Menyusun kueri Log Analytics
Administrator membangun kueri Analitik Log dari data yang disimpan dalam tabel khusus di ruang kerja Analitik Log. Beberapa tabel khusus umum termasuk Peristiwa, Syslog, Heartbeat, dan Pemberitahuan. Saat Anda membuat kueri Bahasa Kueri Kusto (KQL), Anda mulai dengan menentukan tabel mana di repositori Log Azure Monitor yang memiliki data yang Anda cari.
Ilustrasi berikut menyoroti bagaimana kueri KQL menggunakan data tabel khusus untuk layanan dan sumber daya yang dipantau.
Hal-hal yang perlu diketahui tentang struktur kueri KQL
Mari kita lihat lebih dekat data tabel khusus dan cara menyusun kueri log KQL.
Setiap sumber data dan solusi yang Anda pilih menyimpan datanya dalam tabel khusus di ruang kerja Analitik Log Anda.
Dokumentasi untuk setiap sumber data serta solusi data menyertakan nama tipe data yang dibuatnya dan deskripsi masing-masing propertinya.
Struktur dasar kueri adalah tabel sumber diikuti oleh serangkaian perintah (disebut sebagai operator).
Kueri dapat memiliki rantai beberapa operator untuk menyempurnakan data Anda dan melakukan fungsi tingkat lanjut.
Setiap operator dalam rantai kueri dimulai dengan karakter
|
pipa .Banyak kueri hanya memerlukan data dari satu tabel, tetapi kueri lain dapat menggunakan berbagai opsi dan menyertakan data dari beberapa tabel.
Contoh kueri log KQL
Mari kita tinjau beberapa operator kueri log KQL umum dan sintaks contoh.
Kita dapat membuat kueri untuk mencari data dalam StormEvent
tabel yang memiliki lima entri:
jenis | event | keparahan | mulai | durasi | wilayah |
---|---|---|---|---|---|
Water |
Freezing rain |
1 |
6:00 AM 01-27-2023 |
3 hours |
1, 2 |
Wind |
High winds |
1 |
8:00 AM 01-27-2023 |
12 hours |
1, 2, 4, 5 |
Temperature |
Below freezing |
2 |
11:00 PM 01-26-2023 |
10 hours |
1, 2, 4, 5 |
Water |
Snow |
3 |
4:00 PM 01-26-2023 |
10 hours |
1, 2, 4, 5 |
Water |
Flood warning |
2 |
9:00 AM 01-26-2023 |
10 hours |
3 |
Untuk menemukan operator dan contoh lain, tinjau: Menganalisis data pemantauan dengan Bahasa Kueri Kusto - Pelatihan | Microsoft Learn.
Hitung jumlah item
count
Gunakan operator untuk menemukan jumlah rekaman dalam kumpulan catatan input.
Contoh berikut mengembalikan jumlah rekaman dalam StormEvent
tabel. Hasil kueri mengungkapkan StormEvent
tabel memiliki lima entri.
StormEvent | count
Hasil kueri:
jumlah |
---|
5 |
Mengembalikan jumlah item pertama
top
Gunakan operator untuk melihat rekaman N pertama dari kumpulan catatan input Anda, diurutkan menurut kolom yang Anda tentukan. Kolom sesuai dengan properti data yang ditentukan dalam tabel khusus.
Contoh berikut mengembalikan tiga rekaman data pertama untuk StormEvent
. Tabel hasil menunjukkan nama badai event
, tingkat keparahan, dan durasi yang diperkirakan.
StormEvent | top 3 by event severity duration
Hasil kueri:
event | keparahan | durasi |
---|---|---|
Freezing rain |
1 |
3 hours |
High winds |
1 |
12 hours |
Below freezing |
2 |
10 hours |
Menemukan item yang cocok
where
Gunakan operator untuk memfilter tabel Anda ke subset baris yang cocok dengan nilai predikat yang disediakan. Nilai predikat menunjukkan apa yang harus dicari dalam tabel, seperti dalam where=="find-this"
.
Contoh berikut memfilter rekaman data untuk StormEvent
hanya menggunakan rekaman yang cocok dengan "salju."
StormEvent | where event=="snow"
Kueri Anda memfilter ke satu baris dalam StormEvent
tabel:
jenis | event | keparahan | mulai | durasi | wilayah |
---|---|---|---|---|---|
Water |
Snow |
3 |
4:00 PM 01-26-2023 |
10 hours |
1, 2, 4, 5 |