Поделиться через

Руководство по Log Analytics

  • Статья

Log Analytics — это средство на портале Azure для изменения и запуска запросов журнала из данных, собранных журналами Azure Monitor, и интерактивного анализа результатов. Запросы Log Analytics можно использовать для извлечения записей, соответствующих определенным условиям, определения тенденций, анализа шаблонов и предоставления разнообразных сведений о данных.

В этом учебнике описан интерфейс Log Analytics, который позволяет приступить к работе с некоторыми базовыми запросами, и показано, как можно использовать результаты запросов. Узнайте следующие темы:

  • использовать общую схему данных журнала;
  • создавать и выполнять простые запросы и изменять диапазон времени для запросов;
  • фильтровать, сортировать и группировать результаты запроса;
  • просматривать, изменять и совместно использовать визуальные элементы результатов запроса;
  • загружать, экспортировать и копировать запросы и результаты.

Внимание

В этом руководстве вы используете функции Log Analytics для создания одного запроса и использования другого примера запроса. Когда вы будете готовы к изучению синтаксиса запросов и непосредственному их редактированию, ознакомьтесь с учебником по языку запросов Kusto. В этом руководстве показаны примеры запросов, которые вы можете изменить и выполнить в Log Analytics. В нем используется несколько функций, которые вы узнаете в этом руководстве.

Необходимые компоненты

При работе с этим учебником можно использовать демонстрационную среду Log Analytics, которая включает в себя множество примеров данных, поддерживающих примеры запросов. Вы также можете использовать свою подписку Azure, но у вас может не быть данных в тех же таблицах.

Примечание.

Log Analytics имеет два режима : Simple и KQL. В этом руководстве описан режим KQL. Сведения об простом режиме см. в статье "Анализ данных с помощью простого режима Log Analytics (предварительная версия)".

Открытие Log Analytics

Откройте демонстрационную среду Log Analytics или выберите Журналы в меню Azure Monitor в подписке. На этом этапе будет задана начальная область в рабочей области Log Analytics. При выполнении запрос сможет выбирать любые данные в этой рабочей области. Если выбрать Журналы из меню ресурсов Azure, для области будут заданы только записи из этого ресурса. Дополнительные сведения об области см. в разделе Область запросов журнала.

Область можно просмотреть в левом верхнем углу интерфейса журналов под именем активной вкладки запроса. Если вы используете собственную среду, вы увидите возможность выбрать другую область. Этот параметр недоступен в демонстрационной среде.

Снимок экрана: область Log Analytics, используемая для демонстрации.

Просмотр информации о таблицах

В левой части экрана содержится вкладка Таблицы, на которой можно просматривать таблицы, доступные в текущей области. По умолчанию они группируются по решению, но можно изменить параметры их группирования или выполнить фильтрацию.

Разверните решение Управление журналами и найдите таблицу AppRequests. Вы можете развернуть таблицу, чтобы просмотреть ее схему, или навести указатель мыши на ее имя, чтобы отобразить дополнительные сведения.

Снимок экрана, на котором показано представление

  • Выберите ссылку ниже Полезные ссылки (в этом примере AppRequests), чтобы перейти к ссылке на таблицу, которая документирует каждую таблицу и ее столбцы.

  • Выберите Просмотр данных, чтобы быстро взглянуть на несколько последних записей в таблице. Этот предварительный просмотр может быть полезен, чтобы убедиться, что данные, которые вы ожидаете, прежде чем выполнять запрос с ним.

Снимок экрана: предварительный просмотр данных для таблицы AppRequests.

Напишите запрос

Давайте создадим запрос, используя таблицу AppRequests. Дважды щелкните его имя или наведите указатель мыши на него и щелкните "Использовать в редакторе ", чтобы добавить его в окно запроса. Кроме того, можно ввести текст непосредственно в окне. Вы даже можете получить IntelliSense, который помогает завершить имена таблиц в текущей области и язык запросов Kusto (KQL).

Это простейший запрос, который можно написать. Он просто возвращает все записи в таблице. Выполните его, нажав кнопку Запустить или клавиши SHIFT+ВВОД (курсор может находиться в любом месте текста запроса).

Снимок экрана, на котором показаны результаты запроса.

Отобразятся результаты. Число записей, возвращаемых запросом, отображается в правом нижнем углу. Максимальное количество результатов, которые можно получить на портале Log Analytics, составляет 30 000.

Диапазон времени

Все запросы возвращают записи, созданные в течение заданного диапазона времени. По умолчанию запрос вернет записи, сформированные за последние 24 часа.

Можно задать другой диапазон времени с помощью оператора WHERE в запросе или с помощью раскрывающегося списка Диапазон времени в верхней части экрана.

Давайте изменим диапазон времени запроса, выбрав Последние 12 часов в раскрывающемся списке Диапазон времени. Нажмите Запустить, чтобы получить результаты.

Примечание.

Изменение диапазона времени с помощью раскрывающегося списка Диапазон времени не приводит к изменению запроса в редакторе запросов.

Снимок экрана, на котором показан диапазон времени.

Несколько фильтров

Давайте дополнительно сократим наши результаты, добавив еще одно условие фильтра. Запрос может включать любое количество фильтров, чтобы вы могли отобразить необходимый набор записей. В левой части экрана, где активна вкладка "Таблицы ", выберите вкладку "Фильтр ". Если его найти не удается, щелкните многоточие, чтобы просмотреть дополнительные вкладки.

На вкладке "Фильтр " выберите "Загрузить старые фильтры ", чтобы просмотреть первые 10 значений для каждого фильтра.

Снимок экрана: вкладка запроса с параметром загрузки старых фильтров.

Выберите "Получить главная" или "Индекс " в разделе "Имя", а затем нажмите кнопку "Применить" и "Выполнить".

Снимок экрана, показывающий результаты запроса с несколькими фильтрами.

Анализ результатов

Помимо поддержки при написании и выполнении запросов Log Analytics предоставляет функции для работы с результатами. Сначала разверните запись, чтобы просмотреть значения для всех его столбцов, щелкнув шеврон слева от строки.

Снимок экрана: запись, развернутая в результатах поиска.

Выберите имя любого столбца, чтобы отсортировать результаты по этому столбцу. Щелкните значок фильтра рядом с ним, чтобы указать условие фильтра. Это действие аналогично добавлению условия фильтра к самому запросу за исключением того, что при повторном выполнении запроса этот фильтр будет сброшен. Используйте этот метод для быстрого анализа набора записей в ходе интерактивного анализа.

Задайте фильтр в столбце DurationMs , чтобы ограничить записи более 150 миллисекундами.

  1. Таблица результатов позволяет фильтровать так же, как в Excel. Выберите многоточие в заголовке столбца Name .
  2. Снимите флажок "Выбрать все", а затем найдите "Получить дома" или "Индекс " и проверьте его. Фильтры автоматически применяются к результатам.

Снимок экрана, на котором показан фильтр результатов запроса.

Поиск по результатма запроса

Давайте выполним поиск по результатам запроса, используя поле поиска в правом верхнем углу области результатов.

Введите Chicago в поле поиска результатов запроса и выберите стрелки, чтобы найти все экземпляры этой строки в результатах поиска.

Снимок экрана: поле поиска в правом верхнем углу области результатов.

Реорганизация и обобщение данных

Чтобы лучше визуализировать данные, вы можете реорганизовать и обобщить данные в результатах запроса в зависимости от ваших потребностей.

Выберите Столбцы справа от области результатов, чтобы открыть боковую панель Столбцы.

Снимок экрана: ссылка на столбец справа от области результатов, которую вы выберете, чтобы открыть боковую панель

На боковой панели отображается список всех доступных столбцов. Перетащите столбец url в раздел Группы строк. Результаты уже упорядочены по этому столбцу, а вы можете свернуть каждую группу, чтобы упростить анализ. Это действие аналогично добавлению условия фильтра в запрос, но вместо повторного получения данных с сервера выполняется обработка данных, возвращенных исходным запросом. При повторном выполнении запроса Log Analytics извлекает данные на основе исходного запроса. Используйте этот метод для быстрого анализа набора записей в ходе интерактивного анализа.

Снимок экрана: результаты запроса, сгруппированные по URL-адресу.

Создание сводной таблицы

Чтобы проанализировать производительность страниц, создайте сводную таблицу.

На боковой панели Столбцы выберите сводный режим.

Выберите Url и DurationMs, чтобы отобразить общую продолжительность всех вызовов каждого URL-адреса.

Чтобы просмотреть максимальную длительность вызова для каждого URL-адреса, выберите sum(DurationMs)>max.

Снимок экрана, на котором показано, как включить режим сводной таблицы и настроить таблицу на основе значений URL-адреса и DurationMS.

Теперь давайте отсортируем результаты по максимальной продолжительности вызова, выбрав столбец max(DurationMs) в области результатов.

Снимок экрана, на котором показана область результатов запроса, отсортированная по максимальным значениям DurationMS.

Работа с диаграммами

Давайте рассмотрим запрос, использующий числовые данные, которые можно просмотреть в диаграмме. Вместо создания запроса мы выбираем пример запроса.

Выберите Запросы в области слева. Эта панель содержит примеры запросов, которые можно добавить в окно запроса. Если вы используете собственную рабочую область, у вас должны быть различные запросы в нескольких категориях.

Загрузите запрос частоты ошибок функции в категорию "Приложения" в редактор. Для этого дважды щелкните запрос или наведите указатель мыши на имя запроса, чтобы отобразить дополнительные сведения, а затем выберите "Загрузить в редактор".

Снимок экрана: сведения о запросе.

Обратите внимание, что новый запрос отделен от другого пустой строкой. Запрос в KQL заканчивается при обнаружении пустой строки, что делает их отдельными запросами.

Снимок экрана, на котором показан новый запрос.

Щелкните в любом месте запроса, чтобы выбрать его, а затем нажмите кнопку "Выполнить ", чтобы запустить ее.

Снимок экрана, на котором показаны результаты запроса в таблице.

Чтобы просмотреть результаты на диаграмме, в области результатов выберите Диаграмма. Обратите внимание, что существуют различные варианты работы с диаграммой, например можно изменить ее тип.

Снимок экрана, на котором показаны результаты запроса на диаграмме.

Следующие шаги

Теперь, когда вы умеете использовать Log Analytics, выполните инструкции из учебника по использованию запросов журнала:

Написание запросов к журналам Azure Monitor