Log Analytics ワークスペースのテーブルを管理する

Log Analytics ワークスペースでは、データ分析や、Sentinel などの他のサービスでの使用のために、Azure と Azure 以外のリソースからの 1 つの領域にログを収集し、たとえば Azure Logic Apps を使用して、アラートやアクションをトリガーできます。 Log Analytics ワークスペースはテーブルで構成され、これらを、データ モデルとログ関連のコストを管理するように構成できます。 この記事では、Azure Monitor ログのテーブル構成オプションと、データ分析およびコスト管理のニーズに基づいてテーブルのプロパティを設定する方法について説明します。

必要なアクセス許可

管理する Log Analytics ワークスペースに対し、microsoft.operationalinsights/workspaces/tables/write アクセス許可が必要です。これは、たとえば、Log Analytics 共同作成者組み込みロールによって提供されます。

テーブルのプロパティ

この図は、Azure Monitor ログのテーブル構成オプションの概要を示しています。

テーブルの種類とスキーマ

テーブルのスキーマはテーブルを構成する列のセットで、そのテーブルの中に、Azure Monitor ログによって 1 つ以上のデータ ソースからのログ データが収集されます。

Log Analytics ワークスペースには、以下の種類のテーブルを含めることができます。

テーブルの種類です。	データ ソース	スキーマ
Azure テーブル	Azure リソースからのログ、または Azure のサービスやソリューションで必要とされているログ。	Azure Monitor ログでは、使用する Azure サービスと、特定のリソースに対して構成する診断設定に基づいて自動的に Azure テーブルが作成されます。 各 Azure テーブルには、事前に定義されたスキーマがあります。 Azure テーブルに列を追加して、変換されたログ データを格納したり、別のソースのデータを使用して Azure テーブル内のデータをエンリッチしたりできます。
カスタム テーブル	Azure 以外のリソースと、ファイル ベースのログなどの他の任意のデータ ソース。	特定のデータ ソースから収集したデータを格納する方法に基づいて、カスタム テーブルのスキーマを定義できます。
検索結果	Log Analytics ワークスペースに保存されているすべてのデータ。	検索結果テーブルのスキーマは、検索ジョブの実行時に定義したクエリに基づいています。 既存の検索結果テーブルのスキーマは編集できません。
復元されたログ	アーカイブされたログ。	復元されたログ テーブルには、ログを復元した対象のテーブルと同じスキーマがあります。 既存の復元されたログ テーブルのスキーマは編集できません。

ログ データ プラン

テーブル内のデータにアクセスする頻度に基づいて、テーブルのログ データ プランを構成します。

• Analytics プランでは、対話型クエリと、機能やサービスでの使用のためにログ データを提供できます。
• Basic ログ データ プランは、トラブルシューティング、デバッグ、監査、コンプライアンスのためにログを取り込んで保持する低コストの方法となっています。

保持とアーカイブ

アーカイブは、ワークスペースで定期的に使用されなくなったデータを、コンプライアンスや時折の調査のために保管するための低コストのソリューションです。 既定のワークスペース リテンション期間をオーバーライドし、ワークスペース内のデータをアーカイブするために、テーブルレベルのリテンション期間を設定します。

アーカイブされたデータにアクセスするには、検索ジョブを実行するか 特定の時間範囲のデータを復元します。

インジェスト時間変換

データ収集ルールを使用して、カスタム テーブル用に定義したスキーマに基づいてインジェスト前にフィルターによるデータの除外とデータ変換を行い、コストと分析作業を削減します。

テーブルのプロパティを表示する

Note

テーブル名は大文字と小文字が区別されます。

ポータル

Azure portal でテーブルのプロパティを表示および設定するには:

1. Log Analytics ワークスペースから [テーブル] を選択します。

   [テーブル] 画面には、Log Analytics ワークスペース内のすべてのテーブルのテーブル構成情報が表示されます。

   

2. テーブルの右側にある省略記号 (...) を選択して、テーブル管理メニューを開きます。

   使用できるテーブル管理オプションは、テーブルの種類によって異なります。

   1. [Manage table] (テーブルの管理) を選択して、テーブルのプロパティを編集します。

   2. [スキーマの編集] を選択して、テーブル スキーマを表示および編集します。

API

テーブルのプロパティを表示するには、Tables - Get API を呼び出します。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

応答本文

名前	タイプ	説明
properties.plan	string	テーブル プラン。 Analytics または Basic のいずれかです。
properties.retentionInDays	整数 (integer)	テーブルのデータ保有期間 (日数)。 Basic Logs では、この値は 8 日で固定されています。 Analytics Logs では、値は 4 から 730 日です。
properties.totalRetentionInDays	整数 (integer)	アーカイブ期間も含むテーブルのデータ保有期間。
properties.archiveRetentionInDays	整数 (integer)	テーブルのアーカイブ期間 (読み取り専用、計算済み)。
properties.lastPlanModifiedDate	String	このテーブルのプランが最後に設定された時期。 既定の設定から変更されていない場合は Null (読み取り専用)。

要求のサンプル

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

応答のサンプル

状態コード:200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

テーブルのプロパティを設定するには、Tables - Create または Update API を呼び出します。

Azure CLI

Azure CLI を使用してテーブルのプロパティを表示するには、az monitor log-analytics workspace table show コマンドを実行します。

次に例を示します。

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Azure CLI を使用してテーブルのプロパティを設定するには、az monitor log-analytics workspace table update コマンドを実行します。

PowerShell

PowerShell を使用してテーブルのプロパティを表示するには、次を実行します。

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

サンプル応答

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

テーブルのプロパティを設定するには、 Update-AzOperationalInsightsTable コマンドレットを使用します。

次のステップ

具体的には、次の方法を学習します。

• テーブルのログ データ プランを設定する
• カスタムのテーブルと列を追加する
• リテンション期間とアーカイブを設定する
• ワークスペース アーキテクチャを設計する