Creación de consultas de registro de Azure Monitor básicas para extraer información de los datos de registro
Puede usar las consultas de registro de Azure Monitor para extraer información de los datos de registro. La consulta es un paso importante a la hora de examinar los datos de registro que captura Azure Monitor.
En el escenario de ejemplo, el equipo de operaciones usará consultas de registro de Azure Monitor para examinar el mantenimiento del sistema.
Escritura de consultas de registro de Azure Monitor mediante Log Analytics
En Azure Portal encontrará la herramienta Log Analytics, que sirve para ejecutar consultas de ejemplo o para crear sus propias consultas:
En Azure Portal, seleccione Supervisar en el panel de menús de la izquierda.
La página de Azure Monitor aparece junto con más opciones, como Registro de actividad, Alertas, Métricas y Registros.
Seleccione Registros.
Aquí puede escribir la consulta y ver el resultado.
Escritura de consultas con el lenguaje Kusto
Se puede usar el lenguaje de consulta Kusto para consultar la información de registro de los servicios que se ejecutan en Azure. Una consulta de Kusto es una solicitud de solo lectura para procesar los datos y devolver resultados. Debe indicar la consulta en texto sin formato mediante un modelo de flujo de datos diseñado para simplificar la lectura, la escritura y la automatización de la sintaxis. La consulta usa entidades de esquema organizadas con una jerarquía similar a la de Azure SQL Database: bases de datos, tablas y columnas.
Una consulta Kusto consta de una secuencia de instrucciones de consulta, delimitada por un punto y coma (;). Al menos una instrucción es una instrucción de expresión tabular. Una instrucción de expresión tabular da formato a los datos organizados como una tabla de columnas y filas.
La sintaxis de una instrucción de expresión tabular tiene un flujo de datos tabulares de un operador de consulta tabular a otro, empezando por el origen de datos. Un origen de datos puede ser una tabla de una base de datos o un operador que genere datos. Después, los datos fluyen a través de un conjunto de operadores de transformación de datos que están enlazados con el delimitador de canalización (|).
Por ejemplo, la siguiente consulta de Kusto tiene una sola instrucción de expresión tabular. La instrucción empieza con una referencia a una tabla denominada Events. La base de datos que hospeda esta tabla está implícita aquí y forma parte de la información de conexión. Los datos de esa tabla, almacenados en filas, se filtran por el valor de la columna StartTime. Los datos se filtran aún más por el valor de la columna State. Después, la consulta devuelve el recuento de filas resultantes.
Events
| where StartTime >= datetime(2018-11-01) and StartTime < datetime(2018-12-01)
| where State == "FLORIDA"
| count
Nota:
El lenguaje de consulta Kusto que usa Azure Monitor distingue mayúsculas de minúsculas. Las palabras clave del lenguaje se suelen escribir en minúsculas. Al usar nombres de tablas o columnas en una consulta, asegúrese de usar las mayúsculas y minúsculas correctas.
Los eventos, capturados de los registros de eventos de los equipos que se están supervisando, son solo un tipo de origen de datos. Azure Monitor proporciona muchos otros tipos de orígenes de datos. Por ejemplo, el origen de datos Heartbeat informa del estado de todos los equipos que pertenecen al área de trabajo de Log Analytics. También puede capturar datos de contadores de rendimiento y actualizar registros de administración.
En el ejemplo siguiente se recupera el registro de latido más reciente de cada equipo. El equipo se identifica mediante su dirección IP. En este ejemplo, la agregación summarize con la función arg_max devuelve el registro con el valor más reciente de cada dirección IP.
Heartbeat
| summarize arg_max(TimeGenerated, *) by ComputerIP