Übersicht über Log Analytics in Azure Monitor
Log Analytics ist ein Tool im Azure-Portal, mit dem Protokollabfragen für Daten im Azure Monitor-Protokollspeicher bearbeitet und ausgeführt werden.
Sie können eine einfache Abfrage schreiben, die eine Reihe von Datensätzen zurückgibt, und dann Funktionen von Log Analytics zum Sortieren, Filtern und Analysieren verwenden. Sie können auch eine erweiterte Abfrage schreiben, um eine statistische Analyse durchzuführen und die Ergebnisse in einem Diagramm zu visualisieren, und auf diese Weise einen bestimmten Trend erkennen.
Unabhängig davon, ob Sie die Ergebnisse Ihrer Abfragen interaktiv verwenden oder mit anderen Azure Monitor-Funktionen wie Protokollsuchwarnungen oder Arbeitsmappen nutzen, ist Log Analytics das Tool, das Sie zum Schreiben und Testen der Abfragen verwenden.
Tipp
Dieser Artikel beschreibt Log Analytics und die zugehörigen Funktionen. Wenn Sie direkt mit einem Tutorial fortfahren möchten, wechseln Sie zum Log Analytics-Tutorial.
Hier finden Sie eine Videoversion dieses Tutorials:
Starten von Log Analytics
Um Log Analytics im Azure-Portal zu starten, wählen Sie im Menü Azure Monitor-Menü die Option Protokolle aus. Diese Option wird auch im Menü für die meisten Azure-Ressourcen angezeigt. Unabhängig davon, wo Sie Log Analytics starten, ist das Tool immer das gleich. Das Menü, das Sie zum Starten von Log Analytics verwenden, bestimmt jedoch die jeweils verfügbaren Daten.
Wenn Sie das Tool über das Menü Azure Monitor oder das Menü Log Analytics-Arbeitsbereiche starten, besitzen Sie Zugriff auf alle Datensätze in einem Arbeitsbereich. Wenn Sie Protokolle aus einen anderen Ressourcentyp auswählen, sind die Daten auf die Protokolldaten für diese Ressource beschränkt. Weitere Informationen finden Sie unter Protokollabfragebereich und Zeitbereich in Azure Monitor Log Analytics.
Wenn Sie Log Analytics starten, wird ein Dialogfeld angezeigt, das Beispielabfragen enthält. Die Abfragen sind nach Lösung kategorisiert. Durchsuchen Sie die Abfragen, oder suchen Sie nach Abfragen, die Ihren Anforderungen entsprechen. Möglicherweise finden Sie eine Abfrage, die genau die Aufgaben erledigt, die Sie benötigen. Sie können auch eine Abfrage in den Editor laden und nach Bedarf ändern. Das Durchsuchen von Beispielabfragen ist eine gute Möglichkeit, um das Schreiben eigener Abfragen zu erlernen.
Wenn Sie mit einem leeren Skript beginnen und die Abfrage selbst schreiben möchten, können Sie die Beispielabfragen schließen. Wählen Sie am oberen Bildschirmrand Abfragen aus, wenn Sie diese wieder anzeigen möchten.
Log Analytics-Benutzeroberfläche
Die folgende Abbildung zeigt die vier Log Analytics-Komponenten. Diese vier Log Analytics-Komponenten sind:
Obere Aktionsleiste
Die obere Leiste weist Steuerelemente zum Arbeiten mit der Abfrage im Abfragefenster auf.
| Option | BESCHREIBUNG |
|---|---|
| `Scope` | Gibt den für die Abfrage verwendeten Bereich von Daten an. Dabei kann es sich um alle Daten in einem Log Analytics-Arbeitsbereich oder um Daten für eine bestimmte Ressource in mehreren Arbeitsbereichen handeln. Informationen finden Sie unter Abfragebereich. |
| Schaltfläche „Ausführen“ | Führen Sie die ausgewählte Abfrage im Abfragefenster aus. Sie können auch UMSCHALT+EINGABETASTE drücken, um eine Abfrage auszuführen. |
| Zeitauswahl | Wählen Sie den Zeitraum für die Daten aus, die für die Abfrage zur Verfügung stehen. Diese Aktion wird überschrieben, wenn Sie einen Zeitfilter in die Abfrage einschließen. Weitere Informationen finden Sie unter Protokollabfragebereich und Zeitbereich in Azure Monitor Log Analytics. |
| Schaltfläche „Speichern“ | Speichern Sie die Abfrage in einem Abfragepaket. Gespeicherte Abfragen können hier aufgerufen werden:
|
| Schaltfläche freigeben | Kopieren Sie einen Link für die Abfrage, den Abfragetext oder die Abfrageergebnisse in die Zwischenablage. |
| Schaltfläche „Neue Warnungsregel“ | Öffnen Sie die Seite „Warnungsregel erstellen“. Hier können Sie eine Warnungsregel erstellen, die den Warnungstyp Protokollsuchwarnung hat. Beim Öffnen der Seite ist die Registerkarte Bedingungen ausgewählt und Ihre Abfrage wird im Feld Suchabfrage eingefügt. |
| Schaltfläche "Exportieren" | Exportieren Sie die Ergebnisse der Abfrage in eine CSV-Datei oder die Abfrage zur Verwendung mit Power BI in das Power Query Formula Language-Format. |
| Schaltfläche „Anheften an“ | Heften Sie die Ergebnisse der Abfrage an ein Azure-Dashboard an, oder fügen Sie sie einer Azure-Arbeitsmappe hinzu. |
| Schaltfläche „Abfrage formatieren“ | Ordnen Sie den ausgewählten Text zur besseren Lesbarkeit an. |
| Suchauftragsmodus-Umschalter | Führen Sie Suchaufträge aus. |
| Schaltfläche „Abfragen“ | Öffnen Sie das Dialogfeld Abfragen, das Zugriff auf gespeicherte Abfragen im Arbeitsbereich bietet. |
Linke Randleiste
Die Randleiste auf der linken Seite enthält eine Liste der Tabellen im Arbeitsbereich, Beispielabfragen, Funktionen und Filteroptionen für die aktuelle Abfrage.
| Tab | BESCHREIBUNG |
|---|---|
| Tabellen | Listet die Tabellen auf, die Teil des ausgewählten Bereichs sind. Wählen Sie Gruppieren nach aus, um die Gruppierung der Tabellen zu ändern. Zeigen Sie auf einen Tabellennamen, um ein Dialogfeld mit einer Beschreibung der Tabelle und Optionen zum Anzeigen der zugehörigen Dokumentation sowie eine Vorschau der Daten anzuzeigen. Erweitern Sie eine Tabelle, um die zugehörigen Spalten anzuzeigen. Doppelklicken Sie auf einen Tabellen- oder Spaltennamen, um ihn der Abfrage hinzuzufügen. |
| Abfragen | Liste der Beispielabfragen, die Sie im Abfragefenster öffnen können. Diese Liste ist die gleiche Liste, die beim Öffnen von Log Analytics angezeigt wird. Wählen Sie Gruppieren nach aus, um die Gruppierung der Abfragen zu ändern. Doppelklicken Sie auf eine Abfrage, um sie dem Abfragefenster hinzuzufügen, oder zeigen Sie darauf, um weitere Optionen anzuzeigen. |
| Funktionen | Listet die Funktionen im Arbeitsbereich auf. |
| Filter | Erstellt Filteroptionen basierend auf den Ergebnissen einer Abfrage. Nachdem Sie eine Abfrage ausgeführt haben, werden Spalten mit unterschiedlichen Werten aus den Ergebnissen angezeigt. Wählen Sie mindestens einen Wert aus und gehen Sie dann auf Anwenden und ausführen, um der Abfrage einen where-Befehl hinzuzufügen und sie erneut auszuführen. |
Neues Abfragefenster
Das Abfragefenster dient zum Bearbeiten der Abfrage. IntelliSense wird für KQL-Befehle verwendet, und Farbcodierung verbessert die Lesbarkeit. Wählen Sie oben im Fenster + aus, um eine weitere Registerkarte zu öffnen.
Ein einzelnes Fenster kann mehrere Abfragen enthalten. Da eine Abfrage keine leeren Zeilen enthalten darf, können Sie mehrere Abfragen in einem Fenster mithilfe einer oder mehrerer leerer Zeilen voneinander trennen. Die aktuelle Abfrage ist die, in der sich der Cursor an einer beliebigen Stelle befindet.
Wenn Sie die aktuelle Abfrage ausführen möchten, wählen Sie die Schaltfläche Ausführen aus, oder wählen Sie UMSCHALT+EINGABETASTE aus.
Ergebnisfenster
Die Ergebnisse einer Abfrage werden im Ergebnisfenster angezeigt. Standardmäßig werden die Ergebnisse in Tabellenform dargestellt. Wenn Sie die Ergebnisse als Diagramm anzeigen möchten, wählen Sie Diagramm im Ergebnisfenster aus. Sie können Ihrer Abfrage auch einen render-Befehl hinzufügen.
Ergebnisse (Ansicht)
Die Ergebnisansicht zeigt Abfrageergebnisse in einer Tabelle nach Spalten und Zeilen geordnet an. Klicken Sie links neben einer Zeile, um deren Werte zu erweitern. Klicken Sie auf das Dropdownmenü Spalten, um die Liste der Spalten zu ändern. Sortieren Sie die Ergebnisse, indem Sie einen Spaltennamen auswählen. Filtern Sie die Ergebnisse, indem Sie auf den Trichter neben einem Spaltennamen klicken. Löschen Sie die Filter, und setzen Sie die Sortierung zurück, indem Sie die Abfrage erneut ausführen.
Wählen Sie Spalten gruppieren aus, um die Gruppierungsleiste über den Abfrageergebnissen anzuzeigen. Gruppieren Sie die Ergebnisse nach einer beliebigen Spalte, indem Sie sie auf die Leiste ziehen. Erstellen Sie geschachtelte Gruppen in den Ergebnissen, indem Sie weitere Spalten hinzufügen.
Diagrammansicht
Die Diagrammansicht stellt die Ergebnisse in einem der verfügbaren Diagrammtypen dar. Sie können den Diagrammtyp in einem Befehl render in Ihrer Abfrage angeben. Sie können sie auch aus der Dropdownliste Visualisierungstyp auswählen.
| Option | BESCHREIBUNG |
|---|---|
| Visualisierungstyp | Der Typ des anzuzeigenden Diagramms. |
| X-Achse | Die Spalte in den Ergebnissen, die als X-Achse verwendet werden soll. |
| Y-Achse | Die Spalte in den Ergebnissen, die als Y-Achse verwendet werden soll. In der Regel handelt es sich um eine numerische Spalte. |
| Aufteilen nach | Die Spalte in den Ergebnissen, die die Reihen im Diagramm definiert. Eine Reihe wird für jeden Wert in der Spalte erstellt. |
| Aggregation | Der Aggregationstyp, der für die numerischen Werte auf der Y-Achse durchgeführt werden soll. |
Beziehung zu Azure Data Explorer
Wenn Sie bereits mit der Azure Data Explorer-Webbenutzeroberfläche gearbeitet haben, sollte Ihnen Log Analytics bekannt vorkommen. Der Grund dafür ist, dass Log Analytics auf Azure Data Explorer basiert und die gleiche Kusto-Abfragesprache verwendet.
Log Analytics fügt Azure Monitor-spezifische Funktionen hinzu, z. B. das Filtern nach Zeitbereich und die Möglichkeit, eine Warnungsregel aus einer Abfrage zu erstellen. Beide Tools enthalten einen Explorer, mit dem Sie die Struktur der verfügbaren Tabellen durchsuchen können. Die Webbenutzeroberfläche von Azure Data Explorer arbeitet hauptsächlich mit Tabellen in Azure Data Explorer-Datenbanken. Log Analytics arbeitet mit Tabellen in einem Log Analytics-Arbeitsbereich.
Nächste Schritte
- Weitere Informationen erhalten Sie im Tutorial zum Verwenden von Log Analytics im Azure-Portal.
- Weitere Informationen erhalten Sie im Tutorial zum Schreiben von Abfragen.