Azure Monitor ログの基本および補助テーブルのデータのクエリを実行する
基本および補助ログ テーブルを使用すると、大量の詳細ログを取り込むコストが削減され、制限付きで格納されているデータのクエリを実行できるようになります。 この記事では、基本および補助ログ テーブルのデータのクエリを実行する方法について説明します。
基本および補助テーブル プランの詳細については、「Azure Monitor ログの概要: テーブル プラン」を参照してください。
Note
Azure API を使用してクエリを実行する他のツール (Power BI など) は、基本および補助テーブルのデータにアクセスできません。
必要なアクセス許可
クエリを実行する Log Analytics ワークスペースに対し、Microsoft.OperationalInsights/workspaces/query/*/read
アクセス許可が必要です。これは、たとえば、Log Analytics 閲覧者組み込みロールによって提供されます。
制限事項
基本および補助テーブルのデータに対するクエリには、次の制限があります。
Kusto 照会言語 (KQL) 言語の制限事項
基本または補助テーブルのデータのクエリでは、すべての KQL スカラーおよび集計関数がサポートされます。 ただし、基本または補助テーブルのクエリは単一のテーブルに制限されます。 そのため、次の制限が適用されます。
時間の範囲
Log Analytics のクエリ ヘッダーまたは API 呼び出しで時間範囲を指定します。 where ステートメントを使用してクエリ本文で時間範囲を 指定することはできません。
クエリ スコープ
Log Analytics ワークスペースをクエリのスコープとして設定します。 スコープの別のリソースを使用してクエリを実行することはできません。 クエリ スコープの詳細については、「Azure Monitor Log Analytics のログ クエリのスコープと時間の範囲」を参照してください。
同時クエリ
ユーザーごとに 2 つの同時クエリを実行できます。
補助ログ クエリのパフォーマンス
補助テーブル内のデータのクエリは最適化されていないため、分析および基本テーブルで実行するクエリよりも結果が返されるまでに時間がかかる場合があります。
消去
基本および補助テーブルから個人データを削除することはできません。
基本および補助テーブルに対してクエリを実行する
基本または補助テーブルに対するクエリの実行は、Log Analytics の他のテーブルのクエリの実行と同じです。 このプロセスについてよく知らない場合は、「Azure Monitor Log Analytics の使用を開始する」を参照してください。
Azure portal で、[モニター]、[ログ]、[テーブル] の順に選択します。
テーブルの一覧では、一意のアイコンで基本および補助テーブルを特定できます。
また、テーブル名の上にマウスを置くとテーブル情報ビューが表示され、そのテーブルに基本テーブル プランまたは補助テーブル プランがあることが示されます。
クエリにテーブルを追加すると、Log Analytics によって基本または補助テーブルが特定され、それに応じて作成エクスペリエンスが調整されます。
価格モデル
基本および補助テーブルに対するクエリの料金は、クエリがスキャンするデータの量に基づいており、テーブルのサイズとクエリの時間の範囲によって異なります。 スキャンされるデータは、クエリ対象のテーブルに対してクエリで指定された時間内に取り込まれたデータの量として定義されます。 たとえば、毎日 100 GB を取り込むテーブル内の 3 日間のデータをスキャンするクエリは、300 GB に対して課金されます。
詳細については、「Azure Monitor の価格」を参照してください。