你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Log Analytics 简单模式分析数据(预览版)
Log Analytics 现在提供了两种模式,使基本用户和高级用户更容易浏览和分析日志数据:
- 简单模式以直观的、类似电子表格的体验提供最常用的 Azure Monitor 日志功能。 只需单击鼠标即可筛选、排序和聚合数据,即可在 80% 的时间内获得所需的见解。
- KQL 模式为高级用户提供 Kusto 查询语言 (KQL) 的全部功能,以便使用 Log Analytics 查询编辑器从日志中获取更深入的见解。
可以在简单模式和 KQL 模式之间无缝切换,高级用户可以共享任何人都可以继续在简单模式下使用的复杂查询。
本文介绍如何使用 Log Analytics 简单模式浏览和分析 Azure Monitor 日志中的数据。
以下视频简要概述了如何使用简单模式和 KQL 模式查询 Log Analytics 中的日志:
尝试 Log Analytics 简单模式
简单模式当前是选择加入体验。 若要试用,请选择 Log Analytics 查询编辑器右上角的“试用新的 Log Analytics”。 可以随时切换回经典 Log Analytics 体验。
简单模式是如何工作的
使用简单模式,单击即可从一个或多个表检索数据,从而快速开始。 然后使用一组直观的控件来浏览和分析检索到的数据。
本部分将介绍 Log Analytics 简单模式下可用的控件。
顶部查询栏
在简单模式下,顶部栏具有用于处理数据和切换到 KQL 模式的控件。
| 选项 | 说明 |
|---|---|
| 时间范围 | 为查询可用的数据选择时间范围。 在 KQL 模式下,如果在查询中设置不同的时间范围,则会重写在时间选取器中设置的时间范围。 |
| 限制 | 在简单模式下配置 Log Analytics 检索的条目数。 默认限制为 1000。 有关查询限制的详细信息,请参阅配置查询结果限制。 |
| 添加 | 添加筛选器并应用简单模式运算符,如在简单模式下浏览和分析数据中所述。 |
| 简单/KQL 模式 | 在简单模式和 KQL 模式之间进行切换。 |
左窗格
使用可折叠左窗格可以访问表、示例和保存的查询、函数以及查询历史记录。
固定左窗格以使其在工作时保持打开状态,或者仅在需要时从左窗格中选择图标以最大化查询窗口。
| 选项 | 说明 |
|---|---|
| 表 | 列出属于所选范围的表。 选择“分组依据”可更改表的分组。 将鼠标悬停在表名上,以查看表的说明和指向其文档的链接。 展开表可查看其列。 选择一个表以对其运行查询。 |
| 查询 | 列出示例和保存的查询。 这与查询中心中的列表相同。 选择“分组依据”可更改查询的分组。 将鼠标悬停在查询上以查看查询的说明。 选择一个查询来运行它。 |
| 函数 | 列出函数,该函数允许在日志查询中重复使用预定义的查询逻辑。 |
| 查询历史记录 | 列出查询历史记录。 选择一个查询以重新运行它。 |
更多工具
本部分从左到右介绍了屏幕查询区域上方的更多可用工具,如此屏幕截图所示。
| 选项 | 说明 |
|---|---|
| 选项卡上下文菜单 | 更改查询范围或者重命名、重复或关闭选项卡。 |
| 保存 | 将查询保存到查询包或作为函数,或者将查询固定到工作簿、Azure 仪表板或 Grafana 仪表板。 |
| 共享 | 复制指向查询、查询文本或查询结果的链接,或者将数据导出到 Excel、CSV 或 Power BI。 |
| 新警报规则 | 新建预警规则。 |
| 搜索作业模式 | 运行搜索作业。 |
| Log Analytics 设置 | 定义默认 Log Analytics 设置,包括时区、Log Analytics 首先以简单模式还是 KQL 模式打开以及是否显示不包含数据的表。 |
| 切换回经典日志 | 切换回经典 Log Analytics 用户界面。 |
| 查询中心 | 打开示例查询对话框,当你首次打开 Log Analytics 时会显示该对话框。 |
以简单模式开始
在简单模式下选择表或预定义查询或函数时,Log Analytics 会自动检索相关数据以供浏览和分析。
无论是在资源还是工作区上下文中打开 Log Analytics,都可以一键检索日志。
若要开始,可以:
单击“选择表”,然后从“表”选项卡中选择一个表,以查看表数据。
或者,从左窗格中选择“表”以查看工作区中的表列表。
使用现有查询,例如共享或保存的查询,或者示例查询。
从查询历史记录中选择一个查询。
选择一个函数。
重要
函数让你能够重复使用查询逻辑,并且通常需要输入参数或其他上下文。 在这种情况下,只有切换到 KQL 模式并提供所需的输入后,函数才会运行。
在简单模式下浏览和分析数据
注意
应用筛选器和运算符的顺序会影响查询和结果。 例如,如果应用筛选器,然后进行聚合,则 Log Analytics 会将聚合应用于已筛选的数据。 如果聚合然后进行筛选,则聚合将应用于未筛选的数据。
更改时间范围和显示的记录数
默认情况下,简单模式会列出表中最近 24 小时内最新的 1,000个条目。
若要更改时间范围和显示的记录数,请使用“时间范围”和“限制”选择器。 有关结果限制的详细信息,请参阅配置查询结果限制
按列筛选
选择“添加”并选择一列。
选择要筛选的值,或在“搜索”框中输入文本或数字。
如果通过从列表中选择值来进行筛选,则可以选择多个值。 如果列表很长,则将看到消息“并非显示所有结果”。 滚动到列表底部,并选择“加载更多结果”以检索更多值。
搜索表中具有特定值的条目
选择搜索。
在“搜索此表”框中输入字符串,然后选择“应用”。
Log Analytics 会筛选表来仅显示包含输入的字符串的条目。
重要
如果知道哪个列保存要搜索的数据,建议使用“筛选器”。 搜索运算符的性能远不如筛选,并且可能无法很好地处理大量数据。
聚合数据
选择“聚合”。
选择要按其聚合的列,然后选择要按其聚合的运算符,如使用聚合运算符所述。
显示或隐藏列
选择“显示列”。
选择或清除列以显示或隐藏列,然后选择“应用”。
按列排序
选择“排序”。
选择要按其排序的列。
选择“升序”或“降序”,然后选择“应用”。
再次选择“排序”以按另一列排序。
使用聚合运算符
使用聚合运算符来汇总多行的数据,如下表所述。
| 运算符 | 说明 |
|---|---|
| count | 计算列中存在每个非重复值的次数。 |
| dcount | 对于 dcount 运算符,请选择两列。 该运算符会计算第二列中与第一列中的每个值相关的非重复值的总数。 例如,这显示了成功和失败操作的结果代码的非重复数量:
|
| sum avg max min |
对于这些运算符,请选择两列。 运算符为第一列中的每个值计算第二列中所有值的总和、平均值、最大值或最小值。 例如,这显示了过去 24 小时内每个操作的总持续时间(以毫秒为单位):
|
重要
基本日志表不支持使用 avg 和 sum 运算符进行聚合。
切换模式
若要切换模式,请从查询编辑器右上角的下拉列表中选择“简单模式”或“KQL 模式”。
在简单模式下开始查询日志,然后切换到 KQL 模式时,查询编辑器会预先填充与简单模式分析相关的 KQL 查询。 然后,可以编辑并继续处理查询。
对于单个表上的直接查询,Log Analytics 会在简单模式下在顶部查询栏右侧显示表名称。 对于更复杂的查询,Log Analytics 会在顶部查询栏左侧显示“用户查询”。 选择“用户查询”以返回到查询编辑器并随时修改查询。
配置查询结果限制
选择“限制”以打开“限制结果”窗口。
选择一个预设限制,或输入自定义限制。
在“简单模式”和“KQL”模式下可以在 Log Analytics 门户体验中检索的最大结果数为 30,000。 但是,当与集成工具共享 Log Analytics 查询,或在搜索作业中使用该查询时,将根据所选工具设置查询限制。
选择“最大限制”以返回“共享”窗口上可用的任何工具或使用搜索作业提供的最大结果数。
下表列出了使用各种工具的 Azure Monitor 日志查询的最大结果限制:
工具 说明 最大。 limit Log Analytics 在 Microsoft Azure 门户中运行的查询。 30,000 Excel、Power BI、Log Analytics 查询 API 在 Excel 和 Power BI 中使用的查询(与 Log Analytics 集成)和使用 API 运行的查询。 500,000 搜索作业 Azure Monitor 将在搜索作业模式下运行的查询的结果重新引入 Log Analytics 中的新表。 1,000,000
后续步骤
- 演练在 Log Analytics 中使用 KQL 模式的教程。
- 访问完整的 KQL 参考文档。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈