Opret grundlæggende Azure Monitor-logforespørgsler for at udtrække oplysninger fra logdata

  • 10 minutter

Du kan bruge Azure Monitor-logforespørgsler til at udtrække oplysninger fra logdata. Forespørgsel er en vigtig del af undersøgelsen af de logdata, som Azure Monitor henter.

I eksempelscenariet bruger operationsteamet Azure Monitor-logforespørgsler til at undersøge systemets tilstand.

Skriv Azure Monitor-logforespørgsler ved hjælp af Log Analytics

Du kan finde værktøjet Log Analytics på Azure Portal og bruge det til at køre eksempelforespørgsler eller oprette dine egne forespørgsler:

  1. Vælg Overvågi ruden til venstre på Azure Portal.

    Siden Azure Monitor vises sammen med flere indstillinger, herunder Activity Log, Alerts, Metricsog Logs.

  2. Vælg Logfiler.

    Her kan du angive din forespørgsel og se outputtet.

    Skærmbillede af Azure Monitor, hvor der er åbnet en ny forespørgselsfane.

Skriv forespørgsler ved hjælp af Kusto-sproget

Du kan bruge Kusto Query Language til at forespørge om logoplysninger for dine tjenester, der kører i Azure. En Kusto-forespørgsel er en skrivebeskyttet anmodning om at behandle data og returnere resultater. Du angiver forespørgslen som almindelig tekst ved hjælp af en dataflowmodel, der er designet til at gøre syntaksen nem at læse, skrive og automatisere. Forespørgslen bruger skemaobjekter, der er organiseret i et hierarki på samme måde som i Azure SQL Database: databaser, tabeller og kolonner.

En Kusto-forespørgsel består af en sekvens af forespørgselssætninger, der er afgrænset af et semikolon (;). Mindst én sætning er en udtrykssætning i tabelformat. En tabeludtrykssætning formaterer de data, der er arrangeret som en tabel med kolonner og rækker.

Syntaksen for en tabeludtrykssætning har et dataflow i tabelformat fra én forespørgselsoperator i tabelformat til en anden, startende med en datakilde. En datakilde kan være en tabel i en database eller en operator, der producerer data. Dataene flyder derefter gennem et sæt datatransformationsoperatorer, der er bundet sammen med pipeafgrænseren (|).

Følgende Kusto-forespørgsel har f.eks. en enkelt tabeludtrykssætning. Sætningen starter med en reference til en tabel, der kaldes Events. Den database, der er vært for denne tabel, er implicit her og er en del af forbindelsesoplysningerne. Dataene for tabellen, der er gemt i rækker, filtreres efter værdien af kolonnen StartTime. Dataene filtreres yderligere efter værdien af kolonnen State. Forespørgslen returnerer derefter antallet af de resulterende rækker.

Events
| where StartTime >= datetime(2018-11-01) and StartTime < datetime(2018-12-01)
| where State == "FLORIDA"  
| count

Seddel

Der er forskel på store og små bogstaver i Det Kusto-forespørgselssprog, som Azure Monitor bruger. Sprognøgleord skrives typisk med små bogstaver. Når du bruger navne på tabeller eller kolonner i en forespørgsel, skal du sørge for at bruge den korrekte forskel på små og små bogstaver.

Hændelser, der registreres fra hændelseslogfilerne for overvågede computere, er blot én type datakilde. Azure Monitor indeholder mange andre typer datakilder. Den Heartbeat datakilde rapporterer f.eks. tilstanden for alle computere, der rapporterer til dit Log Analytics-arbejdsområde. Du kan også hente data fra ydelsestællere og poster til opdateringsstyring.

I følgende eksempel hentes den seneste impulspost for hver computer. Computeren identificeres ved hjælp af dens IP-adresse. I dette eksempel returnerer summarize-sammenlægningen med funktionen arg_max posten med den nyeste værdi for hver IP-adresse.

Heartbeat
| summarize arg_max(TimeGenerated, *) by ComputerIP