Consultas de log no Azure Monitor

Os Logs do Azure Monitor baseiam-se no Azure Data Explorer e as consultas de log também são escritas usando KQL (Linguagem de Consulta Kusto). Essa linguagem avançada foi criada para ser fácil de ler e criar, portanto, você deve conseguir começar a escrever consultas seguindo algumas diretrizes básicas.

As áreas no Azure Monitor em que você usará consultas incluem:

• Log Analytics: use essa ferramenta primária no portal do Azure usada para editar consultas de log e analisar os resultados de maneira interativa. Mesmo que pretenda usar uma consulta de log em outro lugar no Azure Monitor, normalmente você escreverá e testará essa consulta no Log Analytics antes de copiá-la para o local final.
• Regras de alerta de pesquisa de log: identifique proativamente problemas de dados em seu workspace. Cada regra de alerta é baseada em uma consulta de log que é executada automaticamente em intervalos regulares. Os resultados são inspecionados para determinar se um alerta deve ser criado.
• Woorkbooks: as pastas de trabalho incluem os resultados das consultas de log usando visualizações diferentes em relatórios visuais interativos no portal do Azure.
• Painéis do Azure: você pode fixar os resultados da consulta em um painel do Azure, que permite visualizar os dados de log e de métrica em conjunto e, opcionalmente, compartilhar com outros usuários do Azure.
• Aplicativos Lógicos do Azure: use os resultados de uma consulta de log em um fluxo de trabalho automatizado utilizando o fluxo de trabalho do aplicativo lógico.
• PowerShell: use os resultados de uma consulta de log em um script do PowerShell com uma linha de comando ou um runbook da Automação do Azure que usa Invoke-AzOperationalInsightsQuery.
• API de Consulta do Log Analytics: recupera dados de logs do workspace de qualquer cliente da API REST. A solicitação de API inclui uma consulta que é executada no Azure Monitor para determinar os dados a serem recuperados.
• Bibliotecas de cliente da Consulta do Azure Monitor: recupere dados de log do workspace por meio de uma biblioteca de cliente idiomática para os seguintes ecossistemas:

  • .NET

  • Ir

  • Java

  • JavaScript

  • Python

    Para obter um exemplo de como implementar a biblioteca de clientes de Consulta do Azure Monitor para Python, consulte Analisar dados nos Logs do Azure Monitor usando um notebook.

Introdução

A melhor maneira de começar a aprender a gravar consultas de log usando o KQL é aproveitando os tutoriais e os exemplos disponíveis:

• Tutorial do Log Analytics: esse tutorial ensina os recursos do Log Analytics, que é a ferramenta que você utilizará no portal do Azure para editar e executar consultas. Ele também permite que você escreva consultas simples sem trabalhar diretamente com a linguagem de consulta. Se você nunca usou o Log Analytics, comece por aqui para entender a ferramenta que você usará com os outros tutoriais e exemplos.
• Tutorial do KQL: explicação guiada por conceitos básicos de KQL e operadores comuns. Este é o melhor lugar para você começar a se familiarizar com a linguagem e a estrutura das consultas de log.
• Exemplos de consultas: descrição dos exemplos de consultas disponíveis no Log Analytics. Você pode usar as consultas sem modificação ou usá-las como exemplos para aprender KQL.

Documentação de referência

A documentação do KQL, incluindo a referência para todos os comandos e operadores, está disponível na documentação do Azure Data Explorer. Mesmo que você se torne proficiente no uso do KQL, ainda continuará usando regularmente a referência para investigar novos comandos e cenários não utilizados anteriormente.

Diferenças da linguagem

Embora o Azure Monitor use o mesmo KQL que o Azure Data Explorer, há algumas diferenças. A documentação do KQL especifica os operadores que não são compatíveis com o Azure Monitor ou que tenham funcionalidades diferentes. Os operadores específicos para o Azure Monitor são documentados no conteúdo do Azure Monitor. Para uma referência rápida, as seções a seguir listam as diferenças entre as versões de linguagem.

Instruções não compatíveis com o Azure Monitor

• Alias
• Parâmetros de consulta

Funções não compatíveis com o Azure Monitor

• cluster()
• cursor_after()
• cursor_before_or_at()
• cursor_current(), current_cursor()
• database()
• current_principal()
• extent_id()
• extent_tags()

Operador não compatível com o Azure Monitor

Junção entre clusters

Plug-ins não compatíveis com o Azure Monitor

• Plug-in do Python
• Plug-in sql_request

Outros operadores no Azure Monitor

Os seguintes operadores dão suporte a recursos específicos do Azure Monitor e não estão disponíveis fora do Azure Monitor:

• workspace()
• app()
• resource()

Próximas etapas

• Percorra um tutorial sobre como gravar consultas.
• Acesse a documentação de referência do KQL completa.