Log Analytics sorgularını yapılandırma
Yönetici istrator'lar, Log Analytics çalışma alanında ayrılmış tablolarda depolanan verilerden Log Analytics sorguları oluşturur. Bazı yaygın ayrılmış tablolar Olay, Syslog, Sinyal ve Uyarı'dır. bir Kusto Sorgu Dili (KQL) sorgusu oluşturduğunuzda, Azure İzleyici Günlükleri deposundaki hangi tablolarda aradığınız verilerin olduğunu belirleyerek başlarsınız.
Aşağıdaki çizimde, KQL sorgularının izlenen hizmetleriniz ve kaynaklarınız için ayrılmış tablo verilerini nasıl kullandığı vurgulanır.
KQL sorgu yapısı hakkında bilinmesi gerekenler
Şimdi ayrılmış tablo verilerine ve KQL günlük sorgusunu yapılandırmaya daha yakından bakalım.
Seçtiğiniz her veri kaynağı ve çözüm, verilerini Log Analytics çalışma alanınızdaki ayrılmış tablolarda depolar.
Her veri kaynağının ve çözümün belgeleri, oluşturduğu veri türünün adını ve özelliklerinin her birinin açıklamasını içerir.
Sorgunun temel yapısı, bir kaynak tablodur ve ardından bir dizi komut (işleç olarak adlandırılır) izler.
Bir sorgu, verilerinizi daraltmak ve gelişmiş işlevler gerçekleştirmek için birden çok işleç zincirine sahip olabilir.
Sorgu zincirindeki her işleç bir kanal karakteriyle
|başlar.Birçok sorgu yalnızca tek bir tablodan veri gerektirir, ancak diğer sorgular çeşitli seçenekleri kullanabilir ve birden çok tablodaki verileri içerebilir.
KQL günlük sorgusu örnekleri
Şimdi bazı yaygın KQL günlük sorgusu işleçlerini ve örnek söz dizimlerini gözden geçirelim.
Tabloda beş girişi olan verileri StormEvent aramak için sorgular oluşturabiliriz:
| Tür | event | önem derecesi | start | süre | region |
|---|---|---|---|---|---|
Water |
Freezing rain |
1 |
6:00 AM 01-27-2023 |
3 hours |
1, 2 |
Wind |
High winds |
1 |
8:00 AM 01-27-2023 |
12 hours |
1, 2, 4, 5 |
Temperature |
Below freezing |
2 |
11:00 PM 01-26-2023 |
10 hours |
1, 2, 4, 5 |
Water |
Snow |
3 |
4:00 PM 01-26-2023 |
10 hours |
1, 2, 4, 5 |
Water |
Flood warning |
2 |
9:00 AM 01-26-2023 |
10 hours |
3 |
Diğer işleçleri ve örnekleri bulmak için gözden geçirin: Kusto Sorgu Dili ile izleme verilerini analiz etme - Eğitim | Microsoft Learn.
Öğe sayısını sayma
count Giriş kayıt kümesindeki kayıt sayısını bulmak için işlecini kullanın.
Aşağıdaki örnek, tablodaki kayıtların StormEvent sayısını döndürür. Sorgu sonuçları, tablonun beş girişe sahip olduğunu gösterir StormEvent .
StormEvent | count
Sorgu sonuçları:
| count |
|---|
5 |
İlk öğe sayısını döndür
top Giriş kayıt kümenizin ilk N kayıtlarını, belirtilen sütunlarınıza göre sıralanmış olarak görmek için işlecini kullanın. Sütunlar, ayrılmış tabloda tanımlanan veri özelliklerine karşılık gelir.
Aşağıdaki örnek için StormEventilk üç veri kaydını döndürür. Sonuçlar tablosunda fırtına event adı, önem derecesi ve tahmin edilen süre gösterilir.
StormEvent | top 3 by event severity duration
Sorgu sonuçları:
| event | önem derecesi | süre |
|---|---|---|
Freezing rain |
1 |
3 hours |
High winds |
1 |
12 hours |
Below freezing |
2 |
10 hours |
Eşleşen öğeleri bulma
where Tablonuzu sağlanan koşul değeriyle eşleşen satırların alt kümesine göre filtrelemek için işlecini kullanın. Koşul değeri, içinde olduğu gibi where=="find-this"tabloda ne aranacaklarını gösterir.
Aşağıdaki örnek için veri kayıtlarını StormEvent yalnızca "kar" ile eşleşen kayıtları kullanacak şekilde filtreler.
StormEvent | where event=="snow"
Sorgunuz tablodaki bir satıra filtre ekler StormEvent :
| Tür | event | önem derecesi | start | süre | region |
|---|---|---|---|---|---|
Water |
Snow |
3 |
4:00 PM 01-26-2023 |
10 hours |
1, 2, 4, 5 |