Analyser des données à l’aide du mode Simple Log Analytics (préversion)

Log Analytics offre désormais deux modes qui simplifient l’exploration et l’analyse des données de journal pour les utilisateurs de base et avancés :

  • Le mode Simple fournit les fonctionnalités de journaux Azure Monitor les plus couramment utilisées dans une expérience intuitive de type feuille de calcul. Il vous suffit de pointer et de cliquer pour filtrer, trier et agréger des données afin d’accéder aux insights dont vous avez besoin dans 80 % des cas.
  • Le mode KQL permet aux utilisateurs avancés de tirer pleinement parti du langage de requête Kusto (KQL) pour obtenir des insights plus détaillés à partir de leurs journaux à l’aide de l’éditeur de requête Log Analytics.

Vous pouvez basculer en toute transparence entre les modes Simple et KQL, et les utilisateurs avancés peuvent partager des requêtes complexes que tout le monde peut continuer à utiliser en mode Simple.

Cet article explique comment utiliser le mode Simple Log Analytics pour explorer et analyser des données dans les journaux Azure Monitor.

Voici une vidéo qui fournit une vue d’ensemble rapide de l’interrogation des journaux dans Log Analytics à l’aide des modes Simple et KQL :

Essayer le mode Simple Log Analytics

Le mode Simple est actuellement une expérience que vous devez choisir explicitement. Pour l’essayer, sélectionnez Essayer le nouveau Log Analytics en haut à droite de l’éditeur de requête Log Analytics. Vous pouvez revenir à l’expérience Log Analytics classique à tout moment.

Capture d’écran montrant le bouton Essayer le nouveau Log Analytics.

Fonctionnement du mode Simple

Le mode Simple vous permet de commencer rapidement en récupérant des données d’une ou plusieurs tables en un clic. Vous utilisez ensuite un ensemble de contrôles intuitifs pour explorer et analyser les données récupérées.

Cette section décrit les contrôles disponibles en mode Simple Log Analytics.

Capture d’écran montrant le mode Simple Log Analytics.

Barre de requête supérieure

En mode Simple, la barre supérieure a des contrôles permettant de travailler avec des données et de basculer en mode KQL.

Capture d’écran montrant la barre de requête supérieure dans Log Analytics.

Option Description
Intervalle de temps Sélectionner l’intervalle de temps pour les données disponibles pour la requête. En mode KQL, si vous définissez un intervalle de temps différent dans votre requête, l’intervalle de temps que vous définissez dans le sélecteur de temps est remplacé.
Limite Configurer le nombre d’entrées que Log Analytics récupère en mode Simple. La limite par défaut est 1000. Pour plus d’informations sur les limites de requête, consultez Configurer la limite des résultats de requête.
Ajouter Ajouter des filtres et appliquez des opérateurs en mode Simple, comme décrit dans Explorer et analyser des données en mode Simple.
Mode Simple/KQL Basculer entre les modes Simple et KQL.

Volet gauche

Le volet gauche réductible vous donne accès aux tables, aux exemples de requêtes et requêtes enregistrées, aux fonctions et à l’historique des requêtes.

Épinglez le volet gauche pour le laisser ouvert pendant que vous travaillez, ou agrandissez votre fenêtre de requête en sélectionnant une icône dans le volet gauche uniquement lorsque vous en avez besoin.

Capture d’écran montrant la barre latérale gauche dans Log Analytics.

Option Description
Tables Répertorie les tables qui font partie de l’étendue sélectionnée. Sélectionnez Group by pour modifier le regroupement des tables. Pointez sur un nom de table pour afficher la description de la table et un lien vers sa documentation. Développez une table pour afficher ses colonnes. Sélectionnez une table pour exécuter une requête dessus.
Requêtes Répertorie des exemples de requêtes et des requêtes enregistrées. Il s’agit de la même liste que celle du hub de requêtes. Sélectionnez Group by pour modifier le regroupement des requêtes. Pointez sur une requête pour en afficher la description. Sélectionnez une requête pour l’exécuter.
Fonctions Répertorie les fonctions, ce qui vous permet de réutiliser une logique de requête prédéfinie dans vos requêtes de journal.
Historique des requêtes Répertorie votre historique des requêtes. Sélectionnez une requête pour la réexécuter.

Plus d’outils

Cette section décrit d’autres outils disponibles au-dessus de la zone de requête de l’écran, comme illustré dans cette capture d’écran, de gauche à droite.

Capture d’écran montrant la fenêtre Autres outils dans Log Analytics.

Option Description
Menu contextuel de l’onglet Modifier l’étendue de la requête ou renommer, dupliquer ou fermer l’onglet.
Save Enregistrer une requête dans un pack de requêtes ou en tant que fonction, ou épingler votre requête à un classeur, un tableau de bord Azure ou un tableau de bord Grafana.
Partager Copier un lien vers votre requête, le texte de la requête ou les résultats de la requête, ou exporter des données vers Excel, CSV ou Power BI.
Nouvelle règle d’alerte Créer une règle d'alerte.
Mode de travail de recherche Exécuter une tâche de recherche.
Paramètres de Log Analytics Définir les paramètres Log Analytics par défaut, y compris le fuseau horaire, si Log Analytics s’ouvre d’abord en mode Simple ou KQL, et s’il faut afficher des tables sans données.
Revenir aux journaux en mode classique Revenir à l’interface utilisateur Log Analytics classique.
Hub de requêtes Ouvrez la boîte de dialogue des exemples de requêtes qui apparaît quand vous ouvrez Log Analytics pour la première fois.

Bien démarrer en mode Simple

Lorsque vous sélectionnez une table ou une requête ou fonction prédéfinie en mode Simple, Log Analytics récupère automatiquement les données pertinentes afin de vous permettre de les explorer et analyser.

Cela vous permet de récupérer les journaux en un clic, que vous ouvriez Log Analytics dans le contexte de ressource ou d’espace de travail.

Pour bien démarrer, vous pouvez :

  • Cliquer sur Sélectionner une table et sélectionner une table sous l’onglet Tables pour afficher les données de la table.

    Capture d’écran montrant le bouton Sélectionner une table dans Log Analytics.

    Vous pouvez également sélectionner Tables dans le volet gauche pour afficher la liste des tables dans l’espace de travail.

    Capture d’écran montrant l’onglet Tables dans Log Analytics.

  • Utiliser une requête existante, telle qu’une requête enregistrée ou partagée, ou un exemple de requête.

    Capture d’écran montrant un exemple de requête dans Log Analytics.

  • Sélectionner une requête dans votre historique des requêtes.

    Capture d’écran montrant l’historique des requêtes dans Log Analytics.

  • Sélectionner une fonction.

    Capture d’écran montrant l’onglet Fonctions dans Log Analytics.

    Important

    Les fonctions vous permettent de réutiliser la logique de requête, et nécessitent souvent des paramètres d’entrée ou un contexte supplémentaire. Dans ces cas-là, la fonction ne s’exécute pas tant que vous n’avez pas basculé en mode KQL et fourni l’entrée requise.

Explorer et analyser des données en mode Simple

Une fois que vous avez le mode Simple bien en main, vous pouvez explorer et analyser des données à l’aide de la barre de requête supérieure.

Remarque

L’ordre dans lequel vous appliquez des filtres et des opérateurs affecte votre requête et vos résultats. Par exemple, si vous appliquez un filtre, puis que vous agrégez, Log Analytics applique l’agrégation aux données filtrées. Si vous agrégez, puis filtrez, l’agrégation est appliquée aux données non filtrées.

Modifier l’intervalle de temps et le nombre d’enregistrements affichés

Par défaut, le mode Simple répertorie les 1000 dernières entrées de la table pour les 24 dernières heures.

Pour modifier l’intervalle de temps et le nombre d’enregistrements affichés, utilisez les sélecteurs Intervalle de temps et Limite. Pour obtenir plus d’informations sur la limite de résultats, consultez Configurer la limite des résultats de requête.

Capture d’écran montrant les sélecteurs d’intervalle de temps et de limite dans Log Analytics.

Filtrer par colonne

  1. Sélectionnez Ajouter et choisissez une colonne.

    Capture d’écran montrant le menu Ajouter des filtres qui s’ouvre lorsque vous sélectionnez Ajouter en mode Simple Log Analytics.

  2. Sélectionnez une valeur à filtrer, ou entrez du texte ou des nombres dans la zone Recherche.

    Si vous filtrez en sélectionnant des valeurs dans une liste, vous pouvez sélectionner plusieurs valeurs. Si la liste est longue, vous verrez un message précisant que les résultats ne sont pas tous affichés. Faites défiler vers le bas de la liste et sélectionnez Charger plus de résultats pour récupérer plus de valeurs.

    Capture d’écran montrant les valeurs de filtre pour la colonne OperationId en mode Simple Log Analytics.

Rechercher des entrées qui ont une valeur spécifique dans la table

  1. Sélectionnez Rechercher.

    Capture d’écran montrant l’option Recherche en mode Simple Log Analytics.

  2. Entrez une chaîne dans la zone Rechercher dans cette table et sélectionnez Appliquer.

    Log Analytics filtre la table pour afficher uniquement les entrées qui contiennent la chaîne que vous avez entrée.

Important

Nous vous recommandons d’utiliser Filtrer si vous savez quelle colonne contient les données que vous recherchez. L’opérateur de recherche est sensiblement moins performant que le filtrage, et peut ne pas fonctionner correctement sur de grands volumes de données.

Données agrégées

  1. Sélectionnez Agréger.

  2. Sélectionnez une colonne et un opérateur à soumettre à l’agrégation, comme décrit dans Utiliser des opérateurs d’agrégation.

    Capture d’écran montrant les opérateurs d’agrégation dans la fenêtre Agréger la table dans Log Analytics.

Afficher ou masquer des colonnes

  1. Sélectionnez Afficher les colonnes.

  2. Sélectionnez ou désélectionnez des colonnes pour les afficher ou les masquer, puis sélectionnez Appliquer.

    Capture d’écran montrant la fenêtre Afficher les colonnes dans Log Analytics.

Trier par colonne

  1. Sélectionnez Trier.

  2. Sélectionnez une colonne à trier.

  3. Sélectionnez Croissant ou Décroissant, puis Appliquer.

    Capture d’écran montrant la fenêtre Trier par colonne dans Log Analytics.

  4. Sélectionnez à nouveau Trier pour trier d’après une autre colonne.

Utiliser des opérateurs d’agrégation

Utilisez des opérateurs d’agrégation pour synthétiser les données de plusieurs lignes, comme décrit dans ce tableau.

Opérateur Description
count Compte le nombre de fois où chaque valeur distincte existe dans la colonne.
dcount Pour l’opérateur dcount, vous sélectionnez deux colonnes. L’opérateur compte le nombre total de valeurs distinctes dans la deuxième colonne corrélées à chaque valeur de la première colonne. Par exemple, ceci montre le nombre distinct de codes de résultat pour les opérations ayant réussi et ayant échoué :
Capture d’écran montrant le résultat d’une agrégation effectuée à l’aide de l’opérateur dcount dans Azure Monitor Log Analytics.
sum
avg
max
min
Pour ces opérateurs, vous sélectionnez deux colonnes. Les opérateurs calculent la somme, la moyenne, la valeur maximale ou minimale de toutes les valeurs de la deuxième colonne pour chaque valeur de la première colonne. Par exemple, ceci montre la durée totale de chaque opération en millisecondes pour les 24 dernières heures :
Capture d’écran montrant les résultats d’une agrégation effectuée à l’aide de l’opérateur sum dans Azure Monitor Log Analytics.

Important

Les tables de journaux de base ne prennent pas en charge l’agrégation à l’aide des opérateurs avg et sum.

basculer d’un mode à l’autre ;

Pour changer de mode, sélectionnez Mode Simple ou Mode KQL dans la liste déroulante en haut à droite de l’éditeur de requête.

Capture d’écran montrant comment basculer entre le mode Simple et le mode KQL dans Log Analytics.

Lorsque vous commencez à interroger des journaux en mode Simple, puis basculez en mode KQL, l’éditeur de requête est prérempli avec la requête KQL liée à votre analyse en mode Simple. Vous pouvez ensuite modifier et continuer à utiliser la requête.

Capture d’écran montrant une requête en mode KQL Log Analytics.

Pour les requêtes Simples sur une seule table, Log Analytics affiche le nom de la table à droite de la barre de requête supérieure en mode Simple. Pour les requêtes plus complexes, Log Analytics affiche Requête utilisateur à gauche de la barre de requête supérieure. Sélectionnez Requête utilisateur pour revenir à l’éditeur de requête et modifier votre requête à tout moment.

Capture d’écran montrant le bouton Requête utilisateur, qui vous permet de revenir à l’éditeur de requête lorsque vous êtes en mode Simple.

Configurer la limite des résultats de requête

  1. Sélectionnez Limiter pour ouvrir la fenêtre Limiter les résultats.

    Capture d’écran montrant la fenêtre Limiter les résultats dans Log Analytics.

  2. Sélectionnez l’une des limites prédéfinies ou entrez une limite personnalisée.

    Le nombre maximal de résultats que vous pouvez récupérer dans l’expérience du portail Log Analytics, en mode Simple et en mode KQL, est de 30 000. Toutefois, lorsque vous partagez une requête Log Analytics avec un outil intégré, ou que vous utilisez la requête dans un travail de recherche, la limite de requête est définie en fonction des outils que vous choisissez.

    Sélectionnez Limite max pour retourner le nombre maximal de résultats fournis par les outils disponibles dans la fenêtre Partager ou à l’aide d’un travail de recherche.

    Capture d’écran montrant la fenêtre Partager dans Log Analytics.

    Ce tableau répertorie les limites de résultats maximales des requêtes de journal Azure Monitor à l’aide des différents outils :

    Outil Description Montant limit
    Log Analytics Requêtes que vous exécutez dans le portail Azure. 30,000
    Excel, Power BI, API de requête Log Analytics Requêtes que vous utilisez dans Excel et Power BI, qui sont intégrées à Log Analytics, et requêtes que vous exécutez à l’aide de l’API. 500 000
    Travail de recherche Azure Monitor réingère les résultats d’une requête que vous exécutez en mode de travail de recherche dans une nouvelle table de votre instance Log Analytics. 1 000 000

Étapes suivantes