Azure Monitor で基本ログに対してクエリを実行する
基本ログ テーブルによって、大量の冗長ログを取り込むコストが減り、限られたログ クエリ セットを利用し、格納されているデータを問い合わせることができます。 この記事では、基本ログ テーブルのデータにクエリを実行する方法について説明します。
詳細については、「テーブルのログ データ プランを設定する」を参照してください。
注意
Azure API を使用してクエリを実行するその他のツール (Grafana や Power BI など) は、基本ログにアクセスできません。
必要なアクセス許可
クエリを実行する Log Analytics ワークスペースに対し、Microsoft.OperationalInsights/workspaces/query/*/read
アクセス許可が必要です。これは、たとえば、Log Analytics 閲覧者組み込みロールによって提供されます。
制限事項
基本ログを使用するクエリには、次の制限があります。
KQL 言語の制限
基本ログに対するログ クエリは、次の演算子を含む KQL 言語のサブセットを使用した単純なデータ取得用に最適化されています。
これらの演算子内では、すべての関数と 2 項演算子を使用できます。
時間の範囲
Log Analytics のクエリ ヘッダーまたは API 呼び出しで時間範囲を指定します。 where ステートメントを使用してクエリ本文で時間範囲を 指定することはできません。
クエリ コンテキスト
基本ログを使用するクエリでは、スコープにワークスペースを使用する必要があります。 スコープの別のリソースを使用してクエリを実行することはできません。 詳細については、「Azure Monitor Log Analytics のログ クエリのスコープと時間範囲」を参照してください。
同時クエリ
ユーザーごとに 2 つの同時クエリを実行できます。
消去
基本ログ テーブルから個人データを消去することはできません。
基本的なログテーブルにクエリを実行する
基本ログを使用したクエリの作成は、Log Analytics の他のクエリと同じです。 このプロセスについてよく知らない場合は、「Azure Monitor Log Analytics の使用を開始する」を参照してください。
Azure portal で、[モニター]、[ログ]、[テーブル] の順に選択します。
テーブルの一覧では、一意のアイコンで基本ログ テーブルを特定できます。
テーブル名の上にカーソルを合わせるとテーブル情報が表示されます。テーブルが基本ログとして構成されていることが指定されます。
クエリにテーブルを追加すると、Log Analytics によって基本ログ テーブルが識別され、作成エクスペリエンスが適切に調整されます。 次の例は、基本ログでサポートされていない演算子を使用する場合を示しています。
価格モデル
基本ログのクエリの料金は、クエリがスキャンするデータの量に基づきます。これは、テーブルのサイズとクエリの時間範囲の影響を受けます。 たとえば、毎日 100 GB を取り込むテーブル内の 3 日間のデータをスキャンするクエリは、300 GB に対して課金されます。
詳細については、「Azure Monitor の価格」を参照してください。