Âmbito da consulta de registo e intervalo de tempo no Log Analytics do Azure Monitor
Quando você executa uma consulta de log no Log Analytics no portal do Azure, o conjunto de dados avaliados pela consulta depende do escopo e do intervalo de tempo selecionado. Este artigo descreve o escopo e o intervalo de tempo e como você pode definir cada um dependendo de suas necessidades. Ele também descreve o comportamento de diferentes tipos de escopos.
Permissões necessárias
Você deve ter Microsoft.OperationalInsights/workspaces/query/*/read permissões para os espaços de trabalho do Log Analytics consultados, conforme fornecido pela função interna do Log Analytics Reader, por exemplo.
Âmbito de consulta
O escopo da consulta define os registros que a consulta avalia. Essa definição geralmente incluirá todos os registros em um único espaço de trabalho do Log Analytics ou aplicativo do Application Insights. O Log Analytics também permite definir um escopo para um recurso monitorado específico do Azure. Isso permite que um proprietário de recurso se concentre apenas em seus dados, mesmo que esse recurso grave em vários espaços de trabalho.
O escopo é sempre exibido no canto superior esquerdo da janela do Log Analytics. Um ícone indica se o escopo é um espaço de trabalho do Log Analytics ou um aplicativo do Application Insights. Nenhum ícone indica outro recurso do Azure.
O método que você usa para iniciar o Log Analytics determina o escopo e, em alguns casos, você pode alterar o escopo clicando nele. A tabela a seguir lista os diferentes tipos de escopo usados e os diferentes detalhes para cada um.
Importante
Se você estiver usando um aplicativo baseado em espaço de trabalho no Application Insights, seus dados serão armazenados em um espaço de trabalho do Log Analytics com todos os outros dados de log. Para compatibilidade com versões anteriores, você obterá a experiência clássica do Application Insights ao selecionar o aplicativo como escopo. Para ver esses dados no espaço de trabalho do Log Analytics, defina o escopo para o espaço de trabalho.
| Âmbito de consulta | Registos no âmbito | Como selecionar | Alteração do âmbito |
|---|---|---|---|
| Área de trabalho do Log Analytics | Todos os registros no espaço de trabalho do Log Analytics. | Selecione Logs no menu Azure Monitor ou no menu Espaços de trabalho do Log Analytics. | Pode alterar o escopo para qualquer outro tipo de recurso. |
| Aplicação Application Insights | Todos os registros no aplicativo Application Insights. | Selecione Logs no menu Application Insights para o aplicativo. | Só é possível alterar o escopo para outro aplicativo do Application Insights. |
| Grupo de recursos | Registros criados por todos os recursos no grupo de recursos. Pode incluir dados de vários espaços de trabalho do Log Analytics. | Selecione Logs no menu do grupo de recursos. | Não é possível alterar o escopo. |
| Subscrição | Registros criados por todos os recursos na assinatura. Pode incluir dados de vários espaços de trabalho do Log Analytics. | Selecione Logs no menu de assinatura. | Não é possível alterar o escopo. |
| Outros recursos do Azure | Registros criados pelo recurso. Pode incluir dados de vários espaços de trabalho do Log Analytics. | Selecione Logs no menu de recursos. OU Selecione Logs no menu Azure Monitor e selecione um novo escopo. |
Só é possível alterar o escopo para o mesmo tipo de recurso. |
Limitações quando definido o escopo para um recurso
Quando o escopo da consulta é um espaço de trabalho do Log Analytics ou um aplicativo do Application Insights, todas as opções no portal e todos os comandos de consulta estão disponíveis. No entanto, quando definidas como escopo para um recurso, as seguintes opções no portal não estão disponíveis porque estão associadas a um único espaço de trabalho ou aplicativo:
- Guardar
- Explorador de consultas
- Nova regra de alerta
Não é possível usar os seguintes comandos em uma consulta quando definido como escopo para um recurso, pois o escopo da consulta já inclui espaços de trabalho com dados para esse recurso ou conjunto de recursos:
Limites do escopo da consulta
Definir o escopo para um recurso ou conjunto de recursos é um recurso poderoso do Log Analytics, pois permite consolidar automaticamente dados distribuídos em uma única consulta. No entanto, isso pode afetar significativamente o desempenho se os dados precisarem ser recuperados de espaços de trabalho em várias regiões do Azure.
O Log Analytics ajuda a proteger contra sobrecarga excessiva de consultas que abrangem espaços de trabalho em várias regiões, emitindo um aviso ou erro quando um determinado número de regiões está sendo usado. Sua consulta receberá um aviso se o escopo incluir espaços de trabalho em 5 ou mais regiões. Ele ainda será executado, mas pode levar tempo excessivo para ser concluído.
Sua consulta será bloqueada se o escopo incluir espaços de trabalho em 20 ou mais regiões. Nesse caso, você será solicitado a reduzir o número de regiões do espaço de trabalho e tentar executar a consulta novamente. A lista suspensa exibirá todas as regiões no escopo da consulta, e você deve reduzir o número de regiões antes de tentar executar a consulta novamente.
Intervalo de tempo
O intervalo de tempo especifica o conjunto de registros que são avaliados para a consulta com base em quando o registro foi criado. Isso é definido pela coluna TimeGenerated em cada registro no espaço de trabalho ou aplicativo, conforme especificado na tabela a seguir. Para um aplicativo clássico do Application Insights, a coluna de carimbo de data/hora é usada para o intervalo de tempo.
Defina o intervalo de tempo selecionando-o no seletor de tempo na parte superior da janela do Log Analytics. Você pode selecionar um período predefinido ou selecionar Personalizado para especificar um intervalo de tempo específico.
Se você definir um filtro na consulta que usa a coluna de hora padrão, conforme mostrado na tabela acima, o seletor de tempo mudará para Definir na consulta e o seletor de tempo será desativado. Nesse caso, é mais eficiente colocar o filtro na parte superior da consulta para que qualquer processamento subsequente só precise funcionar com os registros filtrados.
Se você usar o comando workspace ou app para recuperar dados de outro espaço de trabalho ou aplicativo clássico, o seletor de tempo poderá se comportar de forma diferente. Se o escopo for um espaço de trabalho do Log Analytics e você usar o aplicativo, ou se o escopo for um aplicativo clássico do Application Insights e você usar o espaço de trabalho, o Log Analytics pode não entender que a coluna usada no filtro deve determinar o filtro de tempo.
No exemplo a seguir, o escopo é definido como um espaço de trabalho do Log Analytics. A consulta usa o espaço de trabalho para recuperar dados de outro espaço de trabalho do Log Analytics. O seletor de tempo muda para Definir na consulta porque vê um filtro que usa a coluna TimeGenerated esperada.
No entanto, se a consulta usar o aplicativo para recuperar dados de um aplicativo clássico do Application Insights, o Log Analytics não reconhecerá a coluna de carimbo de data/hora no filtro e o seletor de data e hora permanecerá inalterado. Neste caso, ambos os filtros são aplicados. No exemplo, apenas os registros criados nas últimas 24 horas são incluídos na consulta, embora ela especifique 7 dias na cláusula where .
Próximos passos
- Percorra um tutorial sobre como usar o Log Analytics no portal do Azure.
- Percorra um tutorial sobre como escrever consultas.