Tutoriel Log Analytics

Log Analytics est un outil présent dans le portail Azure pour modifier et d’exécuter des requêtes de journal à partir de données collectées par les journaux Azure Monitor et d’analyser leurs résultats de manière interactive. Vous pouvez utiliser des requêtes Log Analytics pour récupérer des enregistrements correspondant à des critères particuliers, identifier des tendances, analyser des modèles et fournir divers insights sur vos données.

Ce tutoriel vous guide dans l’interface Log Analytics, présente quelques requêtes de base et vous montre comment tirer parti des résultats. Vous allez apprendre à effectuer les actions suivantes :

  • Comprendre le schéma des données de journal.
  • Écrire et exécuter des requêtes simples, et modifier l’intervalle de temps pour les requêtes.
  • Filtrer, trier et regrouper les résultats de requête.
  • Afficher, modifier et partager des visuels des résultats de requête.
  • Charger, exporter et copier des requêtes et des résultats.

Important

Dans ce tutoriel, vous tirez parti des fonctionnalités de Log Analytics pour générer une requête et utiliser un autre exemple de requête. Lorsque vous êtes prêt à apprendre la syntaxe des requêtes et à commencer à modifier directement la requête, lisez le tutoriel sur le langage de requête Kusto (KQL). Ce tutoriel vous fait parcourir des exemples de requêtes que vous pouvez modifier et exécuter dans Log Analytics. Il utilise plusieurs des fonctionnalités que vous découvrez dans ce tutoriel.

Prérequis

Ce tutoriel utilise l’environnement de démonstration Log Analytics, qui comprend de nombreux exemples de données prenant en charge les exemples de requêtes. Vous pouvez également utiliser votre propre abonnement Azure, mais vous ne disposerez peut-être pas de données dans les mêmes tables.

Remarque

Log Analytics a deux modes: Simple et KQL. Ce didacticiel vous familiarise avec le mode KQL. Pour découvrir des informations sur le mode Simple, consultez Analyser des données à l’aide du mode Simple Log Analytics (préversion).

Ouvrir Log Analytics

Ouvrez l’environnement de démonstration Log Analytics ou sélectionnez Journaux dans le menu Azure Monitor de votre abonnement. Cette étape définit un espace de travail Log Analytics comme étendue initiale, ce qui signifie que votre requête effectue une sélection parmi toutes les données de cet espace de travail. Si vous sélectionnez Journaux dans le menu d’une ressource Azure, l’étendue est définie sur les seuls enregistrements de cette ressource. Pour plus d’informations sur l’étendue, consultez Étendue de requête de journal.

Vous pouvez consulter l’étendue dans le coin supérieur gauche de l’expérience Logs, sous le nom de votre onglet actif de requête. Si vous utilisez votre propre environnement, vous voyez une option permettant de sélectionner une autre étendue. Cette option n’est pas disponible dans l’environnement de démonstration.

Capture d’écran montrant l’étendue Log Analytics pour la démonstration.

Afficher les informations de table

Le côté gauche de l’écran comprend l’onglet Tables, où vous pouvez inspecter les tables disponibles dans l’étendue actuelle. Ces tables sont regroupées par Solution par défaut, mais vous pouvez modifier leur regroupement ou les filtrer.

Développez la solution Gestion des journaux et recherchez la table AppRequests. Vous pouvez développer la table pour afficher son schéma, ou pointer sur son nom pour afficher des informations supplémentaires à son sujet.

Capture d’écran montrant la vue Tables.

  • Sélectionnez le lien sous Liens utiles (dans cet exemple AppRequests) pour accéder à la référence de tables qui documente chaque table et ses colonnes.

  • Sélectionnez Aperçu des données pour jeter un œil à quelques enregistrements récents dans la table. Cette préversion peut être utile pour vérifier qu’il s’agit bien des données que vous attendez, avant d’exécuter une requête avec elles.

Capture d’écran montrant les données d’aperçu pour la table AppRequests.

Écrivez votre requête.

Commençons par écrire une requête à l’aide de la table AppRequests. Double-cliquez sur son nom ou pointez dessus et cliquez sur Utiliser dans l’éditeur pour l’ajouter dans la fenêtre de requête. Vous pouvez aussi taper directement dans la fenêtre. Vous pouvez même obtenir IntelliSense qui vous aide à compléter les noms des tables dans l’étendue actuelle et les commandes Kusto Query Language (KQL).

Il s’agit de la requête la plus simple que nous pouvons écrire. Elle retourne simplement tous les enregistrements d’une table. Exécutez-la en sélectionnant le bouton Exécuter ou en sélectionnant Maj+Entrée avec le curseur positionné n’importe où dans le texte de la requête.

Capture d’écran montrant les résultats de la requête.

Vous pouvez constater que nous avons des résultats. Le nombre d’enregistrements retournés par la requête s’affiche dans le coin inférieur droit. Le nombre maximal de résultats que vous pouvez récupérer dans l’expérience du portail Log Analytics est de 30 000.

Plage temporelle

Toutes les requêtes retournent des enregistrements générés dans un intervalle de temps défini. Par défaut, la requête retourne les enregistrements générés dans les dernières 24 heures.

Vous pouvez définir un autre intervalle de temps en utilisant l’opérateur where dans la requête. Vous pouvez également utiliser la liste déroulante Intervalle de temps en haut de l’écran.

Modifions l’intervalle de temps de la requête en sélectionnant 12 dernières heures dans la liste déroulante Intervalle de temps. Sélectionnez Exécuter pour retourner les résultats.

Notes

La modification de l’intervalle de temps en utilisant la liste déroulante Intervalle de temps ne modifie pas la requête dans l’éditeur de requête.

Capture d’écran qui montre l’intervalle de temps.

Filtres multiples

Nous allons réduire les résultats en ajoutant une autre condition de filtre. Une requête peut inclure un nombre quelconque de filtres pour cibler exactement le jeu d’enregistrements souhaité. Sur le côté gauche de l’écran où l’onglet Tables est actif, sélectionnez l’onglet Filtrer à la place. Si vous ne le trouvez pas, cliquez sur les points de suspension pour voir d’autres onglets.

Sous l’onglet Filtre, sélectionnez Charger les anciens filtres pour afficher les 10 principales valeurs pour chaque filtre.

Capture d’écran qui montre l’onglet de requête avec l’option pour charger les anciens filtres.

Sélectionnez Accéder à la page d’accueil/d’index sous Nom, puis cliquez sur Appliquer et exécuter.

Capture d’écran montrant les résultats de la requête avec plusieurs filtres.

Analyser les résultats

En plus de vous aider à écrire et à exécuter des requêtes, Log Analytics offre des fonctionnalités permettant d’exploiter les résultats. Commencez par développer un enregistrement pour afficher les valeurs pour toutes ses colonnes en cliquant sur le chevron à gauche de la ligne.

Capture d’écran montrant un enregistrement développé dans les résultats de la recherche.

Sélectionnez le nom d’une colonne pour trier les résultats selon cette colonne. Sélectionnez l’icône de filtre en regard de celle-ci pour fournir une condition de filtre. Cette action est similaire à l’ajout d’une condition de filtre à la requête elle-même, sauf que ce filtre est effacé si la requête est réexécutée. Appliquez cette méthode si vous souhaitez analyser rapidement un jeu d’enregistrements dans le cadre de l’analyse interactive.

Définissez un filtre sur la colonne DurationMs pour limiter les enregistrements à ceux qui ont pris plus de 150 millisecondes.

  1. La table des résultats vous permet de filtrer comme dans Excel. Sélectionnez les points de suspension dans l’en-tête de la colonne Nom.
  2. Décochez Sélectionner tout, puis recherchez l’option Accéder à la page d’accueil/d’index et cochez-la. Les filtres sont automatiquement appliqués à vos résultats.

Capture d’écran montrant un filtre de résultats de requête.

Rechercher dans les résultats de la requête

Effectuons une recherche dans les résultats de la requête en utilisant la zone de recherche située en haut à droite du volet de résultats.

Entrez Chicago dans la zone de recherche des résultats de la requête et sélectionnez les flèches pour trouver toutes les instances de cette chaîne dans vos résultats de recherche.

Capture d’écran montrant la zone de recherche en haut à droite du volet de résultats.

Réorganiser et synthétiser des données

Pour mieux visualiser vos données, vous pouvez réorganiser et synthétiser les données dans les résultats de la requête en fonction de vos besoins.

Sélectionnez Colonnes à droite du volet de résultats pour ouvrir la barre latérale Colonnes.

Capture d’écran montrant le lien Colonne à droite du volet de résultats, que vous sélectionnez pour ouvrir la barre latérale Colonnes.

Dans la barre latérale, vous voyez une liste de toutes les colonnes disponibles. Faites glisser la colonne URL dans la section Groupes de lignes. Les résultats sont désormais organisés d’après cette colonne, et vous pouvez réduire chaque groupe pour vous aider dans votre analyse. Cette action est similaire à l’ajout d’une condition de filtre à la requête, mais au lieu de récupérer à nouveau des données à partir du serveur, vous traitez les données retournées par votre requête d’origine. Lorsque vous réexécutez la requête, Log Analytics récupère les données en fonction de votre requête d’origine. Appliquez cette méthode si vous souhaitez analyser rapidement un jeu d’enregistrements dans le cadre de l’analyse interactive.

Capture d’écran montrant les résultats de la requête groupés par URL.

Créer un tableau croisé dynamique

Pour analyser les performances de vos pages, créez un tableau croisé dynamique.

Dans la barre latérale Colonnes, sélectionnez Mode croisé dynamique.

Sélectionnez URL et DurationMs pour afficher la durée totale de tous les appels à chaque URL.

Pour afficher la durée maximale des appels à chaque URL, sélectionnez sum(DurationMs)>max.

Capture d’écran montrant comment activer le Mode croisé dynamique et configurer un tableau croisé dynamique en fonction des valeurs URL et DurationMS.

Nous allons maintenant trier les résultats par durée maximale d’appel la plus longue en sélectionnant la colonne max(DurationMs) dans le volet de résultats.

Capture d’écran montrant le volet des résultats de la requête trié par les valeurs DurationMS maximales.

Utiliser des graphiques

Examinons une requête qui utilise des données numériques que nous pouvons afficher dans un graphique. Au lieu de générer une requête, nous sélectionnons un exemple de requête.

Dans le volet gauche, sélectionnez Requêtes. Ce volet comprend des exemples de requêtes que vous pouvez ajouter à la fenêtre de requête. Si vous utilisez votre propre espace de travail, vous devriez avoir diverses requêtes dans plusieurs catégories.

Chargez la requête Taux d’erreur de fonction dans la catégorie Applications de l’éditeur. Pour ce faire, double-cliquez sur la requête ou pointez sur le nom de requête pour afficher d’autres informations, puis sélectionnez Charger dans l’éditeur.

Capture d’écran montrant des informations sur la requête.

Notez que la nouvelle requête est séparée de l’autre par une ligne vide. Une requête dans KQL se termine lorsqu’elle rencontre une ligne vide. Elle est donc considérée comme une requête distincte.

Capture d’écran montrant une nouvelle requête.

Cliquez n’importe où dans une requête pour la sélectionner, puis cliquez sur le bouton Exécuter pour l’exécuter.

Capture d’écran montrant la table des résultats de la requête.

Pour afficher les résultats dans un graphique, sélectionnez Graphique dans le volet des résultats. Notez qu’il existe différentes options pour manipuler le graphique, par exemple pour le remplacer par un autre type.

Capture d’écran montrant le graphique des résultats de la requête.

Étapes suivantes

Maintenant que vous savez comment utiliser Log Analytics, suivez le tutoriel sur l’utilisation des requêtes de journal :