Rozsah a časový rozsah dotazů protokolu ve službě Azure Monitor Log Analytics

Při spuštění dotazu protokoluv Log Analytics v Azure Portal závisí sada dat vyhodnocených dotazem na rozsah a časový rozsah, který vyberete. Tento článek popisuje rozsah a časový rozsah a způsob nastavení jednotlivých typů v závislosti na vašich požadavcích. Popisuje také chování různých typů oborů.

Rozsah dotazu

Obor dotazu definuje záznamy, které dotaz vyhodnotí. To obvykle bude zahrnovat všechny záznamy v jednom pracovním prostoru služby Log Analytics nebo v aplikaci Přehledy aplikace. Log Analytics také umožňuje nastavit obor pro konkrétní monitorovaný prostředek Azure. To umožňuje vlastníkovi prostředku zaměřit se jenom na data, i když tento prostředek zapisuje do více pracovních prostorů.

Obor se vždy zobrazí v levém horním rohu okna Log Analytics. Ikona označuje, jestli je obor pracovním prostorem služby Log Analytics nebo aplikací Přehledy aplikací. Žádná ikona označuje jiný prostředek Azure.

Scope displayed in portal

Obor je určen metodou, kterou používáte ke spuštění Log Analytics, a v některých případech můžete změnit rozsah kliknutím na něj. Následující tabulka uvádí různé typy použitého oboru a různé podrobnosti pro každou z nich.

Důležité

Pokud používáte aplikaci založenou na pracovním prostoru v aplikaci Přehledy, uloží se její data do pracovního prostoru Služby Log Analytics se všemi ostatními daty protokolu. Pro zpětnou kompatibilitu získáte klasické prostředí Přehledy aplikací, když jako rozsah vyberete aplikaci. Pokud chcete zobrazit tato data v pracovním prostoru Log Analytics, nastavte obor na pracovní prostor.

Rozsah dotazu Záznamy v oboru Jak vybrat Změna oboru
Pracovní prostor služby Log Analytics Všechny záznamy v pracovním prostoru Log Analytics V nabídce Služby Azure Monitor nebo v nabídce pracovních prostorů Log Analytics vyberte protokoly. Rozsah může změnit na jakýkoli jiný typ prostředku.
Aplikace Přehledy aplikace Všechny záznamy v aplikaci Přehledy aplikace. V nabídce Přehledy aplikace vyberte protokoly. Obor lze změnit pouze na jinou aplikaci Přehledy aplikace.
Skupina prostředků Záznamy vytvořené všemi prostředky ve skupině prostředků Může zahrnovat data z více pracovních prostorů Log Analytics. V nabídce skupiny prostředků vyberte protokoly . Obor nelze změnit.
Předplatné Záznamy vytvořené všemi prostředky v předplatném Může zahrnovat data z více pracovních prostorů Log Analytics. V nabídce předplatného vyberte Protokoly . Obor nelze změnit.
Další prostředky Azure Záznamy vytvořené prostředkem Může zahrnovat data z více pracovních prostorů Log Analytics. V nabídce prostředků vyberte Protokoly .
NEBO
V nabídce Azure Monitor vyberte protokoly a pak vyberte nový obor.
Obor lze změnit pouze na stejný typ prostředku.

Omezení v rozsahu prostředku

Pokud je obor dotazu pracovní prostor služby Log Analytics nebo aplikace Přehledy aplikace, jsou k dispozici všechny možnosti na portálu a všechny příkazy dotazů. Pokud je ale prostředek vymezený, následující možnosti na portálu nejsou k dispozici, protože jsou přidružené k jednomu pracovnímu prostoru nebo aplikaci:

  • Uložit
  • Průzkumník dotazů
  • Nové pravidlo upozornění

Následující příkazy v dotazu nemůžete použít, pokud je vymezený na prostředek, protože obor dotazu už bude obsahovat všechny pracovní prostory s daty pro daný prostředek nebo sadu prostředků:

Omezení rozsahu dotazů

Nastavení rozsahu na prostředek nebo sadu prostředků je zvlášť výkonná funkce Služby Log Analytics, protože umožňuje automaticky konsolidovat distribuovaná data v jednom dotazu. Může to výrazně ovlivnit výkon, i když je potřeba data načíst z pracovních prostorů v několika oblastech Azure.

Log Analytics pomáhá chránit před nadměrnou režií před dotazy, které se nacházejí v pracovních prostorech ve více oblastech, tím, že při použití určitého počtu oblastí zobrazí upozornění nebo chybu. Dotaz obdrží upozornění, pokud obor obsahuje pracovní prostory ve 5 nebo více oblastech. bude stále spuštěn, ale dokončení může trvat příliš dlouho.

Query warning

Dotaz bude zablokovaný, pokud obor zahrnuje pracovní prostory ve 20 nebo více oblastech. V takovém případě se zobrazí výzva ke snížení počtu oblastí pracovního prostoru a pokusu o opětovné spuštění dotazu. V rozevíracím seznamu se zobrazí všechny oblasti v oboru dotazu a před dalším pokusem o spuštění dotazu byste měli snížit počet oblastí.

Query failed

Časové rozmezí

Časový rozsah určuje sadu záznamů, které se vyhodnocují pro dotaz na základě vytvoření záznamu. To je definováno sloupcem TimeGenerated u každého záznamu v pracovním prostoru nebo aplikaci, jak je uvedeno v následující tabulce. U klasické aplikace Přehledy aplikace se pro časový rozsah používá sloupec časového razítka.

Časový rozsah nastavte tak, že ho vyberete z časového výběru v horní části okna Log Analytics. Můžete vybrat předdefinované období nebo vybrat Vlastní a určit konkrétní časový rozsah.

Time picker

Pokud nastavíte filtr v dotazu, který používá standardní časový sloupec, jak je znázorněno v tabulce výše, změní se výběr času na Nastavit v dotazu a výběr času je zakázaný. V tomto případě je nejúčinnější vložit filtr do horní části dotazu, aby veškeré následné zpracování fungovalo jenom s filtrovanými záznamy.

Filtered query

Pokud použijete příkaz pracovního prostoru nebo aplikace k načtení dat z jiného pracovního prostoru nebo klasické aplikace, může se výběr času chovat jinak. Pokud je obor pracovním prostorem služby Log Analytics a používáte aplikaci, nebo pokud je obor klasickou aplikací Přehledy aplikací a používáte pracovní prostor, nemusí Log Analytics pochopit, že sloupec použitý ve filtru by měl určit časový filtr.

V následujícím příkladu je obor nastavený na pracovní prostor Služby Log Analytics. Dotaz používá pracovní prostor k načtení dat z jiného pracovního prostoru Služby Log Analytics. Výběr času se změní na Nastavit v dotazu , protože uvidí filtr, který používá očekávaný sloupec TimeGenerated .

Query with workspace

Pokud dotaz používá aplikaci k načtení dat z klasické aplikace Přehledy aplikace, Log Analytics nerozpozná sloupec časového razítka ve filtru a výběr času zůstane beze změny. V tomto případě se použijí oba filtry. V tomto příkladu se do dotazu zahrnou jenom záznamy vytvořené za posledních 24 hodin, i když v klauzuli where určuje 7 dní.

Query with app

Další kroky