Log Analytics 教學課程

Log Analytics 是 Azure 入口網站中的一項工具,可從 Azure 監視器記錄所收集的資料中編輯和執行記錄查詢,並以互動方式分析結果。 您可以使用 Log Analytics 查詢來抓取符合特定準則的記錄、識別趨勢、分析模式,以及提供您資料的各種見解。

本教學課程將逐步引導您了解 Log Analytics 介面並開始使用一些基本查詢,也會說明如何解讀結果。 您將瞭解下列各項:

  • 了解記錄資料結構描述
  • 撰寫和執行簡單的查詢,以及修改查詢的時間範圍
  • 對查詢結果進行篩選、排序和分組
  • 檢視、修改和共用查詢結果的視覺效果
  • 載入、匯出及複製查詢和結果

重要

在本教學課程中,您將使用 Log Analytics 功能來建立一個查詢,並使用另一個範例查詢。 當您準備好瞭解查詢的語法並開始直接編輯查詢時,請閱讀 Kusto 查詢語言教學課程。 該教學課程會逐步解說可在 Log Analytics 中編輯和執行的範例查詢。 它會使用您將在本教學課程中學習到的幾項功能。

必要條件

本教學課程使用 Log Analytics 示範環境,其中包含許多支援範例查詢的範例資料。 您也可以使用自己的 Azure 訂用帳戶,但您可能不會有相同資料表中的資料。

開啟 Log Analytics

開啟 Log Analytics 示範環境,或從訂用帳戶中的 [Azure 監視器] 功能表選取 [ 記錄 ]。 此步驟會將初始範圍設定為 Log Analytics 工作區,以便您的查詢將從該工作區中的所有資料中選取。 如果您從 Azure 資源的功能表中選取 [記錄],則範圍會設定為僅限來自該資源的記錄。 如需範圍的詳細資訊,請參閱 記錄查詢範圍

您可以在畫面的左上角看到範圍。 如果您使用自己的環境,您會看到選取不同範圍的選項。 此選項無法在示範環境中使用。

顯示示範之 Log Analytics 範圍的螢幕擷取畫面。

查看資料表資訊

畫面的左邊包含 [ 資料表 ] 索引標籤,您可以在其中檢查目前範圍內可用的資料表。 依預設,這些資料表會依 方案 分組,但您可以變更其分組或篩選。

展開 記錄管理 解決方案,並找出 AppRequests 資料表。 您可以展開資料表來查看其架構,或將滑鼠停留在其名稱上,以顯示詳細資訊。

顯示資料表視圖的螢幕擷取畫面。

選取下列 有用連結 的連結,以移至記錄每個資料表及其資料行的資料表參考。 選取 [ 預覽資料 ],以快速查看資料表中的幾個最近的記錄。 此預覽有助於確保這是您在執行查詢之前所預期的資料。

顯示範例資料的螢幕擷取畫面。

撰寫查詢

讓我們使用 AppRequests 資料表來撰寫查詢。 按兩下名稱,將其加入查詢視窗。 您也可以直接在視窗中輸入。 您甚至可以取得 IntelliSense,以協助完成目前範圍中的資料表名稱,以及 Kusto 查詢語言 (KQL) 命令。

這是我們可以撰寫的最簡單查詢, 只會傳回資料表中的所有記錄。 您可以選取 [ 執行 ] 按鈕,或選取 [Shift + Enter],將游標放在查詢文字中的任意位置來執行它。

顯示查詢結果的螢幕擷取畫面。

您可以看到系統跑出了一些結果。 查詢傳回的記錄數目會出現在右下角。

篩選查詢結果

讓我們在查詢中新增篩選,以減少傳回的記錄數目。 選取左窗格中的 [ 篩選 ] 索引標籤。 此索引標籤會顯示查詢結果中的資料行,讓您可以用來篩選結果。 這些資料行中的最上方值會以具有該值的記錄數目來顯示。 選取 [ ResultCode] 底下的 [ 200 ],然後選取 [套用 & 執行]。

顯示 [查詢] 窗格的螢幕擷取畫面。

使用您選取的值,將 where 語句加入至查詢。 結果現在只會包含具有該值的記錄,因此您可以看到記錄計數已減少。

顯示已篩選查詢結果的螢幕擷取畫面。

時間範圍

Log Analytics 工作區中的所有資料表都有一個稱為 TimeGenerated 的資料行,這是建立記錄的時間。 所有查詢都有時間範圍,可將結果限制在該範圍內具有 TimeGenerated 值的記錄。 您可以使用畫面頂端的選取器,來設定查詢中的時間範圍。

根據預設,查詢會傳回過去24小時內的記錄。 您應該會在這裡看到一則訊息,指出我們沒有看到所有的結果。 這是因為 Log Analytics 最多可傳回30000筆記錄,而我們的查詢傳回的記錄數目超過該記錄。 選取 [ 時間範圍 ] 下拉式清單,然後將值變更為 [ 12 小時]。 選取 [ 執行 ] 以傳回結果。

顯示時間範圍的螢幕擷取畫面。

多個查詢條件

讓我們藉由新增另一個篩選準則,進一步縮減結果。 查詢可以包含任意數目的篩選準則,完全以您理想的記錄集為目標。 選取 [名稱] 底下的 [取得首頁/索引],然後選取 [套用 & 執行]。

顯示具有多個篩選準則之查詢結果的螢幕擷取畫面。

分析結果

除了協助您撰寫和執行查詢以外,Log Analytics 還提供解讀結果的功能。 首先,展開記錄以檢視所有資料行的值。

顯示展開記錄的螢幕擷取畫面。

選取任何資料行的名稱,以依據該資料行來排序結果。 選取其旁邊的篩選圖示,以提供篩選條件。 這類似于將篩選準則新增至查詢本身,不過,如果再次執行查詢,則會清除此篩選準則。 如果要快速分析一組記錄做=作為互動式分析的一部分,請使用這個方法。

例如,設定 DurationMs 資料行的篩選,將記錄限制為超過 100 毫秒的記錄。

顯示查詢結果篩選的螢幕擷取畫面。

您可以根據特定資料行將記錄分組,而不用篩選結果。 清除您剛才建立的篩選,然後開啟 [群組資料 ] 切換。

顯示開啟資料行群組的螢幕擷取畫面。

將 [ Url ] 資料行拖曳到群組資料列中。 結果現在會依據該資料行組織,您可以摺疊每個群組,以協助您分析。

顯示查詢結果分組的螢幕擷取畫面。

使用圖表

讓我們看看使用可在圖表中查看之數值資料的查詢。 我們不會建立查詢,而是選取範例查詢。

選取左窗格上的 [ 查詢 ]。 此窗格包含您可以新增至查詢視窗的範例查詢。 如果您使用自己的工作區,您應該有多個類別中的各種查詢。 如果您是使用示範環境,您可能只會看到單一 Log Analytics 工作區 類別。 展開以檢視類別中的查詢。

在 [應用程式] 類別中,選取名為 [函數錯誤率] 的查詢。 此步驟會將查詢加入至查詢視窗。 請注意,新的查詢會以空白行分隔。 KQL 中的查詢會在遇到空白行時結束,因此會被視為個別的查詢。

顯示新查詢的螢幕擷取畫面。

游標所在位置表示目前的查詢。 您可以看到第一個查詢已反白顯示,表示它是目前的查詢。 按一下新查詢中的任何位置來選取它,然後選取 [ 執行 ] 按鈕來執行它。

顯示查詢結果資料表的螢幕擷取畫面。

若要在圖形中查看結果,請選取 [結果] 窗格上的 [ 圖表 ]。 請注意,有各種不同的選項可用來處理圖表,例如將它變更為另一種類型。

顯示查詢結果圖表的螢幕擷取畫面。

下一步

現在您已瞭解如何使用 Log Analytics,請完成使用記錄查詢的教學課程: