Analyser des données à l’aide du mode Simple Log Analytics (préversion)
Log Analytics offre désormais deux modes qui simplifient l’exploration et l’analyse des données de journal pour les utilisateurs de base et avancés :
- Le mode Simple fournit les fonctionnalités de journaux Azure Monitor les plus couramment utilisées dans une expérience intuitive de type feuille de calcul. Il vous suffit de pointer et de cliquer pour filtrer, trier et agréger des données afin d’accéder aux insights dont vous avez besoin dans 80 % des cas.
- Le mode KQL permet aux utilisateurs avancés de tirer pleinement parti du langage de requête Kusto (KQL) pour obtenir des insights plus détaillés à partir de leurs journaux à l’aide de l’éditeur de requête Log Analytics.
Vous pouvez basculer en toute transparence entre les modes Simple et KQL, et les utilisateurs avancés peuvent partager des requêtes complexes que tout le monde peut continuer à utiliser en mode Simple.
Cet article explique comment utiliser le mode Simple Log Analytics pour explorer et analyser des données dans les journaux Azure Monitor.
Voici une vidéo qui fournit une vue d’ensemble rapide de l’interrogation des journaux dans Log Analytics à l’aide des modes Simple et KQL :
Essayer le mode Simple Log Analytics
Le mode simple est désormais l’affichage par défaut pour certains utilisateurs. S’il n’est pas activé par défaut pour vous, sélectionnez Simplement Essayer le nouveau Log Analytics en haut à droite de l’éditeur de requête. Vous pouvez revenir à l’expérience Log Analytics classique à tout moment.
Fonctionnement du mode Simple
Le mode Simple vous permet de commencer rapidement en récupérant des données d’une ou plusieurs tables en un clic. Vous utilisez ensuite un ensemble de contrôles intuitifs pour explorer et analyser les données récupérées.
Cette section décrit les contrôles disponibles en mode Simple Log Analytics.
Barre de requête supérieure
En mode Simple, la barre supérieure a des contrôles permettant de travailler avec des données et de basculer en mode KQL.
Option | Description |
---|---|
Intervalle de temps | Sélectionner l’intervalle de temps pour les données disponibles pour la requête. En mode KQL, si vous définissez un intervalle de temps différent dans votre requête, l’intervalle de temps que vous définissez dans le sélecteur de temps est remplacé. |
Limite | Configurer le nombre d’entrées que Log Analytics récupère en mode Simple. La limite par défaut est 1000. Pour plus d’informations sur les limites de requête, consultez Configurer la limite des résultats de requête. |
Ajouter | Ajouter des filtres et appliquez des opérateurs en mode Simple, comme décrit dans Explorer et analyser des données en mode Simple. |
Mode Simple/KQL | Basculer entre les modes Simple et KQL. |
Volet gauche
Le volet gauche réductible vous donne accès aux tables, aux exemples de requêtes et requêtes enregistrées, aux fonctions et à l’historique des requêtes.
Épinglez le volet gauche pour le laisser ouvert pendant que vous travaillez, ou agrandissez votre fenêtre de requête en sélectionnant une icône dans le volet gauche uniquement lorsque vous en avez besoin.
Option | Description |
---|---|
Tables | Répertorie les tables qui font partie de l’étendue sélectionnée. Sélectionnez Group by pour modifier le regroupement des tables. Pointez sur un nom de table pour afficher la description de la table et un lien vers sa documentation. Développez une table pour afficher ses colonnes. Sélectionnez une table pour exécuter une requête dessus. |
Requêtes | Répertorie des exemples de requêtes et des requêtes enregistrées. Il s’agit de la même liste que celle du hub de requêtes. Sélectionnez Group by pour modifier le regroupement des requêtes. Pointez sur une requête pour en afficher la description. Sélectionnez une requête pour l’exécuter. |
Fonctions | Répertorie les fonctions, ce qui vous permet de réutiliser une logique de requête prédéfinie dans vos requêtes de journal. |
Historique des requêtes | Répertorie votre historique des requêtes. Sélectionnez une requête pour la réexécuter. |
Plus d’outils
Cette section décrit d’autres outils disponibles au-dessus de la zone de requête de l’écran, comme illustré dans cette capture d’écran, de gauche à droite.
Option | Description |
---|---|
Menu contextuel de l’onglet | Modifier l’étendue de la requête ou renommer, dupliquer ou fermer l’onglet. |
Save | Enregistrer une requête dans un pack de requêtes ou en tant que fonction, ou épingler votre requête à un classeur, un tableau de bord Azure ou un tableau de bord Grafana. |
Partager | Copier un lien vers votre requête, le texte de la requête ou les résultats de la requête, ou exporter des données vers Excel, CSV ou Power BI. |
Nouvelle règle d’alerte | Créer une règle d'alerte. |
Mode de travail de recherche | Exécuter une tâche de recherche. |
Paramètres de Log Analytics | Définir les paramètres Log Analytics par défaut, y compris le fuseau horaire, si Log Analytics s’ouvre d’abord en mode Simple ou KQL, et s’il faut afficher des tables sans données. |
Revenir aux journaux en mode classique | Revenir à l’interface utilisateur Log Analytics classique. |
Hub de requêtes | Ouvrez la boîte de dialogue des exemples de requêtes qui apparaît quand vous ouvrez Log Analytics pour la première fois. |
Bien démarrer en mode Simple
Lorsque vous sélectionnez une table ou une requête ou fonction prédéfinie en mode Simple, Log Analytics récupère automatiquement les données pertinentes afin de vous permettre de les explorer et analyser.
Cela vous permet de récupérer les journaux en un clic, que vous ouvriez Log Analytics dans le contexte de ressource ou d’espace de travail.
Pour bien démarrer, vous pouvez :
Cliquer sur Sélectionner une table et sélectionner une table sous l’onglet Tables pour afficher les données de la table.
Vous pouvez également sélectionner Tables dans le volet gauche pour afficher la liste des tables dans l’espace de travail.
Utiliser une requête existante, telle qu’une requête enregistrée ou partagée, ou un exemple de requête.
Sélectionner une requête dans votre historique des requêtes.
Sélectionner une fonction.
Important
Les fonctions vous permettent de réutiliser la logique de requête, et nécessitent souvent des paramètres d’entrée ou un contexte supplémentaire. Dans ces cas-là, la fonction ne s’exécute pas tant que vous n’avez pas basculé en mode KQL et fourni l’entrée requise.
Explorer et analyser des données en mode Simple
Une fois que vous avez le mode Simple bien en main, vous pouvez explorer et analyser des données à l’aide de la barre de requête supérieure.
Remarque
L’ordre dans lequel vous appliquez des filtres et des opérateurs affecte votre requête et vos résultats. Par exemple, si vous appliquez un filtre, puis que vous agrégez, Log Analytics applique l’agrégation aux données filtrées. Si vous agrégez, puis filtrez, l’agrégation est appliquée aux données non filtrées.
Modifier l’intervalle de temps et le nombre d’enregistrements affichés
Par défaut, le mode Simple répertorie les 1000 dernières entrées de la table pour les 24 dernières heures.
Pour modifier l’intervalle de temps et le nombre d’enregistrements affichés, utilisez les sélecteurs Intervalle de temps et Limite. Pour obtenir plus d’informations sur la limite de résultats, consultez Configurer la limite des résultats de requête.
Filtrer par colonne
Sélectionnez Ajouter et choisissez une colonne.
Sélectionnez une valeur à filtrer, ou entrez du texte ou des nombres dans la zone Recherche.
Si vous filtrez en sélectionnant des valeurs dans une liste, vous pouvez sélectionner plusieurs valeurs. Si la liste est longue, vous verrez un message précisant que les résultats ne sont pas tous affichés. Faites défiler vers le bas de la liste et sélectionnez Charger plus de résultats pour récupérer plus de valeurs.
Rechercher des entrées qui ont une valeur spécifique dans la table
Sélectionnez Rechercher.
Entrez une chaîne dans la zone Rechercher dans cette table et sélectionnez Appliquer.
Log Analytics filtre la table pour afficher uniquement les entrées qui contiennent la chaîne que vous avez entrée.
Important
Nous vous recommandons d’utiliser Filtrer si vous savez quelle colonne contient les données que vous recherchez. L’opérateur de recherche est sensiblement moins performant que le filtrage, et peut ne pas fonctionner correctement sur de grands volumes de données.
Données agrégées
Sélectionnez Agréger.
Sélectionnez une colonne et un opérateur à soumettre à l’agrégation, comme décrit dans Utiliser des opérateurs d’agrégation.
Afficher ou masquer des colonnes
Sélectionnez Afficher les colonnes.
Sélectionnez ou désélectionnez des colonnes pour les afficher ou les masquer, puis sélectionnez Appliquer.
Trier par colonne
Sélectionnez Trier.
Sélectionnez une colonne à trier.
Sélectionnez Croissant ou Décroissant, puis Appliquer.
Sélectionnez à nouveau Trier pour trier d’après une autre colonne.
Utiliser des opérateurs d’agrégation
Utilisez des opérateurs d’agrégation pour synthétiser les données de plusieurs lignes, comme décrit dans ce tableau.
Opérateur | Description |
---|---|
count | Compte le nombre de fois où chaque valeur distincte existe dans la colonne. |
dcount | Pour l’opérateur dcount , vous sélectionnez deux colonnes. L’opérateur compte le nombre total de valeurs distinctes dans la deuxième colonne corrélées à chaque valeur de la première colonne. Par exemple, ceci montre le nombre distinct de codes de résultat pour les opérations ayant réussi et ayant échoué : |
sum avg max min |
Pour ces opérateurs, vous sélectionnez deux colonnes. Les opérateurs calculent la somme, la moyenne, la valeur maximale ou minimale de toutes les valeurs de la deuxième colonne pour chaque valeur de la première colonne. Par exemple, ceci montre la durée totale de chaque opération en millisecondes pour les 24 dernières heures : |
Important
Les tables de journaux de base ne prennent pas en charge l’agrégation à l’aide des opérateurs avg
et sum
.
basculer d’un mode à l’autre ;
Pour changer de mode, sélectionnez Mode Simple ou Mode KQL dans la liste déroulante en haut à droite de l’éditeur de requête.
Lorsque vous commencez à interroger des journaux en mode Simple, puis basculez en mode KQL, l’éditeur de requête est prérempli avec la requête KQL liée à votre analyse en mode Simple. Vous pouvez ensuite modifier et continuer à utiliser la requête.
Pour les requêtes Simples sur une seule table, Log Analytics affiche le nom de la table à droite de la barre de requête supérieure en mode Simple. Pour les requêtes plus complexes, Log Analytics affiche Requête utilisateur à gauche de la barre de requête supérieure. Sélectionnez Requête utilisateur pour revenir à l’éditeur de requête et modifier votre requête à tout moment.
Configurer la limite des résultats de requête
Sélectionnez Limiter pour ouvrir la fenêtre Limiter les résultats.
Sélectionnez l’une des limites prédéfinies ou entrez une limite personnalisée.
Le nombre maximal de résultats que vous pouvez récupérer dans l’expérience du portail Log Analytics, en mode Simple et en mode KQL, est de 30 000. Toutefois, lorsque vous partagez une requête Log Analytics avec un outil intégré, ou que vous utilisez la requête dans un travail de recherche, la limite de requête est définie en fonction des outils que vous choisissez.
Sélectionnez Limite max pour retourner le nombre maximal de résultats fournis par les outils disponibles dans la fenêtre Partager ou à l’aide d’un travail de recherche.
Ce tableau répertorie les limites de résultats maximales des requêtes de journal Azure Monitor à l’aide des différents outils :
Outil Description Montant limit Log Analytics Requêtes que vous exécutez dans le portail Azure. 30,000 Excel, Power BI, API de requête Log Analytics Requêtes que vous utilisez dans Excel et Power BI, qui sont intégrées à Log Analytics, et requêtes que vous exécutez à l’aide de l’API. 500 000 Travail de recherche Azure Monitor réingère les résultats d’une requête que vous exécutez en mode de travail de recherche dans une nouvelle table de votre instance Log Analytics. 1 000 000
Étapes suivantes
- Suivez un tutoriel sur l’utilisation du mode KQL dans Log Analytics.
- Accédez à la documentation de référence de KQL complète.