Obor a časový rozsah dotazů na protokoly ve službě Azure Monitor Log Analytics
Když spustíte dotaz protokolu v Log Analytics na webu Azure Portal, sada dat vyhodnocených dotazem závisí na rozsahu a časovém rozsahu, který vyberete. Tento článek popisuje rozsah a časový rozsah a způsob nastavení jednotlivých v závislosti na vašich požadavcích. Popisuje také chování různých typů oborů.
Požadována oprávnění
Musíte mít Microsoft.OperationalInsights/workspaces/query/*/read oprávnění k pracovním prostorům služby Log Analytics, které dotazujete, jak poskytuje integrovaná role Čtenář log Analytics, například.
Rozsah dotazu
Obor dotazu definuje záznamy, které dotaz vyhodnotí. Tato definice obvykle zahrnuje všechny záznamy v jednom pracovním prostoru služby Log Analytics nebo v aplikaci Přehledy aplikace. Log Analytics také umožňuje nastavit obor pro konkrétní monitorovaný prostředek Azure. To umožňuje vlastníkovi prostředku zaměřit se pouze na data, i když tento prostředek zapisuje do více pracovních prostorů.
Obor se vždy zobrazí v levém horním rohu okna Log Analytics. Ikona označuje, jestli je obor pracovním prostorem služby Log Analytics nebo aplikací Přehledy aplikace. Žádná ikona značí jiný prostředek Azure.
Metoda, kterou používáte ke spuštění Log Analytics, určuje obor a v některých případech můžete obor změnit kliknutím na něj. V následující tabulce jsou uvedeny různé typy použitého oboru a různé podrobnosti pro každý z nich.
Důležité
Pokud používáte aplikaci založenou na pracovním prostoru v aplikaci Přehledy, uloží se její data do pracovního prostoru služby Log Analytics se všemi ostatními daty protokolu. Kvůli zpětné kompatibilitě získáte klasické prostředí Přehledy aplikací, když jako obor vyberete aplikaci. Pokud chcete zobrazit tato data v pracovním prostoru služby Log Analytics, nastavte obor na pracovní prostor.
| Rozsah dotazu | Záznamy v oboru | Jak vybrat | Změna oboru |
|---|---|---|---|
| Pracovní prostor služby Log Analytics | Všechny záznamy v pracovním prostoru služby Log Analytics | V nabídce služby Azure Monitor nebo v nabídce pracovních prostorů služby Log Analytics vyberte protokoly. | Rozsah lze změnit na jakýkoli jiný typ prostředku. |
| Aplikace Přehledy aplikace | Všechny záznamy v aplikaci Přehledy aplikace. | V nabídce Přehledy aplikace vyberte Protokoly. | Rozsah lze změnit pouze na jinou aplikaci Přehledy aplikace. |
| Skupina prostředků | Záznamy vytvořené všemi prostředky ve skupině prostředků Může zahrnovat data z více pracovních prostorů služby Log Analytics. | V nabídce skupiny prostředků vyberte Protokoly . | Obor nelze změnit. |
| Předplatné | Záznamy vytvořené všemi prostředky v předplatném Může zahrnovat data z více pracovních prostorů služby Log Analytics. | V nabídce předplatného vyberte Protokoly . | Obor nelze změnit. |
| Další prostředky Azure | Záznamy vytvořené prostředkem Může zahrnovat data z více pracovních prostorů služby Log Analytics. | V nabídce prostředků vyberte Protokoly . NEBO V nabídce Azure Monitor vyberte protokoly a pak vyberte nový obor. |
Rozsah lze změnit pouze na stejný typ prostředku. |
Omezení v rozsahu na prostředek
Pokud je oborem dotazu pracovní prostor služby Log Analytics nebo aplikace Přehledy aplikace, jsou k dispozici všechny možnosti na portálu a všechny příkazy dotazu. Pokud je však vymezený na prostředek, následující možnosti na portálu nejsou k dispozici, protože jsou přidružené k jednomu pracovnímu prostoru nebo aplikaci:
- Uložení
- Průzkumník dotazů
- Nové pravidlo upozornění
V dotazu nemůžete použít následující příkazy, pokud jsou vymezeny na prostředek, protože obor dotazu již obsahuje všechny pracovní prostory s daty pro daný prostředek nebo sadu prostředků:
Omezení rozsahu dotazů
Nastavení rozsahu na prostředek nebo sadu prostředků je výkonnou funkcí Log Analytics, protože umožňuje automaticky konsolidovat distribuovaná data v jednom dotazu. Může to výrazně ovlivnit výkon, i když pokud je potřeba data načíst z pracovních prostorů napříč několika oblastmi Azure.
Log Analytics pomáhá chránit před nadměrnou režií před dotazy, které zahrnují pracovní prostory ve více oblastech, tím, že při použití určitého počtu oblastí zobrazí upozornění nebo chybu. Dotaz obdrží upozornění, pokud obor zahrnuje pracovní prostory v 5 nebo více oblastech. bude pořád spuštěný, ale dokončení může trvat příliš dlouho.
Dotaz bude zablokovaný, pokud obor zahrnuje pracovní prostory ve 20 nebo více oblastech. V takovém případě se zobrazí výzva, abyste snížili počet oblastí pracovního prostoru a pokusili se dotaz spustit znovu. V rozevíracím seznamu se zobrazí všechny oblasti v oboru dotazu a před opětovným pokusem o opětovné spuštění dotazu byste měli snížit počet oblastí.
Časový rozsah
Časový rozsah určuje sadu záznamů, které se vyhodnocují pro dotaz na základě doby vytvoření záznamu. Ten je definován sloupcem TimeGenerated u každého záznamu v pracovním prostoru nebo aplikaci, jak je uvedeno v následující tabulce. U klasické aplikace Přehledy aplikace se pro časový rozsah používá sloupec časového razítka.
Časový rozsah nastavte tak, že ho vyberete z časového výběru v horní části okna Log Analytics. Můžete vybrat předdefinované období nebo můžete vybrat možnost Vlastní a zadat konkrétní časový rozsah.
Pokud nastavíte filtr v dotazu, který používá standardní časový sloupec, jak je znázorněno v tabulce výše, výběr času se změní na Nastavit v dotazu a výběr času je zakázaný. V tomto případě je nejúčinnější vložit filtr do horní části dotazu, aby jakékoli následné zpracování fungovalo jenom s filtrovanými záznamy.
Pokud k načtení dat z jiného pracovního prostoru nebo klasické aplikace použijete příkaz pracovního prostoru nebo aplikace , může se výběr času chovat jinak. Pokud je oborem pracovní prostor služby Log Analytics a používáte aplikaci, nebo pokud se jedná o klasickou aplikaci aplikace Přehledy a používáte pracovní prostor, nemusí služba Log Analytics pochopit, že sloupec použitý ve filtru by měl určit časový filtr.
V následujícím příkladu je obor nastavený na pracovní prostor služby Log Analytics. Dotaz používá pracovní prostor k načtení dat z jiného pracovního prostoru služby Log Analytics. Výběr času se změní na Nastavit v dotazu , protože uvidí filtr, který používá očekávaný sloupec TimeGenerated .
Pokud dotaz používá aplikaci k načtení dat z klasické aplikace Přehledy aplikace, log Analytics nerozpozná sloupec časového razítka ve filtru a výběr času zůstane beze změny. V tomto případě se použijí oba filtry. V tomto příkladu se do dotazu zahrnou jenom záznamy vytvořené za posledních 24 hodin, i když v klauzuli where určuje 7 dnů.
Další kroky
- Projděte si kurz použití Log Analytics na webu Azure Portal.
- Projděte si kurz psaní dotazů.