Analysieren von Daten mithilfe des einfachen Modus in Log Analytics (Vorschau)

Log Analytics bietet für Standardbenutzer und fortgeschrittene Benutzer jetzt zwei Modi, mit denen Protokolldaten einfacher untersucht und analysiert werden können:

  • Der einfache Modus bietet die am häufigsten verwendete Azure Monitor Logs-Funktionalität in einer intuitiven, tabellenähnlichen Umgebung. Durch Zeigen und Klicken können Sie Daten einfach filtern, sortieren und aggregieren und so die Erkenntnissen gewinnen, die Sie in 80 % der Fälle benötigen.
  • Der KQL-Modus bietet fortgeschrittenen Benutzern die volle Funktionalität der Kusto-Abfragesprache (Kusto Query Language, KQL), um mithilfe des Abfrage-Editors von Log Analytics umfangreichere Erkenntnisse aus ihren Protokollen gewinnen.

Sie können nahtlos zwischen dem einfachen Modus und dem KQL-Modus wechseln, und fortgeschrittene Benutzer können komplexe Abfragen freigeben. Dadurch ist es allen möglich, im einfachen Modus an den Abfragen weiterzuarbeiten.

In diesem Artikel wird erläutert, wie Sie den einfachen Modus in Log Analytics verwenden, um Daten in Azure Monitor Logs zu untersuchen und zu analysieren.

Dieses Video bietet einen kurzen Überblick über das Abfragen von Protokollen in Log Analytics mithilfe des einfachen Modus und des KQL-Modus:

Ausprobieren des einfachen Modus in Log Analytics

Der einfache Modus kann derzeit abonniert werden. Wählen Sie zum Ausprobieren in der oberen rechten Ecke des Abfrage-Editors von Log Analytics Neue Log Analytics-Benutzeroberfläche ausprobieren aus. Sie können jederzeit zur klassischen Benutzeroberfläche von Log Analytics zurückwechseln.

Screenshot der Schaltfläche „Neue Log Analytics-Benutzeroberfläche ausprobieren“

Funktionsweise des einfachen Modus

Der einfachen Modus bietet Ihnen einen schnellen Einstieg in das Abfragen von Daten aus einer oder mehreren Tabellen mit einem Klick. Anschließend verwenden Sie eine Reihe intuitiver Steuerelemente zum Untersuchen und Analysieren von abgerufenen Daten.

In diesem Abschnitt werden Ihnen die Steuerelemente vermittelt, die im einfachen Modus in Log Analytics verfügbar sind.

Screenshot mit dem einfachen Modus in Log Analytics

Obere Abfrageleiste

Im einfachen Modus verfügt die obere Leiste über Steuerelemente zum Arbeiten mit Daten und zum Wechseln in den KQL-Modus.

Screenshot der oberen Abfrageleiste in Log Analytics

Option Beschreibung
Zeitbereich Wählen Sie den Zeitbereich für die Daten aus, die zur Abfrage verfügbar sind. Wenn Sie im KQL-Modus in Ihrer Abfrage einen anderen Zeitbereich festlegen, wird der in der Zeitauswahl festgelegte Zeitbereich überschrieben.
Begrenzung Konfigurieren Sie die Anzahl der Einträge, die Log Analytics im einfachen Modus abruft. Der Standardgrenzwert beträgt 1.000. Weitere Informationen zu den Grenzwerten für Abfragen finden Sie unter Konfigurieren des Grenzwerts für Abfrageergebnisse.
Add (Hinzufügen) Fügen Sie Filter hinzu, und wenden Sie im einfachen Modus Operatoren an, wie im Abschnitt Untersuchen und Analysieren von Daten im einfachen Modus beschrieben wird.
Einfacher Modus/KQL-Modus Wechseln Sie zwischen dem einfachen Modus und dem KQL-Modus.

Linker Bereich

Der reduzierbare linke Bereich bietet Ihnen Zugriff auf Tabellen, Beispielabfragen und gespeicherte Abfragen, Funktionen und den Abfrageverlauf.

Heften Sie den linken Bereich an, damit dieser während der Arbeit geöffnet bleibt, oder maximieren Sie das Abfragefenster, indem Sie nur dann ein Symbol aus dem linken Bereich auswählen, wenn Sie es benötigen.

Screenshot der linken Randleiste in Log Analytics

Option Beschreibung
Tabellen Listet die Tabellen auf, die Teil des ausgewählten Bereichs sind. Wählen Sie Gruppieren nach aus, um die Gruppierung der Tabellen zu ändern. Zeigen Sie mit dem Mauszeiger auf einen Tabellennamen, um die Beschreibung der Tabelle und einen Link zu ihrer Dokumentation anzuzeigen. Erweitern Sie eine Tabelle, um die zugehörigen Spalten anzuzeigen. Wählen Sie eine Tabelle aus, um eine Abfrage für sie auszuführen.
Abfragen Listet Beispielabfragen und gespeicherte Abfragen auf. Dabei handelt es sich um dieselbe Liste wie die im Abfragehub. Wählen Sie Gruppieren nach aus, um die Gruppierung der Abfragen zu ändern. Zeigen Sie mit dem Mauszeiger auf eine Abfrage, um die Beschreibung der Abfrage anzuzeigen. Wählen Sie eine Abfrage aus, um sie auszuführen.
Funktionen Listet Funktionen auf, mit denen Sie vordefinierte Abfragelogik in Ihren Protokollabfragen erneut verwenden können
Abfrageverlauf Listet Ihren Abfrageverlauf auf. Wählen Sie eine Abfrage aus, um sie erneut auszuführen.

Weitere Tools

In diesem Abschnitt werden weitere Tools beschrieben, die über dem Abfragebereich des Bildschirms verfügbar sind. Diese werden auf dem folgenden Screenshot von links nach rechts dargestellt.

Screenshot des Fensters „Weitere Tools“ in Log Analytics

Option Beschreibung
Registerkarte „Kontextmenü“ Ändern des Abfragebereichs oder Umbenennen, Duplizieren oder Schließen der Registerkarte
Speichern Speichern einer Abfrage in einem Abfragepaket oder als Funktion, oder Anheften Ihrer Abfrage an eine Arbeitsmappe, ein Azure-Dashboard oder ein Grafana-Dashboard
Teilen Kopieren eines Links zu Ihrer Abfrage, zum Abfragetext oder zu den Abfrageergebnissen, oder Exportieren von Daten in Excel, CSV oder Power BI
Neue Warnungsregel Erstellen einer neuen Warnungsregel
Suchauftragsmodus Ausführen eines Suchauftrags.
Log Analytics-Einstellungen Definieren der Standardeinstellungen in Log Analytics, einschließlich der Zeitzone, ob Log Analytics zuerst im einfachen Modus oder im KQL-Modus geöffnet wird und ob Tabellen ohne Daten angezeigt werden sollen
Zurückwechseln zu den klassischen Protokollen Zurückwechseln zur klassischen Log Analytics-Benutzeroberfläche
Abfragehub Öffnen Sie das Dialogfeld mit Beispielabfragen, das beim ersten Öffnen von Log Analytics angezeigt wird.

Erste Schritte im einfachen Modus

Wenn Sie im einfachen Modus eine Tabelle oder eine vordefinierte Abfrage oder Funktion auswählen, ruft Log Analytics automatisch die relevanten Daten ab, die Sie untersuchen und analysieren können.

Dadurch können Sie unabhängig davon, ob Sie Log Analytics im Ressourcen- oder Arbeitsbereichskontext öffnen, Protokolle mit einem Klick abrufen.

Zum Einstieg können Sie folgende Aktionen durchführen:

  • Klicken Sie auf Tabelle auswählen, und wählen Sie auf der Registerkarte Tabellen eine Tabelle aus, um Tabellendaten anzuzeigen.

    Screenshot der Schaltfläche „Tabelle auswählen“ in Log Analytics

    Alternativ können Sie im linken Bereich Tabellen auswählen, um die Liste der Tabellen im Arbeitsbereich anzuzeigen.

    Screenshot der Registerkarte „Tabellen“ in Log Analytics

  • Verwenden Sie eine vorhandene Abfrage wie eine freigegebene oder gespeicherte Abfrage oder eine Beispielabfrage.

    Screenshot einer Beispielabfrage in Log Analytics

  • Wählen Sie eine Abfrage aus dem Abfrageverlauf aus.

    Screenshot des Abfrageverlaufs in Log Analytics

  • Wählen Sie eine Funktion aus.

    Screenshot der Registerkarte „Funktionen“ in Log Analytics

    Wichtig

    Auf der Registerkarte „Funktionen“ können Sie Abfragelogik erneut verwenden. Das erfordert häufig Eingabeparameter oder zusätzlichen Kontext. In solchen Fällen wird die Funktion erst ausgeführt, wenn Sie in den KQL-Modus wechseln und die erforderliche Eingabe angeben.

Untersuchen und Analysieren von Daten im einfachen Modus

Nachdem Sie mit dem Einstieg in den einfachen Modus begonnen haben, können Sie Daten mithilfe der oberen Abfrageleiste untersuchen und analysieren.

Hinweis

Die Reihenfolge, in der Sie Filter und Operatoren anwenden, wirkt sich auf Ihre Abfrage und die Ergebnisse aus. Wenn Sie beispielsweise einen Filter anwenden und anschließend eine Aggregation ausführen, wendet Log Analytics die Aggregation auf die gefilterten Daten an. Wenn Sie eine Aggregation ausführen und anschließend einen Filter anwenden, wird die Aggregation auf die ungefilterten Daten angewendet.

Ändern des Zeitbereich und der Anzahl der angezeigten Datensätze

Der einfache Modus listet standardmäßig die 1.000 aktuellsten Einträge aus den letzten 24 Stunden in der Tabelle auf.

Um den Zeitbereich und die Anzahl der angezeigten Datensätze zu ändern, verwenden Sie die Auswahlen Zeitbereich und Grenzwert. Weitere Informationen zum Grenzwert für Ergebnisse finden Sie unter Konfigurieren des Grenzwerts für Abfrageergebnisse.

Screenshot der Auswahlen „Zeitbereich“ und „Grenzwert“ in Log Analytics

Filtern nach Spalte

  1. Wählen Sie Hinzufügen aus, und wählen Sie eine Spalte aus.

    Screenshot des Menüs „Filter hinzufügen“, das beim Auswählen von „Im einfachen Modus in Log Analytics hinzufügen“ geöffnet wird

  2. Wählen Sie einen Wert aus, nach dem gefiltert werden soll, oder geben Sie Text oder Zahlen in das Feld Suchen ein.

    Wenn Sie zum Filtern Werte aus einer Liste auswählen, können Sie mehrere Werte auswählen. Bei einer langen Liste wird die Meldung Nicht alle Ergebnisse werden angezeigt angezeigt. Scrollen Sie zum Ende der Liste, und wählen Sie Weitere Ergebnisse laden aus, um weitere Werte abzurufen.

    Screenshot mit Filterwerten für die Spalte „OperationId“ im einfachen Modus in Log Analytics

Suchen nach Einträgen mit einem bestimmten Wert in der Tabelle

  1. Klicken Sie auf Suchen.

    Screenshot der Suchoption im einfachen Modus in Log Analytics

  2. Geben Sie in das Feld Diese Tabelle durchsuchen eine Zeichenfolge ein, und wählen Sie Anwenden aus.

    Log Analytics filtert die Tabelle so, dass ausschließlich Einträge angezeigt werden, die die von Ihnen eingegebene Zeichenfolge enthalten.

Wichtig

Es wird empfohlen, Filtern zu verwenden, wenn Sie wissen, welche Spalte die von Ihnen gesuchten Daten enthält. Der Suchoperator ist weitaus weniger leistungsfähig als das Filtern und funktioniert bei großen Datenmengen möglicherweise nicht gut.

Aggregatdaten

  1. Wählen Sie Aggregieren aus.

  2. Wählen Sie eine Spalte aus, nach der aggregiert werden soll, und wählen Sie einen Operator aus, nach dem aggregiert werden soll, wie im Abschnitt Verwenden von Aggregationsoperatoren beschrieben wird.

    Screenshot der Aggregationsoperatoren im Fenster „Tabelle aggregieren“ in Log Analytics

Spalten ein- oder ausblenden

  1. Wählen Sie Spalten anzeigen aus.

  2. Wählen Sie Spalten aus oder löschen Sie diese, um sie ein- oder auszublenden, und wählen Sie anschließend Anwenden aus.

    Screenshot des Fensters „Spalten anzeigen“ in Log Analytics

Sortieren nach Spalten

  1. Wählen Sie Sortieren aus.

  2. Wählen Sie eine Spalte aus, nach der sortiert werden soll.

  3. Wählen Sie Aufsteigend oder Absteigend aus, und wählen Sie anschließend Anwenden aus.

    Screenshot des Fensters „Nach Spalte sortieren“ in Log Analytics

  4. Wählen Sie Sortieren erneut aus, um nach einer anderen Spalte zu sortieren.

Verwenden von Aggregationsoperatoren

Verwenden Sie Aggregationsoperatoren, um Daten aus mehreren Zeilen zusammenzufassen, wie in dieser Tabelle beschrieben wird.

Operator Beschreibung
count Zählt, wie oft jeder unterschiedliche Wert in der Spalte vorhanden ist
dcount Für den Operator dcount wählen Sie zwei Spalten aus. Der Operator zählt die Gesamtanzahl unterschiedlicher Werte in der zweiten Spalte, die mit jedem Wert in der ersten Spalte korrelieren. Beispielsweise wird die unterschiedliche Anzahl von Ergebniscodes für erfolgreiche und fehlgeschlagene Vorgänge angezeigt:
Screenshot mit dem Ergebnis einer Aggregation mithilfe des dcount-Operators in Azure Monitor Log Analytics
sum
avg
max
min
Für diese Operatoren wählen Sie zwei Spalten aus. Die Operatoren berechnen die Summe, den Mittelwert, das Maximum oder das Minimum aller Werte in der zweiten Spalte für jeden Wert in der ersten Spalte. Beispielsweise wird die Gesamtdauer der einzelnen Vorgänge der letzten 24 Stunden in Millisekunden angezeigt:
Screenshot mit den Ergebnissen einer Aggregation mithilfe des sum-Operators in Azure Monitor Log Analytics

Wichtig

Basisprotokolltabellen unterstützen keine Aggregation mithilfe der Operatoren avg und sum.

Moduswechsel

Wählen Sie aus der Dropdownliste in der oberen rechten Ecke des Abfrage-Editors Einfacher Modus oder KQL-Modus aus, um die Modi zu wechseln.

Screenshot der Option zum Umschalten zwischen dem einfachen Modus und dem KQL-Modus in Log Analytics

Wenn Sie mit der Abfrage von Protokollen im einfachen Modus beginnen und anschließend in den KQL-Modus wechseln, wird der Abfrage-Editor vorab mit der KQL-Abfrage aufgefüllt, die mit Ihrer Analyse im einfachen Modus verbunden ist. Daraufhin können Sie die Abfrage bearbeiten und weiterhin an ihr arbeiten.

Screenshot einer Abfrage im KQL-Modus in Log Analytics

Für unkomplizierte Abfragen in einer einzelnen Tabelle zeigt Log Analytics im einfachen Modus den Tabellennamen rechts neben der oberen Abfrageleiste an. Bei komplexeren Abfragen zeigt Log Analytics Benutzerabfrage links in der oberen Abfrageleiste an. Wählen Sie Benutzerabfrage aus, um jederzeit zum Abfrage-Editor zurückzukehren und Ihre Abfrage zu ändern.

Screenshot der Schaltfläche „Benutzerabfrage“, mit der Sie im einfachen Modus zum Abfrage-Editor zurückkehren können

Konfigurieren des Grenzwerts für Abfrageergebnisse

  1. Wählen Sie Grenzwert aus, um das Fenster Ergebnisse einschränken zu öffnen.

    Screenshot des Fensters „Ergebnisse einschränken“ in Log Analytics

  2. Wählen Sie einen der voreingestellten Grenzwerte aus, oder geben Sie einen benutzerdefinierten Grenzwert ein.

    Die maximale Anzahl von Ergebnissen, die Sie im einfachen Modus und im KQL-Modus im Log Analytics-Portal abrufen können, beträgt 30.000. Durch das Freigeben einer Log Analytics-Abfrage mit einem integrierten Tool oder die Verwendung der Abfrage in einem Suchauftrag wird jedoch der Abfragegrenzwert basierend auf den von Ihnen ausgewählten Tools festgelegt.

    Wählen Sie Max. Grenzwert aus, um die maximale Anzahl von Ergebnissen zurückzugeben, die von einem der Tools bereitgestellt werden, die im Fenster Freigeben oder mithilfe eines Suchauftrags verfügbar sind.

    Screenshot des Fensters „Freigeben“ in Log Analytics

    In dieser Tabelle sind die maximalen Grenzwerte für Ergebnisse von Azure Monitor-Protokollabfragen mithilfe der verschiedenen Tools aufgeführt:

    Tool Beschreibung Max. limit
    Log Analytics Abfragen, die Sie im Azure-Portal ausführen 30.000
    Excel, Power BI, Abfrage-API von Log Analytics Abfragen, die Sie in Excel und Power BI verwenden und mit Log Analytics integriert sind, sowie Abfragen, die Sie mithilfe der API ausführen 500.000
    Suchauftrag Azure Monitor erfasst die Ergebnisse einer Abfrage, die Sie im Suchauftragsmodus ausführen, erneut in einer neuen Tabelle in Ihrer Log Analytics-Instanz. 1\.000.000

Nächste Schritte