Создайте запрос Log Analytics, не используя клавиатуру (опыт не требуется!)
Log Analytics использует язык запросов Kusto, доступный только для чтения, для выполнения запросов и извлечения результатов из данных, хранящихся в Log Analytics. На первый взгляд он похож на SQL, но легче и проще. Простой пример: в SQL переводится в на языке Kusto.
Понимание окружающей среды
Если есть один вывод из этой статьи, убедитесь, что вы сосредоточились на этом разделе. Сначала это может выглядеть глупо, но это сэкономит вам много времени, когда вы начнете работать с запросами вверх и вниз, чтобы получить информацию, которую вы ищете. Чтобы получить доступ к консоли запросов, откройте рабочую область Log Analytics, в которую отчитываются ваши ресурсы, а затем щелкните Журналы. Для интерфейса журналов потребуется много места, поэтому я рекомендую убрать колонку со всеми параметрами для навигации по рабочей области Log Analytics (пункт 1).
При работе с запросами вам может понадобиться отдельное место для тестирования и проверки перед обновлением конечного запроса. Использование вкладок (элемент 2) сэкономит нам время и производительность. Если вы только начинаете работу с этой рабочей областью Log Analytics, вкладки «Схема» и «Фильтр» помогут вам ориентироваться в этих неизведанных водах. На вкладке «Схема» будут показаны все доступные решения, таблицы и столбцы, а вкладка «Фильтр» поможет нам создать и сузить результаты.
Иногда проще увидеть что-то в действии или повторно использовать некоторые запросы, чем создавать их с нуля, и для таких случаев у нас есть образцы запросов (пункт 5). Чтобы использовать эти встроенные запросы, нажмите «Выполнить» в любом из доступных примеров, и у нас будет отображаться запрос, который мы можем выполнить. Недвижимость в области журналов стоит дорого, каждый раз, когда мы выполняем образцы запросов будут заменены результатами. Я рекомендую щелкнуть стрелку (пункт 1), чтобы освободить место для журналов.
Создание первого запроса Log Analytics (опыт не требуется)
Если у вас нет опыта работы с запросами, не беспокойтесь, вы легко сможете поискать нужную информацию. Если вам нужны более сложные вещи, такие как диаграммы, переименование столбцов, средние значения, сравнения и использование более одной таблицы, потребуется некоторый набор текста. Каждое отдельное решение создаст свою собственную область в схеме. После подключения первых ВМ к Log Analytics одной из первых таблиц, которая будет заполнена информацией, будет таблица Heartbeat , расположенная в разделе LogManagement.
Начните с нажатия Schema, разверните LogManagement и дважды щелкните Heartbeat. Это действие автоматически помещает Heartbeat (элемент 1) в редактор запросов. Нажмите «Выполнить» (пункт 2), чтобы увидеть все результаты, которые у нас есть в этой таблице. Результаты можно увидеть в пункте 4, где будет отображаться информация об этой таблице. Прежде чем перейти к следующему шагу, проверьте пункт 3. У нас будет время, которое потребовалось для выполнения запроса, и сколько записей было получено.
Второй способ увидеть, что у нас есть внутри любой данной таблицы, — это расширить область схемы, отобразится список каждого отдельного файла. Первый значок (выделенный на картинке) предоставит вам тип данных (bool, datetime, guid, dynamic, int, long, real или string). Примечание. Когда мы перейдем к более сложной статье Log Analytics (внимание, спойлер!), мы увидим другие методы проверки типа данных без просмотра схемы.
На этом этапе, не нажимая ни единого штриха на клавиатуре, вы смогли получить все виртуальные машины, которые отчитываются перед этой рабочей областью Log Analytics за последние 24 часа. Информация там может быть не самым хорошим отчетом, который вы когда-либо видели, но у нас есть кое-что.
Тонкая настройка вашего первого запроса Log Analytics (опыт не требуется)
Давайте представим, что это рабочее пространство используется множеством виртуальных машин, и наш предыдущий запрос вернет миллионы записей. Имея такой сценарий, мы можем сузить результаты до определенного или небольшого подмножества виртуальных машин. Не пора ли нам запачкать руки и начать печатать? Ну еще нет?. Чтобы выполнить базовую фильтрацию, щелкните вкладку «Фильтр», и журналы достаточно умны, чтобы предоставить все поля/значения для этой конкретной таблицы, которая у нас есть с правой стороны. Мы можем легко выбрать нужное значение из Computer (в нашей статье VM ap-hub-vm002) и нажать Apply & Run. Вы заметите, что в появилась новая строка , который был заполнен на основе нашего решения на вкладке «Фильтр». На вкладке «Фильтр» есть дополнительная информация, полезная для нас, где у нас есть эти числа рядом с полями и значениями. С первого взгляда мы знаем, что у нас есть один компьютер (номер 1) в поле и что конкретная машина (ap-hub-vm002) имеет 30 записей (за последние 30 минут).
Еще одна важная вещь в запросе — фильтрация по времени, и помогает в этом (элемент 3). Мы можем сузить результаты по времени. В пункте 4 мы можем увидеть результаты запроса в зависимости от выбранного нами времени. Примечание. Важно отметить, что вкладка «Фильтр» является динамической, и влияет на числа, которые мы видим на этой вкладке.
Создание отчета
Мы можем улучшить взаимодействие с конечным пользователем, определив, какие столбцы мы хотим видеть. Есть разные способы сделать это. Один из них — использование проекта, что не является целью данной статьи. Нажмите «Столбцы» и выберите те, которые важны для вашего отчета.
Результатом станет лучшее представление информации, содержащей только выбранные вами столбцы, как показано на изображении ниже.
Пришло время сгенерировать CSV-файл. Нажмите «Экспорт», а затем «Экспорт в CSV — отображаемые столбцы». Результатом станет файл, доступный для скачивания. Откройте его в Microsoft Excel, и у вас будут только те столбцы, которые вы выбрали.
Мы достигли цели этой статьи, которая состояла в том, чтобы создать, сузить, улучшить выходные данные и создать файл на основе данных, хранящихся в Log Analytics. На самом деле мы еще не касались поверхности Log Analytics, и когда мы используем клавиатуру, у нас есть множество функций, которые можно использовать для улучшения и уточнения нашего поиска.