在 Azure 監視器 Log Analytics 中使用查詢

當您開啟 Log Analytics 時,就可以存取現有的記錄查詢。 您可以在不修改的情況下執行這些查詢,也可以使用它們做為您自己的查詢起點。 可用的查詢包括由您的組織儲存 Azure 監視器和查詢所提供的範例。 本文說明可用的查詢,以及您可以如何探索和使用這些查詢。

查詢介面

從 Log Analytics 中兩個不同位置提供的查詢介面中選取查詢。

查詢對話方塊

當您開啟 Log Analytics 時,會自動顯示 [ 查詢 ] 對話方塊。 如果您不想要自動顯示這個對話方塊,請關閉 [ 永遠顯示查詢 ] 參數。

查詢畫面

每個查詢都是以卡片表示。 您可以快速掃描查詢以找出所需的內容。 您可以直接從對話方塊執行查詢,或選擇將它載入至查詢編輯器進行修改。

您也可以在 查詢 的畫面右上方按一下來存取它。

查詢按鈕

查詢提要欄位

您可以從 Log Analytics 左側提要欄位的 [查詢] 窗格存取相同的對話體驗功能。 您可以將滑鼠停留在查詢名稱上,以取得查詢描述和其他功能。

查詢提要欄位

尋找和篩選查詢

此區段中的選項適用于對話方塊和側邊欄查詢體驗,但使用的使用者介面稍有不同。

群組依據

按一下 [ 分組方式 ] 下拉式清單,以變更查詢的群組。 群組值也可作為活動目錄。 按一下畫面左側的其中一個值,就會將查詢檢視向右滾動至按下的專案。 如果您的組織已建立具有標記的查詢套件,則此清單中會包含自訂標記。

範例查詢畫面 groupby

篩選

您也可以根據稍早所述的「 群組依據 」值來篩選查詢。 在範例查詢對話方塊中,會在頂端找到篩選。

範例查詢螢幕篩選

組合分組依據和篩選

篩選和分組依據功能的設計目的是要以串聯方式運作。 它們提供查詢相片順序的彈性。 例如,如果您使用具有多個資源的資源群組,您可能會想要向下篩選至特定的資源類型,並依主題排列產生的查詢。

查詢屬性

每個查詢都有多個屬性,可協助您分組和尋找它們。 這些屬性可用於排序和篩選,而且您可以在 儲存自己的查詢時定義其中幾個屬性。 屬性的類型為:

  • 資源類型 – Azure 中定義的資源,例如虛擬機器。 如需 Azure 監視器 Logs/Log Analytics 資料表與資源類型的完整對應,請參閱 Azure 監視器資料表參考
  • Category安全性Audit 等資訊類型。 類別與 [資料表] 側邊窗格中定義的類別相同。 如需完整的類別清單,請參閱 Azure 監視器資料表參考
  • 解決方案 -與查詢相關聯的 Azure 監視器方案
  • 主題 -範例查詢的主題,例如 活動記錄應用程式記錄。 主題屬性對範例查詢而言是唯一的,而且可能會根據特定的資源類型而有所不同。
    • 查詢類型 -定義查詢的類型。 查詢類型可能是範例查詢、查詢套件查詢或舊版查詢
  • 標籤 -當您 儲存自己的查詢時,可以定義和指派的自訂標籤。
  • 標記 -當您 建立查詢套件時可定義的自訂屬性。 標記可讓您的組織建立自己的分類來組織查詢。

我的最愛

您最常用的查詢可讓您快速存取。 按一下查詢旁的星號,將它新增至 [我的最愛]。 從查詢介面中的 [我的最愛 ] 選項,查看您最愛的查詢。

查詢類型

查詢介面會填入下列查詢類型:

範例查詢: 範例查詢可提供資源的即時深入解析,並提供良好的方式來開始學習和使用 KQL,進而縮短開始使用 Log Analytics 所需的時間。 我們已收集並策劃超過500個範例查詢,其設計目的是要提供您立即的價值,而這幾個範例查詢會持續成長。

查詢套件:查詢套件會保存一組記錄查詢,包括您自行儲存的查詢。 這包括 預設查詢套件 ,以及您的組織可能已在訂用帳戶中建立的任何其他查詢套件。

舊版查詢: 先前儲存在 query explorer 體驗中的記錄查詢,會查詢工作區中安裝的 Azure 解決方案。 這些會列在 [查詢] 對話方塊的 [ 舊版查詢] 下。

提示

舊版 Quereis 只會可用在 Log Analytics 工作區中。

查詢範圍的效果

當您開啟 Log Analytics 時,可使用的查詢取決於目前的 查詢範圍

  • 針對 工作區 –查詢套件中的所有查詢和查詢範例。 工作區中的舊版查詢。
  • 針對 單一資源 –來自資源類型之查詢套件的查詢和查詢範例。
  • 針對 資源群組 -資源群組中資源類型的查詢套件查詢和查詢範例。

提示

範圍中的資源越多,入口網站篩選和顯示查詢對話方塊的時間就越長。

後續步驟

開始使用 KQL 查詢