使用 Azure 门户中的 Log Analytics 工具,你可以针对 Azure Monitor 日志存储中的数据运行并编辑日志查询。 它提供了两种模式,使日志数据更易于浏览和分析基本用户和高级用户:
简单模式以直观的、类似电子表格的体验提供最常用的 Azure Monitor 日志功能。 只需单击即可筛选、排序和聚合数据,以便获取大部分时间所需的见解。
KQL 模式 为高级用户提供 Kusto 查询语言(KQL)的全部功能,以便使用 Log Analytics 查询编辑器从日志中获取更深入的见解。
无论是以交互方式处理查询的结果,还是将其用于其他 Azure Monitor 功能,例如日志搜索警报或工作簿。 Log Analytics 是用于编写和测试它们的工具。
本文介绍了 Log Analytics 用户界面及其功能。 如果要直接跳转到教程,请参阅 Log Analytics 教程。
打开 Log Analytics
若要在 Azure 门户中打开 Log Analytics,请在 Azure Monitor、Log Analytics 工作区或特定资源中选择“日志”。 工具始终相同,但是你从哪里开始会决定可用的数据。
从 Azure Monitor 或 Log Analytics 工作区打开日志时,可以访问工作区中的所有记录。 从其他类型的资源选择日志时,数据将被限制为该资源的日志数据。 有关详细信息,请参阅 Azure Monitor Log Analytics 中的日志查询范围和时间范围。
启动 Log Analytics 时,会显示包含示例查询的对话框。 这些查询按解决方案分类。 请浏览或搜索符合要求的查询。 你可能会找到一个完全满足你需求的。 还可以将内容加载到编辑器中,并根据需要进行修改。 浏览示例查询是一种了解如何编写自己的查询的极好方法。
如果要从空脚本开始并自己编写,请关闭示例查询。 若要再次访问示例查询,请选择屏幕顶部的 “查询”中心 或左侧边栏。
Log Analytics 接口
顶部操作栏
在简单模式下,顶部栏具有用于处理数据和切换到 KQL 模式的控件。
| 选项 | DESCRIPTION |
|---|---|
| 时间范围 | 为查询可用的数据选择时间范围。 在 KQL 模式下,如果在查询中设置不同的时间范围,则会覆盖在时间选取器中设置的时间范围。 |
| 显示 | 在简单模式下配置 Log Analytics 检索的条目数。 默认限制为 1000。 有关查询限制的详细信息,请参阅配置查询结果限制。 |
| 添加 | 添加筛选器并应用简单模式运算符,如 浏览和分析简单模式下的数据中所述。 |
| 简易/KQL 模式 | 在简单模式和 KQL 模式之间进行切换。 |
注释
在简单模式下,顶部作栏不包含 “运行” 按钮。 当用户优化查询时,结果会自动更新。
左侧边栏
使用可折叠左窗格可以访问表、示例和保存的查询、函数以及查询历史记录。
固定左窗格以使其在工作时保持打开状态,或者仅在需要时从左窗格中选择图标以最大化查询窗口。
| 选项 | DESCRIPTION |
|---|---|
| 表 | 列出属于所选范围的表。 将鼠标悬停在表名上,以查看表的说明和指向其文档的链接。 展开表可查看其列。 选择要预览的表。 |
| 查询 | 列出示例和保存的查询。 此列表与查询中心中的列表相同。 打开搜索栏旁边的上下文菜单 = ,然后选择 “分组依据 ”以更改查询的分组。 将鼠标悬停在查询上以查看查询的说明。 选择一个查询来运行它。 |
| 函数 | 列出函数,该函数允许在日志查询中重复使用预定义的查询逻辑。 |
| 查询历史记录 | 列出查询历史记录。 选择一个查询以重新运行它。 |
注释
默认情况下, “表” 视图不显示空表。
“查询”窗口
注释
查询窗口仅在 KQL 模式下可用。
查询窗口是编辑查询的位置。 IntelliSense 用于 KQL 命令,颜色编码提高了可读性。 选择窗口顶部的“+”可打开另一个选项卡。
单个窗口可以包含多个查询。 查询不能包含任何空白行,因此可以在一个窗口中使用一个或多个空白行分隔多个查询。 光标所在位置是当前的查询。
若要运行当前查询,请选择“运行”按钮或按 Shift+Enter。
结果窗口
查询结果显示在结果窗口中。 默认情况下,结果显示为表。 若要以图表形式显示结果,请在结果窗口中选择“图表”。 也可以向查询添加 render 命令。
结果视图 (Results view)
结果视图在按列和行组织的表中显示查询结果。
- 单击行的左侧可展开其值。
- 选择“列”下拉列表可更改列的列表。
- 选择一个列名来排序结果。
- 可通过选择列名旁的漏斗来筛选结果。
- 可通过再次运行查询来清除筛选器并重置排序。
- 选择“组合列”可在查询结果上方显示分组栏。
- 可通过将任何列拖动到该栏上来按该列对结果进行分组。
- 可通过添加其他列在结果中创建嵌套组。
图表视图
图表视图将结果显示为多个可用图表类型之一。 可以在查询(KQL 模式)的 呈现 命令中指定图表类型。 还可以从右侧的可折叠 图表格式 部分选择它。
| 选项 | DESCRIPTION |
|---|---|
| 图表类型 | 要显示的图表类型。 |
| X 轴 | 结果中要用于 X 轴的列。 |
| Y 轴 | 结果中要用于 Y 轴的列。 通常这是一个数值列。 |
| 拆分依据 | 结果中用于定义图表中的序列的列。 为列中的每个值创建一个序列。 |
| 集合体 | 要对 Y 轴中的数值执行的聚合类型。 |
更多工具
本部分从左到右介绍了屏幕查询区域上方的更多可用工具,如此屏幕截图所示。
注释
选项卡表示当前会话的查询历史记录。 在简单模式下,每个选项卡只能使用一个查询。
| 选项 | DESCRIPTION |
|---|---|
| 选项卡上下文菜单 | 更改查询范围或者重命名、重复或关闭选项卡。 |
| 保存 | 将查询保存到查询包或作为函数,或者将查询固定到工作簿、Azure 仪表板或 Grafana 仪表板。 |
| 共享 | 复制指向查询、查询文本或查询结果的链接,或者将数据导出到 Excel、CSV 或 Power BI。 |
| 新警报规则 | 新建预警规则。 |
| 搜索工作模式 | 运行搜索作业。 |
| 日志分析设置 | 定义默认 Log Analytics 设置,包括时区、Log Analytics 是以简单还是 KQL 模式打开,以及是否显示不含数据的表。 请参阅下面的屏幕截图。 |
| 查询中心 | 打开示例查询对话框,当你首次打开 Log Analytics 时会显示该对话框。 |
与 Azure 数据资源管理器的关系
如果你使用过 Azure 数据资源管理器 Web UI,则应该对 Log Analytics 比较熟悉。 它基于 Azure 数据资源管理器构建,使用相同的 Kusto 查询语言。
Log Analytics 添加了特定于 Azure Monitor 的功能,如按时间范围筛选以及通过查询创建警报规则的功能。 这两个工具都包含一个浏览器,可以让你查看可用表格的结构。 Azure 数据资源管理器 Web UI 主要处理 Azure 数据资源管理器数据库中的表。 Log Analytics 可与 Log Analytics 工作区中的表配合使用。