Azure Monitor ログのテーブルと列を追加または削除する

データ収集ルールを使用すると、Azure テーブルまたはカスタム テーブルにデータを送信する前に、ログ データをフィルター処理して変換できます。 この記事では、カスタム テーブルを作成し、Log Analytics ワークスペース内のテーブルにカスタム列を追加する方法について説明します。

前提条件

カスタム テーブルを作成するには、以下が必要です。

• 少なくとも共同作成者権限がある Log Analytics ワークスペース。

• データ収集エンドポイント (DCE)。

• カスタム テーブルのスキーマを含む、次の形式の JSON ファイル。

  [
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    }
  ]
  

  TimeGenerated 形式の詳細については、「サポートされている datetime 形式」を参照してください。

カスタム テーブルを作成する

Azure テーブルには、定義済みのスキーマがあります。 ログ データを別のスキーマで格納するには、データ収集ルールを使用してデータを収集、変換し、Log Analytics ワークスペースのカスタム テーブルに送信する方法を定義します。

注意

非推奨の Log Analytics エージェント (MMA または OMS とも呼ばれます) で取り込むログ用のカスタム テーブルの作成については、「Log Analytics エージェントを使用してテキスト ログを収集する」を参照してください。

ポータル

Azure portal でカスタム テーブルを作成するには:

1. [Log Analytics ワークスペース] メニューから [テーブル] を選択します。

   

2. [作成] を選択してから、[New custom log (DCR based)] (新しいカスタム ログ (DCR ベース)) を選択します。

   

3. テーブルの名前と、必要に応じて説明を指定します。 _CL サフィックスをカスタム テーブルの名前に追加する必要はありません。これは、ポータルで指定した名前に自動的に追加されます。

4. [データ収集ルール] ドロップダウンから既存のデータ収集ルールを選択します。または、[新しいデータ収集ルールの作成] を選択して、新しいデータ収集ルールの [サブスクリプション]、[リソース グループ]、[名前] を指定します。

   

5. [データ収集エンドポイント] を選択し、[次へ] を選択します。

   

6. [ファイルの参照] を選択し、新しいテーブルのスキーマを定義した JSON ファイルを見つけます。

   

   Azure Monitor ログ内のすべてのログ テーブルには、ログに記録されたイベントのタイムスタンプを含む TimeGenerated 列が必要です。

7. テーブルに取り込む前にログ データを変換する場合:

   1. [変換エディター] を選択します。

      変換エディターを使用すると、受信データ ストリームの変換を作成できます。 これは、受信した各レコードに対して実行される KQL クエリです。 Azure Monitor ログでは、クエリの結果が変換先のテーブルに格納されます。

      

   2. [実行] をクリックして結果を表示します。

      

8. [適用] を選択して変換を保存し、作成しようとしているテーブルのスキーマを表示します。 [次へ] をクリックして続行します。

   

9. 最後の詳細を確認し、[作成] を選択してカスタム ログを保存します。

   

API

カスタム テーブルを作成するには、Tables - Create または Update API を呼び出します。

CLI

カスタム テーブルを作成するには、az monitor log-analytics workspace table create コマンドを実行します。

PowerShell

以下の PowerShell コードで、Tables - Update PATCH API を使用してテーブルを作成します。 このコードでは、2 つの列を含む MyTable_CL という名前のテーブルを作成します。 このスキーマを変更して、別のテーブルを収集します。

重要

カスタム テーブルには、_CL というサフィックスが付いています。たとえば tablename_CL です。 DataFlows Streams の tablename_CL は、Log Analytics ワークスペース内の tablename_CL 名と一致する必要があります。

1. Azure portal で [Cloud Shell] ボタンを選択して、環境が [PowerShell] に設定されていることを確認します。

   

2. 次の PowerShell コードをコピーし、Invoke-AzRestMethod コマンドの Path パラメーターをワークスペースの適切な値に置き換えます。 それを Cloud Shell のプロンプトに貼り付けて、実行します。

   $tableParams = @'
   {
       "properties": {
           "schema": {
               "name": "MyTable_CL",
               "columns": [
                   {
                       "name": "TimeGenerated",
                       "type": "DateTime"
                   }, 
                   {
                       "name": "RawData",
                       "type": "String"
                   }
               ]
           }
       }
   }
   '@
   
   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/MyTable_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
   

テーブルを削除する

Log Analytics ワークスペース内の Azure テーブルではない任意のテーブルを削除できます。

注意

復元されたテーブルを削除しても、ソース テーブルのデータは削除されません。

ポータル

Azure portal からテーブルを削除するには:

1. [Log Analytics ワークスペース] メニューから [テーブル] を選択します。

2. 削除するテーブルを名前で検索するか、[種類] フィールドで検索結果を選んで検索します。

   

3. 削除するテーブルを選択し、テーブルの右側にある省略記号 (...)、[削除] の順に選択します。「yes」と入力して削除を確定します。

   

API

テーブルを削除するには、Tables - Delete API を呼び出します。

CLI

テーブルを削除するには、az monitor log-analytics workspace table delete コマンドを実行します。

PowerShell

PowerShell を使用してテーブルを削除するには、次のようにします。

1. Azure portal で [Cloud Shell] ボタンを選択して、環境が [PowerShell] に設定されていることを確認します。

   

2. 次の PowerShell コードをコピーし、Invoke-AzRestMethod コマンドの Path パラメーターをワークスペースの適切な値に置き換えます。 それを Cloud Shell のプロンプトに貼り付けて、実行します。

   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/NewCustom_CL?api-version=2021-12-01-preview" -Method DELETE
   

カスタム列を追加または削除する

カスタム テーブルのスキーマの変更や、標準テーブルに対するカスタム列の追加や列の削除を行うことができます。

ポータル

Log Analytics ワークスペースのテーブルにカスタム列を追加するか、列を削除するには:

1. [Log Analytics ワークスペース] メニューから [テーブル] を選択します。

2. 編集するテーブルの右側にある省略記号 (...)、[スキーマの編集] の順に選択します。 [スキーマ エディター] 画面が開きます。

3. [スキーマ エディター] 画面の [カスタム列] セクションまで下にスクロールします。

   

4. 新しい列を追加するには:

   1. [列の追加] を選択します。
   2. 列の名前と説明 (省略可能) を設定し、[型] ドロップダウンから必要な値の型を選択します。
   3. [保存] を選択して新しい列を保存します。

5. 列を削除するには、削除する列の左側にある [削除] アイコンを選択します。

API

カスタム列を追加または削除するには、Tables - Create または Update API を呼び出します。

CLI

カスタム列を追加または削除するには、az monitor log-analytics workspace table update コマンドを実行します。

PowerShell

Azure またはカスタム テーブルに新しい列を追加するには、次を実行します。

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "<TableName>",
            "columns": [
                {
                    "name": ""<ColumnName>",
                    "description": "First custom column",
                    "type": "string",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/<TableName>?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

PUT 呼び出しを使用すると、更新されたテーブル プロパティが返され、そこに、新しく追加した列が含まれています。

例

このコマンドを実行して、Custom1_CF という名前のカスタム列を Azure Heartbeat テーブルに追加します。

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom1_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

ここで、新しく追加した列を削除し、代わりに別のものを追加するには、次を実行します。

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom2_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

テーブル内のすべてのカスタム列を削除するには、次を実行します。

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

次のステップ

各項目の詳細情報

• ログ インジェスト API を使用したログの収集
• Azure Monitor エージェントを使用したログの収集
• データ収集ルール