Verwenden von Abfragen in Log Analytics

Wenn Sie Log Analytics öffnen, haben Sie Zugriff auf vorhandene Protokollabfragen. Sie können diese Abfragen entweder ohne Änderung ausführen oder als Startpunkt für Ihre eigenen Abfragen verwenden. Die verfügbaren Abfragen enthalten von Azure Monitor bereitgestellte Beispiele und von Ihrer Organisation gespeicherte Abfragen. In diesem Artikel wird beschrieben, welche Abfragen verfügbar sind und wie Sie diese suchen und verwenden können.

Erforderliche Berechtigungen

Sie müssen über Microsoft.OperationalInsights/workspaces/query/*/read-Berechtigungen für die Log Analytics-Arbeitsbereiche verfügen, die Sie abfragen, wie sie z. B. von der integrierten Log Analytics-Reader-Rolle bereitgestellt werden.

Abfrageschnittstelle

Wählen Sie Abfragen über die Abfrageschnittstelle aus, auf die Sie über zwei verschiedene Punkte in Log Analytics zugreifen können.

Dialogfeld „Abfragen“

Wenn Sie Log Analytics öffnen, wird automatisch das Dialogfeld Abfragen angezeigt. Wenn dieses Dialogfeld nicht automatisch angezeigt werden soll, deaktivieren Sie den Umschalter Abfragen immer anzeigen.

Jede Abfrage wird durch eine Karte dargestellt. Sie können die Abfragen schnell durchsuchen, um die gewünschte Abfrage zu finden. Sie können die Abfrage direkt über das Dialogfeld ausführen oder in den Abfrage-Editor laden, um Anpassungen vorzunehmen.

Sie können auch darauf zugreifen, indem Sie in der oberen rechten Ecke Abfragen auswählen.

Randleiste „Abfragen“

Sie können auch über den Bereich Abfragen auf der linken Randleiste von Log Analytics auf die Funktionen des Dialogfelds zugreifen. Zeigen Sie mit dem Mauszeiger auf den Namen einer Abfrage, um die Beschreibung und weitere Funktionen der Abfrage anzuzeigen.

Suchen und Filtern von Abfragen

Die Optionen in diesem Abschnitt sind im Dialogfeld sowie im Bereich „Abfragen“ der Seitenleiste verfügbar, jedoch mit einer etwas anderen Benutzeroberfläche.

Gruppieren nach

Ändern Sie die Gruppierung der Abfragen, indem Sie die Dropdownliste Gruppieren nach auswählen. Die Gruppierungswerte dienen außerdem als aktives Inhaltsverzeichnis. Durch Auswählen eines der Werte links im Bildschirm wird in der Ansicht Abfragen direkt zum ausgewählten Element gescrollt. Wenn Ihre Organisation Abfragepakete mit Tags erstellt hat, werden die benutzerdefinierten Tags in diese Liste aufgenommen.

Filter

Sie können die Abfragen auch nach den oben erwähnten Werten für Gruppieren nach filtern. Die Filter werden oben im Dialogfeld Beispielabfragen angezeigt.

Kombinieren von Gruppierung und Filtern

Die Filter- und Gruppierungsfunktionen können kombiniert werden. Dies bietet Flexibilität bei der Anordnung der Abfragen. Bei einer Ressourcengruppe mit mehreren Ressourcen müssen Sie die Abfragen beispielsweise nach einem bestimmten Ressourcentyp filtern und dann nach Thema anordnen.

Abfrageeigenschaften

Jede Abfrage verfügt über mehrere Eigenschaften, die Ihnen helfen, sie zu gruppieren und zu finden. Diese Eigenschaften stehen zum Sortieren und Filtern zur Verfügung. Weitere Informationen finden Sie unter Suchen und Filtern von Abfragen.

Sie können mehrere davon definieren, wenn Sie Ihre eigene Abfrage speichern. Dies sind die Eigenschaftentypen:

Query-Eigenschaft	BESCHREIBUNG
Ressourcentyp	Eine Ressource entsprechend der Definition in Azure, z. B. ein virtueller Computer. Eine vollständige Zuordnung der Azure Monitor-Protokolle und Log Analytics-Tabellen zum Ressourcentyp finden Sie in der Referenz zu Azure Monitor-Tabellen.
Category	Eine Art von Information, z. B. Sicherheit oder Überwachung. Die Kategorien sind identisch mit den Kategorien, die im Bereich „Tabellen“ der Seitenleiste definiert sind. Eine vollständige Liste der Kategorien finden Sie in der Referenz zu Azure Monitor-Tabellen.
Lösung	Eine Azure Monitor-Lösung, die mit den Abfragen verknüpft ist.
Thema	Das Thema der Beispielabfrage, z. B. Aktivitätsprotokolle oder App-Protokolle. Die Themeneigenschaft ist spezifisch für Beispielabfragen und kann sich je nach Ressourcentyp unterscheiden.
Abfragetyp	Definiert den Typ der Abfrage. Der Abfragetyp kann Beispielabfragen, Abfragepaketabfragen oder Legacyabfragen lauten.
Bezeichnungen	Benutzerdefinierte Bezeichnungen, die Sie definieren und zuweisen können, wenn Sie Ihre eigene Abfrage speichern.
Tags	Benutzerdefinierte Eigenschaften, die Sie beim Erstellen eines Abfragepakets definieren können. Mit Tags können Sie eigene Taxonomien zum Organisieren von Abfragen erstellen.

Abfrageeigenschaften anzeigen

Zeigen Sie im Bereich "Abfragen " auf der linken Randleiste von Log Analytics auf einen Abfragenamen, um dessen Eigenschaften anzuzeigen.

Favoriten

Für einen schnelleren Zugriff können Sie häufig verwendete Abfragen als Favoriten festlegen. Wählen Sie den Stern neben der Abfrage aus, um sie zu Ihren Favoriten hinzuzufügen. Zeigen Sie Ihre bevorzugten Abfragen über die Option Favoriten in der Abfrageschnittstelle an.

Abfragetypen

Die Abfrageschnittstelle wird mit den folgenden Abfragetypen aufgefüllt:

Typ	BESCHREIBUNG
Beispielabfragen	Beispielabfragen können einen direkten Einblick in eine Ressource bieten und stellen eine Möglichkeit zum Erlernen und Verwenden der Kusto-Abfragesprache (Kusto Query Language, KQL) dar. Sie können Ihnen helfen, schneller mit der Verwendung von Log Analytics zu beginnen. Es wurden mehr als 500 Beispielabfragen gesammelt und zusammengestellt, die Ihnen einen unmittelbaren Nutzen bieten sollen. Die Zahl der Beispielabfragen nimmt kontinuierlich zu.
Abfragepakete	Ein Abfragepaket enthält eine Sammlung von Protokollabfragen. Darin enthalten sind Abfragen, die Sie selbst speichern, das Standardabfragepaket und Abfragepakete, die Ihre Organisation möglicherweise im Abonnement erstellt hat. Informationen zum Anzeigen und Verwalten von Abfragepaketen finden Sie unter Anzeigen von Abfragepaketen. So fügen Sie Ihrem Log Analytics-Arbeitsbereich Abfragepakete hinzu. siehe Verwenden mehrerer Abfragepakete.
Legacy-Abfragen	Legacy-Abfragen, die zuvor im Abfrage-Explorer gespeichert wurden, gelten als Legacy-Abfragen. Legacyabfragen sind auch Abfragen, die Azure-Lösungen zugeordnet sind, die im Arbeitsbereich installiert sind. Diese Abfragen sind im Dialogfeld Abfragen unter Legacyabfragen aufgeführt.

Tipp

Legacyabfragen sind nur in einem Log Analytics-Arbeitsbereich verfügbar.

Auswirkungen des Abfragebereichs

Die Abfragen, die beim Öffnen von Log Analytics verfügbar sind, werden durch den aktuellen Abfragebereich bestimmt. Beispiel:

Abfragebereich	BESCHREIBUNG
Arbeitsbereich	Alle Beispielabfragen und Abfragen aus Abfragepaketen. Legacyabfragen im Arbeitsbereich.
Einzelne Ressource	Beispielabfragen und Abfragen aus Abfragepaketen für den Ressourcentyp.
Ressourcengruppe	Beispielabfragen und Abfragen aus Abfragepaketen für Ressourcentypen in der Ressource.

Tipp

Je mehr Ressourcen in einem Bereich enthalten sind, desto länger dauert es, bis die Abfragen im Portal gefiltert sind und im Dialogfeld Abfragen angezeigt werden.

Nächste Schritte

Erste Schritte mit Protokollabfragen in Azure Monitor