Руководство по Log Analytics

  • Статья

Log Analytics — это средство на портале Azure для изменения и запуска запросов журнала из данных, собранных журналами Azure Monitor, и интерактивного анализа результатов. Запросы Log Analytics можно использовать для извлечения записей, соответствующих определенным условиям, определения тенденций, анализа шаблонов и предоставления разнообразных сведений о данных.

В этом учебнике описан интерфейс Log Analytics, который позволяет приступить к работе с некоторыми базовыми запросами, и показано, как можно использовать результаты запросов. Вы узнаете, как:

  • использовать общую схему данных журнала;
  • создавать и выполнять простые запросы и изменять диапазон времени для запросов;
  • фильтровать, сортировать и группировать результаты запроса;
  • просматривать, изменять и совместно использовать визуальные элементы результатов запроса;
  • загружать, экспортировать и копировать запросы и результаты.

Важно!

В этом учебнике вы будете использовать функции Log Analytics для создания одного запроса и использования примера другого запроса. Когда вы будете готовы к изучению синтаксиса запросов и непосредственному их редактированию, ознакомьтесь с учебником по языку запросов Kusto. В этом руководстве показаны примеры запросов, которые вы можете изменить и выполнить в Log Analytics. В нем используется ряд функций, о которых вы узнаете из этого учебника.

Предварительные требования

При работе с этим учебником можно использовать демонстрационную среду Log Analytics, которая включает в себя множество примеров данных, поддерживающих примеры запросов. Вы также можете использовать свою подписку Azure, но у вас может не быть данных в тех же таблицах.

Открытие Log Analytics

Откройте демонстрационную среду Log Analytics или выберите Журналы в меню Azure Monitor в подписке. На этом этапе будет задана начальная область в рабочей области Log Analytics. При выполнении запрос сможет выбирать любые данные в этой рабочей области. Если выбрать Журналы из меню ресурсов Azure, для области будут заданы только записи из этого ресурса. Дополнительные сведения об области см. в разделе Область запросов журнала.

Область можно просмотреть в левом верхнем углу экрана. Если вы используете собственную среду, вам будет предоставлена возможность выбора другой области. Этот параметр недоступен в демонстрационной среде.

Снимок экрана: область Log Analytics, используемая для демонстрации.

Просмотр сведений о таблицах

В левой части экрана содержится вкладка Таблицы, на которой можно просматривать таблицы, доступные в текущей области. По умолчанию они группируются по решению, но можно изменить параметры их группирования или выполнить фильтрацию.

Разверните решение Управление журналами и найдите таблицу AppRequests. Вы можете развернуть таблицу, чтобы просмотреть ее схему, или навести указатель мыши на ее имя, чтобы отобразить дополнительные сведения.

Снимок экрана, на котором показано представление

Выберите ссылку в разделе Полезные ссылки, чтобы перейти к справочной таблице с описанием каждой таблицы и ее столбцов. Выберите Просмотр данных, чтобы быстро взглянуть на несколько последних записей в таблице. Это позволит убедиться, что указаны данные, с которыми необходимо выполнить запрос.

Снимок экрана: данные предварительного просмотра для таблицы AppRequests.

Напишите запрос

Давайте создадим запрос, используя таблицу AppRequests. Дважды щелкните имя таблицы, чтобы добавить ее в окно запроса. Кроме того, можно ввести текст непосредственно в окне. Вы также можете получить доступ к функции IntelliSense, которая поможет завершать ввод имен таблиц в текущей области и командах на языке запросов Kusto (KQL).

Это простейший запрос, который можно написать. Он просто возвращает все записи в таблице. Выполните его, нажав кнопку Запустить или клавиши SHIFT+ВВОД (курсор может находиться в любом месте текста запроса).

Снимок экрана, на котором показаны результаты запроса.

Отобразятся результаты. Число записей, возвращенных запросом, отображается в правом нижнем углу.

Диапазон времени

Все запросы возвращают записи, созданные в течение заданного диапазона времени. По умолчанию запрос вернет записи, сформированные за последние 24 часа.

Можно задать другой диапазон времени с помощью оператора WHERE в запросе или с помощью раскрывающегося списка Диапазон времени в верхней части экрана.

Давайте изменим диапазон времени запроса, выбрав Последние 12 часов в раскрывающемся списке Диапазон времени. Нажмите Запустить, чтобы получить результаты.

Примечание

Изменение диапазона времени с помощью раскрывающегося списка Диапазон времени не приводит к изменению запроса в редакторе запросов.

Снимок экрана, на котором показан диапазон времени.

Несколько условий запросов

Давайте дополнительно сократим наши результаты, добавив еще одно условие фильтра. Запрос может включать любое количество фильтров, чтобы вы могли отобразить необходимый набор записей. Выберите Get Home/Index в разделе Имя и щелкните Применить и запустить.

Снимок экрана, показывающий результаты запроса с несколькими фильтрами.

Анализ результатов

Помимо поддержки при написании и выполнении запросов Log Analytics предоставляет функции для работы с результатами. Сначала разверните запись, чтобы просмотреть значения для всех ее столбцов.

Снимок экрана: запись, развернутая в результатах поиска.

Выберите имя любого столбца, чтобы отсортировать результаты по этому столбцу. Щелкните значок фильтра рядом с ним, чтобы указать условие фильтра. Это действие аналогично добавлению условия фильтра к самому запросу за исключением того, что при повторном выполнении запроса этот фильтр будет сброшен. Используйте этот метод для быстрого анализа набора записей в ходе интерактивного анализа.

Например, задайте фильтр для столбца DurationMs, чтобы выбрать только записи, потребовавшие больше 150 миллисекунд обработки.

Снимок экрана, на котором показан фильтр результатов запроса.

Поиск по результатма запроса

Давайте выполним поиск по результатам запроса, используя поле поиска в правом верхнем углу области результатов.

Введите Chicago в поле поиска результатов запроса и выберите стрелки, чтобы найти все экземпляры этой строки в результатах поиска.

Снимок экрана: поле поиска в правом верхнем углу области результатов.

Реорганизация и обобщение данных

Чтобы лучше визуализировать данные, вы можете реорганизовать и обобщить данные в результатах запроса в зависимости от ваших потребностей.

Выберите Столбцы справа от области результатов, чтобы открыть боковую панель Столбцы.

Снимок экрана: ссылка

На боковой панели отобразится список всех доступных столбцов. Перетащите столбец url в раздел Группы строк. Результаты уже упорядочены по этому столбцу, а вы можете свернуть каждую группу, чтобы упростить анализ. Это действие аналогично добавлению условия фильтра в запрос, но вместо повторного получения данных с сервера выполняется обработка данных, возвращенных исходным запросом. При повторном выполнении запроса Log Analytics извлекает данные на основе исходного запроса. Используйте этот метод для быстрого анализа набора записей в ходе интерактивного анализа.

Снимок экрана: результаты запроса, сгруппированные по URL-адресу.

Создание сводной таблицы

Чтобы проанализировать производительность страниц, создайте сводную таблицу.

На боковой панели Столбцы выберите сводный режим.

Выберите Url и DurationMs, чтобы отобразить общую продолжительность всех вызовов каждого URL-адреса.

Чтобы просмотреть максимальную длительность вызова для каждого URL-адреса, выберите sum(DurationMs)>max.

Снимок экрана, на котором показано, как включить режим сводной таблицы и настроить сводную таблицу на основе значений URL-адреса и DurationMS.

Теперь давайте отсортируем результаты по максимальной продолжительности вызова, выбрав столбец max(DurationMs) в области результатов.

Снимок экрана: область результатов запроса, отсортированная по максимальным значениям DurationMS.

Работа с диаграммами

Давайте рассмотрим запрос, использующий числовые данные, которые можно просмотреть в диаграмме. Вместо создания запроса мы выберем пример запроса.

Выберите Запросы в области слева. Эта панель содержит примеры запросов, которые можно добавить в окно запроса. Если вы используете собственную рабочую область, у вас будет множество запросов в различных категориях. Если вы используете демонстрационную рабочую область, вы увидите только одну категорию рабочих областей Log Analytics. Разверните ее, чтобы просмотреть запросы в категории.

Выберите запрос Function Error rate в категории Приложения. Запрос будет добавлен в окно запроса. Обратите внимание, что новый запрос отделен от другого пустой строкой. Запрос в KQL завершается, если обнаруживает пустую строку, поэтому они считаются отдельными запросами.

Снимок экрана, на котором показан новый запрос.

На текущем запросе будет расположен курсор. Вы можете видеть, что первый запрос выделен, то есть это текущий запрос. Щелкните где угодно в новом запросе, чтобы выбрать его, а затем нажмите кнопку Запустить, чтобы его выполнить.

Снимок экрана, на котором показаны результаты запроса в таблице.

Чтобы просмотреть результаты на диаграмме, в области результатов выберите Диаграмма. Обратите внимание, что существуют различные варианты работы с диаграммой, например можно изменить ее тип.

Снимок экрана, на котором показаны результаты запроса на диаграмме.

Дальнейшие действия

Теперь, когда вы умеете использовать Log Analytics, выполните инструкции из учебника по использованию запросов журнала:

Написание запросов к журналам Azure Monitor