Log Analytics シンプル モードでは、ログ データを分析して視覚化するための直感的なポイント アンド クリック インターフェイスが提供されます。 シンプル モードと KQL モードを簡単に切り替え、Log Analytics を既定で単純モードで開くよう設定できます。
この記事では、Log Analytics 単純モードを使用して、Azure Monitor ログのデータを探索および分析する方法について説明します。
チュートリアル ビデオ
注
このビデオでは、以前のバージョンのユーザー インターフェイスを示していますが、この記事全体のスクリーンショットは最新であり、現在の UI を反映しています。
シンプル モードのしくみ
簡易モードを使うと、1 回のクリックで 1 つ以上のテーブルからデータを取得して、すばやく始めることができます。 その後、一連のわかりやすいコントロールを使って、取得したデータの探索と分析を行います。
単純モードで作業を開始する
単純モードでは、リソースまたはワークスペース コンテキストで Log Analytics を開くかどうかに関係なく、1 回のクリックでログを取得できます。
テーブルまたは定義済みのクエリまたは関数を単純モードで選択すると、Log Analytics によって、調査および分析に必要なデータが自動的に取得されます。
作業を始めるには、次のようにします。
[テーブルの選択] をクリックし、[テーブル] タブでテーブルを選んでテーブルのデータを表示します。
![Log Analytics の [テーブルの選択] ボタンを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-select-table.png)
または、左側のペインで [テーブル] を選んで、ワークスペース内のテーブルの一覧を表示します。
![Log Analytics の [テーブル] タブを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-tables.png)
共有または保存されたクエリなどの既存のクエリ、またはクエリの例を使います。
クエリ履歴からクエリを選びます。
関数を選びます。
![Log Analytics の [関数] タブを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-functions.png)
重要
関数を使うと、クエリのロジックを再利用でき、多くの場合、入力パラメーターまたは追加のコンテキストが必要になります。 そのような場合、KQL モードに切り替えて必要な入力を指定するまで、関数は実行されません。
![Log Analytics の [テーブルの選択] ボタンを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-select-table.png#lightbox)
![Log Analytics の [テーブル] タブを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-tables.png#lightbox)
![Log Analytics の [関数] タブを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-functions.png#lightbox)
単純モードでデータを探索および分析する
単純モードで作業を開始したら、上部のクエリ バーを使用してデータを探索および分析できます。
注
フィルターと演算子を適用する順序は、クエリと結果に影響を与えます。 たとえば、フィルターを適用してから集計を行うと、Log Analytics はフィルター処理されたデータに集計を適用します。 集計を行ってからフィルター処理すると、フィルター処理されていないデータに集計が適用されます。
表示されるレコードの時間範囲と数を変更する
既定では、単純モードでは、過去 24 時間のテーブル内の最新の 1,000 エントリが一覧表示されます。
表示される時間範囲とレコード数を変更するには、[時間範囲] と [表示] セレクターを使います。 結果の制限について詳しくは、「クエリ結果の制限を構成する」をご覧ください。
注
設定した時間範囲はクエリの最後に適用され、クエリされるデータの量は変更されません。
列でフィルターする
[追加] を選んで、列を選びます。
![Log Analytics 簡易モードで [追加] を選ぶと開く [フィルターの追加] メニューを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-add-filter.png)
フィルター処理する値を選ぶか、[検索] ボックスにテキストまたは数値を入力します。
一覧から値を選んでフィルター処理する場合は、複数の値を選択できます。 リストが長い場合は、 すべての結果が表示されないというメッセージが表示されます 。 さらに多くの値を取得するには、一覧の一番下までスクロールして、[さらに結果を読み込む] を選びます。
![Log Analytics 簡易モードで [追加] を選ぶと開く [フィルターの追加] メニューを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-add-filter.png#lightbox)
テーブルで特定の値を持つエントリを検索する
追加>テーブルで検索を選択します。
![Log Analytics 単純モードの [検索] オプションを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-search.png)
[このテーブルを検索] ボックスに文字列を入力して、[適用] を選びます。
Log Analytics によってテーブルがフィルター処理され、入力した文字列を含むエントリのみが表示されます。
![Log Analytics 単純モードの [検索] オプションを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-search.png#lightbox)
重要
探しているデータが含まれる列がわかっている場合は、[フィルター] を使うことをお勧めします。 検索演算子はフィルター処理よりパフォーマンスが大幅に低く、大量のデータではうまく機能しない可能性があります。
集計データ
[ 追加>Aggregate] を選択します。
「集計演算子を使用する」で説明されているように、集計する列を選んでから、集計に使う演算子を選びます。
![Log Analytics の [集計テーブル] ウィンドウの集計演算子を示すスクリーンショット。](media/log-analytics-explorer/log-analytics-aggregate.png)
![Log Analytics の [集計テーブル] ウィンドウの集計演算子を示すスクリーンショット。](media/log-analytics-explorer/log-analytics-aggregate.png#lightbox)
列を表示または非表示にする
[ 追加>表示列] を選択します。
表示する列を選択し、表示しない列をクリアしてから、[適用] を選びます。
![Log Analytics の [列の表示] ウィンドウを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-show-column.png)
![Log Analytics の [列の表示] ウィンドウを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-show-column.png#lightbox)
列で並べ替え
[ 追加>Sort] を選択します。
並べ替えに使う列を選びます。
[昇順] または [降順] を選んでから、[適用] を選びます。
![Log Analytics の [列で並べ替え] ウィンドウを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-sort.png)
別の列で並べ替えるには、[並べ替え] をもう一度選びます。
![Log Analytics の [列で並べ替え] ウィンドウを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-sort.png#lightbox)
集計演算子を使用する
この表で説明するように、複数の行のデータを集計するには集計演算子を使います。
| オペレーター | 説明 |
|---|---|
| 数える | 各個別の値が列に存在する回数をカウントします。 |
| dcount | dcount 演算子では、2 つの列を選びます。 この演算子は、1 つ目の列の各値に関連付けられている 2 つ目の列の個別の値の合計数をカウントします。 たとえば、次に示すのは、成功した操作と失敗した操作に対する結果コードの個別の数です。
|
| sum avg max min |
これらの演算子では、2 つの列を選びます。 これらの演算子は、1 つ目の列の各値について、2 つ目の列のすべての値の合計、平均、最大値、または最小値を計算します。 たとえば、次に示すのは、過去 24 時間の各操作の合計時間 (ミリ秒単位) です。
|
| stdev | 値のセットの標準偏差を計算します。 |
重要
基本的なログ テーブルでは、avg と sum 演算子を使った集計はサポートされていません。
モードを切り替える
モードを切り替えるには、クエリ エディターの右上隅にあるドロップダウンで [簡易モード] または [KQL モード] を選びます。
単純モードでログのクエリを開始し、KQL モードに切り替えると、クエリ エディターには、単純モード分析に関連する KQL クエリが事前に設定されます。 その後、クエリを編集して作業を続けることができます。
1 つのテーブルに対する簡単なクエリの場合、Log Analytics では、上部のクエリ バーの右側に単純モードでテーブル名が表示されます。 さらに複雑なクエリの場合は、Log Analytics の上部のクエリ バーの左側に [ユーザー クエリ] と表示されます。 [ユーザー クエリ] を選んでクエリ エディターに戻り、いつでもクエリを変更できます。
![単純モードのときにクエリ エディターに戻ることができる [ユーザー クエリ] ボタンを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-switch-modes-user-query.png#lightbox)
クエリ結果の制限を構成する
[表示] を選択して、[結果の表示] ウィンドウを開きます。
![Log Analytics の [結果の表示件数] ウィンドウを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-result-limits.png)
プリセットの制限のいずれかを選ぶか、カスタムの制限を入力します。
単純モードと KQL モードの両方で Log Analytics ポータル エクスペリエンスで取得できる結果の最大数は 100,000 です。 ただし、統合されているツールと Log Analytics クエリを共有したり、検索ジョブでクエリを使ったりするときは、ユーザーが選んだツールに基づいてクエリの制限が設定されます。
[共有] ウィンドウまたは検索ジョブで使用できるツールによって提供される結果の最大数を返すには、[上限] を選びます。
![Log Analytics の [共有] ウィンドウを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-share-query.png)
次の表は、さまざまなツールを使用した Azure Monitor ログ クエリの結果の上限です。
![Log Analytics の [結果の表示件数] ウィンドウを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-result-limits.png#lightbox)
![Log Analytics の [共有] ウィンドウを示すスクリーンショット。](media/log-analytics-explorer/log-analytics-share-query.png#lightbox)
| ツール | 説明 | 最大 リミット |
|---|---|---|
| ログ分析 | Azure portal で実行するクエリ。 | 100,000 |
| Excel、Power BI、Log Analytics Query API | Log Analytics と統合された Excel および Power BI で使用するクエリと、API を使って実行するクエリ。 | 500,000 |
| 検索ジョブ | Azure Monitor は、検索ジョブ モードで実行したクエリの結果を、Log Analytics の新しいテーブルに再び挿入します。 | 1,000,000 |
次のステップ
- Log Analytics での KQL モードの使用に関するチュートリアルを行います。
- 完全な KQL のリファレンス ドキュメントにアクセスします。