Tutorial: Uso de Log Analytics

Log Analytics es una herramienta del portal de Azure para consultar y analizar los datos recopilados por Azure Monitor Logs. Cuando necesite solucionar un problema, investigue una tendencia de rendimiento o comprenda cómo se comportan los recursos de Azure, use Log Analytics para escribir y ejecutar consultas log.

Este tutorial le guía a través de la interfaz de Log Analytics mediante datos de ejemplo. Explorará el esquema de la tabla, escribirá y ejecutará consultas básicas y trabajará con los resultados.

En este tutorial, usted hará lo siguiente:

  • Comprender el esquema de datos del registro.
  • Escribir y ejecutar consultas sencillas, y modificar el intervalo de tiempo de las consultas.
  • Filtrar, ordenar y agrupar los resultados de las consultas.
  • Ver, modificar y compartir los objetos visuales de los resultados de las consultas.
  • Cargar, exportar y copiar consultas y resultados.

Requisitos previos

  • Una identidad cuenta Microsoft o Microsoft Entra ID con acceso al portal Azure.
  • Entorno de demostración de Log Analytics (recomendado). El entorno de demostración incluye datos de ejemplo que admiten las consultas de este tutorial. No se requiere ninguna suscripción Azure.
  • Si usa su propia suscripción en lugar del entorno de demostración, necesita un área de trabajo de Log Analytics con datos. Es posible que las tablas no coincidan con los datos de demostración.

Nota:

Log Analytics tiene dos modos: Simple y Kusto Query Language (KQL). En este tutorial se usa principalmente el modo KQL. Si prefiere una interfaz de punto y selección en lugar de escribir consultas KQL, consulte Analyze data using Log Analytics Simple mode.

En este tutorial se usan características de Log Analytics para crear consultas y usar consultas de ejemplo. Cuando esté listo para aprender la sintaxis de las consultas y empezar a editar directamente la propia consulta, pruebe el tutorial del lenguaje de consulta kusto (KQL). Este tutorial le mostrará consultas de ejemplo que podrá editar y ejecutar en Log Analytics. Usa varias de las características que aprenderá en este tutorial.

Apertura de Log Analytics

Abra el entorno de demostración de Log Analytics o seleccione Registros en el menú de Azure Monitor de su suscripción. Este paso establece el ámbito inicial en un área de trabajo de Log Analytics, lo que significa que la consulta hace una selección entre todos los datos del área de trabajo. Si selecciona Logs en el menú de un recurso de Azure, el ámbito se limita solo a los registros de ese recurso. Para obtener más información, consulte Ámbito de consulta de registro.

Encuentre el ámbito actual seleccionando la elipsis de la consulta actual. Si va a usar su propio entorno, verá una opción para seleccionar un ámbito diferente. Esta opción no está disponible en el entorno de demostración.

Recorte de pantalla que muestra el ámbito de Log Analytics para la demostración.

Verificación: confirme que se vea el editor de consultas y que en el selector de ámbito figure el nombre de su área de trabajo o ponga "Demo" en la esquina superior izquierda.

Visualización de la información de la tabla

El lado izquierdo de la pantalla incluye la pestaña Tablas , donde se inspeccionan las tablas disponibles en el ámbito actual. Estas tablas se agrupan por Solución de forma predeterminada, pero puede cambiar su agrupación o filtrarlas.

  1. Expanda la solución Administración del registro y localice la tabla AppRequests. Expanda la tabla para ver su esquema o mantenga el puntero sobre su nombre para mostrar más información sobre él.

  2. Seleccione el vínculo en Vínculos útiles (en este ejemplo, AppRequests) para ver la referencia que documenta la tabla y sus columnas.

  3. Mantenga el puntero sobre la tabla AppRequests y seleccione Ejecutar para ver los registros de las últimas 24 horas de la tabla. Esta vista previa le ayuda a comprobar los datos antes de ejecutar una consulta más extensa.

    Recorte de pantalla que muestra los datos de vista previa de la tabla AppRequest.

Comprobación: En el panel de vista previa se muestran registros con columnas como Name, Url, DurationMs, ResultCode y ClientCity. Si la tabla AppRequests no aparece en Administración de registros, es posible que el área de trabajo no tenga configurados los datos de Application Insights.

Escriba una consulta.

Escriba una consulta mediante la tabla AppRequests :

  1. Haga doble clic en el nombre de la tabla o mantenga el puntero sobre ella y seleccione Usar en el editor para agregarlo a la ventana de consulta. Como alternativa, escriba AppRequests directamente en la ventana. IntelliSense ayuda a completar los nombres de las tablas en el ámbito actual y los comandos KQL.

  2. Seleccione el botón Ejecutar o presione Mayús+Entrar con el cursor situado en cualquier lugar del texto de la consulta. Esta consulta es la más sencilla posible y devuelve todos los registros de la tabla hasta el límite Mostrar resultados .

Comprobación: Compruebe la esquina inferior derecha del panel de resultados. Debería ver un número de registros mayor que cero. Para obtener información sobre el número máximo de resultados, consulte Configuración del límite de resultados de la consulta.

Para obtener información sobre cómo crear sus propias consultas, consulte Introducción a las consultas de registro en registros de Azure Monitor.

Establecimiento del intervalo de tiempo de consulta

Todas las consultas devuelven los registros generados dentro de un intervalo de tiempo establecido. De forma predeterminada, el selector de hora se establece en Últimas 24 horas. Una vez ejecutada la versión preliminar, la consulta establece explícitamente el intervalo de tiempo en 24 horas. Establezca un intervalo de tiempo diferente mediante la lista desplegable Intervalo de tiempo en la parte superior de la pantalla o edite el operador where de la consulta. Si usa ambos métodos, Log Analytics aplica la unión de los dos intervalos de tiempo. Para obtener más información, consulte Especificar un intervalo de tiempo.

  1. Cambie el intervalo de tiempo seleccionando Últimas 12 horas en la lista desplegable Intervalo de tiempo .

  2. Quite el where operador de la consulta si existe.

  3. Seleccione Ejecutar para que se devuelvan los resultados.

Captura de pantalla que muestra el selector de intervalo de tiempo sin Log Analytics.

Comprobación: Es posible que el recuento de registros en la esquina inferior derecha no sea menor que el resultado anterior de 24 horas debido al límite Mostrar configurado.

Aplicación de varios filtros de consulta

Reduzca aún más los resultados agregando una condición de filtro. Una consulta puede incluir cualquier número de filtros para tener como destino exactamente los registros que desee.

  1. Para alternar del modo KQL al modo Simple , seleccione la lista desplegable modo en la parte superior derecha del editor de consultas. En modo simple, agregue filtros sin escribir la sintaxis de KQL.

  2. Seleccione el icono Agregar filtros a la derecha del límite Mostrar .

  3. Seleccione el filtro Nombre . El operador predeterminado es Select from list (Seleccionar de la lista ) que muestra los valores basados en los registros de los resultados actuales.

  4. Seleccione GET Home/Index (Obtener inicio/índice). Si no ve los valores esperados, intente expandir el intervalo de tiempo, aumentar el límite de presentación o quitar otros filtros para asegurarse de que esos registros se incluyen en los resultados.

    Recorte de pantalla que muestra los resultados de la consulta con varios filtros.

  5. Cambie de nuevo al modo KQL y vea la sintaxis de KQL para los filtros que aplicó. La consulta debe incluir ahora un where operador con condiciones para la Name columna.

Comprobación: El recuento de registros disminuye en comparación con la consulta sin filtrar. Todos los registros visibles de la columna Nombre muestran GET Home/Index.

Análisis de los resultados de la consulta

Log Analytics proporciona características para trabajar con los resultados más allá de ejecutar consultas.

Expandir y ordenar registros

  1. Expande un registro para ver los valores de todas sus columnas al seleccionar el chevrón (>) en la parte izquierda de la fila.

  2. Seleccione cualquier encabezado de columna para ordenar los resultados por esa columna. Vuelva a seleccionar el mismo encabezado para alternar entre orden ascendente, descendente y predeterminado.

    Captura de pantalla que muestra los resultados de la consulta ordenados por la columna TimeGenerated y un registro expandido.

Filtrar desde encabezados de columna

La tabla de resultados admite el filtrado similar a Excel de encabezados de columna. Use este método para realizar análisis interactivos rápidos.

  1. Seleccione los tres puntos suspensivos (...) que hay junto al encabezado de la columna DurationMs. Esta selección muestra una pestaña de filtro y una pestaña de opciones de columna. Los filtros configurados aquí están claros al volver a ejecutar la consulta.

  2. Establezca el filtro allí para limitar los registros a las solicitudes de aplicación que tomaron más de 150 milisegundos.

    Recorte de pantalla que muestra un registro expandido en los resultados de la búsqueda.

Comprobación: Después de aplicar el filtro DurationMs, todos los registros visibles muestran un valor DurationMs mayor que 150. El recuento de registros disminuye.

Búsqueda en los resultados de la consulta

Busque en los resultados de la consulta mediante el cuadro de búsqueda situado en la parte superior derecha del panel de resultados.

  1. Escriba Texas en el cuadro de búsqueda de resultados de la consulta.

  2. Seleccione la flecha abajo para buscar la siguiente instancia de esta cadena en los resultados de búsqueda.

Recorte de pantalla que muestra el cuadro de búsqueda en la parte superior derecha del panel de resultados.

Comprobación: El texto coincidente está resaltado en los resultados. El sistema de navegación mediante flechas indica el número total de resultados (por ejemplo, "2/12").

Nota:

El cuadro de búsqueda solo filtra los resultados mostrados en el explorador y no modifica la consulta KQL ni vuelve a capturar datos del servidor.

Reorganización y resumen de datos

Reorganizar y resumir los datos de los resultados de la consulta para mejorar la visualización.

  1. Seleccione Columnas a la derecha del panel de resultados para abrir la barra lateral Columnas.

  2. Arrastre la columna Url a la sección Grupo de filas. Los resultados ahora están organizados por esa columna y se puede contraer cada grupo.

    Esta acción procesa los datos devueltos por la consulta original; no vuelve a capturar datos del servidor. Al volver a ejecutar la consulta, Log Analytics recupera datos en función de la consulta original.

    Recorte de pantalla que muestra los resultados de la consulta agrupados.

Comprobación: Los resultados aparecen en grupos contraíbles con un encabezado de dirección URL para cada grupo. Seleccione un encabezado de grupo para expandirlo o contraerlo.

Creación de tabla dinámica

Para analizar el rendimiento de sus páginas, cree una tabla dinámica:

  1. En la barra lateral Columnas, seleccione Modo dinámico.

  2. Seleccione Url y DurationMs para mostrar la duración total de todas las llamadas a cada dirección URL.

  3. Para ver la duración máxima de la llamada a cada dirección URL, seleccione sum(DurationMs) y, a continuación, seleccione max (Max).

    Recorte de pantalla que muestra cómo activar el modo dinámico y configurar una tabla dinámica en función de los valores de URL y DurationMS.

  4. Ordene los resultados por la duración máxima de llamada más larga seleccionando el encabezado de columna max(DurationMs) en el panel de resultados.

Verificación: en la tabla dinámica aparece una fila por dirección URL con un valor max(DurationMs).. Los resultados se ordenan con la duración más alta en la parte superior.

Visualización de los resultados de la consulta como gráficos

Vea una consulta que usa datos numéricos como gráfico. En lugar de compilar una consulta, use una consulta de ejemplo desde la biblioteca de consultas integrada.

  1. Desactive el editor de consultas de cualquier texto existente o abra una nueva pestaña de consulta seleccionando el icono más situado junto a la pestaña de consulta actual.

  2. En el panel izquierdo, seleccione Consultas. Este panel incluye consultas de ejemplo para cargar en el editor de consultas. Si utiliza su propia área de trabajo, encontrará diversas consultas en varias categorías.

  3. Busque la consulta de tendencia tiempo de respuesta en la categoría Aplicaciones . Para cargarla, haga doble clic en la consulta o mantenga el puntero sobre el nombre de la consulta para mostrar más información y, a continuación, seleccione Cargar en el editor. Una línea en blanco separa la nueva consulta de cualquier consulta anterior. En KQL, una línea en blanco marca el final de una consulta, por lo que cada consulta del editor se ejecuta de forma independiente.

  4. Coloque el cursor en cualquier lugar de la nueva consulta y seleccione Ejecutar.

    Recorte de pantalla que muestra el gráfico de resultados de la consulta.

  5. Cambie la pestaña Resultados o cambie el formato gráfico para explorar otras opciones.

Comprobación: El gráfico muestra un gráfico de líneas de serie temporal con puntos de datos por hora. El eje Y muestra la duración media de la respuesta en milisegundos. Si ve un pico en los datos, investigue aún más ajustando el intervalo de tiempo.

Para recibir notificaciones cuando se produzcan picos, cree una regla de alerta. Abra el centro de consultas (...) situado junto a Centro de consultas en la barra de acciones y seleccione + Nueva regla de alertas. Para más información, consulte Tutorial: Creación de una alerta de búsqueda de registros para un recurso de Azure. No se admite la creación de una regla de alertas en el entorno de demostración, pero todavía puede explorar la opción para ver cómo funciona.

Exportación y copia de resultados

Después de ejecutar una consulta, exporte o copie los resultados para usarlos fuera de Log Analytics. En el menú Compartir de la barra de acciones:

  • Copiar vínculo a consulta: Crea un vínculo a la consulta actual que puede compartir con otros usuarios que tienen acceso al mismo área de trabajo.
  • Copiar texto de la consulta: Selecciona el texto de la consulta en el editor y lo copia al portapapeles.

Estas características no funcionan en el entorno de demostración porque la demostración no tiene una dirección URL única ni guarda consultas, pero puede probarlas en su propio entorno.

  • Copiar resultados: Seleccione filas en el panel de resultados, haga clic con el botón derecho y seleccione Copiar o usar Ctrl+C. Pegue los datos en una hoja de cálculo o editor de texto.
  • Exportar a CSV( todas las columnas o Exportar a CSV): se muestran las columnas para descargar los datos.
  • Exportar a Power BI (como consulta M) o Exportar a Power BI (nuevo conjunto de datos) para abrir los datos en Power BI para realizar análisis y visualización adicionales.
  • Abrir en Excel: Exporta los datos y lo abre en Excel. Esta opción solo está disponible si tiene Excel instalado en la máquina.

En el menú Guardar de la barra de acciones hay opciones para guardar la consulta o anclar un objeto visual a un panel. Para obtener información sobre cómo anclar objetos visuales a un panel compartido, consulte Crear y compartir paneles que visualicen datos en registros de Azure Monitor.

Solucionar problemas comunes

Problem Causa posible Solution
El entorno de demostración no se carga El explorador bloquea elementos emergentes o cookies de terceros. Permitir ventanas emergentes para portal.azure.com. Pruebe una ventana privada o incógnita del explorador.
La tabla AppRequests no es visible El área de trabajo no tiene datos de Application Insights. Use el entorno de demostración o conecte un recurso de Application Insights al área de trabajo.
La consulta devuelve cero resultados El intervalo de tiempo seleccionado no tiene datos o el filtro es demasiado estrecho. Expanda el intervalo de tiempo (por ejemplo, Últimos 7 días). Quite filtros para comprobar que existen datos.
Error "Sin acceso" en el área de trabajo La cuenta no tiene permisos de lectura en el área de trabajo. Pida al administrador que asigne el rol Log Analytics Reader. Consulte Administración del acceso a los datos de registro y las áreas de trabajo.
La pestaña Gráfico muestra "Sin gráfico disponible" La consulta no devuelve datos numéricos ni series temporales adecuados para la creación de gráficos. Asegúrese de que la consulta incluya un operador summarize con una cláusula bin(TimeGenerated, ...).
La pestaña Filtro está vacía Los filtros no se cargan para los resultados de la consulta actual. Ejecute primero una consulta. A continuación, seleccione la pestaña Filtro y elija la opción actualizar o volver a cargar para rellenar los valores de filtro.
El filtro DurationMs no muestra ningún resultado con > 150 ms Los datos de tu espacio de trabajo tienen tiempos de respuesta constantemente bajos. Reduzca el umbral (por ejemplo, pruebe > 5 ms) o use el entorno de demostración, que tiene tiempos de respuesta variados.
La opción "Pivot Mode" no está visible La barra lateral Columnas no está abierta. Seleccione Columnas a la derecha del panel de resultados para abrir la barra lateral > luego, seleccione Modo dinámico.

Paso siguiente

Ahora que sabe cómo usar Log Analytics, complete el tutorial sobre el uso de consultas de registro:

Escritura de consultas de registros de Azure Monitor

  • Last updated on