Requêtes de journal dans Azure Monitor
Azure Monitor Logs repose sur Azure Data Explorer, et les requêtes de journal sont écrites à l’aide du même langage de requête Kusto (KQL). Ce langage riche est conçu pour être facile à lire et écrire. Vous pourrez donc commencer écrire des requêtes avec un minimum de conseils.
Dans Azure Monitor, les domaines dans lesquels vous allez utiliser des requêtes sont les suivants :
- Log Analytics: utilisez cet outil principal dans le Portail Azure pour modifier les requêtes de journal et analyser leurs résultats de manière interactive. Même si vous envisagez d’utiliser une requête de journal ailleurs dans Azure Monitor, vous l’écrirez et la testerez généralement dans Log Analytics avant de la copier dans son emplacement final.
- Règles d’alerte de recherche dans les journaux: identifient de façon proactive les problèmes à partir des données dans votre espace de travail. Chaque règle d’alerte est basée sur une requête dans les journaux qui est exécutée automatiquement à intervalles réguliers. Les résultats sont inspectés pour déterminer si une alerte doit être créée.
- Classeurs: Incluez les résultats des requêtes de journal en utilisant différentes visualisations dans les rapports visuels interactifs du portail Azure.
- Tableaux de bord Azure : Vous pouvez épingler les résultats de n’importe quelle requête dans un tableau de bord Azure afin de visualiser les données de journal et les métriques ensemble et de partager ces informations avec d’autres utilisateurs Azure si vous le souhaitez.
- Azure Logic Apps: Utilisez les résultats d’une requête de journal dans un workflow automatisé à l’aide du workflow d’application logique.
- PowerShell: Utilisez les résultats d’une requête de journal dans un script PowerShell à partir d’une ligne de commande ou d’un runbook Azure Automation qui utilise
Invoke-AzOperationalInsightsQuery
. - API Requête Log Analytics : récupérez les données de journal de l’espace de travail de n’importe quel client d’API REST. La demande API comprend une requête qui est exécutée sur Azure Monitor pour déterminer les données à récupérer.
- Bibliothèques clientes de requêtes Azure Monitor : récupérez les données de journal de l’espace de travail via une bibliothèque cliente idiomatique pour les écosystèmes suivants :
-
Pour obtenir un exemple d’implémentation de la bibliothèque cliente de requêtes Azure Monitor pour Python, consultez Analyser les données dans les journaux Azure Monitor au moyen d’un notebook.
Bien démarrer
La meilleure façon de commencer à apprendre à écrire des requêtes de journal à l’aide de KQL consiste à utiliser des tutoriels et exemples disponibles :
- Tutoriel Log Analytics : tutoriel sur l’utilisation des fonctionnalités Log Analytics, l’outil que vous utiliserez dans le portail Azure pour modifier et exécuter des requêtes. Il vous permet également d’écrire des requêtes simples sans utiliser directement le langage de requête. Si vous n’avez jamais utilisé Log Analytics, commencez ici pour découvrir l’outil que vous utiliserez avec les autres tutoriels et exemples.
- Tutoriel KQL : procédure pas à pas présentant les concepts de base et les opérateurs courants KQL. C’est le meilleur endroit pour commencer à vous familiariser avec le langage lui-même et la structure des requêtes de journal.
- Exemples de requêtes : description des exemples de requêtes disponibles dans Log Analytics. Vous pouvez utiliser les requêtes sans modification, ou les utiliser comme exemples pour apprendre KQL.
Documentation de référence
Une documentation concernant KQL, y compris la référence de l’ensemble des commandes et des opérateurs, est disponible dans la documentation de l’Explorateur de données Azure. Même si vous maîtrisez KQL, vous utiliserez régulièrement la référence pour examiner de nouvelles commandes et de nouveaux scénarios.
Différences de langage
Même si Azure Monitor utilise le même KQL que l’Explorateur de données Azure, il existe quelques différences. La documentation KQL spécifie les opérateurs qui ne sont pas pris en charge par Azure Monitor ou proposent des fonctionnalités différentes. Les opérateurs spécifiques à Azure Monitor sont documentés dans le contenu Azure Monitor. Les sections suivantes listent des différences entre les versions du langage pour une référence rapide.
Instructions non prises en charge dans Azure Monitor
Fonctions non prises en charge dans Azure Monitor
- cluster()
- cursor_after()
- cursor_before_or_at()
- cursor_current(), current_cursor()
- database()
- current_principal()
- extent_id()
- extent_tags()
Opérateur non pris en charge dans Azure Monitor
Jointure entre plusieurs clusters
Plug-ins non pris en charge dans Azure Monitor
Autres opérateurs dans Azure Monitor
Les opérateurs suivants prennent en charge des fonctionnalités propres à Azure Monitor et ne sont pas disponibles en dehors d'Azure Monitor :
Étapes suivantes
- Suive un didacticiel sur l’écriture de requêtes.
- Accédez à la documentation de référence de KQL complète.