Logboekqueryscope en -tijdsbereik in Azure Monitor Log Analytics
Wanneer u een logboekquery uitvoert in Log Analytics in Azure Portal, is de set gegevens die door de query worden geëvalueerd, afhankelijk van het bereik en het tijdsbereik dat u selecteert. In dit artikel wordt het bereik en het tijdsbereik beschreven en hoe u elk kunt instellen, afhankelijk van uw vereisten. Ook wordt het gedrag van verschillende typen bereiken beschreven.
Vereiste machtigingen
U moet bijvoorbeeld machtigingen hebben Microsoft.OperationalInsights/workspaces/query/*/read voor de Log Analytics-werkruimten die u opvraagt, zoals opgegeven door de ingebouwde rol log analytics-lezer.
Querybereik
Het querybereik definieert de records die door de query worden geëvalueerd. Deze definitie bevat meestal alle records in één Log Analytics-werkruimte of Application Insights-toepassing. Met Log Analytics kunt u ook een bereik instellen voor een bepaalde bewaakte Azure-resource. Hierdoor kan een resource-eigenaar zich alleen richten op hun gegevens, zelfs als die resource naar meerdere werkruimten schrijft.
Het bereik wordt altijd linksboven in het Log Analytics-venster weergegeven. Een pictogram geeft aan of het bereik een Log Analytics-werkruimte of een Application Insights-toepassing is. Er is geen pictogram dat een andere Azure-resource aangeeft.
De methode die u gebruikt om Log Analytics te starten, bepaalt het bereik. In sommige gevallen kunt u het bereik wijzigen door erop te klikken. De volgende tabel bevat de verschillende typen bereiken die worden gebruikt en verschillende details voor elk bereik.
Belangrijk
Als u een toepassing op basis van een werkruimte in Application Insights gebruikt, worden de bijbehorende gegevens opgeslagen in een Log Analytics-werkruimte met alle andere logboekgegevens. Voor compatibiliteit met eerdere versies krijgt u de klassieke Application Insights-ervaring wanneer u de toepassing als bereik selecteert. Als u deze gegevens in de Log Analytics-werkruimte wilt zien, stelt u het bereik in op de werkruimte.
| Querybereik | Records in bereik | Selecteren | Bereik wijzigen |
|---|---|---|---|
| Log Analytics-werkruimte | Alle records in de Log Analytics-werkruimte. | Selecteer Logboeken in het menu van Azure Monitor of het menu Log Analytics-werkruimten . | Kan het bereik wijzigen in elk ander resourcetype. |
| Application Insights-toepassing | Alle records in de Application Insights-toepassing. | Selecteer Logboeken in het menu Application Insights voor de toepassing. | Het bereik kan alleen worden gewijzigd in een andere Application Insights-toepassing. |
| Resourcegroep | Records die zijn gemaakt door alle resources in de resourcegroep. Kan gegevens uit meerdere Log Analytics-werkruimten bevatten. | Selecteer Logboeken in het menu van de resourcegroep. | Kan het bereik niet wijzigen. |
| Abonnement | Records die zijn gemaakt door alle resources in het abonnement. Kan gegevens uit meerdere Log Analytics-werkruimten bevatten. | Selecteer Logboeken in het abonnementsmenu . | Kan het bereik niet wijzigen. |
| Andere Azure-resources | Records die zijn gemaakt door de resource. Kan gegevens uit meerdere Log Analytics-werkruimten bevatten. | Selecteer Logboeken in het resourcemenu. OF Selecteer Logboeken in het menu Van Azure Monitor en selecteer vervolgens een nieuw bereik. |
Kan het bereik alleen wijzigen in hetzelfde resourcetype. |
Beperkingen wanneer het bereik van een resource is bereikt
Wanneer het querybereik een Log Analytics-werkruimte of een Application Insights-toepassing is, zijn alle opties in de portal en alle queryopdrachten beschikbaar. Wanneer het bereik van een resource echter is bereikt, zijn de volgende opties in de portal niet beschikbaar omdat ze zijn gekoppeld aan één werkruimte of toepassing:
- Opslaan
- Queryverkenner
- Nieuwe waarschuwingsregel
U kunt de volgende opdrachten in een query niet gebruiken wanneer het bereik van een resource is bereikt, omdat het querybereik al werkruimten bevat met gegevens voor die resource of set resources:
Limieten voor querybereik
Het bereik instellen op een resource of set resources is een krachtige functie van Log Analytics, omdat u hiermee gedistribueerde gegevens automatisch in één query kunt samenvoegen. Dit kan echter aanzienlijk van invloed zijn op de prestaties als gegevens moeten worden opgehaald uit werkruimten in meerdere Azure-regio's.
Log Analytics helpt u te beschermen tegen overmatige overhead van query's die werkruimten in meerdere regio's omvatten door een waarschuwing of fout uit te geven wanneer een bepaald aantal regio's wordt gebruikt. Uw query ontvangt een waarschuwing als het bereik werkruimten in 5 of meer regio's bevat. het wordt nog steeds uitgevoerd, maar het kan te veel tijd duren om te voltooien.
Uw query kan niet worden uitgevoerd als het bereik werkruimten in 20 of meer regio's bevat. In dit geval wordt u gevraagd het aantal werkruimteregio's te verminderen en de query opnieuw uit te voeren. In de vervolgkeuzelijst worden alle regio's in het bereik van de query weergegeven. U moet het aantal regio's verminderen voordat u de query opnieuw probeert uit te voeren.
Tijdsbereik
Het tijdsbereik geeft de set records op die worden geëvalueerd voor de query op basis van het moment waarop de record is gemaakt. Dit wordt gedefinieerd door de kolom TimeGenerated op elke record in de werkruimte of toepassing, zoals opgegeven in de volgende tabel. Voor een klassieke Application Insights-toepassing wordt de tijdstempelkolom gebruikt voor het tijdsbereik.
Stel het tijdsbereik in door het te selecteren in de tijdkiezer boven aan het Log Analytics-venster. U kunt een vooraf gedefinieerde periode selecteren of Aangepast selecteren om een specifiek tijdsbereik op te geven.
Als u een filter instelt in de query die gebruikmaakt van de standaardkolom voor tijd, zoals wordt weergegeven in de bovenstaande tabel, wordt de tijdkiezer gewijzigd in Instellen in de query en wordt de tijdkiezer uitgeschakeld. In dit geval is het het meest efficiënt om het filter boven aan de query te plaatsen, zodat alle volgende verwerkingen alleen met de gefilterde records hoeven te werken.
Als u de opdracht werkruimte of app gebruikt om gegevens op te halen uit een andere werkruimte of klassieke toepassing, werkt de tijdkiezer mogelijk anders. Als het bereik een Log Analytics-werkruimte is en u een app gebruikt, of als het bereik een klassieke Application Insights-toepassing is en u werkruimte gebruikt, begrijpt Log Analytics mogelijk niet dat de kolom die in het filter wordt gebruikt, het tijdfilter moet bepalen.
In het volgende voorbeeld is het bereik ingesteld op een Log Analytics-werkruimte. De query maakt gebruik van een werkruimte om gegevens op te halen uit een andere Log Analytics-werkruimte. De tijdkiezer verandert in Instellen in query omdat er een filter wordt weergegeven dat gebruikmaakt van de verwachte timeGenerated-kolom .
Als de query echter gebruikmaakt van een app om gegevens op te halen uit een klassieke Application Insights-toepassing, herkent Log Analytics de tijdstempelkolom in het filter niet en blijft de tijdkiezer ongewijzigd. In dit geval worden beide filters toegepast. In het voorbeeld worden alleen records die in de afgelopen 24 uur zijn gemaakt, opgenomen in de query, ook al geeft dit 7 dagen op in de where-component .
Volgende stappen
- Doorloop een zelfstudie over het gebruik van Log Analytics in Azure Portal.
- Doorloop een zelfstudie over het schrijven van query's.