Alapszintű Azure Monitor-napló lekérdezések létrehozása a naplóadatokból származó információk kinyeréséhez

  • 10 perc

Az Azure Monitor napló lekérdezései segítségével adatokat nyerhet ki a naplóadatokból. A lekérdezés fontos része az Azure Monitor által rögzített naplóadatok vizsgálatának.

A példaforgatókönyvben az üzemeltetési csapat az Azure Monitor napló lekérdezéseivel vizsgálja meg a rendszer állapotát.

Azure Monitor-napló lekérdezések írása a Log Analytics használatával

A Log Analytics eszközt az Azure Portalon találja, és használhatja minta lekérdezések futtatására vagy saját lekérdezések létrehozására:

  1. Az Azure Portal bal oldali menüjében válassza a Figyelés lehetőséget.

    Megjelenik az Azure Monitor lap, valamint további lehetőségek, például tevékenységnaplók, riasztások, metrikák és naplók.

  2. Select Logs.

    Itt adhatja meg a lekérdezést, és megtekintheti a kimenetet.

    Screenshot of Azure Monitor with a new query tab opened.

Lekérdezések írása a Kusto nyelv használatával

A Kusto lekérdezésnyelv használatával lekérdezheti az Azure-ban futó szolgáltatások naplóadatait. A Kusto-lekérdezések adatok feldolgozására és eredmények visszaadására szolgáló írásvédett kérések. A lekérdezést egyszerű szövegként fogja meghatározni egy adatfolyam-modell használatával, amely a szintaxis egyszerű olvasását, írását és automatizálását teszi lehetővé. A lekérdezés olyan séma-entitásokat használ, amelyek az Azure SQL Database-hez hasonló hierarchiában vannak rendszerezve: adatbázisok, táblák és oszlopok.

A Kusto-lekérdezések lekérdezési utasítások sorozatából állnak, pontosvesszővel (;pontosvesszővel) elválasztva. Legalább egy utasítás egy táblázatos kifejezési utasítás. A táblázatos kifejezési utasítás oszlopok és sorok táblázataként formázja az adatokat.

A táblázatos kifejezési utasítások szintaxisa táblázatos adatfolyamot használ az egyik táblázatos lekérdezési operátortól a másikig, kezdve egy adatforrással. Az adatforrás lehet egy adatbázis táblája, vagy egy olyan operátor, amely adatokat állít elő. Az adatok ezután adatátalakítási operátorok készletén haladnak át, amelyek a csőelválasztóval (|) vannak összekötve.

Az alábbi Kusto-lekérdezés például egyetlen táblázatos kifejezési utasítással rendelkezik. Az utasítás egy Events. A táblát üzemeltető adatbázis implicit, és a kapcsolati információk részét képezi. A sorokban tárolt tábla adatait az oszlop értéke szűri StartTime . Az adatokat az oszlop értéke tovább szűri State . A lekérdezés ezután visszaadja az eredményül kapott sorok számát.

Events
| where StartTime >= datetime(2018-11-01) and StartTime < datetime(2018-12-01)
| where State == "FLORIDA"  
| count

Megjegyzés:

Az Azure Monitor által használt Kusto lekérdezési nyelv megkülönbözteti a kis- és nagybetűket. A nyelvi kulcsszavak általában kisbetűvel vannak megírva. Ha táblák vagy oszlopok nevét használja egy lekérdezésben, ügyeljen arra, hogy a megfelelő esetet használja.

A figyelt számítógépek eseménynaplóiból rögzített események csak egy adatforrástípust jelentenek. Az Azure Monitor számos más típusú adatforrást is biztosít. Az adatforrás például Heartbeat a Log Analytics-munkaterületen jelentést tevő összes számítógép állapotát jelenti. A teljesítményszámlálókból és a frissítéskezelési rekordokból is rögzíthet adatokat.

Az alábbi példa lekéri az egyes számítógépek legutóbbi szívverési rekordját. A számítógépet az IP-címe azonosítja. Ebben a példában a summarize függvény összesítése arg_max az egyes IP-címek legfrissebb értékével rendelkező rekordot adja vissza.

Heartbeat
| summarize arg_max(TimeGenerated, *) by ComputerIP