Log Analytics Workspace Insights

Log Analytics Workspace Insights では、ワークスペースの使用量、パフォーマンス、正常性、エージェント、クエリ、変更ログの包括的な監視を行います。 この記事は、Log Analytics Workspace Insights をオンボードし使用する方法を理解するのに役立ちます。

必要なアクセス許可

• たとえば、Log Analytics 閲覧者の組み込みロールによって提供される分析情報を表示する Log Analytics ワークスペースへのアクセス許可が必要Microsoft.OperationalInsights/workspaces/readです。
• 追加の使用状況クエリを実行するには、たとえば、Log Analytics 閲覧者の組み込みロールによって提供されるアクセス許可が必要*/readです。

Log Analytics ワークスペースの概要

Azure Monitor Insights で Log Analytics Workspace Insights にアクセスすると、大規模な分析観点の画面が表示されます。 ここで、次のことを行うことができます。

• 自分のワークスペースが世界中にどのように広がっているかを確認します。
• 保持期間を確認します。
• 色分けされた上限とライセンスの詳細を確認します。
• ワークスペースを選択して、その分析情報を表示します。

Log Analytics Workspace Insights を大規模に開始するには:

1. Azure portal にサインインします。

2. Azure portal の左側のウィンドウで [モニター] を選択します。 [Insights Hub] セクションで、[Log Analytics Workspace Insights] を選択します。

Log Analytics ワークスペースの分析情報を見る

特定ワークスペースのコンテキストで分析情報を使用して、ワークスペースのパフォーマンス、使用状況、正常性、エージェント、クエリ、変更内容など、豊富なデータと分析結果を表示することができます。

Log Analytics Workspace Insights にアクセスする方法

1. Azure Monitor から Log Analytics Workspace Insights を開きます (前述)。

2. 詳細を確認するワークスペースを選択します。

または、次の手順を実行します:

1. Azure portal で、Log Analytics Workspaces を選択します。

2. Log Analytics ワークスペースを選択します。

3. [モニター] の ワークスペース メニューで、[分析情報] を選択します。

データはタブで整理されています。 上部の時間の範囲の既定値は 24 時間であり、すべてのタブに適用されます。 一部のグラフと表には、タイトルが示すとおり、異なる対象期間が適用されます。

[概要] タブ

[概要] タブには、次の情報が表示されます:

• 主要な統計情報と設定:

  • ワークスペースの 1 カ月ごとのインジェスト量。
  • ハートビートを送信したマシン数。 つまり、選択した時間の範囲でこのワークスペースに接続されているマシンです。
  • 指定した期間の範囲で最後の 1 時間にハートビートを送信していないマシン。
  • データ保持期間のセット。
  • 1 日あたりの上限セットと、直近日において既に取り込まれているデータの量。

• 上位 5 テーブル: 過去 1 か月間に最も多く取り込まれた 5 つのテーブルを分析するグラフ:

  • 各テーブルに取り込まれたデータの量。
  • 1 日あたりのそれぞれに対するインジェスト量。急増や急減を視覚的に示します。
  • インジェストの異常: これらのテーブルに対するインジェストで特定された急増/急減のリスト。

[使用] タブ

このタブにはダッシュボードが表示されます。

[使用状況] ダッシュボード

このタブでは、ワークスペースの使用量の情報を見ることができます。 ダッシュボード サブタブには、インジェスト データがテーブル形式で表示されます。 既定では、選択した時間の範囲内で最も多く取り込まれた 5 つのテーブルが表示されます。 これらと同じテーブルが [概要] ページにも表示されます。 [ワークスペース テーブル] ドロップダウンを使用して、表示するテーブルを選択できます。

• メイン グリッド: テーブルはソリューション別にグループ化され、各テーブルに関する情報が示されます:

  • 選択した時間の範囲内に取り込まれたデータの量。
  • 選択した時間の範囲のインジェスト量全体のうち、このテーブルが占める割合: この情報は、インジェストに最も影響を与えるテーブルを特定するのに役立ちます。 次のスクリーンショットでは、AzureDiagnostics と ContainerLog だけで、このワークスペースに取り込まれたデータのうち 3 分の 2 (64%) 以上を占めていることがわかります。
  • 各テーブルの使用状況統計の最終更新: 使用状況統計は通常、1 時間ごとに更新されます。 使用状況統計の更新は、定期的に行われるサービス内部の操作です。 そのデータの更新の遅延は、データを正しく解釈するために知っておく目的でのみ示されています。 実行する必要があるアクションはありません。
  • 料金請求: 料金を請求するテーブルとしないテーブルを示します。

• テーブル別の詳細情報: ページ下部に、メイン グリッドで選択しているテーブルの詳細情報が表示されます:

  • インジェストの量: 各リソースからそのテーブルに取り込まれたデータの量と、その推移。 このテーブルに送信された全量のうち 30% 以上を取り込んでいるリソースには、警告サインが付けられます。

  • インジェストの待機時間: インジェストにかかった時間。このテーブルに送信された要求の、50 番目、90 番目、95 番目のパーセンタイルで解析されます。 この領域の上部のグラフには、選択したパーセンタイルの要求の、最初から最後までの合計インジェスト時間が示されます。 これは、イベントが発生してからワークスペースに取り込まれるまでです。

    その下にあるグラフには、エージェントの待機時間が個別に示されます。これは、エージェントがワークスペースにログを送信するのにかかった時間です。 このグラフには、パイプラインの待機時間も示されます。これは、サービスがデータを処理してワークスペースにプッシュするのにかかった時間です。

その他の使用量クエリ

[追加のクエリ] サブタブでは、すべてのワークスペース テーブルで実行されるクエリの情報を確認できます (1 時間ごとに更新される使用状況メタデータには左右されません)。 これらのクエリは、はるかに広範で効率が悪いため、自動的には実行されません。 ワークスペースへのログ送信量が最も多いリソースに関する有益な情報が明らかになる場合があり、コスト削減にもつながるかもしれません。

それらのクエリの 1 つに、このワークスペースへのログ送信量が最も多い Azure リソース があります (上位 50 個を表示)。 デモ ワークスペースでは、3 つの Kubernetes クラスターが他のすべてのリソースを組み合わせたよりもはるかに多くのデータを送信していることがわかります。 1 つのクラスターが最も多くワークスペースを読み込みます。

[正常性] タブ

このタブには、ワークスペースの正常性状態、それを最後にレポートした時刻、操作のエラーと警告が、_LogOperation テーブルから取得され表示されます。 一覧表示される問題と軽減策の手順の詳細については、「Azure Monitor で Log Analytics ワークスペースの正常性を監視する」を参照してください。

[エージェント] タブ

このタブでは、このワークスペースにログを送信するエージェントの情報を見ることができます。

• 操作のエラーと警告: これらのエラーと警告は、特にエージェントに関連したものです。 これらは、発生する可能性のあるさまざまな問題をより明確に示すために、エラー/警告のタイトル別にグループ化されます。 展開すると、正確な時刻と参照先リソースを表示できます。 [ログでクエリを実行する] を選択すると、[ログ] エクスペリエンスによって _LogOperation テーブルに対するクエリを実行して生データを確認し、さらに分析することができます。
• ワークスペース エージェント: これらのエージェントは、選択した時間の範囲内にワークスペースにログを送信したエージェントです。 エージェントの種類と正常性状態を確認できます。 正常とマークされたエージェントが、必ずしも正常に動作しているとは限りません。 このマークは、直近の 1 時間にハートビートを送信したことを示しているだけです。 詳細な正常性状態は、グリッド内に示されます。
• エージェントの活動: このグリッドには、すべてのエージェント、正常なエージェント、または異常なエージェントの情報が表示されます。 ここでも同様に、正常は、そのエージェントが直近の 1 時間にハートビートを送信したことを示しているだけです。 詳細な状態を把握するには、グリッドに示される傾向を確認してください。 このエージェントが時間の経過に伴い送信したハートビートの数が示されます。 実際の正常性状態は、監視対象リソースがどのように動作しているかを把握している場合にのみ推測できます。 たとえば、コンピューターを特定の時刻に意図的にシャットダウンした場合、それに合わせて、エージェントのハートビートが断続的に止まっているように見えることが予想されます。

[クエリ監査] タブ

クエリ監査では、ワークスペースで実行したクエリのログを作成します。 有効にした場合、このデータは、クエリのパフォーマンス、効率、負荷を理解し改善するのに役立ちます。 ワークスペースでクエリ監査を有効にしたい場合、またはそのことについて詳しく知りたい場合は、Azure Monitor Logs による監査クエリに関する記事をご覧ください。

パフォーマンス

このタブでは、次のものを確認できます。

• クエリ実行時間: 95 番目のパーセンタイルと 50 番目のパーセンタイル (中間値) の実行時間 (ミリ秒単位) を時間の経過に伴い表示します。
• 返された行数: 行数の 95 番目のパーセンタイルと 50 番目のパーセンタイル (中間値) を時間の経過に伴い表示します。
• データ処理量: すべての要求における処理済みデータの 95 番目のパーセンタイル、50 番目のパーセンタイル、およびその合計を、時間の経過に伴い表示します。
• 応答コード: 選択した時間の範囲内のすべてのクエリに対する応答コードの分布。

低速で非効率なクエリ

[ 低速および非効率的なクエリ ] サブタブには、再考する可能性がある低速で非効率的なクエリを特定するのに役立つ 2 つのグリッドが表示されます。 これらのクエリは、ワークスペースに不要な慢性的負荷をかけるため、ダッシュボードやアラートでは使用しないでください。

• 最も多くのリソースを消費するクエリ: 最も CPU を必要とする 10 個のクエリです。各クエリの処理済みデータの量 (KB)、時間の範囲、テキストも合わせて表示されます。
• 最も低速なクエリ: 最も低速な 10 個のクエリ。各クエリの時間の範囲とテキストも合わせて表示されます。

クエリ ユーザー

[ユーザー] サブタブでは、このワークスペースに対するユーザーの操作を確認できます:

• ユーザーごとのクエリ: 選択した時間の範囲内に各ユーザーが実行したクエリの数。
• 制限を受けたユーザー: ワークスペースに対するクエリが多すぎるため、クエリの実行に制限を受けたユーザー。

[変更ログ] タブ

このタブには、選択した時間の範囲にかかわらず、過去 90 日間にワークスペースの構成に対して行われた変更が表示されます。 また、変更を行ったユーザーも表示されます。 これは、データ処理量の上限やワークスペースのライセンスなど、ワークスペースの重要な設定を変更するユーザーを監視することを目的としています。

次のステップ

ブックがサポートするように設計されているシナリオ、新規レポートの作成方法と既存レポートのカスタマイズ方法などについては、「Azure Monitor ブックを使用した対話型レポートの作成」をご覧ください。