開始使用 Azure 監視器中的查詢

注意

如果您要從至少一部虛擬機器收集資料，則可以在自己的環境中進行這項練習。 針對其他案例，請使用我們的示範環境，其中包括許多範例資料。

如果您已經知道如何在 Kusto 查詢語言 (KQL) 中查詢，但需要根據資源類型來快速建立有用的查詢，則請參閱在 Azure 監視器 Log Analytics 中使用查詢中的已儲存範例查詢窗格。

在本教學課程中，您將了解如何在 Azure 監視器中撰寫記錄查詢。 本文將說明如何：

• 了解查詢結構。
• 排序查詢結果。
• 篩選查詢結果。
• 指定時間範圍。
• 選取要包括在結果中的欄位。
• 定義和使用自訂欄位。
• 彙總和群組結果。

如需如何在 Azure 入口網站中使用 Log Analytics 的教學課程，請參閱開始使用 Azure 監視器 Log Analytics。

如需 Azure 監視器中記錄查詢的詳細資訊，請參閱 Azure 監視器中的記錄查詢概觀。

以下是本教學課程的影片版本：

需要的權限

例如，對於查詢的 Log Analytics 工作區，您必須擁有 Microsoft.OperationalInsights/workspaces/query/*/read 權限，如 Log Analytics 讀取器內建角色所提供。

撰寫新的查詢

查詢可以透過資料表名稱或 search 命令來開始。 從資料表名稱開始是一個好方向，因為這會定義清楚的查詢範圍。 這也會改善查詢效能和結果的相關性。

注意

Azure 監視器所使用的 KQL 會區分大小寫。 語言關鍵字通常會以小寫來撰寫。 當您在查詢中使用資料表或資料行的名稱時，請務必使用正確的大小寫，如結構描述窗格所示。

以資料表為基礎的查詢

Azure 監視器會將記錄資料整理成皆由數個資料行所組成的資料表。 所有資料表和資料行都會顯示在 Analytics 入口網站中 Log Analytics 中的 [結構描述] 窗格。 請找出您感興趣的資料表，然後看看其中的資料：

SecurityEvent
| take 10

先前的查詢會傳回 SecurityEvent 資料表中的 10 個結果 (沒有特定順序)。 這是一覽資料表並協助您了解其結構和內容的常見方式。 讓我們檢查其建置方式：

• 此查詢會從資料表名稱 SecurityEvent 開始，以定義查詢的範圍。

• 垂直線 (|) 字元會分隔命令，因此第一個命令的輸出就是下一個命令的輸入。 您可以新增任意數目的垂直線元素。

• 接在管道之後是 take 運算子。

  即使未新增 | take 10，我們還是可以實際執行查詢。 此命令仍然有效，但最多可以傳回 30,000 個結果。

Take

使用 take 運算子最多可傳回指定的記錄數目，用以檢視記錄的小型樣本。 系統會任意選取結果，並且不會以任何特定順序顯示。 如果您需要以特定順序傳回結果，請使用 sort 和 top 運算子。

搜尋查詢

搜尋查詢的結構較為鬆散。 通常較適合用於尋找其任何資料行中包括特定值的記錄：

search in (SecurityEvent) "Cryptographic"
| take 10

此查詢會搜尋 SecurityEvent 資料表，看看其中是否有記錄包含「Cryptographic」片語。系統會傳回並顯示這些記錄的其中 10 筆。 如果您省略 in (SecurityEvent) 部分並只執行 search "Cryptographic"，則搜尋會對所有資料表執行。 此流程固然就會需要更長時間，並且效率較低。

重要

搜尋查詢的速度一般會比資料表式的查詢慢，因為所需處理的資料更多。

Sort 和 top

本節說明 sort 和 top 運算子及其 desc 和 asc 引數。 雖然 take 對於取得一些記錄很有用，但您無法以任何特定順序選取或排序結果。 若要取得已排序的檢視，請使用 sort 和 top。

Desc 和 asc

Desc

使用 desc 引數以依遞減順序排序記錄。 遞減是 sort 和 top 的預設排序順序，因此您通常可以省略 desc 引數。

例如，下列兩個查詢所傳回的資料會依遞減順序排序 TimeGenerated 資料行：

• SecurityEvent	
  | sort by TimeGenerated desc
  

• SecurityEvent	
  | sort by TimeGenerated
  

Asc

若要依遞增順序排序，請指定 asc。

Sort

您可以使用 sort 運算子。 sort 會依您指定的資料行排序查詢結果。 然而，sort 不會限制查詢傳回的記錄數目。

例如，下列查詢會傳回 SecurityEvent 資料表的所有可用記錄，最多 30,000 筆記錄並且會依 TimeGenerated 資料行排序。

SecurityEvent	
| sort by TimeGenerated

上述查詢可能會傳回太多結果。 此外，也可能需要一些時間才會傳回結果。 查詢會依 TimeGenerated 資料行排序整個 SecurityEvent 資料表。 Analytics 入口網站接著會限制為只顯示 30,000 筆記錄。 這不是最佳方法。 取得最新記錄的最佳方式是使用 top 運算子。

前幾個

使用 top 運算子 來排序伺服器端的整個資料表，然後只傳回最上層的記錄。

例如，下列查詢會傳回最新 10 筆資料列：

SecurityEvent
| top 10 by TimeGenerated

輸出看起來會像這個範例。

where 運算子：根據條件進行篩選

顧名思義，篩選會根據特定條件來篩選資料。 篩選條件最常用來限制查詢結果，以便只顯示相關資訊。

若要對查詢新增篩選條件，請使用 where 運算子，後面加上一個或多個條件。 例如，下列查詢僅會傳回 Level equals _8 的 SecurityEvent 資料列：

SecurityEvent
| where Level == 8

撰寫篩選條件時，您可以使用下列運算式：

運算式	描述	範例
==	檢查是否相等 (區分大小寫)	Level == 8
=~	檢查是否相等 (不區分大小寫)	EventSourceName =~ "microsoft-windows-security-auditing"
!=, <>	檢查是否不相等 (這兩個運算式同義)	Level != 4
and, or	條件之間必要	Level == 16 or CommandLine != ""

若要依多個條件進行篩選，您可以使用下列其中一種方式：

使用 and，如下所示：

SecurityEvent
| where Level == 8 and EventID == 4672

透過垂直線將多個 where 元素一個接一個地串連在一起，如下所示：

SecurityEvent
| where Level == 8 
| where EventID == 4672

注意

值可以有不同類型，因此，您可能需要轉換值才能對正確類型進行比較。 例如，SecurityEvent Level 資料行是字串類型，因此，您必須先將其轉換為數值類型 (例如，int 或 long)，才能對其使用數值運算子，如這裡所示：SecurityEvent | where toint(Level) >= 10

指定時間範圍

您可以使用時間選擇器或時間篩選條件來指定時間範圍。

使用時間選擇器

時間選擇器會顯示在 [執行] 按鈕旁邊，並指出您只查詢過去 24 小時的記錄。 此預設時間範圍會套用至所有查詢。 若只要取得過去 1 小時的記錄，請選取 [過去 1 小時]，然後再次執行查詢。

將時間篩選新增至查詢

您也可以對查詢新增時間篩選，藉以定義您自己的時間範圍。 新增時間篩選條件會覆寫時間選擇器中選取的時間範圍。

放置時間篩選條件的最佳位置在資料表名稱之後：

SecurityEvent
| where TimeGenerated > ago(30m) 
| where toint(Level) >= 10

在上述時間篩選條件中，ago(30m) 表示「30 分鐘前」。此查詢只會傳回過去 30 分鐘的記錄，表示方式將會如此例所示：30m。 其他時間單位包括天 (例如，2d) 和秒 (例如，10 秒)。

使用 project 和 extend 來選取和計算資料行

使用 project 可選取要包含在結果中的特定資料行：

SecurityEvent 
| top 10 by TimeGenerated 
| project TimeGenerated, Computer, Activity

上述範例會產生下列輸出：

您也可以使用 project 將資料行重新命名並定義新的資料行。 下一個範例會使用 project 來執行下列動作：

• 只選取 Computer 和 TimeGenerated 原始資料行。
• 將 Activity 資料行顯示為 EventDetails。
• 建立名為 EventCode 的新資料行。 substring() 函式可用於僅取得 Activity 欄位中的前四個字元。

SecurityEvent
| top 10 by TimeGenerated 
| project Computer, TimeGenerated, EventDetails=Activity, EventCode=substring(Activity, 0, 4)

您可以使用 extend 來保留結果集中的所有原始資料行，並定義其他資料行。 下列查詢會使用 extend 來新增 EventCode 資料行。 此資料行可能不會顯示在資料表結果的結尾。 您必須展開記錄的詳細資料，才能檢視記錄。

SecurityEvent
| top 10 by TimeGenerated
| extend EventCode=substring(Activity, 0, 4)

使用 summarize 來彙總資料列群組

使用 summarize 以根據一或多個資料行來識別記錄群組，並對其套用彙總。 summarize 最常見的用法是 count，其會傳回每個群組中的結果數目。

下列查詢會檢閱過去 1 小時的所有 Perf 記錄、依 ObjectName 將這些記錄分組，並計算每個群組中的記錄數目：

Perf
| where TimeGenerated > ago(1h)
| summarize count() by ObjectName

依多個維度來定義群組有時很合理。 這些值的每個唯一組合可定義出不同的群組：

Perf
| where TimeGenerated > ago(1h)
| summarize count() by ObjectName, CounterName

另一個常見用途是針對每個群組進行數學或統計計算。 下列範例會計算每部電腦的 CounterValue 平均值：

Perf
| where TimeGenerated > ago(1h)
| summarize avg(CounterValue) by Computer

很遺憾，此查詢的結果並無意義，原因是我們混搭使用不同的效能計數器。 若要讓結果更有意義，請針對每個 CounterName 與 Computer 組合分別計算平均值：

Perf
| where TimeGenerated > ago(1h)
| summarize avg(CounterValue) by Computer, CounterName

依時間資料行彙總

群組結果也可以根據時間資料行或其他連續值來進行。 不過，只彙總 by TimeGenerated 會針對時間範圍內的每個單一毫秒建立群組，因為這些都是唯一值。

若要根據連續值建立群組，最佳方式是使用 bin 將範圍分成可管理的單位。 下列查詢會分析 Perf 記錄，這些記錄會測量特定電腦上的可用記憶體 (Available MBytes)。 這會計算過去 7 天每 1 小時期間的平均值：

Perf 
| where TimeGenerated > ago(7d)
| where Computer == "ContosoAzADDS2" 
| where CounterName == "Available MBytes" 
| summarize avg(CounterValue) by bin(TimeGenerated, 1h)

若要讓輸出更加清楚，您可以選擇將其顯示為時間圖表，以顯示一段時間的可用記憶體。

常見問題集

本節提供常見問題的答案。

為什麼我會在 Azure 監視器記錄中看到重複記錄？

有時候，您可能會注意到 Azure 監視器記錄中有重複記錄。 此重複通常是因為下列兩種情況之一：

• 管線中的元件已重試，以確保在目的地可靠傳遞。 有時候此功能可能會導致一小部分的遙測項目重複。
• 如果重複記錄來自虛擬機器，則您可能已安裝 Log Analytics 代理程式和 Azure 監視器代理程式。 如果仍需安裝 Log Analytics 代理程式，請將 Log Analytics 工作區設定為不再收集 Azure 監視器代理程式使用的資料收集規則所收集的資料。

下一步

• 若要深入了解如何在記錄查詢中使用字串資料，請參閱在 Azure 監視器記錄查詢中使用字串。
• 若要深入了解如何在記錄查詢中彙總資料，請參閱 Azure 監視器記錄查詢中的進階彙總。
• 若要了解如何從多個資料表聯結資料，請參閱 Azure 監視器記錄查詢中的聯結。
• 在 KQL 語言參考中取得整個 Kusto 查詢語言的相關文件。