Log Analytics 是 Azure 门户中的一个工具,用于编辑和针对 Azure Monitor 日志存储中的数据运行日志查询。
可以编写简单查询,以返回记录集,然后使用 Log Analytics 的功能对它们进行排序、筛选和分析。 也可以编写更高级的查询来执行统计分析并在图表中显示结果,以确定特定趋势。
无论是以交互方式处理查询的结果,还是将它们与其他 Azure Monitor 功能(如日志搜索警报或工作簿)一起使用,Log Analytics 都是要用于编写和测试它们的工具。
提示
本文将介绍 Log Analytics 及其功能。 如果要直接跳转到教程,请参阅 Log Analytics 教程。
启动 Log Analytics
若要在 Azure 门户中启动 Log Analytics,请在“Azure Monitor”菜单中选择“日志”。 对于大多数 Azure 资源,你也会在菜单中看到此选项。 无论从何处启动 Log Analytics,该工具都是相同的。 但是,用于启动 Log Analytics 的菜单决定了可用的数据。
如果从“Azure Monitor”菜单或“ Log Analytics 工作区”菜单中启动 Log Analytics,则可以访问工作区中的所有记录。 如果从其他类型的资源选择“日志”,则数据会限制为该资源的日志数据。 有关详细信息,请参阅 Azure Monitor Log Analytics 中的日志查询范围和时间范围。
启动 Log Analytics 时,会显示包含示例查询的对话框。 这些查询按解决方案分类。 请浏览或搜索符合要求的查询。 可以查找一个完全符合需要的查询。 还可以将一个查询加载到编辑器中,并根据需要进行修改。 浏览示例查询是一种了解如何编写自己的查询的极好方法。
如果要从空脚本开始并自己编写,请关闭示例查询。 选择屏幕顶部的“查询”可以重新打开它们。
Log Analytics 界面
下图标识了四个 Log Analytics 组件。 这四个 Log Analytics 组件包括:
顶部操作栏
查询窗口中的顶部栏显示了用于处理查询的控件。
| 选项 | 说明 |
|---|---|
| 作用域 | 指定用于查询的数据范围。 这可以是 Log Analytics 工作区中的所有数据,或是跨多个工作区的特定资源的数据。 请参阅查询范围。 |
| “运行”按钮 | 在查询窗口中运行所选查询。 还可以按 Shift+Enter 来运行查询。 |
| 时间选取器 | 选择可用于查询的数据时间范围。 如果在查询中包含时间筛选器,则会替代此操作。 请参阅 Azure Monitor Log Analytics 中的日志查询范围和时间范围。 |
| “保存”按钮 | 将查询保存到查询包。 保存的查询可从以下来源获取:
|
| 共享按钮 | 将查询链接、查询文本或查询结果复制到剪贴板。 |
| “新建警报规则”按钮 | 打开“创建警报规则”页。 使用此页创建警报规则,其警报类型为搜索警报。 此时会打开页面,其中选中了“条件”选项卡,并将查询添加到“搜索查询”字段。 |
| “导出”按钮 | 将查询结果导出到 CSV 文件或将查询导出为 Power Query 公式语言格式以便用于 Power BI。 |
| “固定到”按钮 | 将查询结果固定到 Azure 仪表板或将其添加到 Azure 工作簿。 |
| “设置查询格式”按钮 | 排列所选文本以便于阅读。 |
| 搜索作业模式切换 | 运行搜索作业。 |
| “查询”按钮 | 打开“查询”对话框,可在其中访问工作区中保存的查询。 |
左侧边栏
左侧边栏列出了工作区中的表、示例查询、函数和当前查询的筛选器选项。
| 选项卡 | 说明 |
|---|---|
| 表 | 列出属于所选范围的表。 选择“分组依据”可更改表的分组。 将鼠标悬停在表名称上方可显示一个对话框,其中包含表的说明以及用于查看其文档和预览其数据的选项。 展开表可查看其列。 双击表或列名可将其添加到查询中。 |
| 查询 | 可在查询窗口中打开的示例查询的列表。 此列表与打开 Log Analytics 时显示的列表相同。 选择“分组依据”可更改查询的分组。 双击查询可将其添加到查询窗口,或将鼠标悬停在其上方可查看其他选项。 |
| 函数 | 列出工作区中的函数。 |
| Filter | 基于查询结果创建筛选器选项。 运行查询后,列中显示的值与结果中的值不同。 选择一个或多个值,然后选择“应用并运行”将 where 命令添加到查询中,然后再次运行。 |
“查询”窗口
查询窗口是编辑查询的位置。 IntelliSense 用于 KQL 命令,颜色编码提高了可读性。 选择窗口顶部的“+”可打开另一个选项卡。
单个窗口中可以包含多个查询。 查询不能包含任何空白行,因此可以在一个窗口中使用一个或多个空白行分隔多个查询。 光标所在位置是当前的查询。
若要运行当前查询,请选择“运行”按钮或按 Shift+Enter。
结果窗口
查询结果显示在结果窗口中。 默认情况下,结果显示为表。 若要以图表形式显示结果,请在结果窗口中选择“图表”。 也可以向查询添加 render 命令。
结果视图 (Results view)
结果视图在按列和行组织的表中显示查询结果。 单击行的左侧可展开其值。 选择“列”下拉列表可更改列的列表。 通过选择列名将结果排序。 通过选择列名旁的漏斗来筛选结果。 可通过再次运行查询来清除筛选器并重置排序。
选择“组合列”可在查询结果上方显示分组栏。 可通过将任何列拖动到该栏上来按该列对结果进行分组。 可通过添加其他列在结果中创建嵌套组。
图表视图
图表视图将结果显示为多个可用图表类型之一。 可以在查询的 render 命令中指定图表类型。 也可以从“可视化效果类型”下拉列表中选择图表类型。
| 选项 | 说明 |
|---|---|
| 可视化类型 | 要显示的图表类型。 |
| X 轴 | 结果中要用于 X 轴的列。 |
| Y 轴 | 结果中要用于 Y 轴的列。 通常这是一个数值列。 |
| 拆分依据 | 结果中用于定义图表中的序列的列。 为列中的每个值创建一个序列。 |
| 聚合 | 要对 Y 轴中的数值执行的聚合类型。 |
与 Azure 数据资源管理器的关系
如果你使用过 Azure 数据资源管理器 Web UI,则应该对 Log Analytics 比较熟悉。 这是因为它构建在 Azure 数据资源管理器的基础之上,使用相同的 Kusto 查询语言。
Log Analytics 添加了特定于 Azure Monitor 的功能,如按时间范围筛选以及通过查询创建警报规则的功能。 这两个工具都包含一个资源管理器,可让你扫描可用表的结构。 Azure 数据资源管理器 Web UI 主要处理 Azure 数据资源管理器数据库中的表。 Log Analytics 处理 Log Analytics 工作区中的表。