Поделиться через

Язык запросов Log Analytics - Unified

  • Статья

Примечание.

Вы можете воспользоваться преимуществами IT Health и оценками по запросу в рамках контракта Premier, купив подписку RAP as a Service. За дополнительными сведениями обратитесь к своему представителю корпорации Майкрософт.

Недавно представленная обновленная служба Azure Log Analytics снабжена мощным языком запросов со встроенной службой «Интеллектуальный анализ».

Чтобы в полной мере использовать последние улучшения, мы продемонстрируем несколько запросов на новом языке, которые помогают разобраться в полученных во время оценки данных.

Попробуйте новый язык запросов.

  1. Разберитесь за 5 минут благодаря нашей памятке по языку запросов.

  2. В разделе Начало работы с запросами можно узнать, как писать новые запросы.

  3. В документе Справочник по языку запросов подробно описаны функции, операторы и типы.

  4. Подробнее о типах данных см. в учебных материалах Работа со строками и Операции с датой и временем.

  5. Использование агрегатов позволяет получить представление о данных.

Релевантные запросы

  1. Получение данных журнала оценок для конкретного компьютера.

    • Операция | где компьютер == "ContosoADDS1.ContosoRetail.com" | суммировать arg_max(TimeGenerated, *) по "OperationCategory", "Solution", "Detail"

  2. Проверяет статус решения для различных категорий операций на всех компьютерах

    • Проверьте, были ли такие операции, как проверка целевого объекта оценки, проверка .NET, проверка локального администратора и т. д. успешными или нет.

    • Операция | где решение =="SQLAssessment" | суммировать arg_max(TimeGenerated, *) по "Computer", "OperationCategory" | сортировать по "TimeGenerated desc", "OperationStatus asc"

  3. Для оценки получает все затронутые объекты вместе со временем обращения к ним

    • SQLAssessmentRecommendation | суммировать AggregatedValue = max(TimeGenerated) по AffectedObjectName | сортировать по AggregatedValue desc

  4. Проверить доступность либо недоступность данных по рекомендациям для оценки

    • SQLAssessmentRecommendation | summarize Result = count() > 0 (возвращает значение "true" или "false" в зависимости от доступности данных)

  5. Чтобы получить сведения по конкретному идентификатору рекомендации, завершившейся ошибкой

    • SQLAssessmentRecommendation | где RecommendationId =="7821eda2-c420-4920-bc0c-ca8cd1d48482" и RecommendationResult=="Failed"

  6. Получите приоритетный список рекомендаций, завершившихся ошибкой

    • Выводит список ошибочных рекомендаций по уникальным сочетаниям RecommendationId и AffectedObjectUniqueName для последнего запуска оценки.
    • ADAssessmentRecommendation | суммировать arg_max(TimeGenerated, *) по RecommendationId, AffectedObjectUniqueName |где RecommendationResult == "Failed" | сортировать по RecommendationScore desc, TimeGenerated desc

Обратите внимание, что arg_max используется так же, как в примере 1 выше.

  1. Получает подробные сведения, связанные с рекомендациями для конкретного затронутого объекта

    • SQLAssessmentRecommendation | где AffectedObjectName == "ContosoMABSVM1.CONTOSORETAIL.COM" | суммировать arg_max(TimeGenerated, *) по RecommendationId | где RecommendationResult == "Failed"