Abfragen von Basisprotokollen in Azure Monitor

Artikel
11/02/2023

Basisprotokolltabellen reduzieren die Kosten für die Erfassung von ausführlichen Protokollen mit hohem Volumen und ermöglichen das Abfragen der darin gespeicherten Daten mithilfe einer begrenzten Anzahl von Protokollabfragen. In diesem Artikel wird erläutert, wie Sie Daten aus Basisprotokolltabellen abfragen.

Weitere Informationen finden Sie unter Festlegen des Protokolldatenplans einer Tabelle.

Hinweis

Andere Tools, die die Azure-API für Abfragen verwenden (z. B. Grafana und Power BI), können nicht auf Basisprotokolle zugreifen.

Erforderliche Berechtigungen

Sie müssen über Microsoft.OperationalInsights/workspaces/query/*/read-Berechtigungen für die Log Analytics-Arbeitsbereiche verfügen, die Sie abfragen, wie sie z. B. von der integrierten Log Analytics-Reader-Rolle bereitgestellt werden.

Einschränkungen

Für Abfragen mit Basisprotokollen gelten die folgenden Einschränkungen:

KQL-Spracheinschränkungen

Protokollabfragen für Basisprotokolle sind für den einfachen Datenabruf mit einer Teilmenge der KQL-Sprache optimiert, einschließlich der folgenden Operatoren:

Sie können alle Funktionen und binären Operatoren innerhalb dieser Operatoren verwenden.

Uhrzeitbereich

Geben Sie den Zeitbereich im Abfrageheader in Log Analytics oder im API-Aufruf an. Sie können den Zeitbereich im Abfragetext nicht mithilfe einer where-Anweisung angeben.

Abfragekontext

Abfragen mit Basisprotokollen müssen einen Arbeitsbereich für den Bereich verwenden. Abfragen können nicht mithilfe einer anderen Ressource für den Bereich ausgeführt werden. Weitere Informationen finden Sie unter Protokollabfragebereich und Zeitbereich in Azure Monitor Log Analytics.

Gleichzeitige Abfragen

Sie können zwei gleichzeitige Abfragen pro Benutzer*in ausführen.

Bereinigen

Sie können keine personenbezogenen Daten aus Basisprotokolltabellen löschen.

Ausführen einer Abfrage für eine Basisprotokolltabelle

Das Erstellen einer Abfrage mithilfe von Basisprotokollen ist identisch mit jeder anderen Abfrage in Log Analytics. Wenn Sie mit diesem Prozess nicht vertraut sind, finden Sie weitere Informationen unter Log Analytics-Tutorial .

Portal
API

Wählen Sie im Azure-Portal Überwachen>Protokolle>Tabellen aus.

In der Liste der Tabellen können Sie Basisprotokolltabellen anhand ihres eindeutigen Symbols erkennen:

Sie können auch auf einen Tabellennamen zeigen, um die Tabelleninformationsansicht zu öffnen, die angibt, dass die Tabelle als Basisprotokolle konfiguriert ist:

Wenn Sie der Abfrage eine Tabelle hinzufügen, identifiziert Log Analytics eine Basisprotokolltabelle und richtet die Erstellungsfunktion entsprechend aus. Das folgende Beispiel zeigt, was passiert, wenn Sie versuchen, einen Operator zu verwenden, der von Basisprotokollen nicht unterstützt wird.

Verwenden Sie /search über die Log Analytics-API, um unter Verwendung einer REST-API eine Abfrage mit Basisprotokollen auszuführen. Dies ähnelt der /query-API mit den folgenden Unterschieden:

Die Abfrage unterliegt den zuvor beschriebenen Spracheinschränkungen.
Die Zeitspanne muss im Header der Anforderung und nicht in der Abfrageanweisung angegeben werden.

Beispiel für eine Anforderung

https://api.loganalytics.io/v1/workspaces/testWS/search?timespan=P1D

Anforderungstext

{
    "query": "ContainerLogV2 | where Computer ==  \"some value\"\n",
}

Preismodell

Die Gebühr für eine Abfrage zu den Basisprotokollen basiert auf der Datenmenge, die die Abfrage überprüft, was von der Größe der Tabelle und dem Zeitbereich der Abfrage beeinflusst wird. Beispielsweise werden für eine Abfrage, die Daten für drei Tage in einer Tabelle überprüft, die täglich 100 GB erfasst, 300 GB in Rechnung gestellt.

Weitere Informationen finden Sie unter Azure Monitor-Preise.