Protokollabfragen in Azure Monitor

Azure Monitor-Protokolle basieren auf Azure Data Explorer, und Protokollabfragen werden in der Abfragesprache Kusto (Kusto Query Language, KQL) geschrieben. Hierbei handelt es sich um eine umfangreiche Sprache, die einfach zu lesen und zu verwenden ist, sodass Sie nach einer grundlegenden Einarbeitung mit dem Schreiben von Abfragen beginnen können.

Abfragen werden beispielsweise in den folgenden Bereichen in Azure Monitor verwendet:

  • Log Analytics: Das primäre Tool im Azure-Portal zum Bearbeiten von Protokollabfragen und interaktiven Analysieren von deren Ergebnissen. Auch wenn Sie an anderer Stelle in Azure Monitor eine Protokollabfrage verwenden möchten, schreiben und testen Sie diese normalerweise in Log Analytics, bevor Sie sie an den endgültigen Speicherort kopieren.
  • Protokollwarnungsregeln: Proaktives Identifizieren von Problemen anhand von Daten in Ihrem Arbeitsbereich. Jede Warnungsregel basiert auf einer Protokollabfrage, die in regelmäßigen Abständen automatisch ausgeführt wird. Die Ergebnisse werden überprüft, um zu ermitteln, ob eine Warnung erstellt werden soll.
  • Arbeitsmappen: Einfügen der Ergebnisse von Protokollabfragen mithilfe verschiedener Visualisierungen in interaktiven visuellen Berichten im Azure-Portal.
  • Azure-Dashboards: Anheften der Ergebnisse beliebiger Abfragen in einem Azure-Dashboard, wodurch Protokoll- und Metrikdaten gemeinsam visualisiert und optional mit anderen Azure-Benutzern geteilt werden können.
  • Logic Apps: Verwenden der Ergebnisse einer Protokollabfrage in einem automatisierten Workflow mithilfe von Logic Apps.
  • PowerShell: Verwenden der Ergebnisse einer Protokollabfrage in einem PowerShell-Skript über eine Befehlszeile oder ein Azure Automation-Runbook, das „Get-AzOperationalInsightsSearchResults“ verwendet.
  • Azure Monitor-Protokolle-API. Abrufen von Protokolldaten aus dem Arbeitsbereich von einem beliebigen REST-API-Client. Die API-Anforderung enthält eine Abfrage, die für Azure Monitor ausgeführt wird, um die abzurufenden Daten zu ermitteln.
  • Azure Monitor-Abfrage-SDK. Rufen Sie Protokolldaten aus dem Arbeitsbereich über eine idiomatische Clientbibliothek für die folgenden Ökosysteme ab:

Erste Schritte

Die beste Methode für den Einstieg in das Schreiben von Protokollabfragen mithilfe von KQL bieten die verfügbaren Tutorials und Beispiele.

  • Log Analytics-Tutorial: Tutorial zur Verwendung der Funktionen von Log Analytics, dem Tool, das Sie im Azure-Portal zum Bearbeiten und Ausführen von Abfragen verwenden. Es ermöglicht zudem das Schreiben einfacher Abfragen, ohne direkt mit der Abfragesprache zu arbeiten. Wenn Sie Log Analytics bisher noch nicht verwendet haben, beginnen Sie hier, damit Sie das Tool verstehen, das Sie dann in den anderen Tutorials und Beispielen verwenden.
  • KQL-Tutorial: Einführung in grundlegende KQL-Konzepte und gängige Operatoren. Dies ist der beste Ausgangspunkt, um sich mit der Sprache selbst und der Struktur von Protokollabfragen vertraut zu machen.
  • Beispielabfragen: Beschreibung der in Log Analytics verfügbaren Beispielabfragen. Sie können die Abfragen ohne Änderungen verwenden oder als Beispiele zum Erlernen von KQL nutzen.
  • Abfragebeispiele: Beispielabfragen, die eine Vielzahl verschiedener Konzepte veranschaulichen.

Referenzdokumentation

Eine Dokumentation für KQL, einschließlich der Referenz für alle Befehle und Operatoren, ist in der Dokumentation zu Azure Data Explorer enthalten. Auch nachdem Sie sich mit der Verwendung von KQL vertraut gemacht haben, nutzen Sie die Referenz noch regelmäßig, um sich mit neuen Befehlen und Szenarien zu befassen, die Sie bisher noch nicht verwendet haben.

Sprachunterschiede

Zwar verwendet Azure Monitor dieselbe KQL wie Azure Data Explorer, doch gibt es einige Unterschiede. In der KQL-Dokumentation sind die Operatoren angegeben, die nicht von Azure Monitor unterstützt werden oder über unterschiedliche Funktionen verfügen. Azure Monitor-spezifische Operatoren sind im Azure Monitor-Inhalt dokumentiert. In den folgenden Abschnitten finden Sie eine Liste der Unterschiede zwischen den Sprachversionen zur schnellen Übersicht.

In Azure Monitor nicht unterstützte Anweisungen

In Azure Monitor nicht unterstützte Funktionen

In Azure Monitor nicht unterstützte Operatoren

In Azure Monitor nicht unterstützte Plug-Ins

Zusätzliche Operatoren in Azure Monitor

Die folgenden Operatoren unterstützen für Azure Monitor spezifische Features und stehen außerhalb von Azure Monitor nicht zur Verfügung.

Nächste Schritte