請參閱記錄查詢範圍

您可以在畫面的左上角檢視範圍。 如果您使用自己的環境,則會看到可選取不同範圍的選項。 在示範環境中無法使用此選項。

Screenshot that shows the Log Analytics scope for the demo.

檢視資料表資訊

畫面的左側包含 [資料表] 索引標籤,可讓您在其中檢查目前範圍中可用的資料表。 根據預設,這些資料表會依解決方案分組,但您可變更其群組或加以篩選。

展開記錄管理解決方案,並找出 AppRequests 資料表。 您可以展開資料表以檢視結構描述,或將滑鼠停留在名稱上方,以顯示其詳細資訊。

Screenshot that shows the Tables view.

選取實用連結下方的連結,以移至記載每個資料表及其資料行的資料表參考。 選取 [預覽資料],即可快速查看資料表中的幾筆最近記錄。 此預覽有助於確保這是在執行查詢之前所預期的資料。

Screenshot that shows preview data for the AppRequests table.

撰寫查詢

讓我們使用 AppRequests 資料表來撰寫查詢。 按兩下名稱,將其加入查詢視窗。 您也可以直接在視窗中進行輸入。 您甚至可以取得 IntelliSense,其會協助完成目前範圍中的資料表名稱,以及 Kusto 查詢語言 (KQL) 命令。

這是我們可以撰寫的最簡單查詢, 只會傳回資料表中的所有記錄。 選取 [執行] 按鈕,或選取 Shift+Enter,將游標放在查詢文字中的任何位置,以執行此查詢。

Screenshot that shows query results.

您可以看到系統跑出了一些結果。 查詢傳回的記錄數目會出現在右下角。

時間範圍

所有查詢都會傳回在設定時間範圍內產生的記錄。 根據預設,查詢會傳回在過去 24 小時內產生的記錄。

您可使用查詢中的 where 運算子 來設定不同的時間範圍。 您也可使用畫面頂端的 [時間範圍] 下拉式清單。

讓我們從 [時間範圍] 下拉式清單中選取 [過去 12 小時],藉此變更查詢的時間範圍。 選取 [執行] 以傳回結果。

注意

使用 [時間範圍] 下拉式清單變更時間範圍,並不會變更查詢編輯器中的查詢。

Screenshot that shows the time range.

多個查詢條件

讓我們藉由新增另一個篩選準則,進一步縮減結果。 查詢可以包含任意數目的篩選準則,完全以您理想的記錄集為目標。 選取 [名稱] 底下的 [取得首頁/索引 (Get Home/Index)],然後選取 [套用並執行]

Screenshot that shows query results with multiple filters.

分析結果

除了協助您撰寫和執行查詢以外,Log Analytics 還提供解讀結果的功能。 首先,展開記錄以檢視所有資料行的值。

Screenshot that shows a record expanded in the search results.

選取任何資料行的名稱,以依據該資料行來排序結果。 選取其旁邊的篩選圖示,以提供篩選條件。 此動作類似於將篩選準則加入查詢本身,但如果再次執行查詢,系統會清除此篩選。 如果要快速分析一組記錄做=作為互動式分析的一部分,請使用這個方法。

例如,在 DurationMs 資料行上設定篩選條件,將記錄限制為花費超過 150 毫秒的記錄。

Screenshot that shows a query results filter.

搜尋查詢結果

讓我們使用結果窗格右上方的搜尋方塊來搜尋查詢結果。

在查詢結果搜尋方塊中輸入芝加哥,然後選取箭號,以在您的搜尋結果中尋找此字串的所有實例。

Screenshot that shows the search box at the top right of the result pane.

重新組織及彙總資料

為了更清楚地呈現您的資料,您可以根據需求重新組織及摘要彙總結果中的資料。

選取結果窗格右側的 [資料行],以開啟 [資料行] 資訊看板。

Screenshot that shows the Column link to the right of the results pane, which you select to open the Columns sidebar.

在資訊看板中,您會看到所有可用資料行的清單。 將 [URL] 資料行拖曳至 [資料列群組] 區段中。 結果現在會依據該資料行組織,您可以摺疊每個群組,以協助您分析。 此動作類似於將篩選條件新增至查詢,您會處理原始查詢所傳回的資料,而不會從伺服器重新擷取資料。 當您再次執行查詢時,Log Analytics 會根據原始查詢擷取資料。 如果要快速分析一組記錄做=作為互動式分析的一部分,請使用這個方法。

Screenshot that shows query results grouped by URL.

建立樞紐分析表

若要分析頁面的效能,請建立樞紐分析表。

在 [資料行] 資訊看板中,選取 [樞紐模式]

選取 [Url] 和 [DurationMs],以顯示各 URL 的所有呼叫的總持續時間。

若要檢視每個 URL 的呼叫持續時間上限,請選取 sum(DurationMs)>max

Screenshot that shows how to turn on Pivot Mode and configure a pivot table based on the URL and DurationMS values.

現在,讓我們選取結果窗格中的 max(DurationMs) 資料行,依最長呼叫持續時間來排序結果。

Screenshot that shows the query results pane being sorted by the maximum DurationMS values.

使用圖表

讓我們看一下使用可在圖表中檢視之數值資料的查詢。 我們不會建立查詢,而是選取範例查詢。

在左側窗格上選取 [查詢]。 此窗格包含您可以新增至查詢視窗的範例查詢。 如果您使用自己的工作區,應該有多個類別中的各種查詢。 如果您使用示範環境,可能只會看到單一 Log Analytics 工作區類別。 展開以檢視類別中的查詢。

在 [應用程式] 類別中選取名為 [函式錯誤率] 的查詢。 此步驟會在查詢視窗新增下列查詢。 請注意,新的查詢會以空白行分隔。 KQL 中的查詢會在遇到空白行時結束,因此系統會將其視為個別查詢。

Screenshot that shows a new query.

游標所在位置表示目前的查詢。 您可以看到第一個查詢已反白顯示,表示這是目前的查詢。 按一下新查詢中的任何位置加以選取,然後選取 [執行] 按鈕執行。

Screenshot that shows the query results table.

若要在圖表中檢視結果,請選取結果窗格上的 [圖表]。 請注意有各種選項可用來處理圖表,例如將其變更為另一種類型。

Screenshot that shows the query results chart.

下一步

現在您已了解如何使用 Log Analytics,以完成使用記錄查詢的教學課程:

撰寫 Azure 監視器記錄查詢