Baca dalam bahasa Inggris

Menyusun kueri Log Analytics

Selesai

Administrator membangun kueri Analitik Log dari data yang disimpan dalam tabel khusus di ruang kerja Analitik Log. Beberapa tabel khusus umum termasuk Peristiwa, Syslog, Heartbeat, dan Pemberitahuan. Saat Anda membuat kueri Bahasa Kueri Kusto (KQL), Anda mulai dengan menentukan tabel mana di repositori Log Azure Monitor yang memiliki data yang Anda cari.

Ilustrasi berikut menyoroti bagaimana kueri KQL menggunakan data tabel khusus untuk layanan dan sumber daya yang dipantau.

Ilustrasi yang menunjukkan cara membuat kueri Analitik Log dari data dalam tabel khusus di ruang kerja Analitik Log.

Hal-hal yang perlu diketahui tentang struktur kueri KQL

Mari kita lihat lebih dekat data tabel khusus dan cara menyusun kueri log KQL.

  • Setiap sumber data dan solusi yang Anda pilih menyimpan datanya dalam tabel khusus di ruang kerja Analitik Log Anda.

  • Dokumentasi untuk setiap sumber data serta solusi data menyertakan nama tipe data yang dibuatnya dan deskripsi masing-masing propertinya.

  • Struktur dasar kueri adalah tabel sumber diikuti oleh serangkaian perintah (disebut sebagai operator).

  • Kueri dapat memiliki rantai beberapa operator untuk menyempurnakan data Anda dan melakukan fungsi tingkat lanjut.

  • Setiap operator dalam rantai kueri dimulai dengan karakter |pipa .

  • Banyak kueri hanya memerlukan data dari satu tabel, tetapi kueri lain dapat menggunakan berbagai opsi dan menyertakan data dari beberapa tabel.

Contoh kueri log KQL

Mari kita tinjau beberapa operator kueri log KQL umum dan sintaks contoh.

Kita dapat membuat kueri untuk mencari data dalam StormEvent tabel yang memiliki lima entri:

jenis event keparahan mulai durasi wilayah
Water Freezing rain 1 6:00 AM 01-27-2023 3 hours 1, 2
Wind High winds 1 8:00 AM 01-27-2023 12 hours 1, 2, 4, 5
Temperature Below freezing 2 11:00 PM 01-26-2023 10 hours 1, 2, 4, 5
Water Snow 3 4:00 PM 01-26-2023 10 hours 1, 2, 4, 5
Water Flood warning 2 9:00 AM 01-26-2023 10 hours 3

Untuk menemukan operator dan contoh lain, tinjau: Menganalisis data pemantauan dengan Bahasa Kueri Kusto - Pelatihan | Microsoft Learn.

Hitung jumlah item

count Gunakan operator untuk menemukan jumlah rekaman dalam kumpulan catatan input.

Contoh berikut mengembalikan jumlah rekaman dalam StormEvent tabel. Hasil kueri mengungkapkan StormEvent tabel memiliki lima entri.

Kusto
StormEvent | count

Hasil kueri:

jumlah
5

Mengembalikan jumlah item pertama

top Gunakan operator untuk melihat rekaman N pertama dari kumpulan catatan input Anda, diurutkan menurut kolom yang Anda tentukan. Kolom sesuai dengan properti data yang ditentukan dalam tabel khusus.

Contoh berikut mengembalikan tiga rekaman data pertama untuk StormEvent. Tabel hasil menunjukkan nama badai event , tingkat keparahan, dan durasi yang diperkirakan.

Kusto
StormEvent | top 3 by event severity duration

Hasil kueri:

event keparahan durasi
Freezing rain 1 3 hours
High winds 1 12 hours
Below freezing 2 10 hours

Menemukan item yang cocok

where Gunakan operator untuk memfilter tabel Anda ke subset baris yang cocok dengan nilai predikat yang disediakan. Nilai predikat menunjukkan apa yang harus dicari dalam tabel, seperti dalam where=="find-this".

Contoh berikut memfilter rekaman data untuk StormEvent hanya menggunakan rekaman yang cocok dengan "salju."

Kusto
StormEvent | where event=="snow"

Kueri Anda memfilter ke satu baris dalam StormEvent tabel:

jenis event keparahan mulai durasi wilayah
Water Snow 3 4:00 PM 01-26-2023 10 hours 1, 2, 4, 5