Omfång och tidsintervall för loggfrågor i Azure Monitor Log Analytics
När du kör en loggfråga i Log Analytics i Azure-portalen beror den uppsättning data som utvärderas av frågan på omfånget och det tidsintervall som du väljer. Den här artikeln beskriver omfånget och tidsintervallet och hur du kan ange var och en beroende på dina krav. Den beskriver också beteendet för olika typer av omfång.
Behörigheter som krävs
Du måste ha Microsoft.OperationalInsights/workspaces/query/*/read behörighet till de Log Analytics-arbetsytor som du frågar efter, till exempel den inbyggda rollen Log Analytics Reader.
Frågeomfång
Frågeomfånget definierar de poster som frågan utvärderar. Den här definitionen innehåller vanligtvis alla poster i en enda Log Analytics-arbetsyta eller Application Insights-program. Med Log Analytics kan du också ange ett omfång för en viss övervakad Azure-resurs. Detta gör att en resursägare endast kan fokusera på sina data, även om resursen skriver till flera arbetsytor.
Omfånget visas alltid längst upp till vänster i Log Analytics-fönstret. En ikon anger om omfånget är en Log Analytics-arbetsyta eller ett Application Insights-program. Ingen ikon anger en annan Azure-resurs.
Den metod som du använder för att starta Log Analytics avgör omfånget och i vissa fall kan du ändra omfånget genom att klicka på det. I följande tabell visas de olika typerna av omfång som används och olika information för var och en.
Viktigt!
Om du använder ett arbetsytebaserat program i Application Insights lagras dess data på en Log Analytics-arbetsyta med alla andra loggdata. För bakåtkompatibilitet får du den klassiska Application Insights-upplevelsen när du väljer programmet som omfång. Om du vill se dessa data på Log Analytics-arbetsytan anger du omfånget till arbetsytan.
| Frågeomfång | Poster i omfång | Så här väljer du | Ändra omfång |
|---|---|---|---|
| Log Analytics-arbetsyta | Alla poster på Log Analytics-arbetsytan. | Välj Loggar på Azure Monitor-menyn eller log analytics-arbetsytemenyn . | Kan ändra omfång till valfri annan resurstyp. |
| Application Insights-program | Alla poster i Application Insights-programmet. | Välj Loggar på Application Insights-menyn för programmet. | Det går bara att ändra omfånget till ett annat Application Insights-program. |
| Resursgrupp | Poster som skapats av alla resurser i resursgruppen. Kan innehålla data från flera Log Analytics-arbetsytor. | Välj Loggar på resursgruppsmenyn. | Det går inte att ändra omfånget. |
| Prenumeration | Poster som skapats av alla resurser i prenumerationen. Kan innehålla data från flera Log Analytics-arbetsytor. | Välj Loggar på prenumerationsmenyn. | Det går inte att ändra omfånget. |
| Andra Azure-resurser | Poster som skapats av resursen. Kan innehålla data från flera Log Analytics-arbetsytor. | Välj Loggar på resursmenyn. ELLER Välj Loggar på Azure Monitor-menyn och välj sedan ett nytt omfång. |
Det går bara att ändra omfånget till samma resurstyp. |
Begränsningar när den är begränsad till en resurs
När frågeomfånget är en Log Analytics-arbetsyta eller ett Application Insights-program är alla alternativ i portalen och alla frågekommandon tillgängliga. När de är begränsade till en resurs är dock följande alternativ i portalen inte tillgängliga eftersom de är associerade med en enda arbetsyta eller ett program:
- Spara
- Frågeutforskaren
- Ny aviseringsregel
Du kan inte använda följande kommandon i en fråga när den är begränsad till en resurs eftersom frågeomfånget redan innehåller några arbetsytor med data för den resursen eller resursuppsättningen:
Frågeomfångsgränser
Att ange omfånget till en resurs eller uppsättning resurser är en kraftfull funktion i Log Analytics eftersom du kan konsolidera distribuerade data automatiskt i en enda fråga. Det kan dock påverka prestanda avsevärt om data behöver hämtas från arbetsytor i flera Azure-regioner.
Log Analytics hjälper till att skydda mot överdrivna omkostnader från frågor som omfattar arbetsytor i flera regioner genom att utfärda en varning eller ett fel när ett visst antal regioner används. Frågan får en varning om omfånget innehåller arbetsytor i 5 eller fler regioner. det kommer fortfarande att köras, men det kan ta för lång tid att slutföra.
Frågan blockeras från att köras om omfånget innehåller arbetsytor i 20 eller fler regioner. I det här fallet uppmanas du att minska antalet arbetsyteregioner och försöka köra frågan igen. Listrutan visar alla regioner i frågans omfång och du bör minska antalet regioner innan du försöker köra frågan igen.
Tidsintervall
Tidsintervallet anger den uppsättning poster som utvärderas för frågan baserat på när posten skapades. Detta definieras av kolumnen TimeGenerated på varje post i arbetsytan eller programmet enligt beskrivningen i följande tabell. För ett klassiskt Application Insights-program används tidsstämpelkolumnen för tidsintervallet.
Ange tidsintervallet genom att välja det från tidsväljaren överst i Log Analytics-fönstret. Du kan välja en fördefinierad period eller välja Anpassad för att ange ett visst tidsintervall.
Om du anger ett filter i frågan som använder standardtidskolumnen enligt tabellen ovan ändras tidsväljaren till Ange i fråga och tidsväljaren inaktiveras. I det här fallet är det mest effektivt att placera filtret överst i frågan så att efterföljande bearbetning bara behöver fungera med de filtrerade posterna.
Om du använder kommandot arbetsyta eller app för att hämta data från en annan arbetsyta eller ett klassiskt program kan tidsväljaren bete sig annorlunda. Om omfånget är en Log Analytics-arbetsyta och du använder en app, eller om omfånget är ett klassiskt Application Insights-program och du använder arbetsytan, kanske Log Analytics inte förstår att kolumnen som används i filtret ska fastställa tidsfiltret.
I följande exempel anges omfånget till en Log Analytics-arbetsyta. Frågan använder arbetsytan för att hämta data från en annan Log Analytics-arbetsyta. Tidsväljaren ändras till Ange i fråga eftersom den ser ett filter som använder den förväntade kolumnen TimeGenerated .
Om frågan använder appen för att hämta data från ett klassiskt Application Insights-program känner Log Analytics dock inte igen tidsstämpelkolumnen i filtret och tidsväljaren förblir oförändrad. I det här fallet tillämpas båda filtren. I exemplet ingår endast poster som skapats under de senaste 24 timmarna i frågan även om den anger 7 dagar i where-satsen .
Nästa steg
- Gå igenom en självstudie om hur du använder Log Analytics i Azure-portalen.
- Gå igenom en självstudie om hur du skriver frågor.