Log Analytics-Tutorial

Log Analytics ist ein Tool im Azure-Portal, mit dem Protokollabfragen aus den von Azure Monitor-Protokollen erfassten Daten bearbeitet und ausgeführt sowie deren Ergebnisse interaktiv analysiert werden können. Mit Log Analytics-Abfragen können Sie Datensätze abrufen, die bestimmte Kriterien erfüllen, Trends identifizieren, Muster analysieren und verschiedene Erkenntnisse aus Ihren Daten gewinnen.

In diesem Tutorial werden die Log Analytics-Benutzeroberfläche, die ersten Schritte mit einigen einfachen Abfragen und die Möglichkeiten zur Verwendung der Ergebnisse erläutert. Folgendes wird vermittelt:

  • Nachvollziehen des Schemas von Protokolldaten.
  • Schreiben und Ausführen einfacher Abfragen sowie Ändern des Zeitbereichs für Abfragen.
  • Filtern, Sortieren und Gruppieren von Abfrageergebnissen.
  • Anzeigen, Ändern und Teilen von visuellen Elementen der Abfrageergebnisse.
  • Laden, Exportieren und Kopieren von Abfragen und Ergebnissen.

Wichtig

In diesem Tutorial nutzen Sie Log Analytics-Funktionen, um eine Abfrage zu erstellen, und verwenden eine weitere Beispielabfrage. Wenn Sie sich über die Syntax von Abfragen informieren und direkt mit dem Bearbeiten der Abfrage selbst beginnen möchten, lesen Sie das Tutorial zur Kusto-Abfragesprache. Dieses Tutorial führt Sie schrittweise durch Beispielabfragen, die Sie in Log Analytics bearbeiten und ausführen können. Es werden einige der Funktionen verwendet, die Sie in diesem Tutorial kennen lernen werden.

Voraussetzungen

In diesem Tutorial wird die Demoumgebung von Log Analytics verwendet, die zahlreiche Beispieldaten zum Ausführen der Beispielabfragen enthält. Sie können auch Ihr eigenes Azure-Abonnement verwenden, verfügen dann aber möglicherweise nicht über Daten in denselben Tabellen.

Hinweis

Log Analytics verfügt über zwei Modi : „Einfach“ und „KQL“. In diesem Tutorial wird der KQL-Modus erläutert. Informationen zum Modus „Einfach“ finden Sie unter Analysieren von Daten mithilfe des Log Analytics-Modus „Einfach“ (Vorschau).

Öffnen von Log Analytics

Öffnen Sie die Demoumgebung von Log Analytics, oder wählen Sie im Azure Monitor-Menü in Ihrem Abonnement die Option Protokolle aus. Mit diesem Schritt wird der Anfangsbereich auf einen Log Analytics-Arbeitsbereich festgelegt, sodass Ihre Abfrage die Auswahl auf Grundlage aller Daten in diesem Arbeitsbereich trifft. Wenn Sie die Option Protokolle im Menü einer Azure-Ressource auswählen, wird der Bereich nur auf Datensätze in dieser Ressource festgelegt. Ausführliche Informationen zum Bereich finden Sie unter Protokollabfragebereich.

Sie können den Bereich in der oberen linken Ecke der Protokolloberfläche unter dem Namen der aktiven Abfrageregisterkarte anzeigen. Wenn Sie Ihre eigene Umgebung verwenden, wird eine Option zum Auswählen eines anderen Bereichs angezeigt. Diese Option ist in der Demoumgebung nicht verfügbar.

Screenshot des Log Analytics-Bereichs für die Demo.

Anzeigen von Tabelleninformationen

Auf der linken Seite des Bildschirms finden Sie die Registerkarte Tabellen, auf der Sie die im aktuellen Bereich verfügbaren Tabellen untersuchen können. Diese Tabellen sind standardmäßig nach Lösung gruppiert, Sie können die Gruppierung jedoch ändern oder die Tabellen filtern.

Erweitern Sie die Projektmappe Protokollverwaltung, und suchen Sie nach der Tabelle AppRequests. Sie können die Tabelle erweitern, um ihr Schema anzuzeigen, oder auf ihren Namen zeigen, um weitere Informationen zu erhalten.

Screenshot der Tabellenansicht.

  • Klicken Sie auf den Link unterhalb von Nützliche Links (in diesem Beispiel AppRequests), um zur Tabellenreferenz zu wechseln, in der die einzelnen Tabellen mit den zugehörigen Spalten dokumentiert sind.

  • Wählen Sie Datenvorschau aus, um einen kurzen Blick auf einige der aktuellen Datensätze in der Tabelle zu werfen. Mit dieser Vorschau können Sie sicherstellen, dass es sich um die erwarteten Daten handelt, bevor Sie damit eine Abfrage ausführen.

Screenshot: Vorschaudaten für die AppRequests-Tabelle

Schreiben Sie eine Abfrage

Schreiben wir nun eine Abfrage unter Verwendung der Tabelle AppRequests. Doppelklicken Sie auf den Namen, oder zeigen Sie darauf, und klicken Sie auf Im Editor verwenden, um ihn dem Abfragefenster hinzuzufügen. Sie können ihn auch direkt in das Fenster eingeben. Sie können sogar IntelliSense nutzen, um die Namen von Tabellen im aktuellen Bereich und Befehle in Kusto-Abfragesprache vervollständigen zu lassen.

Dies ist die einfachste Abfrage, die wir schreiben können. Sie gibt lediglich alle Datensätze in einer Tabelle zurück. Führen Sie die Abfrage aus, indem Sie die Schaltfläche Ausführen auswählen oder den Cursor an einer beliebigen Stelle im Abfragetext positionieren und UMSCHALT+EINGABETASTE drücken.

Screenshot von Abfrageergebnissen.

Wie Sie sehen, werden Ergebnisse angezeigt. Die Anzahl von Datensätzen, die von der Abfrage zurückgegeben wurden, wird in der unteren rechten Ecke angezeigt. Die maximale Anzahl von Ergebnissen, die Sie im Log Analytics-Portal abrufen können, beträgt 30.000.

Uhrzeitbereich

Alle Abfragen geben Datensätze zurück, die innerhalb eines festgelegten Zeitbereichs generiert wurden. Standardmäßig gibt die Abfrage Datensätze zurück, die in den letzten 24 Stunden generiert wurden.

Sie können einen anderen Zeitbereich festlegen, indem Sie den where-Operator in der Abfrage verwenden. Sie können auch die Dropdownliste Zeitbereich oben auf dem Bildschirm verwenden.

Ändern Sie den Zeitbereich der Abfrage, indem Sie Letzte 12 Stunden aus der Dropdownliste Zeitbereich auswählen. Wählen Sie Ausführen aus, um die Ergebnisse zurückzugeben.

Hinweis

Wenn Sie den Zeitbereich über die Dropdownliste Zeitbereich ändern, wird die Abfrage im Abfrage-Editor nicht geändert.

Screenshot des Zeitbereichs.

Mehrere Filter

Jetzt reduzieren Sie die Ergebnisse nochmals, indem Sie eine weitere Filterbedingung hinzufügen. Eine Abfrage kann beliebig viele Filter enthalten, um genau die gewünschte Gruppe von Datensätzen als Ziel festzulegen. Wählen Sie auf der linken Seite des Bildschirms, auf dem die Registerkarte Tabellen aktiv ist, stattdessen die Registerkarte Filter aus. Wenn Sie sie nicht finden können, klicken Sie auf die Auslassungspunkte, um weitere Registerkarten anzuzeigen.

Wählen Sie auf der Registerkarte Filter die Option Alte Filter laden aus, um die obersten 10 Werte für jeden Filter anzuzeigen.

Screenshot der Registerkarte „Abfrage“ mit der Option zum Laden alter Filter.

Wählen Sie Start/Index abrufen unter Name aus, und klicken Sie dann auf Übernehmen und Ausführen.

Screenshot von Abfrageergebnissen mit mehreren Filtern.

Ergebnisanalysen

Zusätzlich zur Unterstützung beim Schreiben und Ausführen von Abfragen bietet Log Analytics Features, die Ihnen die Arbeit mit den Ergebnissen erleichtern. Erweitern Sie zunächst einen Datensatz, um die Werte für alle Spalten anzuzeigen, indem Sie auf das Chevron auf der linken Seite der Zeile klicken.

Screenshot: Erweiterter Datensatz in den Suchergebnissen

Wählen Sie den Namen einer beliebigen Spalte aus, um die Ergebnisse nach dieser Spalte zu sortieren. Wählen Sie das Filtersymbol neben der Spalte aus, um eine Filterbedingung anzugeben. Diese Aktion ist mit dem Hinzufügen einer Filterbedingung zur Abfrage selbst vergleichbar. Der einzige Unterschied besteht darin, dass dieser Filter bei der erneuten Ausführung der Abfrage gelöscht wird. Verwenden Sie diese Methode, wenn Sie eine Gruppe von Datensätzen im Rahmen der interaktiven Analyse schnell analysieren möchten.

Legen Sie einen Filter für die Spalte DurationMs fest, um die Datensätze zu beschränken, die mehr als 150 Millisekunden lang gedauert haben.

  1. In der Ergebnistabelle können Sie genau wie in Excel filtern. Wählen Sie die Auslassungspunkte in der Spaltenüberschrift Name aus.
  2. Deaktivieren Sie Alle auswählen, suchen Sie dann nach Start/Index abrufen, und überprüfen Sie sie. Filter werden automatisch auf Ihre Ergebnisse angewendet.

Screenshot eines Filters für Abfrageergebnisse.

Durchsuchen von Abfrageergebnissen

Durchsuchen Sie die Abfrageergebnisse mithilfe des Suchfelds oben rechts im Ergebnisbereich.

Geben Sie Chicago in das Suchfeld für die Abfrageergebnisse ein, und klicken Sie auf die Pfeile, um alle Instanzen dieser Zeichenfolge in Ihren Suchergebnissen zu finden.

Screenshot: Suchfeld oben rechts im Ergebnisbereich

Neuorganisieren und Zusammenfassen von Daten

Um Ihre Daten besser zu visualisieren, können Sie diese in den Abfrageergebnissen entsprechend Ihren Anforderungen neu organisieren und zusammenfassen.

Wählen Sie rechts neben dem Ergebnisbereich die Option Spalten aus, um die Seitenleiste Spalten zu öffnen.

Screenshot: Link „Spalte“ rechts neben dem Ergebnisbereich, den Sie auswählen, um die Seitenleiste „Spalten“ zu öffnen

In der Seitenleiste wird eine Liste aller verfügbaren Spalten angezeigt. Ziehen Sie die Spalte Url in den Abschnitt Zeilengruppen. Die Ergebnisse werden nun nach dieser Spalte organisiert, und Sie können die einzelnen Gruppen zu Analysezwecken reduzieren. Diese Aktion ähnelt dem Hinzufügen einer Filterbedingung zur Abfrage, aber anstatt Daten erneut vom Server abzurufen, verarbeiten Sie die Daten, die Ihre ursprüngliche Abfrage zurückgegeben hat. Wenn Sie die Abfrage erneut ausführen, ruft Log Analytics Daten basierend auf Ihrer ursprünglichen Abfrage ab. Verwenden Sie diese Methode, wenn Sie eine Gruppe von Datensätzen im Rahmen der interaktiven Analyse schnell analysieren möchten.

Screenshot: Abfrageergebnisse, die nach URL gruppiert sind

Erstellen einer PivotTable

Um die Leistung Ihrer Seiten zu analysieren, erstellen Sie eine PivotTable.

Wählen Sie in der Seitenleiste Spalten die Option Pivot-Modus aus.

Wählen Sie Url und DurationMs aus, um die Gesamtdauer aller Aufrufe für jede URL anzuzeigen.

Um die maximale Aufrufdauer für jede URL anzuzeigen, wählen Sie sum(DurationMs)>max aus.

Screenshot: Aktivieren des Pivotmodus und Konfigurieren einer Pivottabelle basierend auf den Werten von URL und DurationMS

Jetzt sortieren Sie die Ergebnisse nach der längsten maximalen Aufrufdauer, indem Sie die Spalte max(DurationMs) im Ergebnisbereich auswählen.

Screenshot: Der Abfrageergebnisbereich wird nach den maximalen DurationMS-Werten sortiert.

Arbeiten mit Diagrammen

Sehen wir uns nun eine Abfrage mit numerischen Daten an, die in einem Diagramm angezeigt werden können. Anstatt eine Abfrage zu erstellen, wählen wir eine Beispielabfrage aus.

Wählen Sie im linken Bereich Abfragen aus. Dieser Bereich enthält Beispielabfragen, die Sie dem Abfragefenster hinzufügen können. Wenn Sie Ihren eigenen Arbeitsbereich verwenden, sollten Sie über verschiedene Abfragen in mehreren Kategorien verfügen.

Laden Sie die Abfrage Funktionsfehlerrate in der Kategorie Anwendungen in den Editor. Doppelklicken Sie dazu auf die Abfrage, oder zeigen Sie mit der Maus auf den Abfragenamen, um weitere Informationen anzuzeigen, und wählen Sie dann In den Editor laden aus.

Screenshot mit Informationen zur Abfrage.

Beachten Sie, dass die neue Abfrage durch eine leere Zeile von der anderen Abfrage getrennt ist. Eine Abfrage in KQL endet, wenn sie auf eine leere Zeile trifft, wodurch sie zu separaten Abfragen werden.

Screenshot einer neuen Abfrage.

Klicken Sie auf eine beliebige Stelle in einer Abfrage, um sie auszuwählen, und klicken Sie dann auf die Schaltfläche Ausführen, um sie auszuführen.

Screenshot, der die Tabelle mit Abfrageergebnissen zeigt.

Um die Ergebnisse in einem Diagramm anzuzeigen, wählen Sie im Ergebnisbereich Diagramm aus. Zum Arbeiten mit dem Diagramm stehen Ihnen verschiedene Optionen zur Verfügung, Sie können es z. B. in einen anderen Typ ändern.

Screenshot des Diagramms mit Abfrageergebnissen.

Nächste Schritte

Nachdem Sie sich nun mit Log Analytics vertraut gemacht haben, können Sie mit dem Tutorial zur Verwendung von Protokollabfragen fortfahren: