Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы Azure Monitor основаны на Azure Data Explorer, а запросы журналов пишутся с использованием того же языка запросов Kusto (KQL). Этот богатый язык разработан для легкого чтения и создания контента, так что вы сможете начать писать запросы, следуя простым рекомендациям.
Области в Azure Monitor, в которых вы будете использовать запросы, включают:
- Log Analytics: используйте это основное средство в портал Azure для редактирования запросов журналов и интерактивного анализа результатов. Даже если вы планируете использовать запрос журнала в другом месте в Azure Monitor, обычно вы напишете и протестируете его в Log Analytics, прежде чем скопировать его в конечное место.
- Правила настройки оповещений поиска журналов: упреждающее определение проблем из данных в рабочей области. Каждое правило генерации оповещений основано на запросе журнала, который автоматически выполняется через регулярные интервалы. Результаты проверяются, чтобы определить, следует ли создавать оповещение.
- Рабочие тетради: Включайте результаты запросов журналов, используя различные визуализации в интерактивных визуальных отчетах в портале Azure.
- Панели мониторинга Azure: Закрепите результаты любого запроса на панели мониторинга Azure, что позволяет визуализировать данные журналов и метрик вместе и, при необходимости, предоставлять общий доступ другим пользователям Azure.
- Azure Logic Apps: используйте результаты запроса журнала в автоматизированном рабочем процессе с помощью рабочего процесса приложения логики.
-
PowerShell: используйте результаты запроса журнала в скрипте PowerShell из командной строки или рабочей книги в службе автоматизации Azure, которая использует
Invoke-AzOperationalInsightsQuery. - API запросов Log Analytics: получение данных журнала из рабочей области из любого клиента REST API. Запрос API включает запрос, который выполняется в Azure Monitor, чтобы определить данные для извлечения.
Это важно
Начиная с 1 июля 2025 г. запрос данных журнала и событий требует TLS 1.2 или более поздней версии при использовании конечных точек API запросов для Log Analytics или Application Insights. Дополнительные сведения см. в разделе "Безопасные данные во время передачи".
Клиентские библиотеки запросов Azure Monitor: получение данных журнала из рабочей области с помощью идиоматической клиентской библиотеки для следующих экосистем:
Пример реализации клиентской библиотеки запросов Azure Monitor для Python см. в статье "Анализ данных в журналах Azure Monitor с помощью записной книжки".
Начало работы
Лучший способ начать обучение по написанию запросов к журналам с помощью KQL — использовать доступные учебники и примеры:
- Руководство по Log Analytics. Руководство по использованию функций Log Analytics, которое является средством, которое вы будете использовать в портал Azure для редактирования и запуска запросов. Он также позволяет создавать простые запросы без непосредственного использования языка запросов. Если вы еще не использовали Log Analytics, запустите здесь, чтобы понять инструмент, который вы будете использовать с другими руководствами и примерами.
- Руководство по KQL: пошаговое руководство по основным понятиям KQL и общим операторам. Это лучшее место, чтобы быстро освоить язык программирования и разобраться в структуре запросов логов.
- Примеры запросов. Описание примеров запросов, доступных в Log Analytics. Вы можете использовать запросы без изменений или в качестве примеров для изучения KQL.
Справочная документация
Документация по KQL, включая ссылку для всех команд и операторов, доступна в документации по Azure Data Explorer. Даже освоив использование KQL, вы по-прежнему будете регулярно обращаться к справочнику для изучения новых команд и сценариев, с которыми вы еще не сталкивались.
Различия между языками
Хотя Azure Monitor использует тот же KQL, что и Azure Data Explorer, существуют некоторые различия. В документации по KQL будут указаны операторы, которые не поддерживаются Azure Monitor или которые имеют другую функциональность. Операторы, относящиеся к Azure Monitor, описаны в содержимом для Azure Monitor. В следующих разделах перечислены различия между версиями языка для быстрого получения справки.
Утверждения, которые не поддерживаются в Azure Monitor
Функции, которые не поддерживаются в Azure Monitor:
- cluster();
- cursor_after();
- cursor_before_or_at();
- cursor_current(), current_cursor();
- database();
- current_principal();
- extent_id();
- extent_tags().
Оператор не поддерживается в Azure Monitor
Плагины не поддерживаются в Azure Monitor
Другие операторы в Azure Monitor
Следующие операторы поддерживают определенные функции Azure Monitor и недоступны за пределами Azure Monitor:
Следующие шаги
- Пройдите пошаговый учебник по написанию запросов.
- Доступ к полной справочной документации по KQL.