在 Log Analytics 中使用查询
打开 Log Analytics 时,可以访问现有日志查询。 可以在不加修改的情况下运行这些查询,也可以将它们用作自己查询的起点。 可用查询包括由 Azure Monitor 提供的示例和由组织保存的查询。 本文介绍可用的查询,以及如何发现和使用它们。
所需的权限
你必须对查询的 Log Analytics 工作区具有 Microsoft.OperationalInsights/workspaces/query/*/read 权限,例如,Log Analytics 读者内置角色所提供的权限。
查询接口
从查询界面中选择查询,该界面可从 Log Analytics 中的两个不同位置访问。
“查询”对话框
打开 Log Analytics 时,会自动显示“查询”对话框。 如果不希望自动显示此对话框,请关闭“始终显示查询”开关。
每个查询都由一张卡片表示。 你可以快速浏览查询来查找所需内容。 可以直接从对话框中运行查询,也可以选择将其加载到查询编辑器,以便进行修改。
还可通过选择右上角的“查询”进行访问。
“查询”边栏
可从 Log Analytics 左侧边栏中的“查询”窗格访问与对话框体验完全相同的功能。 可将鼠标指针悬停在查询名称上来获取查询说明和其他功能。
查找和筛选查询
本部分中的选项同时存在于对话框和边栏查询体验中,但用户界面略有不同。
- 分组依据
- Filter
- 组合使用分组依据和筛选器
选择“分组依据”下拉列表,更改查询的分组。 分组值还用作活动目录。 选择屏幕左侧的某个值会将“查询”视图直接滚动到所选择的项。 如果组织已创建包含标记的查询包,则自定义标记将包含在此列表中。
查询属性
每个查询都有多个属性,可帮助你进行分组和查找。 这些属性可用于排序和筛选。 有关详细信息,请参阅查找和筛选查询。
保存自己的查询时,可以定义其中的多个查询。 属性类型如下:
| 查询属性 | 说明 |
|---|---|
| 资源类型 | Azure 中定义的资源,例如虚拟机。 请参阅 Azure Monitor 表参考,以了解从 Azure Monitor 日志和Log Analytics 表到资源类型的完整映射。 |
| 类别 | 某个信息类型,例如“安全性”或“审核”。 类别与在“表”边栏窗格中定义的类别完全相同。 有关类别的完整列表,请参阅 Azure Monitor 表参考。 |
| 解决方案 | 与查询关联的 Azure Monitor 解决方案。 |
| 主题 | 示例查询的主题,例如“活动日志”或“应用日志”。 对示例查询而言,主题属性具有唯一性,可能会因资源类型而异。 |
| 查询类型 | 定义查询的类型。 查询类型可以是示例查询、查询包查询或旧查询。 |
| 标签 | 保存自己的查询时可以定义和分配的自定义标签。 |
| 标记 | 可以在创建查询包时定义的自定义属性。 可使用标记创建自己的分类来组织查询。 |
查看查询属性
在 Log Analytics 左侧栏的“查询”窗格中,将鼠标悬停在查询名称上以查看其属性。
收藏夹
可收藏经常使用的查询,以便能够更快速地进行访问。 选择查询旁的星号将其添加到“收藏夹”。 从查询界面中的“收藏夹”选项查看你最喜欢的查询。
查询类型
查询界面用以下查询类型填充:
| 类型 | 说明 |
|---|---|
| 示例查询 | 示例查询可提供对资源的即时见解,并提供一种开始学习和使用 Kusto 查询语言 (KQL) 的方法。 示例查询有助于缩短开始使用 Log Analytics 所需的时间。 我们收集并策展了 500 多个示例查询,为你提供即时价值。 示例查询的数量在不断增加。 |
| 查询包 | 查询包包含一系列查询日志。 包括自己保存的查询、默认查询包以及组织可能已在订阅中创建的查询包。 若要查看和管理查询包,请参阅查看查询包。 将查询包添加到 Log Analytics 工作区。 请参阅使用多个查询包。 |
| 旧查询 | 之前保存在查询资源管理器体验中的日志查询是旧查询。 此外,与工作区中安装的 Azure 解决方案关联的查询也是旧查询。 这些查询列在“旧查询”下的“查询”对话框中。 |
提示
旧查询只能在 Log Analytics 工作区中使用。
查询范围的影响
打开 Log Analytics 时可用的查询由当前查询范围确定。 例如:
| 查询范围 | 说明 |
|---|---|
| 工作区 | 所有示例查询和查询包中的查询。 工作区中的旧查询。 |
| 单个资源 | 资源类型的示例查询和查询包中的查询。 |
| 资源组 | 资源中资源类型的示例查询和查询包中的查询。 |
提示
范围内的资源越多,门户筛选和显示“查询”对话框所需的时间就越长。