Logboekquery's in Azure Monitor

Azure Monitor-logboeken zijn gebaseerd op Azure Data Explorer en logboekquery's worden geschreven met behulp van dezelfde Kusto-querytaal (KQL). Deze uitgebreide taal is ontworpen om gemakkelijk te lezen en te schrijven, dus u moet query's kunnen schrijven met een aantal basisrichtlijnen.

Gebieden in Azure Monitor waar u query's gaat gebruiken, zijn onder andere:

• Log Analytics: gebruik dit primaire hulpprogramma in Azure Portal om logboekquery's te bewerken en hun resultaten interactief te analyseren. Zelfs als u een logboekquery ergens anders in Azure Monitor wilt gebruiken, schrijft en test u deze meestal in Log Analytics voordat u deze kopieert naar de uiteindelijke locatie.
• Waarschuwingsregels voor zoeken in logboeken: identificeer proactief problemen van gegevens in uw werkruimte. Elke waarschuwingsregel is gebaseerd op een logboekquery die automatisch met regelmatige tussenpozen wordt uitgevoerd. De resultaten worden gecontroleerd om te bepalen of er een waarschuwing moet worden gemaakt.
• Werkmappen: Neem de resultaten van logboekquery's op met behulp van verschillende visualisaties in interactieve visuele rapporten in Azure Portal.
• Azure-dashboards: maak de resultaten van een query vast aan een Azure-dashboard, waarmee u logboek- en metrische gegevens samen kunt visualiseren en eventueel kunt delen met andere Azure-gebruikers.
• Azure Logic Apps: gebruik de resultaten van een logboekquery in een geautomatiseerde werkstroom met behulp van een werkstroom voor logische apps.
• PowerShell: Gebruik de resultaten van een logboekquery in een PowerShell-script vanaf een opdrachtregel of een Azure Automation-runbook dat gebruikmaakt van Invoke-AzOperationalInsightsQuery.
• Log Analytics-query-API: logboekgegevens ophalen uit de werkruimte van een REST API-client. De API-aanvraag bevat een query die wordt uitgevoerd op Azure Monitor om de gegevens te bepalen die moeten worden opgehaald.
• Azure Monitor Query-clientbibliotheken: logboekgegevens ophalen uit de werkruimte via een idiomatische clientbibliotheek voor de volgende ecosystemen:

  • .NET

  • Go

  • Java

  • JavaScript

  • Python

    Zie Gegevens analyseren in Azure Monitor-logboeken met behulp van een notebook voor een voorbeeld van het implementeren van de Azure Monitor-clientbibliotheek voor Python.

Aan de slag

De beste manier om aan de slag te gaan met het schrijven van logboekquery's met behulp van KQL is het gebruik van beschikbare zelfstudies en voorbeelden:

• Log Analytics-zelfstudie: Zelfstudie over het gebruik van de functies van Log Analytics, het hulpprogramma dat u in Azure Portal gebruikt om query's te bewerken en uit te voeren. Hiermee kunt u ook eenvoudige query's schrijven zonder rechtstreeks met de querytaal te werken. Als u Log Analytics nog niet eerder hebt gebruikt, begint u hier zodat u het hulpprogramma begrijpt dat u met de andere zelfstudies en voorbeelden gaat gebruiken.
• KQL-zelfstudie: Begeleide rondleiding door basisconcepten van KQL en algemene operators. Dit is de beste plek om snel aan de slag te gaan met de taal zelf en de structuur van logboekquery's.
• Voorbeeldquery's: Beschrijving van de voorbeeldquery's die beschikbaar zijn in Log Analytics. U kunt de query's zonder wijziging gebruiken of als voorbeelden gebruiken om KQL te leren.

Referentiedocumentatie

Documentatie voor KQL, inclusief de verwijzing voor alle opdrachten en operators, is beschikbaar in de Documentatie van Azure Data Explorer. Zelfs als u goed op de hoogte bent van het gebruik van KQL, gebruikt u nog steeds regelmatig de verwijzing om nieuwe opdrachten en scenario's te onderzoeken die u nog niet eerder hebt gebruikt.

Verschillen in taal

Hoewel Azure Monitor gebruikmaakt van dezelfde KQL als Azure Data Explorer, zijn er enkele verschillen. In de KQL-documentatie worden de operators opgegeven die niet worden ondersteund door Azure Monitor of die andere functionaliteit hebben. Operators die specifiek zijn voor Azure Monitor, worden beschreven in de Azure Monitor-inhoud. De volgende secties bevatten de verschillen tussen versies van de taal voor snelzoekgids.

Instructies die niet worden ondersteund in Azure Monitor

• Alias
• Queryparameters

Functies worden niet ondersteund in Azure Monitor

• cluster()
• cursor_after()
• cursor_before_or_at()
• cursor_current(), current_cursor()
• database()
• current_principal()
• extent_id()
• extent_tags()

Operator wordt niet ondersteund in Azure Monitor

Join tussen clusters

Invoegtoepassingen worden niet ondersteund in Azure Monitor

• Python-invoegtoepassing
• sql_request-invoegtoepassing

Andere operators in Azure Monitor

De volgende operators ondersteunen specifieke Azure Monitor-functies en zijn niet beschikbaar buiten Azure Monitor:

• workspace()
• app()
• resource()

Volgende stappen

• Doorloop een zelfstudie over het schrijven van query's.
• Raadpleeg de volledige referentiedocumentatie voor KQL.