使用 Log Analytics 简单模式分析数据

Log Analytics 简单模式提供直观的点键式界面，用于分析和可视化日志数据。 可以在 简单模式和 KQL 模式之间轻松切换，并默认将 Log Analytics 设置为 在简单模式下打开。

本文介绍如何使用 Log Analytics 简单模式浏览和分析 Azure Monitor 日志中的数据。

使用简单模式，单击即可从一个或多个表检索数据，从而快速开始。 然后使用一组直观的控件来浏览和分析检索到的数据。

在简单模式下，无论是在资源还是工作区的上下文中打开 Log Analytics，只需单击即可轻松检索日志。

在简单模式下选择表或预定义查询或函数时，Log Analytics 会自动检索相关数据以供浏览和分析。

若要开始，可以：

• 单击“选择表”，然后从“表”选项卡中选择一个表，以查看表数据。

  

  或者，从左窗格中选择“表”以查看工作区中的表列表。

  

• 使用现有查询，例如共享或保存的查询，或者示例查询。

  

• 从查询历史记录中选择一个查询。

  

• 选择一个函数。

  

  重要

  函数让你能够重复使用查询逻辑，并且通常需要输入参数或其他上下文。 在这种情况下，只有切换到 KQL 模式并提供所需的输入后，函数才会运行。

在简单模式下开始作后，可以使用顶部查询栏浏览和分析数据。

默认情况下，简单模式从过去 24 小时内列出表中的最新 1,000 个条目。

若要更改时间范围和显示的记录数，请使用“时间范围”和“显示”选择器。 有关结果限制的详细信息，请参阅配置查询结果限制。

1. 选择“添加”并选择一列。

   

2. 选择要筛选的值，或在“搜索”框中输入文本或数字。

   如果通过从列表中选择值来进行筛选，则可以选择多个值。 如果列表很长，则会看到“ 并非所有结果”都显示 消息。 滚动到列表底部，并选择“加载更多结果”以检索更多值。

   

1. 选择添加>在表中搜索。

   

2. 在“搜索此表”框中输入字符串，然后选择“应用”。

   Log Analytics 会筛选表来仅显示包含输入的字符串的条目。

1. 选择 “添加>聚合”。

2. 选择要按其聚合的列，然后选择要按其聚合的运算符，如使用聚合运算符所述。

   

1. 选择 添加>显示列。

2. 选择或清除列以显示或隐藏列，然后选择“应用”。

   

1. 选择 添加>排序。

2. 选择要作为排序依据的列。

3. 选择“升序”或“降序”，然后选择“应用”。

   

4. 再次选择“排序”以按另一列排序。

使用聚合运算符来汇总多行的数据，如下表所述。

操作员	DESCRIPTION
count	计算每个不同值在列中出现的次数。
dcount	对于 dcount 运算符，请选择两列。 该运算符会计算第二列中与第一列中的每个值相关的非重复值的总数。 例如，这显示了成功和失败操作的不同结果代码数量。
总和 avg 最大 min	对于这些运算符，请选择两列。 运算符为第一列中的每个值计算第二列中所有值的总和、平均值、最大值或最小值。 例如，这显示了过去 24 小时内每个操作的总持续时间（以毫秒为单位）：
stdev	计算一组值的标准偏差。

若要切换模式，请从查询编辑器右上角的下拉列表中选择“简单模式”或“KQL 模式”。

在简单模式下开始查询日志，然后切换到 KQL 模式时，查询编辑器会预先填充与简单模式分析相关的 KQL 查询。 然后，可以编辑并继续处理查询。

对于单个表的简单查询，Log Analytics 以简单模式在顶部查询栏右侧显示表名称。 对于更复杂的查询，Log Analytics 会在顶部查询栏左侧显示“用户查询”。 选择“用户查询”以返回到查询编辑器并随时修改查询。

1. 选择“显示”以打开“显示结果”窗口。

   

2. 选择一个预设限制，或输入自定义限制。

   可以在 Log Analytics 门户体验中检索到的最大结果数（在简单模式和 KQL 模式下）为 30,000。 但是，当与集成工具共享 Log Analytics 查询，或在搜索作业中使用该查询时，将根据所选工具设置查询限制。

   选择“最大限制”以返回“共享”窗口上可用的任何工具或使用搜索作业提供的最大结果数。

   

   下表列出了使用各种工具的 Azure Monitor 日志查询的最大结果限制：

• 浏览在 Log Analytics 中使用 KQL 模式的教程。
• 访问完整的 KQL 参考文档。