Запросы журналов в Azure Monitor
Журналы Azure Monitor основаны на Azure Data Explorer, а запросы журналов записываются с помощью той же язык запросов Kusto (KQL). Этот богатый язык предназначен для легкого чтения и автора, поэтому вы сможете начать писать запросы с некоторыми основными рекомендациями.
Области в Azure Monitor, в которых вы будете использовать запросы, включают:
- Log Analytics: используйте это основное средство в портал Azure для редактирования запросов журналов и интерактивного анализа результатов. Даже если вы планируете использовать запрос журнала в другом месте в Azure Monitor, обычно вы напишете и протестируете его в Log Analytics, прежде чем скопировать его в окончательное расположение.
- Правила генерации оповещений поиска журналов: упреждающее определение проблем из данных в рабочей области. Каждое правило генерации оповещений основано на запросе журнала, который автоматически выполняется через регулярные интервалы. Результаты проверяются, чтобы определить, следует ли создавать оповещение.
- Книги. Включите результаты запросов журналов с помощью различных визуализаций в интерактивных визуальных отчетах в портал Azure.
- Панели мониторинга Azure. Закрепление результатов любого запроса на панели мониторинга Azure, что позволяет визуализировать данные журналов и метрик вместе и при необходимости предоставлять общий доступ другим пользователям Azure.
- Azure Logic Apps: используйте результаты запроса журнала в автоматизированном рабочем процессе с помощью рабочего процесса приложения логики.
- PowerShell: используйте результаты запроса журнала в скрипте PowerShell из командной строки или модуля Runbook служба автоматизации Azure, который использует
Invoke-AzOperationalInsightsQuery
. - API запросов Log Analytics: получение данных журнала из рабочей области из любого клиента REST API. Запрос API включает запрос, который выполняется в Azure Monitor, чтобы определить данные для получения.
- Клиентские библиотеки запросов Azure Monitor: получение данных журнала из рабочей области с помощью идиоматической клиентской библиотеки для следующих экосистем:
-
Пример реализации клиентской библиотеки запросов Azure Monitor для Python см. в статье "Анализ данных в журналах Azure Monitor с помощью записной книжки".
Начало работы
Лучший способ начать обучение по написанию запросов к журналам с помощью KQL — использовать доступные учебники и примеры:
- Руководство по Log Analytics. Руководство по использованию функций Log Analytics, которое является средством, которое вы будете использовать в портал Azure для редактирования и запуска запросов. Он также позволяет создавать простые запросы без непосредственного использования языка запросов. Если вы еще не использовали Log Analytics, запустите здесь, чтобы понять инструмент, который вы будете использовать с другими руководствами и примерами.
- Руководство по KQL: пошаговое руководство по основным понятиям KQL и общим операторам. Это лучшая отправная точка для знакомства с самим языком и структурой запросов журнала.
- Примеры запросов. Описание примеров запросов, доступных в Log Analytics. Вы можете использовать запросы без изменений или в качестве примеров для изучения KQL.
Справочная документация
Документация по KQL, включая ссылку для всех команд и операторов, доступна в документации по Azure Data Explorer. Даже при использовании KQL вы по-прежнему будете регулярно использовать ссылку для изучения новых команд и сценариев, которые вы еще не использовали раньше.
Различия между языками
Хотя Azure Monitor использует тот же KQL, что и Azure Data Explorer, существуют некоторые различия. В документации по KQL будут указаны операторы, которые не поддерживаются Azure Monitor или которые имеют другую функциональность. Операторы, относящиеся к Azure Monitor, описаны в содержимом для Azure Monitor. В следующих разделах перечислены различия между версиями языка для быстрого получения справки.
Инструкции, которые не поддерживаются в Azure Monitor:
Функции, которые не поддерживаются в Azure Monitor:
- cluster();
- cursor_after();
- cursor_before_or_at();
- cursor_current(), current_cursor();
- database();
- current_principal();
- extent_id();
- extent_tags().
Оператор не поддерживается в Azure Monitor
Подключаемые модули не поддерживаются в Azure Monitor
Другие операторы в Azure Monitor
Следующие операторы поддерживают определенные функции Azure Monitor и недоступны за пределами Azure Monitor:
Следующие шаги
- Пройдите пошаговый учебник по написанию запросов.
- Доступ к полной справочной документации по KQL.