使用 Log Analytics 簡單模式分析資料 (預覽)

Log Analytics 現在提供兩種模式，讓基本和進階使用者可以更輕鬆探索和分析記錄資料：

• 簡單模式提供在與試算表相似的直覺體驗中最常使用的 Azure 監視器記錄功能。 只要按下即可篩選、排序和彙總資料，以取得您需要 80% 時間的深入解析。
• KQL 模式為進階使用者提供 Kusto 查詢語言 (KQL) 的完整功能，以使用 Log Analytics 查詢編輯器從記錄獲得更深入的深入解析。

您可以在簡單和 KQL 模式之間順暢切換，而進階使用者可以共用複雜查詢，讓任何人都可以繼續在簡單模式中進行使用。

本文說明如何使用 Log Analytics 簡單模式以探索和分析 Azure 監視器記錄中的資料。

以下影片提供快速概觀，說明如何使用簡單和 KQL 模式在 Log Analytics 中查詢記錄：

嘗試 Log Analytics 簡單模式

簡單模式現在是某些用戶的預設檢視。 如果預設未為您啟用，只要選取 查詢編輯器右上角的 [試用新的 Log Analytics ]。 您可以隨時切換回傳統 Log Analytics 體驗。

簡單模式運作的方式

簡單模式可讓您快速開始，只要按一下即可從一或多個資料表擷取資料。 然後使用一組直覺式控制項以探索和分析擷取的資料。

本節將引導您使用 Log Analytics 簡單模式中可用的控制項。

頂端查詢列

在簡單模式中，頂端列有使用資料和切換回 KQL 模式的控制項。

選項	描述
時間範圍	選取可供查詢的資料的時間範圍。 在 KQL 模式中，如果您在查詢中設定不同的時間範圍，則會覆寫時間選擇器中設定的時間範圍。
限制	在簡單模式中，設定 Log Analytics 擷取的項目數目。 預設限制為 1000。 如需查詢限制的詳細資訊，請參閱設定查詢結果限制。
加入	新增篩選並套用簡單模式運算子，如同在簡單模式中探索和分析資料中所述。
簡單/KQL 模式	在簡單和 KQL 模式之間切換。

左側窗格

可摺疊的左側窗格可讓您存取資料表、範例和儲存的查詢、函數，以及查詢歷史記錄。

釘選左側窗格以在工作時保持開啟，或僅當您需要時從左側窗格選取圖示以放大查詢窗格。

選項	描述
表格	列出屬於所選取範圍一部分的資料表。 選取 [群組依據] 以變更資料表的群組。 將滑鼠停留在資料表名稱上以檢視資料表的說明和其文件的連結。 展開資料表以檢視其資料行。 選取資料表以在其上執行查詢。
查詢	列出範例和儲存的查詢。 這是與查詢中樞相同的清單。 選取 [群組依據] 以變更查詢的群組。 將滑鼠停留在查詢上以簡式查詢的說明。 選取查詢以執行。
函數	列出函數，可讓您在記錄查詢中重複使用預先定義的查詢邏輯。
查詢歷史記錄	列出查詢歷史記錄。 選取查詢以執行。

更多工具

本節說明畫面查詢區域上方可用的更多工具，如此螢幕擷取畫面 (從左至右)。

選項	描述
索引標籤內容功能表	變更查詢範圍，或重新命名、複製或關閉索引標籤。
儲存	將查詢儲存至查詢套件或作為函數儲存，或者將查詢釘選至活頁簿、Azure 儀表板或 Grafana 儀表板。
共用	將連結複製到查詢、查詢文字或查詢結果，或者將資料匯出至 Excel、CSV 或 Power BI。
新增警示規則	建立新的警示規則。
搜尋作業模式	執行搜尋作業。
Log Analytics 設定	定義預設的 Log Analytics 設定，包含時區、Log Analytics 是否先使用簡單或 KQL 模式開啟，以及是否顯示沒有資料的資料表。
切換回傳統記錄	切換回傳統 Log Analytics 使用者介面。
查詢中樞	開啟第一次開啟 Log Analytics 時所顯示的範例查詢對話方塊。

開始使用簡單模式

當您在簡單模式中選取資料表或預先定義的查詢或函數時，Log Analytics 會自動為您擷取要探索和分析的相關資料。

這可讓您只要按一下即可擷取記錄，無論您在資源或工作區環境中開啟 Log Analytics。

若要開始使用，您可以：

• 按一下 [選取資料表]，並從 [資料表] 索引標籤選取資料表以檢視資料表資料。

  

  或者，從左側窗格選取 [資料表] 以在工作區中檢視資料表清單。

  

• 使用現有的查詢 (例如共用或儲存的查詢) 或範例查詢。

  

• 從查詢歷史記錄選取查詢。

  

• 選取 [函數]。

  

  重要

  函數可讓您重複使用查詢邏輯，而通常需要輸入參數或其他內容。 在此情況下，請先您切換至 KQL 模式並提供必要輸入之前，函數才會執行。

在簡單模式中探索和分析資料

在簡單模式中開始之後，您可以使用頂端查詢列以探索和分析資料。

注意

套用篩選和運算子的順序會影響查詢和結果。 例如，如果您套用篩選並彙總，則 Log Analytics 會將彙總套用至篩選的資料。 如果您彙總並篩選，則彙總彙套用至未篩選的資料。

變更時間範圍和顯示記錄數目

依預設，簡單模式彙至少列出過去 24 小時資料表中的 1,000 個項目。

若要變更時間範圍和顯示記錄數目，請使用 [時間範圍] 和 [限制] 選取器。 如需結果限制的詳細資訊，請參閱設定查詢結果限制。

依資料行篩選

1. 選取 [新增] 並選擇資料行。

   

2. 選取要篩選的值，或在 [搜尋] 方塊中輸入文字或數字。

   如果您清單選取值以進行篩選，則可以選取多個值。 如果清單過長，您將會看到「並非所有結果都會顯示」訊息。 捲動至清單底部並選取 [載入更多結果] 以擷取更多值。

   

搜尋資料表中有特定值的項目

1. 選取 [搜尋]。

   

2. 在 [搜尋此資料表] 方塊中選取字串，並選取 [套用]。

   Log Analytics 會篩選資料表以僅顯示包含所輸入字串的項目。

重要

如果您知道哪個資料行保存您搜尋的資料，建議使用 [篩選]。 搜尋運算子效能較篩選低，並在大量資料上可能無法正常運作。

彙總資料

1. 選取 [彙總]。

2. 選取要彙總的資料行，然後選取運算子，如使用彙總運算子中所述。

   

顯示或隱藏資料行

1. 選取 [顯示資料行]。

2. 選取或清除要顯示或隱藏的資料行，然後選取 [套用]。

   

依資料行排序

1. 選取 [排序]。

2. 選取排序所依據的資料行。

3. 選取 [遞增] 或 [遞減]，然後選取 [套用]。

   

4. 再次選取 [排序] 以按其他資料行排序。

使用彙總運算子

使用彙總運算子以摘要來自多個資料列的資料，如此表所述。

Operator	描述
計數	計算資料行中每個相異值存在的次數。
dcount	針對 dcount 運算子，您會選取兩個資料行。 運算子會計算與第一個資料行中每個值相關聯的第二個資料行相異總數。 例如，這會顯示成功和失敗作業的不同結果程式碼數目：
sum avg max min	針對這些運算子，您會選取兩個資料行。 運算子會針對第一個資料行中的每個值計算第二個資輛行中的所有值總和、平均值、最大值或最小值。 例如，這會顯示過去 24 小時每個作業的總持續時間 (以毫秒為單位)：

重要

基本記錄不會支援使用 avg 和 sum 運算子彙總。

切換模式

若要切換模式，從查詢編輯器的右上角的下拉式清單中選取 [簡單模式] 或 [KQL 模式]。

當您開始在簡單模式中查詢記錄並切換回 KQL 模式時，查詢編輯器會預先填入與簡單模式分析相關的 KQL 查詢。 然後，您可以編輯並繼續使用查詢。

針對單一資料表上的直接查詢，Log Analytics 會在簡單模式中的頂端查詢列右側顯示資料表名稱。 針對較複雜的查詢，Log Analytics 會在頂端查詢列的左側顯示使用者查詢。 選取 [使用者查詢] 以返回查詢編輯器，並隨時修改您的查詢。

設定查詢結果限制

1. 選取 [限制] 以開啟 [限制結果] 視窗。

   

2. 選取其中一個預設限制，或輸入自訂限制。

   您可以在 Log Analytics 入口網站體驗中擷取的結果數目上限，在簡單模式和 KQL 模式中都是 30,000。 不過，當您與整合工具共用 Log Analytics 查詢或使用搜尋作業中的查詢時，查詢限制會根據您選擇的工具進行設定。

   選取 [上限] ，以傳回 [共用] 視窗上任何可用工具提供的結果數目上限，或使用搜尋作業傳回結果數目上限。

   

   下表列出使用各種工具的 Azure 監視器記錄查詢結果上限：

   工具	描述	最大值。 limit
   Log Analytics	您在 Azure 入口網站中執行的查詢。	30,000
   Excel、Power BI、Log Analytics Query API	您在 Excel 和 Power BI 中使用的查詢會與 Log Analytics 整合，並也會整合您使用 API 執行的查詢。	500,000
   搜尋工作	Azure 監視器會將您在搜尋作業模式中執行的查詢結果重新擷取到 Log Analytics 中的新資料表。	1,000,000

下一步

• 逐步解說在 Log Analytics 中使用 KQL 模式的教學課程。
• 存取完整的 KQL 參考文件。