Azure Monitor で基本ログに対してクエリを実行する

基本ログ テーブルによって、大量の冗長ログを取り込むコストが減り、限られたログ クエリ セットを利用し、格納されているデータを問い合わせることができます。 この記事では、基本ログ テーブルのデータにクエリを実行する方法について説明します。

詳細については、「テーブルのログ データ プランを設定する」を参照してください。

注意

Azure API を使用してクエリを実行するその他のツール (Grafana や Power BI など) は、基本ログにアクセスできません。

必要なアクセス許可

クエリを実行する Log Analytics ワークスペースに対し、Microsoft.OperationalInsights/workspaces/query/*/read アクセス許可が必要です。これは、たとえば、Log Analytics 閲覧者組み込みロールによって提供されます。

制限事項

基本ログを使用するクエリには、次の制限があります。

KQL 言語の制限

基本ログに対するログ クエリは、次の演算子を含む KQL 言語のサブセットを使用した単純なデータ取得用に最適化されています。

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

これらの演算子内では、すべての関数と 2 項演算子を使用できます。

時間の範囲

Log Analytics のクエリ ヘッダーまたは API 呼び出しで時間範囲を指定します。 where ステートメントを使用してクエリ本文で時間範囲を 指定することはできません。

クエリ コンテキスト

基本ログを使用するクエリでは、スコープにワークスペースを使用する必要があります。 スコープの別のリソースを使用してクエリを実行することはできません。 詳細については、「Azure Monitor Log Analytics のログ クエリのスコープと時間範囲」を参照してください。

同時クエリ

ユーザーごとに 2 つの同時クエリを実行できます。

消去

基本ログ テーブルから個人データを消去することはできません。

基本的なログテーブルにクエリを実行する

基本ログを使用したクエリの作成は、Log Analytics の他のクエリと同じです。 このプロセスについてよく知らない場合は、「Azure Monitor Log Analytics の使用を開始する」を参照してください。

ポータル

Azure portal で、[モニター]、[ログ]、[テーブル] の順に選択します。

テーブルの一覧では、一意のアイコンで基本ログ テーブルを特定できます。

テーブル名の上にカーソルを合わせるとテーブル情報が表示されます。テーブルが基本ログとして構成されていることが指定されます。

クエリにテーブルを追加すると、Log Analytics によって基本ログ テーブルが識別され、作成エクスペリエンスが適切に調整されます。 次の例は、基本ログでサポートされていない演算子を使用する場合を示しています。

API

Log Analytics API の /search を使用し、REST API を使用して基本ログのクエリを実行します。 これは /query API に 似ていますが、次の違いがあります。

• クエリは、上記の言語制限の対象です。
• 期間は、クエリ ステートメントではなく、要求のヘッダーで指定する必要があります。

要求のサンプル

https://api.loganalytics.io/v1/workspaces/testWS/search?timespan=P1D

要求本文

{
    "query": "ContainerLogV2 | where Computer ==  \"some value\"\n",
}

価格モデル

基本ログのクエリの料金は、クエリがスキャンするデータの量に基づきます。これは、テーブルのサイズとクエリの時間範囲の影響を受けます。 たとえば、毎日 100 GB を取り込むテーブル内の 3 日間のデータをスキャンするクエリは、300 GB に対して課金されます。

詳細については、「Azure Monitor の価格」を参照してください。

次のステップ

• 基本ログと Analytics ログ プランについて詳しく学習する。
• 検索ジョブを使用して、基本ログから Analytics ログにデータを取得する (Analytics ログでクエリを複数回実行できます)。