Fråga grundläggande loggar i Azure Monitor

Grundläggande loggtabeller minskar kostnaden för att mata in utförliga loggar med stora volymer och du kan köra frågor mot data som lagras med hjälp av en begränsad uppsättning loggfrågor. I den här artikeln beskrivs hur du frågar efter data från tabeller med grundläggande loggar.

Mer information finns i Ange en tabells loggdataplan.

Kommentar

Andra verktyg som använder Azure API för frågor – till exempel Grafana och Power BI – kan inte komma åt grundläggande loggar.

Behörigheter som krävs

Du måste ha Microsoft.OperationalInsights/workspaces/query/*/read behörighet till de Log Analytics-arbetsytor som du frågar efter, till exempel den inbyggda rollen Log Analytics Reader.

Begränsningar

Frågor med grundläggande loggar omfattas av följande begränsningar:

KQL-språkgränser

Loggfrågor mot grundläggande loggar är optimerade för enkel datahämtning med hjälp av en delmängd av KQL-språket, inklusive följande operatorer:

• Där
• Utöka
• Projekt
• project-away
• project-keep
• project-rename
• project-reorder
• Tolka
• parsa-where

Du kan använda alla funktioner och binära operatorer inom dessa operatorer.

Tidsintervall

Ange tidsintervallet i frågehuvudet i Log Analytics eller i API-anropet. Du kan inte ange tidsintervallet i frågetexten med hjälp av en where-instruktion .

Frågekontext

Frågor med grundläggande loggar måste använda en arbetsyta för omfånget. Du kan inte köra frågor med hjälp av en annan resurs för omfånget. Mer information finns i Log query scope and time range in Azure Monitor Log Analytics (Loggfrågeomfång och tidsintervall i Azure Monitor Log Analytics).

Samtidiga frågor

Du kan köra två samtidiga frågor per användare.

Rensa

Du kan inte rensa personliga data från basic logs-tabeller.

Köra en fråga i en tabell med grundläggande loggar

Att skapa en fråga med hjälp av grundläggande loggar är detsamma som andra frågor i Log Analytics. Se Kom igång med Azure Monitor Log Analytics om du inte är bekant med den här processen.

Portal

I Azure-portalen väljer du Övervaka>loggtabeller.>

I listan över tabeller kan du identifiera tabeller med grundläggande loggar med hjälp av deras unika ikon:

Du kan också hovra över ett tabellnamn för tabellinformationsvyn, som anger att tabellen är konfigurerad som Grundläggande loggar:

När du lägger till en tabell i frågan identifierar Log Analytics en tabell med grundläggande loggar och justerar redigeringsupplevelsen i enlighet med detta. I följande exempel visas när du försöker använda en operator som inte stöds av grundläggande loggar.

API

Använd /search från Log Analytics-API:et för att köra en fråga med Grundläggande loggar med hjälp av ett REST-API. Detta liknar API:et /query med följande skillnader:

• Frågan omfattas av de språkbegränsningar som beskrivs ovan.
• Tidsintervallet måste anges i rubriken för begäran och inte i frågeuttryck.

Exempelbegäran

https://api.loganalytics.io/v1/workspaces/testWS/search?timespan=P1D

Begärandetext

{
    "query": "ContainerLogV2 | where Computer ==  \"some value\"\n",
}

Prismodell

Kostnaden för en fråga i Grundläggande loggar baseras på mängden data som frågegenomsökningarna, vilket påverkas av tabellens storlek och frågans tidsintervall. Till exempel debiteras en fråga som söker igenom tre dagars data i en tabell som matar in 100 GB varje dag för 300 GB.

Mer information finns i Prissättning för Azure Monitor.

Nästa steg

• Läs mer om loggplaner för grundläggande loggar och analys.
• Använd ett sökjobb för att hämta data från grundläggande loggar till analysloggar där det kan vara frågor flera gånger.