Анализ данных с помощью простого режима Log Analytics (предварительная версия)

Log Analytics теперь предлагает два режима, которые упрощают изучение и анализ данных журнала для основных и расширенных пользователей:

  • Простой режим предоставляет наиболее часто используемые функции журналов Azure Monitor в интуитивно понятном интерфейсе электронной таблицы. Просто наведите указатель и щелкните, чтобы отфильтровать, отсортировать и агрегировать данные, чтобы получить аналитические сведения, необходимые 80 % времени.
  • Режим KQL предоставляет расширенным пользователям полную мощность язык запросов Kusto (KQL) для получения более глубокой аналитики из журналов с помощью редактора запросов Log Analytics.

Вы можете легко переключаться между режимами Simple и KQL, а расширенные пользователи могут совместно использовать сложные запросы, с которыми любой пользователь может продолжать работать в простом режиме.

В этой статье объясняется, как использовать простой режим Log Analytics для изучения и анализа данных в журналах Azure Monitor.

Ниже приведено видео, в которое приведены краткие сведения о том, как запрашивать журналы в Log Analytics с помощью режимов Simple и KQL:

Простой режим Log Analytics

Простой режим в настоящее время является интерфейсом согласия. Чтобы попробовать, выберите " Попробовать новую Log Analytics" в правом верхнем углу редактора запросов Log Analytics. Вы можете вернуться к классическому интерфейсу Log Analytics в любое время.

Снимок экрана, на котором показана кнопка

Как работает простой режим

Простой режим позволяет быстро приступить к работе, извлекая данные из одной или нескольких таблиц одним щелчком мыши. Затем вы используете набор интуитивно понятных элементов управления для изучения и анализа полученных данных.

В этом разделе описаны элементы управления, доступные в простом режиме Log Analytics.

Снимок экрана: простой режим Log Analytics.

Верхняя панель запросов

В простом режиме верхняя панель имеет элементы управления для работы с данными и переключения в режим KQL.

Снимок экрана: верхняя панель запросов в Log Analytics.

Вариант Описание
Диапазон времени Выберите диапазон времени для данных, доступных для запроса. В режиме KQL при настройке другого диапазона времени в запросе переопределяется диапазон времени, заданный в средство выбора времени.
Лимит Настройте количество записей Log Analytics, полученных в простом режиме. Ограничение по умолчанию — 1000. Дополнительные сведения об ограничениях запросов см. в разделе "Настройка ограничения результатов запроса".
Прибавить Добавьте фильтры и примените операторы простого режима, как описано в разделе "Изучение и анализ данных в простом режиме".
Простой или KQL-режим Переключение между режимом Simple и KQL.

Левая панель

Свертываемая левая панель предоставляет доступ к таблицам, примерам и сохраненным запросам, функциям и журналу запросов.

Закрепление левой панели, чтобы сохранить ее открытой во время работы или развернуть окно запроса, выбрав значок в левой области только в том случае, если это нужно.

Снимок экрана: левая боковая панель в Log Analytics.

Вариант Описание
Таблицы Список таблиц, входящих в выбранную область. Выберите Группировать по, чтобы изменить группирование таблиц. Наведите указатель мыши на имя таблицы, чтобы просмотреть описание таблицы и ссылку на ее документацию. Разверните таблицу, чтобы просмотреть ее столбцы. Выберите таблицу для выполнения запроса.
Запросы Выводит примеры и сохраненные запросы. Это тот же список, который находится в Центре запросов. Выберите Группировать по, чтобы изменить группирование запросов. Наведите указатель мыши на запрос, чтобы просмотреть описание запроса. Выберите запрос, чтобы запустить его.
Функции Перечисляет функции, которые позволяют повторно использовать предопределенную логику запросов в запросах журнала.
Журнал запросов Выводит журнал запросов. Выберите запрос для повторного запуска.

Дополнительные средства

В этом разделе описаны дополнительные средства, доступные над областью запроса экрана, как показано на этом снимке экрана слева направо.

Снимок экрана: окно

Вариант Описание
Контекстное меню вкладки Изменение области запроса или переименование, дублирование или закрытие вкладки.
Сохранить Сохраните запрос в пакете запросов или в качестве функции или закрепите запрос к книге, панели мониторинга Azure или панели мониторинга Grafana.
Общий доступ Скопируйте ссылку на запрос, текст запроса или результаты запроса или экспортируйте данные в Excel, CSV или Power BI.
Новое правило генерации оповещений Создание правила генерации оповещений.
Режим задания поиска Выполнение задания поиска.
Параметры Log Analytics Определите параметры Log Analytics по умолчанию, включая часовой пояс, открывается ли Log Analytics в простом или KQL-режиме, а также следует ли отображать таблицы без данных.
Вернуться к классическим журналам Вернитесь к классическому пользовательскому интерфейсу Log Analytics.
Центр запросов Откройте диалоговое окно с примерами запросов, которое отображается при первом запуске Log Analytics.

Начало работы в простом режиме

При выборе таблицы или предопределенного запроса или функции в простом режиме Log Analytics автоматически извлекает соответствующие данные для изучения и анализа.

Это позволяет получить журналы с одним щелчком мыши, открыть Ли Log Analytics в контексте ресурса или рабочей области.

Чтобы приступить к работе, можно:

  • Щелкните " Выбрать таблицу " и выберите таблицу на вкладке "Таблицы" , чтобы просмотреть данные таблицы.

    Снимок экрана: кнопка

    Кроме того, выберите таблицы в левой области, чтобы просмотреть список таблиц в рабочей области.

    Снимок экрана: вкладка

  • Используйте существующий запрос, например общий или сохраненный запрос, или пример запроса.

    Снимок экрана: пример запроса в Log Analytics.

  • Выберите запрос из журнала запросов.

    Снимок экрана: журнал запросов в Log Analytics.

  • Выберите функцию.

    Снимок экрана: вкладка

    Внимание

    Функции позволяют повторно использовать логику запроса и часто требуют входных параметров или дополнительного контекста. В таких случаях функция не будет выполняться, пока не перейдете в режим KQL и предоставьте необходимые входные данные.

Изучение и анализ данных в простом режиме

После начала работы в простом режиме можно просматривать и анализировать данные с помощью верхней панели запросов.

Примечание.

Порядок применения фильтров и операторов влияет на запрос и результаты. Например, если применить фильтр, а затем агрегировать, Log Analytics применяет агрегирование к отфильтрованным данным. Если вы агрегируете и затем фильтруете, агрегирование применяется к нефильтрованным данным.

Изменение диапазона времени и количества отображаемых записей

По умолчанию в простом режиме перечислены последние 1000 записей в таблице за последние 24 часа.

Чтобы изменить диапазон времени и количество отображаемых записей, используйте диапазон времени и селекторы ограничения . Дополнительные сведения об ограничении результатов см. в разделе "Настройка ограничения результатов запроса".

Снимок экрана: диапазон времени и селекторы ограничений в Log Analytics.

Фильтровать по столбцу

  1. Выберите " Добавить " и выберите столбец.

    Снимок экрана: меню

  2. Выберите значение для фильтрации или введите текст или цифры в поле поиска .

    Если вы фильтруете, выбрав значения из списка, можно выбрать несколько значений. Если список длинный , отображается сообщение "Не все результаты". Прокрутите внизу списка и выберите "Загрузить дополнительные результаты ", чтобы получить больше значений.

    Снимок экрана: значения фильтра для столбца OperationId в простом режиме Log Analytics.

Поиск записей, имеющих определенное значение в таблице

  1. Нажмите Поиск.

    Снимок экрана: параметр поиска в простом режиме Log Analytics.

  2. Введите строку в поле "Поиск этой таблицы " и нажмите кнопку "Применить".

    Log Analytics фильтрует таблицу, чтобы отобразить только записи, содержащие введенную строку.

Внимание

Мы рекомендуем использовать фильтр, если вы знаете, какой столбец содержит данные, которые вы ищете. Оператор поиска значительно меньше производительности , чем фильтрация, и может не работать хорошо на больших объемах данных.

Сводные данные

  1. Выберите "Агрегировать".

  2. Выберите столбец для статистической обработки и выберите оператор для статистической обработки, как описано в разделе "Использование операторов агрегирования".

    Снимок экрана: операторы агрегирования в окне

Показать или скрыть столбцы

  1. Выберите " Показать столбцы".

  2. Выберите или снимите столбцы, чтобы показать или скрыть их, а затем нажмите кнопку "Применить".

    Снимок экрана: окно

Сортировка по столбцу

  1. Выберите "Сортировка".

  2. Выберите столбец для сортировки по.

  3. Выберите " По возрастанию " или "По убыванию", а затем нажмите кнопку "Применить".

    Снимок экрана: окно сортировки по столбцам в Log Analytics.

  4. Нажмите кнопку " Сортировка", чтобы отсортировать по другому столбцу.

Использование операторов агрегирования

Используйте операторы агрегирования для суммирования данных из нескольких строк, как описано в этой таблице.

Operator Description
count Подсчитывает количество раз, когда каждое отдельное значение существует в столбце.
dcount dcount Для оператора выберите два столбца. Оператор подсчитывает общее количество уникальных значений во втором столбце, сопоставленное с каждым значением в первом столбце. Например, в этом примере показано определенное количество кодов результатов для успешных и неудачных операций:
Снимок экрана: результат агрегирования с помощью оператора dcount в Azure Monitor Log Analytics.
sum
avg
max
min
Для этих операторов выберите два столбца. Операторы вычисляют сумму, среднее, максимальное или минимальное количество всех значений во втором столбце для каждого значения в первом столбце. Например, это показывает общую длительность каждой операции в миллисекундах за последние 24 часа:
Снимок экрана: результаты агрегирования с помощью оператора суммы в Azure Monitor Log Analytics.

Внимание

Базовые таблицы журналов не поддерживают агрегирование с помощью операторов и sum операторовavg.

перейти в другой режим;

Чтобы переключить режимы, выберите простой режим или режим KQL в раскрывающемся списке в правом верхнем углу редактора запросов.

Снимок экрана: переключение между простым режимом и режимом KQL в Log Analytics.

Когда вы начинаете запрашивать журналы в простом режиме, а затем переходите в режим KQL, редактор запросов предварительно заполнен запросом KQL, связанным с анализом простого режима. Затем вы можете изменить и продолжить работу с запросом.

Снимок экрана: запрос в режиме KQL Log Analytics.

Для простых запросов в одной таблице Log Analytics отображает имя таблицы справа от верхней панели запросов в простом режиме. Для более сложных запросов Log Analytics отображает запрос пользователя слева от верхней панели запросов. Выберите запрос пользователя, чтобы вернуться в редактор запросов и изменить запрос в любое время.

Снимок экрана: кнопка

Настройка ограничения результатов запроса

  1. Выберите "Ограничить", чтобы открыть окно "Ограничение результатов".

    Снимок экрана: окно результатов ограничения в Log Analytics.

  2. Выберите один из предустановленных ограничений или введите настраиваемое ограничение.

    Максимальное количество результатов, которые можно получить на портале Log Analytics в простом режиме и в режиме KQL, составляет 30 000. Однако при совместном использовании запроса Log Analytics с интегрированным инструментом или использовании запроса в задании поиска ограничение запроса устанавливается в зависимости от выбранного средства.

    Выберите Max. Ограничение , чтобы вернуть максимальное количество результатов, предоставляемых любым из средств, доступных в окне "Общий доступ" или с помощью задания поиска.

    Снимок экрана: окно

    В этой таблице перечислены максимальные пределы результатов запросов журналов Azure Monitor с помощью различных средств:

    Средство Description Макс. limit
    Служба Log Analytics Запросы, выполняемые в портал Azure. 30,000
    Excel, Power BI, API запросов Log Analytics Запросы, используемые в Excel и Power BI, интегрированные с Log Analytics, и выполняемые запросы с помощью API. 500,000
    Задание поиска Azure Monitor повторно возвращает результаты запроса, выполняемого в режиме задания поиска, в новую таблицу в Log Analytics. 1 000 000

Следующие шаги