Log Analytics-självstudie

  • Artikel

Log Analytics är ett verktyg i Azure-portalen som gör att du kan redigera och köra loggfrågor och data som samlats in av Azure Monitor-loggar och analysera resultatet interaktivt. Du kan använda Log Analytics-frågor till att hämta poster som matchar specifika kriterier, identifiera trender, analyserar mönster och ger olika insikter om dina data.

Den här självstudien vägleder dig genom Log Analytics-gränssnittet, kommer igång med några grundläggande frågor och visar hur du kan arbeta med resultaten. Du lär dig att:

  • Förstå loggdataschemat.
  • Skriv och kör enkla frågor och ändra tidsintervallet för frågor.
  • Filtrera, sortera och gruppera frågeresultat.
  • Visa, ändra och dela visuella objekt för frågeresultat.
  • Läsa in, exportera och kopiera frågor och resultat.

Viktigt!

I den här självstudien använder du Log Analytics-funktioner för att skapa en fråga och använda en annan exempelfråga. När du är redo att lära dig syntaxen för frågor och börja redigera själva frågan direkt läser du självstudien Kusto-frågespråk. Den här självstudien vägleder dig genom exempelfrågor som du kan redigera och köra i Log Analytics. Den använder flera av de funktioner som du lär dig i den här självstudien.

Förutsättningar

I den här självstudien används Log Analytics-demomiljön, som innehåller massor av exempeldata som stöder exempelfrågorna. Du kan också använda din egen Azure-prenumeration, men du kanske inte har data i samma tabeller.

Kommentar

Log Analytics har två lägen – Enkel och KQL. Den här självstudien vägleder dig genom KQL-läge. Information om enkelt läge finns i Analysera data med Hjälp av Log Analytics Enkelt läge (förhandsversion).

Öppna Log Analytics

Öppna Log Analytics-demomiljön eller välj Loggar på Azure Monitor-menyn i din prenumeration. Det här steget anger det inledande omfånget till en Log Analytics-arbetsyta så att din fråga väljer från alla data på den arbetsytan. Om du väljer Loggar från en Azure-resurss meny är omfånget inställt på endast poster från den resursen. Mer information om omfånget finns i Loggfrågeomfång.

Du kan visa omfånget i det övre vänstra hörnet av loggupplevelsen, under namnet på den aktiva frågefliken. Om du använder din egen miljö visas ett alternativ för att välja ett annat omfång. Det här alternativet är inte tillgängligt i demomiljön.

Skärmbild som visar Log Analytics-omfånget för demonstrationen.

Visa tabellinformation

Till vänster på skärmen finns fliken Tabeller , där du kan granska de tabeller som är tillgängliga i det aktuella omfånget. Dessa tabeller grupperas som standard som lösning , men du kan ändra deras gruppering eller filtrera dem.

Expandera Log Management-lösningen och leta upp tabellen AppRequests. Du kan expandera tabellen för att visa dess schema eller hovra över dess namn för att visa mer information om den.

Skärmbild som visar vyn Tabeller.

  • Välj länken nedan Användbara länkar (i det här exemplet AppRequests) för att gå till tabellreferensen som dokumenterar varje tabell och dess kolumner.

  • Välj Förhandsgranska data för att få en snabb titt på några av de senaste posterna i tabellen. Den här förhandsversionen kan vara användbar för att säkerställa att det är de data du förväntar dig innan du kör en fråga med den.

Skärmbild som visar förhandsgranskningsdata för tabellen AppRequests.

Skriva en fråga

Nu ska vi skriva en fråga med hjälp av tabellen AppRequests . Dubbelklicka på dess namn eller hovra över det och klicka på Använd i redigeraren för att lägga till det i frågefönstret. Du kan också skriva direkt i fönstret. Du kan till och med hämta IntelliSense som hjälper dig att fylla i namnen på tabeller i det aktuella omfånget och Kusto-frågespråk -kommandona (KQL).

Det här är den enklaste frågan som vi kan skriva. Den returnerar bara alla poster i en tabell. Kör den genom att välja knappen Kör eller genom att välja Skift+Retur med markören placerad var som helst i frågetexten.

Skärmbild som visar frågeresultat.

Du kan se att vi har resultat. Antalet poster som frågan returnerar visas i det nedre högra hörnet. Det maximala antalet resultat som du kan hämta i Log Analytics-portalen är 30 000.

Tidsintervall

Alla frågor returnerar poster som genererats inom ett angivet tidsintervall. Som standard returnerar frågan poster som genererats under de senaste 24 timmarna.

Du kan ange ett annat tidsintervall med hjälp av where-operatorn i frågan. Du kan också använda listrutan Tidsintervall överst på skärmen.

Nu ska vi ändra tidsintervallet för frågan genom att välja Senaste 12 timmarna i listrutan Tidsintervall . Välj Kör för att returnera resultatet.

Kommentar

Om du ändrar tidsintervallet med hjälp av listrutan Tidsintervall ändras inte frågan i frågeredigeraren.

Skärmbild som visar tidsintervallet.

Flera filter

Nu ska vi minska våra resultat ytterligare genom att lägga till ytterligare ett filtervillkor. En fråga kan innehålla valfritt antal filter för att rikta in sig på exakt den uppsättning poster som du vill ha. Till vänster på skärmen där fliken Tabeller är aktiv väljer du fliken Filter i stället. Om du inte hittar den klickar du på ellipsen för att visa fler flikar.

På fliken Filter väljer du Läs in gamla filter för att visa de 10 översta värdena för varje filter.

Skärmbild som visar frågefliken med alternativet att läsa in gamla filter.

Välj Hämta start/index under Namn och klicka sedan på Tillämpa och kör.

Skärmbild som visar frågeresultat med flera filter.

Analysera resultat

Förutom att hjälpa dig att skriva och köra frågor tillhandahåller Log Analytics funktioner för att arbeta med resultaten. Börja med att expandera en post för att visa värdena för alla dess kolumner genom att klicka på sparren till vänster på raden.

Skärmbild som visar en post som expanderats i sökresultaten.

Välj namnet på en kolumn för att sortera resultaten efter kolumnen. Välj filterikonen bredvid den för att ange ett filtervillkor. Den här åtgärden liknar att lägga till ett filtervillkor i själva frågan, förutom att det här filtret rensas om frågan körs igen. Använd den här metoden om du snabbt vill analysera en uppsättning poster som en del av interaktiv analys.

Ange ett filter för kolumnen DurationMs för att begränsa posterna till de som tog mer än 150 millisekunder.

  1. Med resultattabellen kan du filtrera precis som i Excel. Välj ellipsen i kolumnrubriken Namn .
  2. Avmarkera Markera alla och sök sedan efter Hämta start/index och kontrollera det. Filter tillämpas automatiskt på dina resultat.

Skärmbild som visar ett frågeresultatfilter.

Sök igenom frågeresultat

Nu ska vi söka igenom frågeresultaten med hjälp av sökrutan längst upp till höger i resultatfönstret.

Ange Chicago i sökrutan för frågeresultat och välj pilarna för att hitta alla instanser av strängen i sökresultaten.

Skärmbild som visar sökrutan längst upp till höger i resultatfönstret.

Omorganisera och sammanfatta data

Om du vill visualisera dina data bättre kan du ordna om och sammanfatta data i frågeresultaten baserat på dina behov.

Välj Kolumner till höger om resultatfönstret för att öppna sidofältet Kolumner .

Skärmbild som visar länken Kolumn till höger om resultatfönstret, som du väljer för att öppna sidofältet Kolumner.

I sidofältet visas en lista över alla tillgängliga kolumner. Dra url-kolumnen till avsnittet Radgrupper. Resultaten ordnas nu efter den kolumnen och du kan minimera varje grupp för att hjälpa dig med din analys. Den här åtgärden liknar att lägga till ett filtervillkor i frågan, men i stället för att hämta data från servern bearbetar du de data som den ursprungliga frågan returnerade. När du kör frågan igen hämtar Log Analytics data baserat på din ursprungliga fråga. Använd den här metoden om du snabbt vill analysera en uppsättning poster som en del av interaktiv analys.

Skärmbild som visar frågeresultat grupperade efter URL.

Skapa en pivottabell

Om du vill analysera prestanda för dina sidor skapar du en pivottabell.

I sidofältet Kolumner väljer du Pivotläge.

Välj URL och Varaktigheter för att visa den totala varaktigheten för alla anrop till varje URL.

Om du vill visa den maximala samtalsvaraktigheten för varje URL väljer du sum(DurationMs)>max.

Skärmbild som visar hur du aktiverar pivotläge och konfigurerar en pivottabell baserat på VÄRDENA URL och DurationMS.

Nu ska vi sortera resultatet efter den längsta maximala samtalsvaraktigheten genom att välja kolumnen max(DurationMs) i resultatfönstret.

Skärmbild som visar frågeresultatfönstret som sorteras efter maximala DurationMS-värden.

Arbeta med diagram

Nu ska vi titta på en fråga som använder numeriska data som vi kan visa i ett diagram. I stället för att skapa en fråga väljer vi en exempelfråga.

Välj Frågor i det vänstra fönstret. I det här fönstret finns exempelfrågor som du kan lägga till i frågefönstret. Om du använder en egen arbetsyta bör du ha olika frågor i flera kategorier.

Läs in frågan om funktionsfelfrekvens i kategorin Program till redigeraren. Det gör du genom att dubbelklicka på frågan eller hovra över frågenamnet för att visa mer information och sedan välja Läs in till redigeraren.

Skärmbild som visar information om frågan.

Observera att den nya frågan separeras från den andra med en tom rad. En fråga i KQL slutar när den stöter på en tom rad, vilket gör dem till separata frågor.

Skärmbild som visar en ny fråga.

Klicka var som helst i en fråga för att välja den och klicka sedan på knappen Kör för att köra den.

Skärmbild som visar frågeresultattabellen.

Om du vill visa resultatet i en graf väljer du Diagram i resultatfönstret. Observera att det finns olika alternativ för att arbeta med diagrammet, till exempel att ändra det till en annan typ.

Skärmbild som visar frågeresultatdiagrammet.

Nästa steg

Nu när du vet hur du använder Log Analytics slutför du självstudien om hur du använder loggfrågor:

Skriva Azure Monitor-loggfrågor