Запросы журналов в Azure Monitor

Журналы Azure Monitor основаны на Azure Data Explorer, а запросы журналов записываются с помощью той же язык запросов Kusto (KQL). Этот богатый язык предназначен для легкого чтения и автора, поэтому вы сможете начать писать запросы с некоторыми основными рекомендациями.

Области в Azure Monitor, в которых вы будете использовать запросы, включают:

• Log Analytics: используйте это основное средство в портал Azure для редактирования запросов журналов и интерактивного анализа результатов. Даже если вы планируете использовать запрос журнала в другом месте в Azure Monitor, обычно вы напишете и протестируете его в Log Analytics, прежде чем скопировать его в окончательное расположение.
• Правила генерации оповещений поиска журналов: упреждающее определение проблем из данных в рабочей области. Каждое правило генерации оповещений основано на запросе журнала, который автоматически выполняется через регулярные интервалы. Результаты проверяются, чтобы определить, следует ли создавать оповещение.
• Книги. Включите результаты запросов журналов с помощью различных визуализаций в интерактивных визуальных отчетах в портал Azure.
• Панели мониторинга Azure. Закрепление результатов любого запроса на панели мониторинга Azure, что позволяет визуализировать данные журналов и метрик вместе и при необходимости предоставлять общий доступ другим пользователям Azure.
• Azure Logic Apps: используйте результаты запроса журнала в автоматизированном рабочем процессе с помощью рабочего процесса приложения логики.
• PowerShell: используйте результаты запроса журнала в скрипте PowerShell из командной строки или модуля Runbook служба автоматизации Azure, который используетInvoke-AzOperationalInsightsQuery.
• API запросов Log Analytics: получение данных журнала из рабочей области из любого клиента REST API. Запрос API включает запрос, который выполняется в Azure Monitor, чтобы определить данные для получения.
• Клиентские библиотеки запросов Azure Monitor: получение данных журнала из рабочей области с помощью идиоматической клиентской библиотеки для следующих экосистем:

  • .NET

  • GO

  • Java

  • JavaScript

  • Python

    Пример реализации клиентской библиотеки запросов Azure Monitor для Python см. в статье "Анализ данных в журналах Azure Monitor с помощью записной книжки".

Начало работы

Лучший способ начать обучение по написанию запросов к журналам с помощью KQL — использовать доступные учебники и примеры:

• Руководство по Log Analytics. Руководство по использованию функций Log Analytics, которое является средством, которое вы будете использовать в портал Azure для редактирования и запуска запросов. Он также позволяет создавать простые запросы без непосредственного использования языка запросов. Если вы еще не использовали Log Analytics, запустите здесь, чтобы понять инструмент, который вы будете использовать с другими руководствами и примерами.
• Руководство по KQL: пошаговое руководство по основным понятиям KQL и общим операторам. Это лучшая отправная точка для знакомства с самим языком и структурой запросов журнала.
• Примеры запросов. Описание примеров запросов, доступных в Log Analytics. Вы можете использовать запросы без изменений или в качестве примеров для изучения KQL.

Справочная документация

Документация по KQL, включая ссылку для всех команд и операторов, доступна в документации по Azure Data Explorer. Даже при использовании KQL вы по-прежнему будете регулярно использовать ссылку для изучения новых команд и сценариев, которые вы еще не использовали раньше.

Различия между языками

Хотя Azure Monitor использует тот же KQL, что и Azure Data Explorer, существуют некоторые различия. В документации по KQL будут указаны операторы, которые не поддерживаются Azure Monitor или которые имеют другую функциональность. Операторы, относящиеся к Azure Monitor, описаны в содержимом для Azure Monitor. В следующих разделах перечислены различия между версиями языка для быстрого получения справки.

Инструкции, которые не поддерживаются в Azure Monitor:

• Alias
• параметры запроса.

Функции, которые не поддерживаются в Azure Monitor:

• cluster();
• cursor_after();
• cursor_before_or_at();
• cursor_current(), current_cursor();
• database();
• current_principal();
• extent_id();
• extent_tags().

Оператор не поддерживается в Azure Monitor

соединение между кластерами;

Подключаемые модули не поддерживаются в Azure Monitor

• Подключаемый модуль Python
• модуль sql_request.

Другие операторы в Azure Monitor

Следующие операторы поддерживают определенные функции Azure Monitor и недоступны за пределами Azure Monitor:

• workspace().
• app();
• resource()

Следующие шаги

• Пройдите пошаговый учебник по написанию запросов.
• Доступ к полной справочной документации по KQL.