Log Analytics-självstudie

Log Analytics är ett verktyg i Azure-Portal för att redigera och köra loggfrågor från data som samlas in av Azure Monitor-loggar och interaktivt analysera deras resultat. Du kan använda Log Analytics-frågor till att hämta poster som matchar specifika kriterier, identifiera trender, analyserar mönster och ger olika insikter om dina data.

Den här självstudien vägleder dig genom Log Analytics-gränssnittet, hjälper dig att komma igång med några grundläggande frågor och visar hur du kan arbeta med resultaten. Du lär dig följande:

  • Förstå schemat för loggdata.
  • Skriv och kör enkla frågor och ändra tidsintervallet för frågor.
  • Filtrera, sortera och gruppera frågeresultat.
  • Visa, ändra och dela visuella objekt för frågeresultat.
  • Läsa in, exportera och kopiera frågor och resultat.

Viktigt

I den här självstudien använder du Log Analytics-funktioner för att skapa en fråga och använda en annan exempelfråga. När du är redo att lära dig syntaxen för frågor och börja redigera själva frågan direkt läser du självstudien Kusto-frågespråk. Den här självstudien vägleder dig genom exempelfrågor som du kan redigera och köra i Log Analytics. Den använder flera av de funktioner som du lär dig i den här självstudien.

Krav

I den här självstudien används Log Analytics-demomiljön, som innehåller massor av exempeldata som stöder exempelfrågorna. Du kan också använda din egen Azure-prenumeration, men du kanske inte har data i samma tabeller.

Öppna Log Analytics

Öppna Log Analytics-demomiljön eller välj Loggar på Azure Monitor-menyn i din prenumeration. Det här steget anger det inledande omfånget till en Log Analytics-arbetsyta så att frågan väljer från alla data på arbetsytan. Om du väljer Loggar på menyn för en Azure-resurs anges omfånget endast till poster från den resursen. Mer information om omfånget finns i Omfång för loggfråga.

Du kan visa omfånget i det övre vänstra hörnet på skärmen. Om du använder din egen miljö visas ett alternativ för att välja ett annat omfång. Det här alternativet är inte tillgängligt i demomiljön.

Skärmbild som visar Log Analytics-omfånget för demonstrationen.

Visa tabellinformation

Till vänster på skärmen finns fliken Tabeller , där du kan granska de tabeller som är tillgängliga i det aktuella omfånget. Dessa tabeller grupperas efter lösning som standard, men du kan ändra deras gruppering eller filtrera dem.

Expandera Log Management-lösningen och leta upp tabellen AppRequests . Du kan expandera tabellen för att visa dess schema eller hovra över dess namn om du vill visa mer information om den.

Skärmbild som visar vyn Tabeller.

Välj länken nedan Användbara länkar för att gå till tabellreferensen som dokumenterar varje tabell och dess kolumner. Välj Förhandsgranska data för att få en snabb titt på några av de senaste posterna i tabellen. Den här förhandsversionen kan vara användbar för att säkerställa att det här är de data som du förväntar dig innan du kör en fråga med den.

Skärmbild som visar förhandsgranskningsdata för tabellen AppRequests.

Skriva en fråga

Nu ska vi skriva en fråga med hjälp av tabellen AppRequests . Dubbelklicka på namnet för att lägga till det i frågefönstret. Du kan också skriva direkt i fönstret. Du kan även hämta IntelliSense som hjälper dig att slutföra namnen på tabeller i det aktuella omfånget och Kusto-frågespråk (KQL) kommandon.

Det här är den enklaste frågan som vi kan skriva. Den returnerar bara alla poster i en tabell. Kör det genom att välja knappen Kör eller genom att välja Skift+Retur med markören placerad var som helst i frågetexten.

Skärmbild som visar frågeresultat.

Du kan se att vi har resultat. Antalet poster som frågan har returnerat visas i det nedre högra hörnet.

Tidsintervall

Alla frågor returnerar poster som genererats inom ett angivet tidsintervall. Som standard returnerar frågan poster som genererats under de senaste 24 timmarna.

Du kan ange ett annat tidsintervall med hjälp av where-operatorn i frågan. Du kan också använda listrutan Tidsintervall överst på skärmen.

Nu ska vi ändra tidsintervallet för frågan genom att välja Senaste 12 timmarna i listrutan Tidsintervall . Välj Kör för att returnera resultatet.

Anteckning

Om du ändrar tidsintervallet med hjälp av listrutan Tidsintervall ändras inte frågan i frågeredigeraren.

Skärmbild som visar tidsintervallet.

Flera frågevillkor

Nu ska vi minska våra resultat ytterligare genom att lägga till ytterligare ett filtervillkor. En fråga kan innehålla valfritt antal filter för att rikta in sig på exakt den uppsättning poster som du vill ha. Välj Hämta start/index under Namn och välj sedan Använd & kör.

Skärmbild som visar frågeresultat med flera filter.

Analysera resultat

Förutom att hjälpa dig att skriva och köra frågor tillhandahåller Log Analytics funktioner för att arbeta med resultaten. Börja med att expandera en post för att visa värdena för alla dess kolumner.

Skärmbild som visar en post som expanderats i sökresultaten.

Välj namnet på en kolumn för att sortera resultaten efter kolumnen. Välj filterikonen bredvid den för att ange ett filtervillkor. Den här åtgärden liknar att lägga till ett filtervillkor i själva frågan, förutom att det här filtret rensas om frågan körs igen. Använd den här metoden om du snabbt vill analysera en uppsättning poster som en del av interaktiv analys.

Du kan till exempel ange ett filter för kolumnen DurationMs för att begränsa posterna till de som tog mer än 150 millisekunder.

Skärmbild som visar ett frågeresultatfilter.

Sök igenom frågeresultat

Nu ska vi söka igenom frågeresultaten med hjälp av sökrutan längst upp till höger i resultatfönstret.

Ange Chicago i sökrutan för frågeresultat och välj pilarna för att hitta alla instanser av strängen i sökresultaten.

Skärmbild som visar sökrutan längst upp till höger i resultatfönstret.

Organisera om och sammanfatta data

Om du vill visualisera dina data bättre kan du ordna om och sammanfatta data i frågeresultaten baserat på dina behov.

Välj Kolumner till höger om resultatfönstret för att öppna sidopanelen Kolumner .

Skärmbild som visar länken Kolumn till höger om resultatfönstret, som du väljer för att öppna sidopanelen Kolumner.

I sidopanelen visas en lista över alla tillgängliga kolumner. Dra URL-kolumnen till avsnittet Radgrupper . Resultaten är nu ordnade efter den kolumnen och du kan dölja varje grupp för att hjälpa dig med din analys. Den här åtgärden liknar att lägga till ett filtervillkor i frågan, men i stället för att hämta data från servern bearbetar du de data som den ursprungliga frågan returnerade. När du kör frågan igen hämtar Log Analytics data baserat på din ursprungliga fråga. Använd den här metoden om du snabbt vill analysera en uppsättning poster som en del av interaktiv analys.

Skärmbild som visar frågeresultat grupperade efter URL.

Skapa en pivottabell

Om du vill analysera prestanda för dina sidor skapar du en pivottabell.

I sidopanelen Kolumner väljer du Pivotläge.

Välj URL och varaktighetsdatorer för att visa den totala varaktigheten för alla anrop till varje URL.

Om du vill visa den maximala samtalsvaraktigheten för varje URL väljer du sum(DurationMs)>max.

Skärmbild som visar hur du aktiverar pivotläge och konfigurerar en pivottabell baserat på VÄRDENA URL och DurationMS.

Nu ska vi sortera resultatet efter längsta maximala samtalsvaraktighet genom att välja kolumnen max(DurationMs) i resultatfönstret.

Skärmbild som visar frågeresultatfönstret som sorteras efter maximala DurationMS-värden.

Arbeta med diagram

Nu ska vi titta på en fråga som använder numeriska data som vi kan visa i ett diagram. I stället för att skapa en fråga väljer vi en exempelfråga.

Välj Frågor i det vänstra fönstret. I det här fönstret finns exempelfrågor som du kan lägga till i frågefönstret. Om du använder en egen arbetsyta bör du ha olika frågor i flera kategorier. Om du använder demomiljön kanske du bara ser en enda Log Analytics-arbetsytekategori . Expandera det för att visa frågorna i kategorin.

Välj frågan Funktionsfelfrekvens i kategorin Program . Det här steget lägger till frågan i frågefönstret. Observera att den nya frågan skiljs från den andra med en tom rad. En fråga i KQL slutar när den påträffar en tom rad, så dessa betraktas som separata frågor.

Skärmbild som visar en ny fråga.

Den aktuella frågan är den som markören är placerad på. Du kan se att den första frågan är markerad, vilket indikerar att det är den aktuella frågan. Klicka var som helst i den nya frågan för att välja den och välj sedan knappen Kör för att köra den.

Skärmbild som visar frågeresultattabellen.

Om du vill visa resultatet i ett diagram väljer du Diagram i resultatfönstret. Observera att det finns olika alternativ för att arbeta med diagrammet, till exempel att ändra det till en annan typ.

Skärmbild som visar frågeresultatdiagrammet.

Nästa steg

Nu när du vet hur du använder Log Analytics slutför du självstudien om hur du använder loggfrågor: