哦，这个坑我之前踩过！你遇到的问题根源是把T-SQL（SQL Server的查询语言）语法直接用到了Kusto查询语言（KQL）里——Azure Log Analytics用的是KQL，不是传统的SQL，所以它根本不认识sys.event_log这种SQL系统视图的写法，才会在sys位置报错。

正确的处理方式： #

1. 先明确你的日志来源：
   如果你要查的是Azure SQL数据库的日志，得先确保已经把SQL数据库的诊断日志（比如审计日志、错误日志）发送到了Log Analytics工作区。对应的日志表名不是sys.event_log，而是类似：

   • AzureSQLDatabaseAuditingEvents：存储审计日志
   • AzureSQLDatabaseEvents：存储数据库事件（包括错误、警告等）

2. 用KQL语法查询：
   KQL的语法和SQL不同，它用管道符|串联各种操作。举几个实用例子：

   • 查询最近10条审计日志：

     AzureSQLDatabaseAuditingEvents
     | take 10
     

   • 过滤出错误类别的数据库事件：

     AzureSQLDatabaseEvents
     | where EventClass == 164  // 164对应SQL错误日志事件类
     | project TimeGenerated, EventSubClass, Message
     

3. 找可用表的小技巧：
   如果你不确定有哪些可用的日志表，可以在Log Analytics里执行这条命令列出所有表：

   .show tables
   

   或者在左侧的“表”面板里，找到AzureSQLDatabase开头的表，查看它们的结构和数据示例。

记住，KQL和SQL是两种不同的查询语言，别再用SQL的系统视图写法啦～

内容的提问来源于stack exchange，提问作者user13277165