Fråga efter data i en basic- och extratabell i Azure Monitor-loggar

Tabellerna för Grundläggande och Hjälploggar minskar kostnaden för att bearbeta stora mängder detaljerade loggar och låter dig fråga ut data de lagrar, med vissa begränsningar. Den här artikeln beskriver hur du frågar efter data från tabellerna Grundläggande och Tilläggsloggar.

Mer information om grundläggande och extra tabellplaner finns i Översikt över Azure Monitor-loggar: Tabellplaner.

Kommentar

Andra verktyg som använder Azure API för att fråga – till exempel Power BI – kan inte komma åt data i tabellerna Basic och Auxiliary.

Behörigheter som krävs

Du måste ha Microsoft.OperationalInsights/workspaces/query/*/read behörighet till de Log Analytics-arbetsytor som du frågar efter, till exempel den inbyggda rollen Log Analytics Reader.

Begränsningar

Frågor om data i tabellerna Basic och Auxiliary omfattas av följande begränsningar:

språkbegränsningar för Kusto-frågespråk (KQL)

Frågor om data i basic- eller extratabeller stöder alla KQL-skalär- och aggregeringsfunktioner. Grundläggande eller extra tabellfrågor är dock begränsade till en enda tabell. Dessa begränsningar gäller därför:

• Operatorer som kopplar data från flera tabeller är begränsade:

  • join, find, search och externaldata stöds inte.
  • uppslag och union stöds, men är begränsade till upp till fem Analytics-tabeller.

• Användardefinierade funktioner stöds inte.

• Förfrågningar mellan tjänster och mellan resurser stöds inte.

Tidsintervall

Ange tidsintervallet i frågehuvudet i Log Analytics eller i API-anropet. Du kan inte ange tidsintervallet i frågetexten med hjälp av en where-instruktion .

Frågeomfång

Ange Log Analytics-arbetsytan som omfång för din fråga. Du kan inte köra frågor med hjälp av en annan resurs för omfånget. Mer information om frågeomfång finns i Omfång för loggfrågor och tidsintervall i Azure Monitor Log Analytics.

Samtidiga frågor

Du kan köra två samtidiga frågor per användare.

Prestanda för hjälploggfråga

Datafrågor i hjälptabeller är ooptimerade och kan ta längre tid att returnera resultat än frågor som du kör i Analytics- och Basic-tabeller.

Utrensa

Du kan inte rensa personliga data från tabellerna Basic och Auxiliary.

Utföra en sökning på en grundläggande eller kompletterande tabell

Att köra en fråga i basic- eller extratabeller är detsamma som att köra frågor mot andra tabeller i Log Analytics. Se Kom igång med Azure Monitor Log Analytics om du inte är bekant med den här processen.

Portal

I Azure Portal väljer du >>

I listan över tabeller kan du identifiera tabellerna Basic och Auxiliary med hjälp av deras unika ikon:

Du kan också hovra över ett tabellnamn för tabellinformationsvyn, som anger att tabellen har tabellplanen Basic eller Auxiliary:

När du lägger till en tabell i frågan identifierar Log Analytics en Basic- eller Auxiliary-tabell och justerar redigeringsupplevelsen därefter.

Application Programming Interface

Använd /search från Log Analytics-API:et för att fråga efter data i en Basic- eller Auxiliary-tabell med hjälp av ett REST-API. Detta liknar API:et /query med följande skillnader:

• Frågan omfattas av de språkbegränsningar som beskrivs i KQL-språkbegränsningar.
• Tidsintervallet måste anges i rubriken för begäran och inte i frågeuttryck.

Exempelbegäran

https://api.loganalytics.io/v1/workspaces/{workspaceId}/search?timespan=P1D

Begärandetext

{
    "query": "ContainerLogV2 | where Computer == \"some value\"\n",
}

Prismodell

Avgiften för en fråga i tabellerna Basic och Auxiliary baseras på mängden data som frågan genomsöker, vilket beror på tabellens storlek och frågans tidsintervall. Data som genomsöks definieras som mängden data som matades in inom det tidsintervall som anges av frågan för tabellen som efterfrågas. Till exempel debiteras en fråga som söker igenom tre dagars data i en tabell som matar in 100 GB varje dag för 300 GB.

Mer information finns i Prissättning för Azure Monitor.

Nästa steg

• Läs mer om tabellplaner för Azure Monitor-loggar.