Étendue de requête de journal et intervalle de temps dans la fonctionnalité Log Analytics d’Azure Monitor
Lorsque vous exécutez un requête de journal à l’aide de la fonctionnalité Log Analytics sur le portail Azure, le jeu de données évalué par la requête dépend de l’étendue et de l’intervalle de temps que vous sélectionnez. Cet article décrit l’étendue et l’intervalle de temps, ainsi que la manière de les définir selon vos besoins. Il décrit également le comportement des différents types d’étendues.
Autorisations requises
Vous devez disposer d’autorisations Microsoft.OperationalInsights/workspaces/query/*/read dans les espaces de travail Log Analytics que vous interrogez, comme fourni par le rôle intégré de Lecteur Log Analytics, par exemple.
Étendue de requête
L’étendue de la requête définit les enregistrements évalués par la requête. Cette définition inclura généralement tous les enregistrements dans un seul espace de travail Log Analytics ou une seule application Application Insights. Log Analytics vous permet également de définir une étendue pour une ressource Azure surveillée particulière. Un propriétaire de ressources peut ainsi se concentrer uniquement sur ses données, même si cette ressource écrit dans plusieurs espaces de travail.
L’étendue est toujours affichée en haut à gauche de la fenêtre de Log Analytics. Une icône indique si l’étendue est un espace de travail Log Analytics ou une application Application Insights. Aucune icône n’indique une autre ressource Azure.
La méthode utilisée pour démarrer Log Analytics détermine l’étendue et, dans certains cas, vous pouvez modifier l’étendue en cliquant dessus. Le tableau suivant répertorie les différents types d’étendues utilisés et différents détails pour chacun d’eux.
Important
Si vous utilisez une application basée sur un espace de travail dans Application Insights, ses données sont stockées dans un espace de travail Log Analytics avec toutes les autres données de journal. Pour la compatibilité descendante, vous bénéficierez de l’expérience classique d’Application Insights en sélectionnant l’application comme étendue. Pour afficher ces données dans l’espace de travail Log Analytics, définissez l’étendue sur l’espace de travail.
| Étendue de requête | Enregistrements dans l’étendue | Comment sélectionner | Modification de l’étendue |
|---|---|---|---|
| Espace de travail Log Analytics | Tous les enregistrements dans l’espace de travail Log Analytics. | Sélectionnez Journaux dans le menu Azure Monitor ou le menu Espaces de travail Log Analytics. | Peut modifier l’étendue en la définissant sur tout autre type de ressource. |
| Application Application Insights | Tous les enregistrements dans l’application Application Insights. | Sélectionnez Journaux dans le menu Application Insights de l’application. | Peut modifier uniquement l’étendue en la définissant sur toute autre application Application Insights. |
| Resource group | Enregistrements créés par toutes les ressources du groupe de ressources. Peut inclure des données de plusieurs espaces de travail Log Analytics. | Sélectionnez Journaux dans le menu du groupe de ressources. | Impossible de modifier l’étendue. |
| Abonnement | Enregistrements créés par toutes les ressources dans l’abonnement. Peut inclure des données de plusieurs espaces de travail Log Analytics. | Sélectionnez Journaux dans le menu d’abonnement. | Impossible de modifier l’étendue. |
| Autres ressources Azure | Enregistrements créés par la ressource. Peut inclure des données de plusieurs espaces de travail Log Analytics. | Sélectionnez journaux dans le menu de ressources. OR Sélectionnez journaux dans le menu Azure Monitor menu, puis sélectionnez une nouvelle étendue. |
Ne peut modifier l’étendue qu’avec le même type de ressource. |
Limitations en cas d’étendue à une ressource
Lorsque l’étendue de requête est un espace de travail Log Analytics ou une application Application Insights, toutes les options du portail et toutes les commandes de requête sont disponibles. Cependant, en cas d’étendue à une ressource, les options suivantes dans le portail ne sont pas disponibles, car elles sont associées à un espace de travail ou à une application uniques :
- Enregistrer
- Explorateur de requêtes
- Nouvelle règle d’alerte
Vous ne pouvez pas utiliser les commandes suivantes dans une requête étendue à une ressource, car l’étendue de la requête inclut déjà les espaces de travail contenant des données pour cette ressource ou cet ensemble de ressources :
Limites d’étendue de requête
La définition de l’étendue sur une ressource ou un ensemble de ressources est une fonctionnalité puissante de Log Analytics dans la mesure où elle vous permet de consolider automatiquement les données distribuées dans une seule requête. Toutefois, cela peut affecter considérablement les performances si les données doivent être récupérées à partir d’espaces de travail dans plusieurs régions Azure.
Log Analytics vous aide à vous protéger contre une surcharge excessive des requêtes qui s’étendent sur des espaces de travail dans plusieurs régions en émettant un avertissement ou une erreur quand un certain nombre de régions sont utilisées. Votre requête reçoit un avertissement si l’étendue comprend des espaces de travail dans 5 régions ou plus. L’exécution se déroulera quand même, mais cela peut prendre trop de temps pour s’achever.
L’exécution de votre requête sera bloquée si l’étendue comprend des espaces de travail dans 20 régions ou plus. Dans ce cas, vous serez invité à réduire le nombre de régions de l’espace de travail et à essayer de réexécuter la requête. La liste déroulante affiche toutes les régions dans l’étendue de la requête, et vous devez réduire le nombre de régions avant de tenter de réexécuter la requête.
Plage temporelle
L’intervalle de temps spécifie le jeu d’enregistrements évalués pour la requête en fonction du moment de création de l’enregistrement. Cela est défini par la colonne TimeGenerated sur chaque enregistrement dans l’espace de travail ou l’application, comme spécifié dans le tableau suivant. Dans le cas d’une application Application Insights classique, la colonne timestamp est utilisée pour l’intervalle de temps.
Définissez l’intervalle de temps en le sélectionnant dans le sélecteur de temps en haut de la fenêtre de Log Analytics. Vous pouvez sélectionner une période prédéfinie ou choisir Personnaliser pour spécifier un intervalle de temps spécifique.
Si vous définissez un filtre dans la requête qui utilise la colonne d’heure standard comme indiqué dans le tableau ci-dessus, le sélecteur de temps est désactivé et remplacé par l’option Définir dans la requête. Dans ce cas, l’approche la plus efficace consiste à placer le filtre en haut de la requête afin que tout traitement ultérieur doive uniquement porter sur les enregistrements filtrés.
Si vous utilisez la commande workspace ou app pour récupérer des données d’un autre espace de travail ou d’une autre application classique, le sélecteur d’heure peut se comporter différemment. Si l’étendue est un espace de travail Log Analytics et que vous utilisez app, ou si l’étendue est une application Application Insights classique et que vous utilisez workspace, Log Analytics pourrait ne pas comprendre que la colonne utilisée dans le filtre doit déterminer le filtre de temps.
Dans l’exemple suivant, l’étendue est définie sur un espace de travail Log Analytics. La requête utilise la commande workspace pour récupérer des données d’un autre espace de travail Log Analytics. Le sélecteur d’heure est remplacé par l’option Définir dans la requête parce qu’il voit un filtre qui utilise la colonne attendue TimeGenerated.
Si la requête utilise la commande app pour récupérer des données d’une application Application Insights classique, Log Analytics ne reconnaît pas la colonne timestamp dans le filtre et le sélecteur d’heure reste inchangé. Dans ce cas, les deux filtres sont appliqués. Dans l’exemple, seuls les enregistrements créés au cours des dernières 24 heures sont inclus dans la requête, même si celle-ci spécifie 7 jours dans la clause where.
