Struktura zapytań usługi Log Analytics
Administracja istratory tworzą zapytania usługi Log Analytics z danych przechowywanych w dedykowanych tabelach w obszarze roboczym usługi Log Analytics. Niektóre typowe dedykowane tabele obejmują zdarzenia, dziennik systemowy, puls i alert. Podczas tworzenia zapytania język zapytań Kusto (KQL) zaczynasz od określenia, które tabele w repozytorium dzienników usługi Azure Monitor zawierają dane, których szukasz.
Na poniższej ilustracji pokazano, jak zapytania KQL używają dedykowanych danych tabeli dla monitorowanych usług i zasobów.
Informacje o strukturze zapytań języka KQL
Przyjrzyjmy się bliżej dedykowanym danym tabeli i sposobom struktury zapytania dziennika KQL.
Każde z wybranych źródeł danych i rozwiązania przechowuje swoje dane w dedykowanych tabelach w obszarze roboczym usługi Log Analytics.
Dokumentacja dla każdego źródła danych i rozwiązania zawiera nazwę typu danych, który tworzy, oraz opis każdego z jego właściwości.
Podstawowa struktura zapytania to tabela źródłowa, po której następuje seria poleceń (nazywanych operatorami).
Zapytanie może mieć łańcuch wielu operatorów w celu uściślinia danych i wykonywania zaawansowanych funkcji.
Każdy operator w łańcuchu zapytań zaczyna się znakiem
|
potoku .Wiele zapytań wymaga tylko danych z jednej tabeli, ale inne zapytania mogą używać różnych opcji i dołączać dane z wielu tabel.
Przykłady zapytań dziennika KQL
Przejrzyjmy niektóre typowe operatory zapytań dziennika KQL i przykładową składnię.
Zapytania można tworzyć w celu wyszukiwania danych w StormEvent
tabeli zawierającej pięć wpisów:
type | event | ważność | start | czas trwania | region |
---|---|---|---|---|---|
Water |
Freezing rain |
1 |
6:00 AM 01-27-2023 |
3 hours |
1, 2 |
Wind |
High winds |
1 |
8:00 AM 01-27-2023 |
12 hours |
1, 2, 4, 5 |
Temperature |
Below freezing |
2 |
11:00 PM 01-26-2023 |
10 hours |
1, 2, 4, 5 |
Water |
Snow |
3 |
4:00 PM 01-26-2023 |
10 hours |
1, 2, 4, 5 |
Water |
Flood warning |
2 |
9:00 AM 01-26-2023 |
10 hours |
3 |
Aby znaleźć inne operatory i przykłady, zapoznaj się z tematem Analizowanie danych monitorowania za pomocą język zapytań Kusto — Szkolenie | Microsoft Learn.
Liczba elementów
count
Użyj operatora , aby odnaleźć liczbę rekordów w zestawie rekordów wejściowych.
Poniższy przykład zwraca liczbę rekordów w StormEvent
tabeli. Wyniki zapytania pokazują, że StormEvent
tabela zawiera pięć wpisów.
StormEvent | count
Wyniki zapytania:
count |
---|
5 |
Zwracanie pierwszej liczby elementów
top
Użyj operatora , aby wyświetlić pierwsze N rekordów zestawu rekordów wejściowych posortowane według określonych kolumn. Kolumny odpowiadają właściwościom danych zdefiniowanym w dedykowanej tabeli.
Poniższy przykład zwraca pierwsze trzy rekordy danych dla elementu StormEvent
. W tabeli wyników przedstawiono nazwę burzy event
, ważność i prognozowany czas trwania.
StormEvent | top 3 by event severity duration
Wyniki zapytania:
event | ważność | czas trwania |
---|---|---|
Freezing rain |
1 |
3 hours |
High winds |
1 |
12 hours |
Below freezing |
2 |
10 hours |
Znajdowanie pasujących elementów
where
Użyj operatora , aby przefiltrować tabelę do podzestawu wierszy, które pasują do podanej wartości predykatu. Wartość predykatu wskazuje, co należy wyszukać w tabeli, jak w where=="find-this"
tabeli .
Poniższy przykład filtruje rekordy danych, StormEvent
aby używać tylko rekordów pasujących do "śniegu".
StormEvent | where event=="snow"
Zapytanie filtruje do jednego wiersza w StormEvent
tabeli:
type | event | ważność | start | czas trwania | region |
---|---|---|---|---|---|
Water |
Snow |
3 |
4:00 PM 01-26-2023 |
10 hours |
1, 2, 4, 5 |