Criar consultas de log básicas do Azure Monitor para extrair informações dos dados de log

  • 10 minutos

Você pode usar as consultas de log do Azure Monitor para extrair informações dos dados de log. A consulta é uma parte importante no exame dos dados de log capturados pelo Azure Monitor.

No cenário de exemplo, a equipe de operações usará as consultas de log do Azure Monitor para examinar a integridade do sistema.

Gravar consultas de log do Azure Monitor usando o Log Analytics

Encontre a ferramenta Log Analytics no portal do Azure e use-a para executar consultas de exemplo ou para criar suas próprias consultas:

  1. No portal do Azure, no painel de menu à esquerda, selecione Monitor.

    A página do Azure Monitor aparece junto com mais opções, incluindo Log de Atividades, Alertas, Métricas e Logs.

  2. Selecione Logs.

    Aqui, você pode inserir a consulta e ver a saída.

    Captura de tela do Azure Monitor com uma nova guia de consulta aberta.

Escrever consultas usando a linguagem Kusto

Você pode usar a Linguagem de Consulta Kusto para consultar informações de log para seus serviços em execução no Azure. Uma consulta Kusto é uma solicitação somente leitura para processar dados e retornar resultados. Você declarará a consulta em texto sem formatação usando um modelo de fluxo de dados projetado para facilitar a gravação, a leitura e a automatização da sintaxe. A consulta usa entidades de esquema que são organizadas em uma hierarquia semelhante à do Banco de Dados SQL do Azure: bancos de dados, tabelas e colunas.

Uma consulta Kusto consiste em uma sequência de instruções de consulta delimitadas por um ponto e vírgula (;). Pelo menos uma instrução é uma instrução de expressão de tabela. Uma instrução de expressão de tabela formata os dados organizados como uma tabela de colunas e linhas.

A sintaxe de uma instrução de expressão de tabela tem um fluxo de dados de tabela de um operador de consulta de tabela ao outro, começando com a fonte de dados. Uma fonte de dados poderia ser uma tabela em um banco de dados ou um operador que produz dados. Em seguida, os dados fluem por um conjunto de operadores de transformação de dados associados ao delimitador de barra vertical (|).

Por exemplo, a consulta Kusto a seguir tem uma instrução de expressão de tabela única. A instrução começa com uma referência a uma tabela chamada Events. O banco de dados que hospeda essa tabela é implícito aqui e faz parte das informações de conexão. Os dados dessa tabela, armazenados em linhas, são filtrados pelo valor da coluna StartTime. Os dados são filtrados mais detalhadamente pelo valor da coluna State. Em seguida, a consulta retorna a contagem de linhas resultantes.

Events
| where StartTime >= datetime(2018-11-01) and StartTime < datetime(2018-12-01)
| where State == "FLORIDA"  
| count

Observação

A linguagem de consulta Kusto usada pelo Azure Monitor diferencia maiúsculas de minúsculas. As palavras-chave da linguagem geralmente são escritas em minúsculas. Ao usar nomes de tabelas ou colunas em uma consulta, faça uso correto de maiúsculas e minúsculas.

Os eventos, capturados nos logs de eventos dos computadores monitorados, são apenas um tipo de fonte de dados. O Azure Monitor fornece muitos outros tipos de fontes de dados. Por exemplo, a fonte de dados Heartbeat relata a integridade de todos os computadores subordinados ao workspace do Log Analytics. Você também pode coletar dados de contadores de desempenho e atualize os registros de gerenciamento.

O exemplo a seguir recupera o registro de pulsação mais recente para cada computador. O computador é identificado por seu endereço IP. Neste exemplo, a agregação summarize com a função arg_max retorna o registro com o valor mais recente para cada endereço IP.

Heartbeat
| summarize arg_max(TimeGenerated, *) by ComputerIP