Membuat kueri log Azure Monitor dasar untuk mengekstrak informasi dari data log
Anda bisa menggunakan kueri log Azure Monitor untuk mengekstrak informasi dari data log. Membuat kueri adalah bagian penting dari pemeriksaan data log yang ditangkap oleh Azure Monitor.
Dalam skenario contoh, tim operasi akan menggunakan kueri log Azure Monitor untuk memeriksa kondisi sistemnya.
Menulis kueri log Azure Monitor dengan menggunakan Log Analytics
Anda dapat menemukan alat Log Analytics di portal Microsoft Azure dan menggunakannya untuk menjalankan kueri sampel atau untuk membuat kueri Anda sendiri:
Di portal Microsoft Azure, di panel menu sebelah kiri, pilih Pantau.
Halaman Azure Monitor muncul bersamaan dengan opsi lainnya, termasuk Log Aktivitas, Peringatan, Metrik, dan Log.
Pilih Log.
Di sini, Anda bisa memasukkan kueri Anda dan melihat output-nya.
Menulis kueri dengan menggunakan bahasa Kusto
Anda bisa menggunakan Bahasa Kueri Kusto untuk mengkueri informasi log untuk layanan Anda yang berjalan di Azure. Kueri Kusto adalah permintaan hanya-baca untuk memproses data dan mengembalikan hasil. Anda akan menyatakan kueri dalam teks biasa, dengan menggunakan model alur data yang dirancang agar sintaks mudah dibaca, ditulis, dan bersifat otomatis. Kueri menggunakan entitas skema yang diatur dalam hierarki yang mirip dengan Azure SQL Database: database, tabel, dan kolom.
Kueri Kusto terdiri dari urutan pernyataan kueri, dibatasi oleh titik koma ( ; ). Setidaknya satu pernyataan adalah pernyataan ekspresi tabel. Pernyataan ekspresi tabel memformat data yang disusun sebagai tabel kolom dan baris.
Sintaks pernyataan ekspresi tabular memiliki aliran data tabular dari satu operator kueri tabular ke operator kueri tabular lainnya, dimulai dengan sumber data. Sumber data mungkin tabel dalam database atau operator yang menghasilkan data. Data kemudian mengalir melalui serangkaian operator transformasi data yang terikat bersama dengan pemisah pipa ( | ).
Misalnya, kueri Kusto berikut memiliki pernyataan ekspresi tabel tunggal. Pernyataan dimulai dengan referensi ke tabel yang disebut Events . Database yang meng-host tabel ini tersirat di sini, dan merupakan bagian dari informasi koneksi. Data untuk tabel tersebut, disimpan dalam baris, difilter menurut nilai kolom StartTime. Data difilter lebih lanjut menurut nilai kolom State. Kueri ini lalu mengembalikan hitungan baris yang dihasilkan.
Events
| where StartTime >= datetime(2018-11-01) and StartTime < datetime(2018-12-01)
| where State == "FLORIDA"
| count
Catatan
Bahasa kueri Kusto yang digunakan Azure Monitor peka huruf besar/kecil. Kata kunci bahasa biasanya ditulis dalam huruf kecil. Saat Anda menggunakan nama tabel atau kolom dalam kueri, pastikan untuk menggunakan huruf yang benar.
Peristiwa yang diambil dari log peristiwa komputer yang dipantau hanyalah satu jenis sumber data. Azure Monitor menyediakan banyak tipe sumber data lainnya. Misalnya, sumber data Heartbeat melaporkan kesehatan semua komputer yang melapor ke ruang kerja Log Analytics Anda. Anda juga dapat mengambil data dari penghitung kinerja, dan memperbarui rekaman manajemen.
Contoh berikut mengambil catatan detak jantung terbaru untuk setiap komputer. Komputer diidentifikasi oleh alamat IP-nya. Dalam contoh ini, summarize agregasi dengan fungsi arg_max mengembalikan data dengan nilai terbaru untuk setiap alamat IP.
Heartbeat
| summarize arg_max(TimeGenerated, *) by ComputerIP