Azure Monitor で Log Analytics の使用を開始するGet started with Log Analytics in Azure Monitor

注意

少なくとも 1 つの仮想マシンからデータを収集する場合は、独自の環境でこの演習を行うことができます。You can work through this exercise in your own environment if you are collecting data from at least one virtual machine. それ以外の場合は、サンプル データが多数含まれている Microsoft のデモ環境を使用してください。If not then use our Demo environment, which includes plenty of sample data.

このチュートリアルでは、Azure portal で Log Analytics を使用して Azure Monitor ログ クエリを記述する方法について説明します。In this tutorial you will learn how to use Log Analytics in the Azure portal to write Azure Monitor log queries. 以下の方法について説明します。It will teach you how to:

  • Log Analytics を使用して単純なクエリを記述するUse Log Analytics to write a simple query
  • データのスキーマの概要Understand the schema of your data
  • 結果のフィルター、並べ替え、グループ化Filter, sort, and group results
  • 時間の範囲を適用するApply a time range
  • グラフを作成するCreate charts
  • クエリの保存と読み込みSave and load queries
  • クエリのエクスポートと共有Export and share queries

ログ クエリの記述に関するチュートリアルについては、「Azure Monitor でログ クエリの使用を開始する」を参照してください。For a tutorial on writing log queries, see Get started with log queries in Azure Monitor.
ログ クエリの詳細については、Azure Monitor でのログ クエリの概要に関するページを参照してください。For more details on log queries, see Overview of log queries in Azure Monitor.

Log Analytics についてMeet Log Analytics

Log Analytics は、Azure Monitor ログ クエリの記述と実行に使用される Web ツールです。Log Analytics is a web tool used to write and execute Azure Monitor log queries. Azure Monitor のメニューで [ログ] を選択し、これを開きます。Open it by selecting Logs in the Azure Monitor menu. 新しい空のクエリから開始されます。It starts with a new blank query.

ホーム ページ

ファイアウォールの要件Firewall requirements

Log Analytics を使用するには、ブラウザーが次のアドレスにアクセスできる必要があります。To use Log Analytics, your browser requires access to the following addresses. ブラウザーがファイアウォールを介して Azure Portal にアクセスしている場合は、これらのアドレスへのアクセスを有効にする必要があります。If your browser is accessing the Azure portal through a firewall, you must enable access to these addresses.

UriUri IPIP PortPorts
portal.loganalytics.ioportal.loganalytics.io 動的Dynamic 80,44380,443
api.loganalytics.ioapi.loganalytics.io 動的Dynamic 80,44380,443
docs.loganalytics.iodocs.loganalytics.io 動的Dynamic 80,44380,443

基本的なクエリBasic queries

クエリを使用すると、用語を検索し、傾向を特定し、パターンを分析し、データに基づいて他の多くの分析情報を表示できます。Queries can be used to search terms, identify trends, analyze patterns, and provide many other insights based on your data. 基本的なクエリから始めてみましょう。Start with a basic query:

Event | search "error"

このクエリは、Event テーブルの任意のプロパティに error という用語が含まれるレコードを検索します。This query searches the Event table for records that contain the term error in any property.

クエリは、テーブル名または search コマンドから始めることができます。Queries can start with either a table name or a search command. 上の例は、テーブル名 Event で始まり、Event テーブルのすべてのレコードが取得されます。The above example starts with the table name Event, which retrieves all records from the Event table. 複数のコマンドは、パイプ (|) 文字で区切ります。そのため、最初のコマンドの出力は次のコマンドの入力になります。The pipe (|) character separates commands, so the output of the first one serves as the input of the following command. 1 つのクエリに任意の数のコマンドを追加できます。You can add any number of commands to a single query.

同じクエリは、次のように記述することもできます。Another way to write that same query would be:

search in (Event) "error"

この例では、search はスコープが Event テーブルに設定されているため、そのテーブル内のすべてのレコードで error という用語が検索されます。In this example, search is scoped to the Event table, and all records in that table are searched for the term error.

Running a queryRunning a query

クエリを実行するには、 [実行] ボタンをクリックするか、Shift キーを押しながら Enter キーを押します。Run a query by clicking the Run button or pressing Shift+Enter. 実行されるコードと返されるデータを決定する次の詳細情報を考慮してください。Consider the following details which determine the code that will be run and the data that's returned:

  • 改行:1 つの改行でクエリが読みやすくなります。Line breaks: A single break makes your query easier to read. 複数の改行で、別々のクエリに分割されます。Multiple line breaks split it into separate queries.
  • カーソル:クエリ内のどこかにカーソルを置いて実行します。Cursor: Place your cursor somewhere inside the query to execute it. 現在のクエリは、空白行が見つかるまでのコードと見なされます。The current query is considered to be the code up until a blank line is found.
  • 時間の範囲: 既定では 過去 24 時間 の時間の範囲が設定されています。Time range - A time range of last 24 hours is set by default. 別の範囲を使用するには、時刻の選択ツールを使用するか、明示的な時間の範囲フィルターをクエリに追加します。To use a different range, use the time-picker or add an explicit time range filter to your query.

スキーマの概要Understand the schema

スキーマは、論理カテゴリで視覚的にグループ化されたテーブルのコレクションです。The schema is a collection of tables visually grouped under a logical category. カテゴリの一部は、監視ソリューションのカテゴリです。Several of the categories are from monitoring solutions. LogManagement カテゴリには、Windows および Syslog イベント、パフォーマンス データ、エージェントのハートビートなどの一般的なデータが含まれます。The LogManagement category contains common data such as Windows and Syslog events, performance data, and agent heartbeats.

スキーマ

各テーブルのデータは、列名の横のアイコンで示されるように、さまざまなデータ型の列に整理されます。In each table, data is organized in columns with different data types as indicated by icons next to the column name. たとえば、スクリーンショットに示されている Event テーブルには、テキスト型の Computer、数値型の EventCategory、日時型の TimeGenerated があります。For example, the Event table shown in the screenshot contains columns such as Computer which is text, EventCategory which is a number, and TimeGenerated which is date/time.

結果をフィルター処理するFilter the results

まず、Event テーブルのすべてを取得します。Start by getting everything in the Event table.

Event

Log Analytics では、以下によって結果の範囲が自動的に調整されます。Log Analytics automatically scopes results by:

  • 時間の範囲:既定で、クエリは過去 24 時間に制限されます。Time range: By default, queries are limited to the last 24 hours.
  • 結果の数:結果は最大 10,000 レコードに制限されます。Number of results: Results are limited to maximum of 10,000 records.

このクエリはとても汎用的であり、返される結果が多すぎて不便です。This query is very general, and it returns too many results to be useful. 結果をフィルター処理するには、テーブル要素を使用するか、明示的にフィルターをクエリに追加します。You can filter the results either through the table elements, or by explicitly adding a filter to the query. テーブル要素による結果のフィルター処理は、既存の結果セットに適用されますが、クエリ自体に対するフィルターは新しいフィルター済み結果セットを返すため、より正確な結果が得られます。Filtering results through the table elements applies to the existing result set, while a filter to the query itself will return a new filtered result set and could therefore produce more accurate results.

クエリにフィルターを追加するAdd a filter to the query

各レコードの左には矢印があります。There is an arrow to the left of each record. この矢印をクリックすると、そのレコードの詳細が表示されます。Click this arrow to open the details for a specific record.

列名にカーソルを移動すると、[+] アイコンと [-] アイコンが表示されます。Hover above a column name for the "+" and "-" icons to display. 同じ値のレコードのみを返すフィルターを追加するには、[+] 記号をクリックします。To add a filter that will return only records with the same value, click the "+" sign. この値を含むレコードを除外するには、[-] をクリックし、 [実行] をクリックしてもう一度クエリを実行します。Click "-" to exclude records with this value and then click Run to run the query again.

クエリにフィルターを追加する

テーブル要素をフィルター処理するFilter through the table elements

次に、重大度が Error のイベントに注目してみましょう。Now let's focus on events with a severity of Error. これは EventLevelName という名前の列で指定されています。This is specified in a column named EventLevelName. この列を表示するには、右にスクロールする必要があります。You'll need to scroll to the right to see this column.

列タイトルの横にある [フィルター] アイコンをクリックし、ポップアップ ウィンドウで [テキスト フィルター] の [指定の値で始まる] を選択し、「error」というテキストを指定します。Click the Filter icon next to the column title, and in the pop-up window select values that Starts with the text error:

filter

結果の並べ替えとグループ化Sort and group results

結果は、過去 24 時間で作成された SQL Server のエラー イベントのみを含むように絞り込まれています。The results are now narrowed down to include only error events from SQL Server, created in the last 24 hours. ただし、結果はどのような方法でも並べ替えられていません。However, the results are not sorted in any way. たとえば、timestamp のような特定の列で結果を並べ替えるには、列のタイトルをクリックします。To sort the results by a specific column, such as timestamp for example, click the column title. 1 回のクリックで昇順に並べ替えられ、2 回目のクリックで降順に並べ替えられます。One click sorts in ascending order while a second click will sort in descending.

列の並べ替え

結果は、グループで整理することもできます。Another way to organize results is by groups. 列ヘッダーを他の列の上にドラッグするだけで、特定の列で結果をグループ化できます。To group results by a specific column, simply drag the column header above the other columns. サブグループを作成する場合も、他の列を上部のバーにドラッグします。To create subgroups, drag other columns the upper bar as well.

グループ

表示する列を選択するSelect columns to display

多くの場合、結果のテーブルには多数の列が含まれています。The results table often includes a lot of columns. 返される列の一部が既定で表示されない場合や、表示されている列の一部を非表示にする場合があります。You might find that some of the returned columns are not displayed by default, or you may want to remove some the columns that are displayed. 表示する列を選択するには、[列] ボタンをクリックします。To select the columns to show, click the Columns button:

Select columns

時間の範囲を選択するSelect a time range

既定では、Log Analytics では 過去 24 時間 の時間範囲が適用されます。By default, Log Analytics applies the last 24 hours time range. 別の範囲を使用するには、時刻の選択ツールで別の値を選択し、 [実行] をクリックします。To use a different range, select another value through the time picker and click Run. 事前設定されている値に加えて、 [カスタムの時間の範囲] オプションを使用して、クエリの絶対範囲を選択することができます。In addition to the preset values, you can use the Custom time range option to select an absolute range for your query.

時刻の選択ツール

カスタムの時間の範囲を選択すると、選択した値は UTC で表示されます。これは、ローカルのタイム ゾーンとは異なる場合があります。When selecting a custom time range, the selected values are in UTC, which could be different than your local time zone.

クエリに TimeGenerated のフィルターが明示的に含まれている場合は、時刻の選択ツールのタイトルに "Set in query" と表示されます。If the query explicitly contains a filter for TimeGenerated, the time picker title will show Set in query. 競合を避けるため、手動の選択は無効になります。Manual selection will be disabled to prevent a conflict.

グラフCharts

クエリの結果はテーブルに返されるだけでなく、クエリ結果をビジュアル形式で表示することができます。In addition to returning results in a table, query results can be presented in visual formats. 次のクエリを例として使用します。Use the following query as an example:

Event 
| where EventLevelName == "Error" 
| where TimeGenerated > ago(1d) 
| summarize count() by Source 

既定では、結果はテーブルに表示されます。By default, results are displayed in a table. [グラフ] をクリックすると、結果がグラフィック ビューで表示されます。Click Chart to see the results in a graphic view:

横棒グラフ

結果は、積み上げ横棒グラフで表示されます。The results are shown in a stacked bar chart. [積み上げ縦棒] をクリックし、 [円] を選択して結果を別のビューで表示します。Click Stacked Column and select Pie to show another view of the results:

円グラフ

x 軸や y 軸などのビューのさまざまなプロパティ、またはグループ化と分割の設定は、コントロール バーから手動で変更できます。Different properties of the view, such as x and y axes, or grouping and splitting preferences, can be changed manually from the control bar.

レンダリング演算子を使用して、クエリ自体に優先ビューを設定することもできます。You can also set the preferred view in the query itself, using the render operator.

スマート診断Smart diagnostics

時間グラフでデータの急激な増加や変化がある場合、線上に強調表示された点が表示されることがあります。On a timechart, if there is a sudden spike or step in your data, you may see a highlighted point on the line. これは、Smart Diagnostics によって、急激な変化をフィルターで除外するプロパティの組み合わせが特定されたことを示しています。This indicates that Smart Diagnostics has identified a combination of properties that filter out the sudden change. 点をクリックしてフィルターの詳細を取得し、フィルター処理されたバージョンを確認します。Click the point to get more detail on the filter, and to see the filtered version. これにより、変化の原因を特定できる場合があります。This may help you identify what caused the change:

スマート診断

[ダッシュボードにピン留めする]Pin to dashboard

いずれかの共有ダッシュボードにダイアグラムまたはテーブルをピン留めするには、ピン アイコンをクリックします。To pin a diagram or table to one of your shared Azure dashboards, click the pin icon. なお、このアイコンは、次のスクリーンショットとは異なり、Log Analytics ウィンドウの一番上に移動されています。Note that this icon has moved to the top of the Log Analytics window, different from the screenshot below.

[ダッシュボードにピン留めする]

グラフをダッシュボードにピン留めする際は、特定の簡略化が適用されます。Certain simplifications are applied to a chart when you pin it to a dashboard:

  • テーブルの列と行:テーブルをダッシュボードにピン留めするには、列数が 4 つ以下である必要があります。Table columns and rows: In order to pin a table to the dashboard, it must have four or fewer columns. 最初の 7 行のみが表示されます。Only the top seven rows are displayed.
  • 時間の制限:クエリの対象は自動的に過去 14 日間のものに制限されます。Time restriction: Queries are automatically limited to the past 14 days.
  • ビン数の制限:多数の不連続ビンが表示されているグラフを表示すると、割合の低いビンは その他 のビンに自動的にグループ化されます。Bin count restriction: If you display a chart that has a lot of discrete bins, less populated bins are automatically grouped into a single others bin.

クエリの保存Save queries

便利なクエリを作成したら、クエリを保存したり、他のユーザーと共有したりすることができます。Once you've created a useful query, you might want to save it or share with others. [保存] アイコンは上部バーにあります。The Save icon is on the top bar.

クエリ ページ全体または 1 つのクエリを関数として保存することができます。You can save either the entire query page, or a single query as a function. 関数は他のクエリからも参照できるクエリです。Functions are queries that can also be referenced by other queries. クエリを関数として保存するには、関数のエイリアスを指定する必要があります。このエイリアスは、別のクエリから参照されるときに、このクエリの呼び出しに使用される名前です。In order to save a query as a function, you must provide a function alias, which is the name used to call this query when referenced by other queries.

関数を保存する

注意

クエリを保存するか保存されたクエリを編集するとき、 [名前] フィールドでは次の文字がサポートされます。a–z, A–Z, 0-9, -, _, ., <space>, (, ), |The following characters are supported - a–z, A–Z, 0-9, -, _, ., <space>, (, ), | in the Name field when saving or editing the saved query.

Log Analytics のクエリは、常に選択したワークスペースに保存され、そのワークスペースの他のユーザーと共有されます。Log Analytics queries are always saved to a selected workspace, and shared with other users of that workspace.

クエリを読み込むLoad queries

クエリ エクスプローラー アイコンは、右上の領域にあります。The Query Explorer icon is at the top-right area. クリックすると、すべての保存済みクエリがカテゴリ別に一覧表示されます。This lists all saved queries by category. また、後で見つけやすいように、特定のクエリを [お気に入り] にマークすることもできます。It also enables you to mark specific queries as Favorites to quickly find them in the future. 保存済みクエリをダブルクリックすると、現在のウィンドウに追加されます。Double-click a saved query to add it to the current window.

クエリ エクスプローラー

Log Analytics では、いくつかのエクスポート方法がサポートされています。Log Analytics supports several exporting methods:

  • Excel:結果を CSV ファイルとして保存します。Excel: Save the results as a CSV file.
  • Power BI:結果を Power BI にエクスポートします。Power BI: Export the results to Power BI. 詳細については、Azure Monitor ログ データを Power BI にインポートすることに関するページを参照してください。See Import Azure Monitor log data into Power BI for details.
  • リンクの共有:クエリ自体をリンクとして共有できます。そのリンクは、同じワークスペースにアクセスできる他のユーザーが送信および実行することができます。Share a link: The query itself can be shared as a link which can then be sent and executed by other users that have access to the same workspace.

次の手順Next steps