Tutoriel Log Analytics

Log Analytics est un outil présent dans le portail Azure pour modifier et d’exécuter des requêtes de journal à partir de données collectées par les journaux Azure Monitor et d’analyser leurs résultats de manière interactive. Vous pouvez utiliser des requêtes Log Analytics pour récupérer des enregistrements correspondant à des critères particuliers, identifier des tendances, analyser des modèles et fournir divers insights sur vos données.

Ce tutoriel vous guide dans l’interface Log Analytics, présente quelques requêtes de base et vous montre comment tirer parti des résultats. Vous découvrirez comment effectuer les actions suivantes :

  • Comprendre le schéma des données de journal.
  • Écrire et exécuter des requêtes simples, et modifier l’intervalle de temps pour les requêtes.
  • Filtrer, trier et regrouper les résultats de requête.
  • Afficher, modifier et partager des visuels des résultats de requête.
  • Charger, exporter et copier des requêtes et des résultats.

Important

Dans ce tutoriel, vous tirerez parti des fonctionnalités de Log Analytics pour générer une requête et utiliser un autre exemple de requête. Lorsque vous êtes prêt à apprendre la syntaxe des requêtes et à commencer à modifier directement la requête, lisez le tutoriel sur le langage de requête Kusto (KQL). Ce tutoriel vous fait parcourir des exemples de requêtes que vous pouvez modifier et exécuter dans Log Analytics. Il utilise plusieurs des fonctionnalités que vous allez apprendre dans ce tutoriel.

Prérequis

Ce tutoriel utilise l’environnement de démonstration Log Analytics, qui comprend de nombreux exemples de données prenant en charge les exemples de requêtes. Vous pouvez également utiliser votre propre abonnement Azure, mais vous ne disposerez peut-être pas de données dans les mêmes tables.

Ouvrir Log Analytics

Ouvrez l’environnement de démonstration Log Analytics ou sélectionnez Journaux dans le menu Azure Monitor de votre abonnement. Cette étape définit un espace de travail Log Analytics comme étendue initiale, ce qui signifie que votre requête effectue une sélection parmi toutes les données de cet espace de travail. Si vous sélectionnez Journaux dans le menu d’une ressource Azure, l’étendue est définie sur les seuls enregistrements de cette ressource. Pour plus d’informations sur l’étendue, consultez Étendue de requête de journal.

Vous pouvez voir l’étendue dans l’angle supérieur gauche de l’écran. Si vous utilisez votre propre environnement, vous verrez une option permettant de sélectionner une autre étendue. Cette option n’est pas disponible dans l’environnement de démonstration.

Capture d’écran montrant l’étendue Log Analytics pour la démonstration.

Afficher les informations de table

Le côté gauche de l’écran comprend l’onglet Tables, où vous pouvez inspecter les tables disponibles dans l’étendue actuelle. Ces tables sont regroupées par Solution par défaut, mais vous pouvez modifier leur regroupement ou les filtrer.

Développez la solution Gestion des journaux et recherchez la table AppRequests. Vous pouvez développer la table pour afficher son schéma, ou pointer sur son nom pour afficher des informations supplémentaires à son sujet.

Capture d’écran montrant la vue Tables.

Sélectionnez Liens utiles pour accéder à la référence des tables qui documente chaque table et ses colonnes. Sélectionnez Aperçu des données pour jeter un œil à quelques enregistrements récents dans la table. Cette préversion peut être utile pour s’assurer qu’il s’agit bien des données que vous attendez, avant d’exécuter une requête avec elles.

Capture d’écran montrant les données d’aperçu pour la table AppRequests.

Écrivez votre requête.

Commençons par écrire une requête à l’aide de la table AppRequests. Double-cliquez sur son nom pour l’ajouter à la fenêtre de requête. Vous pouvez aussi taper directement dans la fenêtre. Vous pouvez même faire en sorte qu’IntelliSense vous aide à compléter les noms des tables dans l’étendue actuelle et les commandes Kusto Query Language (KQL).

Il s’agit de la requête la plus simple que nous pouvons écrire. Elle retourne simplement tous les enregistrements d’une table. Exécutez-la en sélectionnant le bouton Exécuter ou en sélectionnant Maj+Entrée avec le curseur positionné n’importe où dans le texte de la requête.

Capture d’écran montrant les résultats de la requête.

Vous pouvez constater que nous avons des résultats. Le nombre d’enregistrements retournés par la requête s’affiche dans le coin inférieur droit.

Plage temporelle

Toutes les requêtes retournent des enregistrements générés dans un intervalle de temps défini. Par défaut, la requête retourne les enregistrements générés dans les dernières 24 heures.

Vous pouvez définir un autre intervalle de temps en utilisant l’opérateur where dans la requête. Vous pouvez également utiliser la liste déroulante Intervalle de temps en haut de l’écran.

Modifions l’intervalle de temps de la requête en sélectionnant 12 dernières heures dans la liste déroulante Intervalle de temps. Sélectionnez Exécuter pour retourner les résultats.

Notes

La modification de l’intervalle de temps en utilisant la liste déroulante Intervalle de temps ne modifie pas la requête dans l’éditeur de requête.

Capture d’écran qui montre l’intervalle de temps.

Plusieurs conditions de requête

Nous allons réduire les résultats en ajoutant une autre condition de filtre. Une requête peut inclure un nombre quelconque de filtres pour cibler exactement le jeu d’enregistrements souhaité. Sélectionnez Accéder à la page d’accueil/d’index sous Nom, puis sélectionnez Appliquer et exécuter.

Capture d’écran montrant les résultats de la requête avec plusieurs filtres.

Analyser les résultats

En plus de vous aider à écrire et à exécuter des requêtes, Log Analytics offre des fonctionnalités permettant d’exploiter les résultats. Commencez par développer un enregistrement pour afficher les valeurs de toutes ses colonnes.

Capture d’écran montrant un enregistrement développé dans les résultats de la recherche.

Sélectionnez le nom d’une colonne pour trier les résultats selon cette colonne. Sélectionnez l’icône de filtre en regard de celle-ci pour fournir une condition de filtre. Cette action est similaire à l’ajout d’une condition de filtre à la requête elle-même, sauf que ce filtre est effacé si la requête est réexécutée. Appliquez cette méthode si vous souhaitez analyser rapidement un jeu d’enregistrements dans le cadre de l’analyse interactive.

Par exemple, définissez un filtre sur la colonne DurationMs pour limiter les enregistrements à ceux qui ont pris plus de 150 millisecondes.

Capture d’écran montrant un filtre de résultats de requête.

Rechercher dans les résultats de la requête

Effectuons une recherche dans les résultats de la requête en utilisant la zone de recherche située en haut à droite du volet de résultats.

Entrez Chicago dans la zone de recherche des résultats de la requête et sélectionnez les flèches pour trouver toutes les instances de cette chaîne dans vos résultats de recherche.

Capture d’écran montrant la zone de recherche en haut à droite du volet de résultats.

Réorganiser et synthétiser des données

Pour mieux visualiser vos données, vous pouvez réorganiser et synthétiser les données dans les résultats de la requête en fonction de vos besoins.

Sélectionnez Colonnes à droite du volet de résultats pour ouvrir la barre latérale Colonnes.

Capture d’écran montrant le lien Colonne à droite du volet de résultats, que vous sélectionnez pour ouvrir la barre latérale Colonnes.

Dans la barre latérale, vous verrez une liste de toutes les colonnes disponibles. Faites glisser la colonne URL dans la section Groupes de lignes. Les résultats sont désormais organisés d’après cette colonne, et vous pouvez réduire chaque groupe pour vous aider dans votre analyse. Cette action est similaire à l’ajout d’une condition de filtre à la requête, mais au lieu de récupérer à nouveau des données à partir du serveur, vous traitez les données retournées par votre requête d’origine. Lorsque vous réexécutez la requête, Log Analytics récupère les données en fonction de votre requête d’origine. Appliquez cette méthode si vous souhaitez analyser rapidement un jeu d’enregistrements dans le cadre de l’analyse interactive.

Capture d’écran montrant les résultats de la requête groupés par URL.

Créer un tableau croisé dynamique

Pour analyser les performances de vos pages, créez un tableau croisé dynamique.

Dans la barre latérale Colonnes, sélectionnez Mode croisé dynamique.

Sélectionnez URL et DurationMs pour afficher la durée totale de tous les appels à chaque URL.

Pour afficher la durée maximale des appels à chaque URL, sélectionnez sum(DurationMs)>max.

Capture d’écran montrant comment activer le Mode croisé dynamique et configurer un tableau croisé dynamique en fonction des valeurs URL et DurationMS.

Nous allons maintenant trier les résultats par durée maximale d’appel la plus longue en sélectionnant la colonne max(DurationMs) dans le volet de résultats.

Capture d’écran montrant le volet des résultats de la requête trié par les valeurs DurationMS maximales.

Utiliser des graphiques

Examinons une requête qui utilise des données numériques que nous pouvons afficher dans un graphique. Au lieu de créer une requête, nous allons sélectionner un exemple de requête.

Dans le volet gauche, sélectionnez Requêtes. Ce volet comprend des exemples de requêtes que vous pouvez ajouter à la fenêtre de requête. Si vous utilisez votre propre espace de travail, vous devriez avoir diverses requêtes dans plusieurs catégories. Si vous utilisez l’environnement de démonstration, vous ne voyez peut-être que des espaces de travail Log Analytics. Développez-la pour afficher les requêtes de la catégorie.

Sélectionnez la requête appelée Taux d’erreur de fonction dans la catégorie Applications. Cette étape ajoute la requête à la fenêtre de requête. Notez que la nouvelle requête est séparée de l’autre par une ligne vide. Une requête en KQL se termine lorsqu’elle rencontre une ligne vide. Elles sont donc considérées comme des requêtes distinctes.

Capture d’écran montrant une nouvelle requête.

La requête active est celle sur laquelle le curseur est positionné. Vous pouvez voir que la première requête est mise en surbrillance, indiquant qu’il s’agit de la requête active. Cliquez n’importe où dans la nouvelle requête pour la sélectionner, puis sélectionnez le bouton Exécuter pour l’exécuter.

Capture d’écran montrant la table des résultats de la requête.

Pour afficher les résultats dans un graphique, sélectionnez Graphique dans le volet des résultats. Notez qu’il existe différentes options pour manipuler le graphique, par exemple pour le remplacer par un autre type.

Capture d’écran montrant le graphique des résultats de la requête.

Étapes suivantes

Maintenant que vous savez comment utiliser Log Analytics, suivez le tutoriel sur l’utilisation des requêtes de journal :