Руководство: Использование Log Analytics

Log Analytics — это средство на портале Azure для запроса и анализа данных, собранных Azure Monitor Logs. Если вам нужно устранить проблему, исследовать тенденцию производительности или понять, как работают ресурсы Azure, используйте Log Analytics для записи и выполнения запросов log.

В этом руководстве описан интерфейс Log Analytics с использованием примеров данных. Вы изучаете схему таблицы, записываете и выполняете базовые запросы и работаете с результатами.

Изучив это руководство, вы:

  • Понимать схему данных журнала.
  • создавать и выполнять простые запросы и изменять диапазон времени для запросов;
  • фильтровать, сортировать и группировать результаты запроса;
  • просматривать, изменять и совместно использовать визуальные элементы результатов запроса;
  • загружать, экспортировать и копировать запросы и результаты.

Предварительные условия

  • Учетная запись Microsoft или удостоверение Microsoft Entra ID с доступом к порталу Azure.
  • Демонстрационная среда Log Analytics (рекомендуется). Демонстрационная среда содержит примеры данных, которые поддерживают запросы в этом руководстве. Подписка Azure не требуется.
  • Если вы используете собственную подписку вместо демонстрационной среды, вам понадобится рабочая область Log Analytics с данными. Ваши таблицы могут не соответствовать демонстрационным данным.

Примечание.

Log Analytics имеет два режима: простой и язык запросов Kusto (KQL). В этом руководстве в основном используется режим KQL. Если вы предпочитаете интерфейс с выбором элементов вместо того, чтобы писать запросы KQL, см. Анализ данных с помощью Log Analytics в простом режиме.

В этом руководстве используются Log Analytics функции для создания запросов и использования примеров запросов. Когда вы будете готовы узнать синтаксис запросов и начать непосредственное редактирование самого запроса, попробуйте руководство по языку запросов Kusto (KQL). В этом руководстве показаны примеры запросов, которые вы можете изменить и выполнить в Log Analytics. В нем используется несколько функций, которые вы узнаете в этом руководстве.

Открытие Log Analytics

Откройте демонстрационную среду Log Analytics или выберите Журналы в меню Azure Monitor в подписке. На этом этапе устанавливается начальная область охвата для рабочей области Log Analytics, чтобы ваш запрос мог выбирать из всех данных в этой рабочей области. Если выбрать Logs из меню ресурса Azure, область ограничивается только записями из этого ресурса. Дополнительные сведения см. в разделе "Область запроса журнала".

Найдите текущую область, выбрав многоточие текущего запроса. Если вы используете собственную среду, вам будет доступен параметр выбора другой области действия. Этот параметр недоступен в демонстрационной среде.

Снимок экрана: область Log Analytics, используемая для демонстрации.

Проверка: Убедитесь, что редактор запросов отображается, а в области видимости в левом верхнем углу указано название вашей рабочей области или "Demo".

Просмотр информации о таблицах

В левой части экрана находится вкладка "Таблицы ", где вы проверяете таблицы, доступные в текущей области. По умолчанию они группируются по решению, но можно изменить параметры их группирования или выполнить фильтрацию.

  1. Разверните решение Управление журналами и найдите таблицу AppRequests. Разверните таблицу, чтобы просмотреть ее схему или наведите указатель мыши на имя, чтобы отобразить дополнительные сведения о ней.

  2. Выберите ссылку в разделе "Полезные ссылки " (в этом примере AppRequests), чтобы просмотреть ссылку, которая документирует таблицу и ее столбцы.

  3. Наведите указатель мыши на таблицу AppRequests и выберите "Выполнить" , чтобы просмотреть записи за последние 24 часа в таблице. Эта предварительная версия помогает проверить данные перед выполнением более обширного запроса.

    Снимок экрана: предварительный просмотр данных для таблицы AppRequests.

Проверки: В области предварительного просмотра отображаются записи с такими столбцами, как Name, Url, DurationMs, ResultCode и ClientCity. Если таблица AppRequests не отображается в разделе Управление журналами, возможно, ваша рабочая область не настроена для работы с данными Application Insights.

Напишите запрос

Напишите запрос с помощью таблицы AppRequests :

  1. Дважды щелкните имя таблицы или наведите указатель мыши на нее и выберите "Использовать в редакторе ", чтобы добавить ее в окно запроса. Кроме того, введите AppRequests непосредственно в окне. IntelliSense помогает дополнять имена таблиц в текущей области и команды KQL.

  2. Нажмите кнопку "Выполнить " или нажмите клавиши SHIFT+ВВОД с курсором, расположенным в любом месте текста запроса. Этот запрос является самым простым и возвращает все записи в таблице до ограничения "Показать результаты ".

Проверки: Проверьте правый нижний угол области результатов. Вы должны увидеть количество записей больше нуля. Сведения о максимальном количестве результатов см. в разделе "Настройка ограничения результатов запроса".

Для изучения процесса создания собственных запросов см. раздел "Начало работы с запросами журналов в Azure Monitor Logs".

Установка диапазона времени запроса

Все запросы возвращают записи, созданные в течение заданного диапазона времени. По умолчанию средство выбора времени имеет значение Last 24 hours. После выполнения предварительной версии запрос явно задает диапазон времени 24 часа. Задайте другой диапазон времени с помощью раскрывающегося списка "Диапазон времени " в верхней части экрана или измените оператор where в запросе. При использовании обоих методов Log Analytics применяет объединение двух диапазонов времени. Дополнительные сведения см. в разделе "Указание диапазона времени".

  1. Измените диапазон времени, нажав кнопку "Последние 12 часов " в раскрывающемся списке "Диапазон времени ".

  2. where Удалите оператор из запроса, если он существует.

  3. Нажмите Запустить, чтобы получить результаты.

Снимок экрана, показывающий средство выбора диапазона времени в Log Analytics.

Проверка: Количество записей в правом нижнем углу может быть не меньше результата за предыдущие 24 часа из-за настроенного ограничения Show.

Применение нескольких фильтров запросов

Уменьшите результаты дальше, добавив условие фильтра. Запрос может содержать любое количество фильтров, предназначенных именно для нужных записей.

  1. Переключение из режима KQL в простой режим , выбрав раскрывающийся список режима в правом верхнем углу редактора запросов. В простом режиме добавьте фильтры без написания синтаксиса KQL.

  2. Щелкните значок "Добавить фильтры" справа от ограничения "Показать ".

  3. Выберите фильтр "Имя ". Оператор по умолчанию — Выбрать из списка, который отображает значения на основе записей из текущих результатов.

  4. Выберите GET Home/Index. Если ожидаемые значения не отображаются, попробуйте расширить диапазон времени, увеличив ограничение отображения или удалив другие фильтры, чтобы убедиться, что эти записи включены в результаты.

    Снимок экрана, показывающий результаты запроса с несколькими фильтрами.

  5. Переключитесь в режим KQL и просмотрите синтаксис KQL для примененных фильтров. Теперь запрос должен включать where оператор с условиями для столбца Name .

Проверки: Количество записей уменьшается по сравнению с нефильтрованным запросом. Все видимые записи в столбце "Имя" показывают GET Home/Index.

Анализ результатов запроса

Log Analytics предоставляет функции для работы с результатами за пределами выполнения запросов.

Разверните и отсортируйте записи

  1. Разверните запись, чтобы просмотреть значения для всех его столбцов, выбрав шеврон (>) в левой части строки.

  2. Выберите любой заголовок столбца, чтобы отсортировать результаты по такому столбцу. Снова выберите один и тот же заголовок, чтобы переключиться между возрастаниями, убыванием и порядком по умолчанию.

    Снимок экрана, на котором показаны результаты запроса, отсортированные по столбцу TimeGenerated, и развернутая запись.

Фильтрация из заголовков столбцов

Таблица результатов поддерживает фильтрацию в стиле Excel через заголовки столбцов. Используйте этот метод для быстрого интерактивного анализа.

  1. Выберите многоточие (...) рядом с заголовком столбца DurationMs . Этот выбор отображает вкладку фильтра и вкладку параметров столбца. Фильтры, настроенные здесь, очищаются при повторном запуске запроса.

  2. Задайте фильтр там, чтобы ограничить записи запросами приложений, которые заняли более 150 миллисекунда.

    Снимок экрана, на котором показана раскрытая запись в результатах поиска.

Проверки: После применения фильтра DurationMs все видимые записи показывают значение DurationMs больше 150. Количество записей уменьшается.

Поиск по результатам запроса

Выполните поиск по результатам запроса с помощью поля поиска в правом верхнем углу области результатов.

  1. Введите Техас в поле поиска результатов запроса.

  2. Щелкните стрелку вниз, чтобы найти следующий экземпляр этой строки в результатах поиска.

Снимок экрана: поле поиска в правом верхнем углу области результатов.

Проверки: В результатах выделен соответствующий текст. Навигация со стрелками указывает общее количество совпадений (например, "2/12").

Примечание.

Поле поиска фильтрует только отображаемые результаты в браузере и не изменяет запрос KQL или повторно извлекает данные с сервера.

Реорганизация и обобщение данных

Переорганизуйте и обобщайте данные в результатах запроса, чтобы улучшить визуализацию.

  1. Выберите Столбцы справа от области результатов, чтобы открыть боковую панель Столбцы.

  2. Перетащите столбец url в раздел Группы строк. Результаты теперь сгруппированы по этому столбцу, и вы можете свернуть каждую группу.

    Это действие обрабатывает возвращенные данные исходного запроса. Он не извлекает данные с сервера. При повторном запуске запроса Log Analytics извлекает данные на основе исходного запроса.

    Снимок экрана: результаты запроса, сгруппированные по URL-адресу.

Проверка: Результаты отображаются в сворачиваемых группах, у каждой из которых есть заголовок с URL-адресом. Выберите заголовок группы, чтобы развернуть или свернуть его.

Создание сводной таблицы

Чтобы проанализировать производительность страниц, создайте сводную таблицу:

  1. На боковой панели Столбцы выберите Сводный режим.

  2. Выберите Url и DurationMs, чтобы отобразить общую продолжительность всех вызовов каждого URL-адреса.

  3. Чтобы просмотреть максимальную длительность вызова для каждого URL-адреса, выберите sum(DurationMs) и выберите максимальное значение.

    Снимок экрана, на котором показано, как включить режим Pivot Mode и настроить сводную таблицу на основе URL-адреса и значений DurationMS.

  4. Сортируйте результаты по максимальной продолжительности вызова, выбрав заголовок столбца max(DurationMs) в области результатов.

Проверка: В сводной таблице отображается по одной строке для каждого URL-адреса со значением max(DurationMs). Результаты сортируются с наибольшей длительностью в верхней части.

Визуализация результатов запроса в виде диаграмм

Просмотрите запрос, использующий числовые данные в качестве диаграммы. Вместо создания запроса используйте пример запроса из встроенной библиотеки запросов.

  1. Снимите редактор запросов любого существующего текста или откройте новую вкладку запроса, выбрав значок плюса рядом с текущей вкладкой запроса.

  2. Выберите Запросы в области слева. В этой области содержатся примеры запросов для загрузки в редактор запросов. Если вы используете собственную рабочую область, вы найдете различные запросы в нескольких категориях.

  3. Найдите запрос Тенденция времени отклика в категории Приложения. Чтобы загрузить его, дважды щелкните запрос или наведите указатель мыши на имя запроса, чтобы отобразить дополнительные сведения, а затем выберите "Загрузить в редактор". Пустая строка отделяет новый запрос от любого предыдущего запроса. В KQL пустая строка помечает конец запроса, поэтому каждый запрос в редакторе выполняется независимо.

  4. Поместите курсор в любое место в новом запросе и нажмите кнопку "Выполнить".

    Снимок экрана, на котором показаны результаты запроса на диаграмме.

  5. Переключите вкладку "Результаты " или измените форматирование диаграммы , чтобы изучить другие параметры.

Проверки: На диаграмме отображается график линии временных рядов с почасовыми точками данных. Ось Y показывает среднюю длительность отклика в миллисекундах. Если вы видите всплеск данных, выполните дальнейшие исследования, изменив диапазон времени.

Чтобы получить уведомление о возникновении пиков, создайте правило генерации оповещений. Откройте (...) рядом с центром запросов в строке действий и нажмите кнопку +Создать правило генерации оповещений. Дополнительные сведения см. в руководстве по созданию оповещения поиска по журналам для ресурса Azure. Создание правила генерации оповещений не поддерживается в демонстрационной среде, но вы по-прежнему можете изучить этот параметр, чтобы узнать, как это работает.

Экспорт и копирование результатов

После выполнения запроса экспортируйте или скопируйте результаты для использования вне Log Analytics. В меню "Общий доступ " в строке действий:

  • Скопируйте ссылку на запрос: Создает ссылку на текущий запрос, который можно предоставить другим пользователям, имеющим доступ к той же рабочей области.
  • Копирование текста запроса: Выбирает текст запроса в редакторе в буфер обмена.

Эти функции не работают в демонстрационной среде, так как демонстрация не имеет уникального URL-адреса или сохраняет запросы, но их можно попробовать в собственной среде.

  • Копирование результатов: Выберите строки в области результатов, щелкните правой кнопкой мыши и выберите " Копировать " или использовать CTRL+C. Вставьте данные в электронный лист или текстовый редактор.
  • Экспорт в CSV - все столбцы или экспорт в CSV - отображаемые столбцы для скачивания данных.
  • Экспортировать в Power BI (в виде M-запроса) или Экспортировать в Power BI (новый набор данных), чтобы открыть данные в Power BI для дальнейшего анализа и визуализации.
  • Открыть в Excel: Экспортирует данные и открывает в Excel. Этот параметр доступен только в том случае, если на компьютере установлена Excel.

В меню "Сохранить " в строке действий можно сохранить запрос или закрепить визуальный элемент на панели мониторинга. Чтобы узнать, как закрепить визуальные элементы на общей панели мониторинга, см. статью Создание общих панелей мониторинга, визуализирующих данные в журналах Azure Monitor, и предоставление к ним общего доступа.

Устранение распространенных неполадок

Проблема Возможная причина Solution
Демонстрационная среда не загружается Браузер блокирует всплывающие окна или сторонние файлы cookie. Разрешить всплывающие окна для portal.azure.com. Попробуйте частное или инкогнито окно браузера.
Таблица AppRequests не отображается Рабочая область не имеет данных Application Insights. Используйте демонстрационную среду или подключите ресурс Application Insights к рабочей области.
Запрос не возвращает результатов Выбранный диапазон времени не содержит данных, или фильтр слишком узкий. Разверните диапазон времени (например, последние 7 дней). Удалите фильтры для проверки наличия данных.
Ошибка "Нет доступа" в рабочей области У вашей учетной записи нет разрешений на чтение в рабочей области. Попросите администратора назначить роль Читатель Log Analytics. См. статью "Управление доступом к данным журнала и рабочим областям".
На вкладке "Диаграмма" отображается сообщение "Диаграмма недоступна" Запрос не возвращает временные ряды или числовые данные, подходящие для диаграммы. Убедитесь, что запрос содержит оператор summarize с условием bin(TimeGenerated, ...).
Вкладка "Фильтр" пуста Фильтры не загружаются для текущих результатов запроса. Сначала запустите запрос. Затем выберите вкладку "Фильтр " и выберите параметр обновления или перезагрузки, чтобы заполнить значения фильтра.
Фильтр DurationMs не показывает результатов с > 150 мс Данные рабочей области имеют равномерно низкое время отклика. Уменьшите пороговое значение (например, попробуйте > 5 мс) или используйте демонстрационную среду, которая имеет разное время отклика.
Параметр режима сводной таблицы не отображается Боковая панель "Столбцы" не открыта. Выберите Columns справа от панели результатов, чтобы открыть боковую панель >, затем выберите Pivot Mode.

Следующий шаг

Теперь, когда вы умеете использовать Log Analytics, выполните инструкции из учебника по использованию запросов журнала:

Написание запросов к журналам Azure Monitor

  • Last updated on