Escopo da consulta de log e intervalo de tempo Azure Monitor Log Analytics
Quando você executa uma consulta de log em log Analytics no portal do Azure, o conjunto de dados avaliado pela consulta depende do escopo e do intervalo de tempo que você selecionar. Este artigo descreve o escopo e o intervalo de tempo e como você pode definir cada um dependendo de seus requisitos. Ele também descreve o comportamento de diferentes tipos de escopos.
Permissões necessárias
Você deve ter permissões Microsoft.OperationalInsights/workspaces/query/*/read para os workspaces do Log Analytics que você consulta, conforme fornecido pela função interna Leitor do Log Analytics, por exemplo.
Escopo da consulta
O escopo da consulta define os registros que são avaliados pela consulta. Essa definição geralmente incluirá todos os registros em um único workspace do Log Analytics ou aplicativo Application Insights. O Log Analytics também permite definir um escopo para um recurso do Azure monitorado específico. Isso permite que um proprietário do recurso se concentre apenas em seus dados, mesmo que esse recurso seja gravado em vários workspaces.
O escopo sempre é exibido na parte superior esquerda da janela do Log Analytics. Um ícone indica se o escopo é um workspace do Log Analytics ou um aplicativo Insights aplicativo. Nenhum ícone indica outro recurso do Azure.
O método que você usa para iniciar o Log Analytics determina o escopo e, em alguns casos, você poderá alterar o escopo clicando nele. A tabela a seguir lista os diferentes tipos de escopo usados e detalhes diferentes para cada um.
Importante
Se você estiver usando um aplicativo baseado em workspace no Application Insights, seus dados serão armazenados em um workspace do Log Analytics com todos os outros dados de log. Para compatibilidade com backward, você obterá a experiência Insights aplicativo clássico ao selecionar o aplicativo como seu escopo. Para ver esses dados no workspace do Log Analytics, de definir o escopo para o workspace.
| Escopo da consulta | Registros no escopo | Como selecionar | Alterando o escopo |
|---|---|---|---|
| Espaço de trabalho do Log Analytics | Todos os registros no workspace do Log Analytics. | Selecione logs no menu Azure Monitor ou no menu workspace do Log Analytics. | Pode alterar o escopo para qualquer outro tipo de recurso. |
| Aplicativo do Application Insights | Todos os registros no aplicativo Insights aplicativo. | Selecione Logs no menu Application Insights para o aplicativo. | Só pode alterar o escopo para outro aplicativo Insights aplicativo. |
| Resource group | Registros criados por todos os recursos no grupo de recursos. Pode incluir dados de vários workspaces do Log Analytics. | Selecione Logs no menu do grupo de recursos. | Não é possível alterar o escopo. |
| Subscription | Registros criados por todos os recursos na assinatura. Pode incluir dados de vários workspaces do Log Analytics. | Selecione Logs no menu de assinatura. | Não é possível alterar o escopo. |
| Outros recursos do Azure | Registros criados pelo recurso. Pode incluir dados de vários workspaces do Log Analytics. | Selecione Logs no menu de recursos. OU Selecione Logs no menu do Azure Monitor e, em seguida, selecione um novo escopo. |
Só pode alterar o escopo para o mesmo tipo de recurso. |
Limitações quando no escopo de um recurso
Quando o escopo da consulta é um workspace do Log Analytics ou um aplicativo Insights aplicativo, todas as opções no portal e todos os comandos de consulta estão disponíveis. No entanto, quando no escopo de um recurso, as seguintes opções no portal não estão disponíveis porque estão associadas a um único workspace ou aplicativo:
- Salvar
- Gerenciador de consultas
- Nova regra de alerta
Não é possível usar os comandos a seguir em uma consulta quando o escopo for um recurso, pois o escopo da consulta já inclui todos os workspaces com dados para esse recurso ou conjunto de recursos:
Limites de escopo da consulta
Definir o escopo para um recurso ou conjunto de recursos é um recurso avançado do Log Analytics, pois permite consolidar automaticamente os dados distribuídos em uma única consulta. No entanto, isso poderá afetar significativamente o desempenho se os dados precisarem ser recuperados de workspaces em várias regiões do Azure.
O Log Analytics ajuda a proteger contra sobrecarga excessiva contra consultas que abrangem workspaces em várias regiões emitindo um aviso ou erro quando um determinado número de regiões está sendo usado. Sua consulta receberá um aviso se o escopo incluir workspaces em cinco ou mais regiões. ela ainda será executada, mas poderá levar muito tempo para ser concluída.
Sua consulta será impedida de ser executado se o escopo incluir workspaces em 20 ou mais regiões. Nesse caso, você será solicitado a reduzir o número de regiões de workspace e tentar executar a consulta novamente. A lista suspensa exibirá todas as regiões no escopo da consulta e você deverá reduzir o número de regiões antes de tentar executar a consulta novamente.
Intervalo de horas
O intervalo de tempo especifica o conjunto de registros que são avaliados para a consulta com base em quando o registro foi criado. Isso é definido pela coluna TimeGenerated em cada registro no espaço de trabalho ou aplicativo, conforme especificado na tabela a seguir. Para um aplicativo Application Insights clássico, a coluna timestamp é usada para o intervalo de tempo.
De definir o intervalo de tempo selecionando-o no seletor de tempo na parte superior da janela do Log Analytics. Você pode selecionar um período predefinido ou selecionar personalizado para especificar um intervalo de tempo específico.
Se você definir um filtro na consulta que usa a coluna de tempo padrão, conforme mostrado na tabela acima, o seletor de hora será atualizado para Definir na consulta e o seletor de hora será desabilitado. Nesse caso, é mais eficiente colocar o filtro na parte superior da consulta para que qualquer processamento subsequente só precise funcionar com os registros filtrados.
Se você usar o workspace ou o comando aplicativo para recuperar dados de outro workspace ou aplicativo clássico, o seletor de tempo poderá se comportar de maneira diferente. Se o escopo for um workspace do Log Analytics e você usar o aplicativo ou se o escopo for um aplicativo Application Insights clássico e você usar o workspace, o Log Analytics poderá não entender que a coluna usada no filtro deve determinar o filtro de tempo.
No exemplo a seguir, o escopo é definido como um workspace do Log Analytics. A consulta usa o workspace para recuperar dados de outro workspace do Log Analytics. O selador de tempo muda para Definir na consulta porque ele vê um filtro que usa a coluna TimeGenerated esperada.
No entanto, se a consulta usar o aplicativo para recuperar dados de um aplicativo Application Insights clássico, o Log Analytics não reconhecerá a coluna de timestamp no filtro e o selador de tempo permanecerá inalterado. Nesse caso, ambos os filtros são aplicados. No exemplo, somente os registros criados nas últimas 24 horas são incluídos na consulta, embora ela especifique 7 dias na cláusula where.
