Query's uitvoeren op Basic-logboeken in Azure Monitor

Tabellen met basislogboeken verlagen de kosten voor het opnemen van uitgebreide logboeken met grote volumes en stellen u in staat om query's uit te voeren op de gegevens die ze opslaan met behulp van een beperkte set logboekquery's. In dit artikel wordt uitgelegd hoe u query's uitvoert op gegevens uit tabellen met basislogboeken.

Zie Het logboekgegevensplan van een tabel instellen voor meer informatie.

Notitie

Andere hulpprogramma's die gebruikmaken van de Azure-API voor het uitvoeren van query's, bijvoorbeeld Grafana en Power BI, hebben geen toegang tot basislogboeken.

Vereiste machtigingen

U moet bijvoorbeeld machtigingen hebben Microsoft.OperationalInsights/workspaces/query/*/read voor de Log Analytics-werkruimten die u opvraagt, zoals opgegeven door de ingebouwde rol log analytics-lezer.

Beperkingen

Query's met basislogboeken gelden voor de volgende beperkingen:

KQL-taallimieten

Logboekquery's op basislogboeken zijn geoptimaliseerd voor eenvoudige gegevens ophalen met behulp van een subset van de KQL-taal, waaronder de volgende operators:

• Waar
• Uitbreiden
• Project
• project-away
• project-keep
• projectnaam wijzigen
• project opnieuw ordenen
• Parse
• parse-where

U kunt alle functies en binaire operators binnen deze operators gebruiken.

Tijdsbereik

Geef het tijdsbereik op in de queryheader in Log Analytics of in de API-aanroep. U kunt het tijdsbereik niet opgeven in de hoofdtekst van de query met behulp van een where-instructie .

Querycontext

Query's met basislogboeken moeten een werkruimte voor het bereik gebruiken. U kunt geen query's uitvoeren met behulp van een andere resource voor het bereik. Zie Logboekquerybereik en tijdsbereik in Azure Monitor Log Analytics voor meer informatie.

Gelijktijdige query's

U kunt twee gelijktijdige query's per gebruiker uitvoeren.

Opschonen

U kunt geen persoonlijke gegevens verwijderen uit tabellen met basislogboeken.

Een query uitvoeren op een tabel Basislogboeken

Het maken van een query met behulp van basislogboeken is hetzelfde als elke andere query in Log Analytics. Zie Aan de slag met Azure Monitor Log Analytics als u niet bekend bent met dit proces.

Portal

Selecteer Logboektabellen> bewaken>in Azure Portal.

In de lijst met tabellen kunt u tabellen met basislogboeken identificeren op hun unieke pictogram:

U kunt ook de muisaanwijzer op een tabelnaam voor de tabelinformatieweergave bewegen, waarmee wordt opgegeven dat de tabel is geconfigureerd als basislogboeken:

Wanneer u een tabel aan de query toevoegt, identificeert Log Analytics een tabel Basislogboeken en wordt de ontwerpervaring dienovereenkomstig uitgelijnd. In het volgende voorbeeld ziet u wanneer u probeert een operator te gebruiken die niet wordt ondersteund door basislogboeken.

API

Gebruik /search vanuit de Log Analytics-API om een query uit te voeren met basislogboeken met behulp van een REST API. Dit is vergelijkbaar met de /query-API met de volgende verschillen:

• De query is onderhevig aan de hierboven beschreven taalbeperkingen.
• De tijdsduur moet worden opgegeven in de header van de aanvraag en niet in de query-instructie.

Voorbeeldaanvraag

https://api.loganalytics.io/v1/workspaces/testWS/search?timespan=P1D

Aanvraagbody

{
    "query": "ContainerLogV2 | where Computer ==  \"some value\"\n",
}

Prijsmodel

De kosten voor een query in basislogboeken zijn gebaseerd op de hoeveelheid gegevens die door de query wordt gescand, wat wordt beïnvloed door de grootte van de tabel en het tijdsbereik van de query. Een query die bijvoorbeeld drie dagen aan gegevens scant in een tabel die elke dag 100 GB opneemt, wordt in rekening gebracht voor 300 GB.

Zie prijzen voor Azure Monitor voor meer informatie.

Volgende stappen

• Meer informatie over de basislogboeken en analyselogboekplannen.
• Gebruik een zoektaak om gegevens op te halen uit basislogboeken in analyselogboeken, waar deze meerdere keren query's kunnen zijn.