Log Analytics でクエリを使用する
Log Analytics を開くと、既存のログ クエリにアクセスできます。 これらのクエリは、変更せずに実行することも、独自のクエリの出発点として使用することもできます。 使用可能なクエリには、Azure Monitor で提供される例や、組織が保存したクエリなどがあります。 この記事では、使用できるクエリと、それらを発見して使用する方法について説明します。
必要なアクセス許可
クエリを実行する Log Analytics ワークスペースに対し、Microsoft.OperationalInsights/workspaces/query/*/read アクセス許可が必要です。これは、たとえば、Log Analytics 閲覧者組み込みロールによって提供されます。
クエリ インターフェイス
Log Analytics の 2 つの異なる場所から使用できるクエリ インターフェイスからクエリを選択します。
クエリ ダイアログ
Log Analytics を開くと、[クエリ] ダイアログ ボックスが自動的に表示されます。 このダイアログ ボックスが自動的に表示されないようにするには、[常にクエリを表示する] トグルをオフにします。
各クエリはカードで表されます。 クエリにすばやく目を通して、必要なものを見つけることができます。 ダイアログからクエリを直接実行できるほか、変更を行うためにそれをクエリ エディターに読み込むこともできます。
また、右上隅にある [クエリ] を選択してアクセスすることもできます。
クエリのサイドバー
ダイアログ エクスペリエンスの同じ機能には、Log Analytics の左側のサイドバーにある [クエリ] ペインからアクセスできます。 クエリ名にマウス ポインターを合わせて、クエリの説明と追加の機能を表示します。
クエリの検索とフィルター処理
このセクションのオプションはダイアログとサイドバー クエリ エクスペリエンスの両方で利用できますが、ユーザー インターフェイスがわずかに異なります。
[グループ化] ドロップダウン リストを選択して、クエリのグループ化を変更します。 グループ化する値はコンテンツのアクティブなテーブルとしても機能します。 画面の左側にあるいずれかの値を選択すると、選択した項目まで [クエリ] ビューが直接スクロールします。 組織でタグ付きのクエリ パックを作成している場合、カスタム タグがこの一覧に追加されます。
クエリのプロパティ
各クエリには、グループ化と検索に役立つ複数のプロパティがあります。 これらのプロパティは、並べ替えとフィルター処理に使用できます。 詳細については、「クエリの検索とフィルター処理」を参照してください。
独自のクエリを保存するときに、一部を定義できます。 プロパティの種類は次のとおりです。
| クエリのプロパティ | 説明 |
|---|---|
| リソースの種類 | Azure で定義されたリソース (仮想マシンなど)。 Azure Monitor ログおよび Log Analytics テーブルからリソースの種類への完全なマッピングについては、Azure Monitor のテーブル参照に関するページをご覧ください。 |
| カテゴリ | 情報の種類 ("セキュリティ" や "監査" など)。 カテゴリは、[テーブル] サイド ペインで定義されているカテゴリと同じです。 カテゴリの完全な一覧については、Azure Monitor のテーブル参照に関するページをご覧ください。 |
| 解決策 | クエリに関連付けられた Azure Monitor ソリューション。 |
| トピック | クエリの例のトピック ("アクティビティ ログ" や "アプリ ログ" など)。 トピックのプロパティはサンプル クエリに固有ではなく、特定のリソースの種類によっては異なる場合があります。 |
| クエリの種類 | クエリの種類を定義します。 クエリの種類には、[クエリ]、[クエリ パック クエリ]、[レガシ クエリ] などがあります。 |
| ラベル | 独自のクエリを保存するときに定義し、割り当てることができるカスタム ラベル。 |
| タグ | クエリ パックの作成時に定義できるカスタム プロパティ。 タグを使用して、クエリを整理するための独自の分類を作成できます。 |
クエリのプロパティを表示する
Log Analytics の 左側のサイドバーにある [クエリ ] ウィンドウで、クエリ名にカーソルを合わせると、そのプロパティが表示されます。
お気に入り
頻繁に使用するクエリをお気に入りで見つけてすばやくアクセスできます。 クエリの横にある星をクリックすると、[お気に入り] に追加できます。 お気に入りに追加したクエリは、クエリ インターフェイスの [お気に入り] オプションから表示できます。
クエリの種類
クエリ インターフェイスには、次の種類のクエリが設定されます。
| Type | 説明 |
|---|---|
| クエリの例 | クエリの例を使用すると、リソースに関する分析情報をすぐに得て、Kusto 照会言語 (KQL) の学習と使用を開始できます。 Log Analytics の使用を開始するのにかかる時間を短縮するのに役立ちます。 お客様がすぐに活用できるように、500 を超えるクエリの例を収集、キュレーションしました。 クエリの例の数は継続的に増加しています。 |
| クエリ パック | クエリ パックにはログ クエリのコレクションが保持されます。 自分で保存したクエリ、既定のクエリ パック、組織がサブスクリプションで作成したクエリ パックが含まれます。 クエリ パックを表示および管理するには、「クエリ パックの表示」を参照してください。 Log Analytics ワークスペースにクエリ パックを追加するには。 「複数のクエリ パックを使用する」を参照してください。 |
| レガシ クエリ | クエリ エクスプローラーのエクスペリエンスで以前に保存されたログ クエリはレガシ クエリです。 ワークスペースにインストールされている Azure ソリューションに関連付けられているクエリもレガシ クエリです。 これらのクエリは、[レガシ クエリ] の下の [クエリ] ダイアログに表示されます。 |
ヒント
レガシ クエリは、Log Analytics ワークスペースでのみ使用できます。
クエリ スコープの影響
Log Analytics を開いたときに利用できるクエリは、現在のクエリ スコープによって決まります。 次に例を示します。
| クエリ スコープ | 説明 |
|---|---|
| ワークスペース | クエリの例と、クエリ パックに含まれているクエリすべて。 ワークスペース内のレガシ クエリ。 |
| 1 つのリソース | クエリの例と、クエリパックに含まれているクエリで、このリソースの種類に関するもの。 |
| リソース グループ | クエリの例と、クエリパックに含まれているクエリで、このリソース内のリソースの種類に関するもの。 |
ヒント
スコープ内のリソースが多ければ多いほど、ポータルで [クエリ] ダイアログのフィルターと表示にかかる時間が長くなります。