Wykonywanie zapytań względem dzienników podstawowych w usłudze Azure Monitor

Podstawowe tabele dzienników zmniejszają koszt pozyskiwania pełnych dzienników o dużej ilości i umożliwiają wykonywanie zapytań dotyczących przechowywanych danych przy użyciu ograniczonego zestawu zapytań dzienników. W tym artykule wyjaśniono, jak wykonywać zapytania dotyczące danych z tabel dzienników podstawowych.

Aby uzyskać więcej informacji, zobacz Ustawianie planu danych dziennika tabeli.

Uwaga

Inne narzędzia korzystające z interfejsu API platformy Azure do wykonywania zapytań — na przykład Grafana i Power BI — nie mogą uzyskać dostępu do dzienników podstawowych.

Wymagane uprawnienia

Musisz mieć Microsoft.OperationalInsights/workspaces/query/*/read uprawnienia do obszarów roboczych usługi Log Analytics, które wykonujesz, zgodnie z wbudowaną rolą czytelnika usługi Log Analytics.

Ograniczenia

Zapytania z dziennikami podstawowymi podlegają następującym ograniczeniom:

Limity języka KQL

Zapytania dzienników względem dzienników podstawowych są zoptymalizowane pod kątem prostego pobierania danych przy użyciu podzbioru języka KQL, w tym następujących operatorów:

• Gdzie
• Rozszerzyć
• Projektu
• odchodzi od projektu
• utrzymanie projektu
• zmiana nazwy projektu
• zmiana kolejności projektu
• Przeanalizować
• parse-where

W tych operatorach można używać wszystkich funkcji i operatorów binarnych.

Zakres czasu

Określ zakres czasu w nagłówku zapytania w usłudze Log Analytics lub w wywołaniu interfejsu API. Nie można określić zakresu czasu w treści zapytania przy użyciu instrukcji where .

Kontekst zapytania

Zapytania z dziennikami podstawowymi muszą używać obszaru roboczego dla zakresu. Nie można uruchamiać zapytań przy użyciu innego zasobu dla zakresu. Aby uzyskać więcej informacji, zobacz Zakres zapytań dzienników i zakres czasu w usłudze Azure Monitor Log Analytics.

Zapytania współbieżne

Można uruchamiać dwa współbieżne zapytania na użytkownika.

Purge

Nie można przeczyścić danych osobowych z tabel dzienników podstawowych.

Uruchamianie zapytania w tabeli Dzienniki podstawowe

Tworzenie zapytania przy użyciu dzienników podstawowych jest takie samo jak każde inne zapytanie w usłudze Log Analytics. Jeśli nie znasz tego procesu, zobacz Wprowadzenie do usługi Azure Monitor Log Analytics .

Portal

W witrynie Azure Portal wybierz pozycję Monitoruj>tabele dzienników.>

Na liście tabel można zidentyfikować tabele dzienników podstawowych według ich unikatowej ikony:

Możesz również umieścić wskaźnik myszy na nazwie tabeli dla widoku informacji o tabeli, który określi, że tabela jest skonfigurowana jako dzienniki podstawowe:

Po dodaniu tabeli do zapytania usługa Log Analytics zidentyfikuje tabelę Dzienniki podstawowe i odpowiednio wyrówna środowisko tworzenia. W poniższym przykładzie pokazano, kiedy próbujesz użyć operatora, który nie jest obsługiwany przez dzienniki podstawowe.

API

Użyj /search z interfejsu API usługi Log Analytics, aby uruchomić zapytanie z dziennikami podstawowymi przy użyciu interfejsu API REST. Jest to podobne do interfejsu API /query z następującymi różnicami:

• Zapytanie podlega ograniczeniom języka opisanym powyżej.
• Przedział czasu musi być określony w nagłówku żądania, a nie w instrukcji zapytania.

Przykładowe żądanie

https://api.loganalytics.io/v1/workspaces/testWS/search?timespan=P1D

Treść żądania

{
    "query": "ContainerLogV2 | where Computer ==  \"some value\"\n",
}

Model cen

Opłata za zapytanie w dziennikach podstawowych zależy od ilości danych skanowanych zapytań, co ma wpływ na rozmiar tabeli i zakres czasu zapytania. Na przykład zapytanie, które skanuje trzy dni danych w tabeli, która pozyskuje 100 GB każdego dnia, zostanie obciążona opłatą za 300 GB.

Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Monitor.

Następne kroki

• Dowiedz się więcej na temat podstawowych dzienników i planów dzienników analizy.
• Użyj zadania wyszukiwania, aby pobrać dane z dzienników podstawowych do dzienników analizy, w których mogą być zapytaniami wiele razy.