Область запросов журнала и временной диапазон в Azure Monitor Log Analytics

При выполнении запроса к журналу в Log Analytics на портале Azure набор данных, оцениваемый запросом, зависит от выбранной области и выбранного диапазона времени. В этой статье описываются область и диапазон времени, а также способы их настройки в зависимости от требований. В ней также описывается поведение различных типов областей.

Требуемые разрешения

У вас должны быть Microsoft.OperationalInsights/workspaces/query/*/read разрешения на запрашиваемые рабочие области Log Analytics, как указано встроенной ролью Log Analytics Reader, например.

Область запроса

Область запроса определяет записи, которые вычисляет запрос. Обычно это определение включает все записи в одну рабочую область Log Analytics или приложение Application Insights. Log Analytics также позволяет задать область для определенного отслеживаемого ресурса Azure. Это позволяет владельцу ресурса сосредоточиться только на своих данных, даже если этот ресурс выполняет запись в несколько рабочих областей.

Область всегда отображается в левом верхнем углу окна Log Analytics. Значок указывает, является ли областью рабочая область Log Analytics или приложение Application Insights. Отсутствие значка указывает на другой ресурс Azure.

Снимок экрана: область, отображаемая на портале.

Метод, используемый для запуска Log Analytics, определяет область, и в некоторых случаях можно изменить область, щелкнув ее. В следующей таблице перечислены различные типы используемых областей и различные сведения для каждого из них.

Внимание

Если вы используете приложение на основе рабочей области в Application Insights, его данные хранятся в рабочей области Log Analytics со всеми остальными данными журнала. Для обеспечения обратной совместимости при выборе приложения в качестве области используется классический интерфейс Application Insights. Чтобы просмотреть эти данные в рабочей области Log Analytics, задайте в качестве области рабочую область.

Область запроса Записи в области Как выбрать Изменение области
Рабочая область Log Analytics Все записи в рабочей области Log Analytics. Выберите раздел Журналы в меню Azure Monitor или в меню Рабочие области Log Analytics. Можно изменить область на любой другой тип ресурсов.
Приложение Application Insights Все записи в приложении Application Insights. Выберите раздел Журналы в меню Application Insights для приложения. Можно изменить область только на другое приложение Application Insights.
Группа ресурсов Записи, созданные всеми ресурсами в группе ресурсов. Может включать данные из нескольких рабочих областей Log Analytics. Выберите раздел Журналы в меню группы ресурсов. Не удается изменить область.
Отток подписок Записи, созданные всеми ресурсами в подписке. Может включать данные из нескольких рабочих областей Log Analytics. Выберите раздел Журналы в меню подписки. Не удается изменить область.
Другие ресурсы Azure Записи, созданные ресурсом. Может включать данные из нескольких рабочих областей Log Analytics. Выберите раздел Журналы в меню ресурса.
ИЛИ
Выберите раздел Журналы в меню Azure Monitor, а затем выберите новую область.
Можно изменить область только на тот же тип ресурса.

Ограничения по области ресурса

Если область запроса является рабочей областью Log Analytics или приложением Application Insights, доступны все параметры на портале и все команды запроса. Когда областью действия является ресурс, следующие параметры на портале будут недоступны, так как они связаны с одной рабочей областью или приложением.

  • Сохранить
  • Обозреватель запросов
  • Новое правило генерации оповещений

Вы не можете использовать следующие команды в запросе, если область действия ограничена ресурсом, так как область запроса уже включает в себя все рабочие области с данными для этого ресурса или набора ресурсов:

Ограничения области запроса

Настройка области для ресурса или набора ресурсов — это мощная функция Log Analytics, так как она позволяет автоматически консолидировать распределенные данные в одном запросе. Это может значительно повлиять на производительность, если данные необходимо извлечь из рабочих областей в нескольких регионах Azure.

Log Analytics помогает защититься от чрезмерных издержек запросов, охватывающих рабочие области в нескольких регионах, выдавая предупреждение или ошибку при использовании определенного числа регионов. Запрос получает предупреждение, если область включает рабочие области в 5 или более регионах. он по-прежнему будет выполняться, но может потребоваться слишком много времени для завершения.

Снимок экрана: предупреждение запроса.

Выполнение запроса будет заблокировано, если область включает рабочие области в 20 или более регионах. В этом случае вам будет предложено уменьшить количество регионов рабочей области и повторить попытку выполнить запрос. В раскрывающемся списке отобразятся все регионы в области запроса, и необходимо уменьшить количество регионов, прежде чем пытаться снова выполнить запрос.

Снимок экрана: сбой запроса.

Диапазон времени

Диапазон времени определяет набор записей, которые оцениваются для запроса на основе времени создания записи. Это определяется столбцом TimeGenerated в каждой записи в рабочей области или приложении, как указано в следующей таблице. В классическом приложении Application Insights для диапазона времени используется столбец timestamp.

Задайте диапазон времени, выбрав его из средства выбора времени в верхней части окна Log Analytics. Можно выбрать предопределенный период или выбрать вариант Пользовательский, чтобы указать свой диапазон времени.

Снимок экрана: средство выбора времени.

Если в запросе задан фильтр, использующий стандартный столбец времени, как показано в таблице выше, то средство выбора времени изменится на Установлено в запросе, а средство выбора времени будет отключено. В этом случае наиболее эффективным является размещение фильтра в верхней части запроса, чтобы любая последующая обработка работала только с отфильтрованными записями.

Снимок экрана: отфильтрованный запрос.

Если вы используете рабочую область или команду приложения для получения данных из другой рабочей области или классического приложения, средство выбора времени может вести себя по-другому. Если область является рабочей областью Log Analytics и используется приложение, или если область является классическим приложением Application Insights и используется рабочая область, то Log Analytics может не понимать, что столбец, используемый в фильтре, должен определить фильтр времени.

В следующем примере в качестве области задается рабочая область Log Analytics. Запрос использует команду workspace для получения данных из другой рабочей области Log Analytics. Средство выбора времени изменяется для Установлено в запросе, так как оно видит фильтр, использующий ожидаемый столбец TimeGenerated.

Снимок экрана: запрос с рабочей областью.

Если запрос использует команду app для извлечения данных из классического приложения Application Insights, Log Analytics не распознает столбец timestamp в фильтре, а средство выбора времени остается неизменным. В этом случае применяются оба фильтра. В этом примере в запрос включаются только записи, созданные за последние 24 часа, хотя в предложении where указывается 7 дней.

Снимок экрана: запрос с приложением.

Следующие шаги