Log Analytics 簡易モードを使用してデータを分析する (プレビュー)

Log Analytics では、初級と上級両方のユーザー向けに、ログ データの探索と分析を簡単にする 2 つのモードが提供されるようになりました。

• 簡易モードでは、最もよく使われる Azure Monitor ログ機能が、スプレッドシートに似た直感的なエクスペリエンスで提供されます。 ポイントしてクリックするだけで、データのフィルター処理、並べ替え、集計を行い、必要な分析情報を 80% の時間で取得できます。
• KQL モードを使うと、高度なユーザーは Kusto 照会言語 (KQL) を最大限に活用し、Log Analytics クエリ エディターを使ってログからより深い分析情報を得ることができます。

簡易モードと KQL モードはシームレスに切り替えることができ、上級ユーザーから共有された複雑なクエリを使って、誰でも簡易モードで作業を続けることができます。

この記事では、Log Analytics 簡易モードを使用して、Azure Monitor ログのデータの探索と分析を行う方法について説明します。

次のビデオでは、簡易と KQL 両方のモードを使って Log Analytics のログのクエリを実行する方法の概要が説明されています。

Log Analytics の簡易モードを試す

現在、簡易モードはオプトイン エクスペリエンスです。 これを試すには、Log Analytics クエリ エディターの右上隅にある [新しい Log Analytics を試す] を選んでください。 従来の Log Analytics エクスペリエンスにいつでも切り替えることができます。

簡易モードのしくみ

簡易モードを使うと、1 回のクリックで 1 つ以上のテーブルからデータを取得して、すばやく始めることができます。 その後、一連のわかりやすいコントロールを使って、取得したデータの探索と分析を行います。

このセクションでは、Log Analytics の簡易モードで使用できるコントロールについて説明します。

上部のクエリ バー

簡易モードでは、データの操作と KQL モードへの切り替えのためのコントロールが上部のバーに表示されます。

オプション	説明
時間範囲	クエリで使用できるデータの時間範囲を選びます。 KQL モードでは、クエリで異なる時間範囲を設定した場合、タイム ピッカーで設定した時間範囲はオーバーライドされます。
制限	Log Analytics が簡易モードで取得するエントリの数を構成します。 既定の制限は 1000 です。 クエリの制限について詳しくは、「クエリ結果の制限を構成する」をご覧ください。
追加	「簡易モードでデータの探索と分析を行う」で説明されているようにして、フィルターを追加し、簡易モード演算子を適用します。
簡易/KQL モード	簡易モードと KQL モードを切り替えます。

左ウィンドウ

折りたたむことができる左側のペインでは、テーブル、例、および保存されているクエリ、関数、クエリ履歴にアクセスできます。

左ペインをピン留めすると、作業中も開いたままになります。必要なときにクエリ ウィンドウを最大にするには、左側のペインでアイコンを選びます。

オプション	説明
テーブル	選択したスコープに含まれるテーブルが一覧表示されます。 テーブルのグループを変更するには、 [グループ化] を選択します。 テーブル名をポイントすると、テーブルの説明とそのドキュメントへのリンクが表示されます。 テーブルを展開すると、その列が表示されます。 クエリを実行するテーブルを選びます。
クエリ	例と保存されたクエリの一覧を表示します。 これは、クエリ ハブにあるのと同じ一覧です。 クエリのグループを変更するには、 [グループ化] を選択します。 クエリをポイントすると、クエリの説明が表示されます。 クエリを選んで実行します。
関数	関数の一覧を表示します。これにより、定義済みのクエリ ロジックをログ クエリで再利用できます。
クエリの履歴	クエリ履歴の一覧を表示します。 クエリを選んで再実行します。

その他のツール

このセクションでは、このスクリーンショットで示されている、画面のクエリ領域の上で使用できるその他のツールを、左から右に説明します。

オプション	説明
タブ コンテキスト メニュー	クエリのスコープを変更します。または、タブの名前変更や複製を行ったり、タブを閉じたりします。
および	クエリをクエリ パックに保存するか、 関数として保存します。または、クエリをブック、Azure ダッシュボード、または Grafana ダッシュボードにピン留めします。
共有	クエリ、クエリ テキスト、またはクエリ結果へのリンクをコピーします。または、Excel、CSV、または Power BI にデータをエクスポートします。
新しいアラート ルール	新しいアラート ルールの作成。
検索ジョブ モード	検索ジョブを実行します。
Log Analytics の設定	タイム ゾーン、Log Analytics を最初に簡易または KQL どちらのモードで開くか、データのないテーブルを表示するかどうかなど、Log Analytics の既定の設定を定義します。
従来のログに切り替える	従来の Log Analytics ユーザー インターフェイスに戻します。
クエリ ハブ	最初に Log Analytics を開いたときに表示される [クエリの例] ダイアログを開きます。

簡易モードで作業を開始する

簡易モードでテーブルまたは定義済みのクエリや関数を選ぶと、Log Analytics によって関連するデータが自動的に取得されて、探索と分析が行われます。

これにより、Log Analytics をリソースまたはワークスペースのどちらのコンテキストで開いていても、1 回のクリックでログを取得できます。

作業を始めるには、次のようにします。

• [テーブルの選択] をクリックし、[テーブル] タブでテーブルを選んでテーブルのデータを表示します。

  

  または、左側のペインで [テーブル] を選んで、ワークスペース内のテーブルの一覧を表示します。

  

• 共有または保存されたクエリなどの既存のクエリ、またはクエリの例を使います。

  

• クエリ履歴からクエリを選びます。

  

• 関数を選びます。

  

  重要

  関数を使うと、クエリのロジックを再利用でき、多くの場合、入力パラメーターまたは追加のコンテキストが必要になります。 そのような場合、KQL モードに切り替えて必要な入力を指定するまで、関数は実行されません。

簡易モードでデータの探索と分析を行う

簡易モードで作業を始めた後は、上部のクエリ バーを使ってデータの探索と分析を行うことができます。

Note

フィルターと演算子を適用する順序は、クエリと結果に影響を与えます。 たとえば、フィルターを適用してから集計を行うと、Log Analytics はフィルター処理されたデータに集計を適用します。 集計を行ってからフィルター処理すると、フィルター処理されていないデータに集計が適用されます。

表示されるレコードの時間範囲と数を変更する

既定の簡易モードでは、テーブルから過去 24 時間の最新の 1,000 エントリが一覧表示されます。

表示される時間範囲とレコード数を変更するには、[時間範囲] と [制限] セレクターを使います。 結果の制限について詳しくは、「クエリ結果の制限を構成する」をご覧ください

列でフィルターする

1. [追加] を選んで、列を選びます。

   

2. フィルター処理する値を選ぶか、[検索] ボックスにテキストまたは数値を入力します。

   一覧から値を選んでフィルター処理する場合は、複数の値を選択できます。 一覧が長い場合は、[一部の結果が表示されていません] というメッセージが表示されます。 さらに多くの値を取得するには、一覧の一番下までスクロールして、[さらに結果を読み込む] を選びます。

   

テーブルで特定の値を持つエントリを検索する

1. [Search] を選択します。

   

2. [このテーブルを検索] ボックスに文字列を入力して、[適用] を選びます。

   Log Analytics によってテーブルがフィルター処理され、入力した文字列を含むエントリのみが表示されます。

重要

探しているデータが含まれる列がわかっている場合は、[フィルター] を使うことをお勧めします。 検索演算子はフィルター処理よりパフォーマンスが大幅に低く、大量のデータではうまく機能しない可能性があります。

集計データ

1. [集計] を選びます。

2. 「集計演算子を使用する」で説明されているように、集計する列を選んでから、集計に使う演算子を選びます。

   

列を表示または非表示にする

1. [列の表示] を選びます。

2. 表示する列を選択し、表示しない列をクリアしてから、[適用] を選びます。

   

列で並べ替え

1. [並べ替え] を選びます。

2. 並べ替えに使う列を選びます。

3. [昇順] または [降順] を選んでから、[適用] を選びます。

   

4. 別の列で並べ替えるには、[並べ替え] をもう一度選びます。

集計演算子を使用する

この表で説明するように、複数の行のデータを集計するには集計演算子を使います。

Operator	説明
count	各個別の値が列に存在する回数をカウントします。
dcount	dcount 演算子では、2 つの列を選びます。 この演算子は、1 つ目の列の各値に関連付けられている 2 つ目の列の個別の値の合計数をカウントします。 たとえば、次に示すのは、成功した操作と失敗した操作に対する結果コードの個別の数です。
sum avg max min	これらの演算子では、2 つの列を選びます。 これらの演算子は、1 つ目の列の各値について、2 つ目の列のすべての値の合計、平均、最大値、または最小値を計算します。 たとえば、次に示すのは、過去 24 時間の各操作の合計時間 (ミリ秒単位) です。

重要

基本的なログ テーブルでは、avg と sum 演算子を使った集計はサポートされていません。

モードを切り替える

モードを切り替えるには、クエリ エディターの右上隅にあるドロップダウンで [簡易モード] または [KQL モード] を選びます。

簡易モードでログのクエリを始めた後、KQL モードに切り替えると、簡易モードでの分析に関連する KQL クエリがクエリ エディターに事前に設定されます。 その後、クエリを編集して作業を続けることができます。

1 つのテーブルに対する単純なクエリの場合、Log Analytics の簡易モードでは、上部のクエリ バーの右側にテーブル名が表示されます。 さらに複雑なクエリの場合は、Log Analytics の上部のクエリ バーの左側に [ユーザー クエリ] と表示されます。 [ユーザー クエリ] を選んでクエリ エディターに戻り、いつでもクエリを変更できます。

クエリ結果の制限を構成する

1. [制限] を選んで、[結果の表示件数] ウィンドウを開きます。

   

2. プリセットの制限のいずれかを選ぶか、カスタムの制限を入力します。

   Log Analytics ポータル エクスペリエンスで取得できる結果の最大数は、簡易モードと KQL モードのどちらでも 30,000 です。 ただし、統合されているツールと Log Analytics クエリを共有したり、検索ジョブでクエリを使ったりするときは、ユーザーが選んだツールに基づいてクエリの制限が設定されます。

   [共有] ウィンドウまたは検索ジョブで使用できるツールによって提供される結果の最大数を返すには、[上限] を選びます。

   

   次の表は、さまざまなツールを使用した Azure Monitor ログ クエリの結果の上限です。

   ツール	説明	最大。 リミット
   Log Analytics	Azure portal で実行するクエリ。	30,000
   Excel、Power BI、Log Analytics Query API	Log Analytics と統合された Excel および Power BI で使用するクエリと、API を使って実行するクエリ。	500,000
   検索ジョブ	Azure Monitor は、検索ジョブ モードで実行したクエリの結果を、Log Analytics の新しいテーブルに再び挿入します。	1,000,000

次のステップ

• Log Analytics での KQL モードの使用に関するチュートリアルを行います。
• 完全な KQL のリファレンス ドキュメントにアクセスします。