Fråga efter data i en basic- och extratabell i Azure Monitor-loggar

Tabellerna Grundläggande loggar och Tilläggsloggar minskar kostnaden för att mata in utförliga loggar med stora volymer och gör att du kan köra frågor mot data som de lagrar med vissa begränsningar. Den här artikeln beskriver hur du frågar efter data från tabellerna Grundläggande och Tilläggsloggar.

Mer information om grundläggande och extra tabellplaner finns i Översikt över Azure Monitor-loggar: Tabellplaner.

Kommentar

Andra verktyg som använder Azure API för att fråga – till exempel Grafana och Power BI – kan inte komma åt data i tabellerna Basic och Auxiliary.

Behörigheter som krävs

Du måste ha Microsoft.OperationalInsights/workspaces/query/*/read behörighet till de Log Analytics-arbetsytor som du frågar efter, till exempel den inbyggda rollen Log Analytics Reader.

Begränsningar

Frågor om data i tabellerna Basic och Auxiliary omfattas av följande begränsningar:

Språkbegränsningar för Kusto Query Language (KQL)

Frågor om data i basic- eller extratabeller stöder alla KQL-skalär- och aggregeringsfunktioner. Grundläggande eller extra tabellfrågor är dock begränsade till en enda tabell. Dessa begränsningar gäller därför:

• Operatorer som kopplar data från flera tabeller är begränsade:
  • join, find, search och externaldata stöds inte.
  • uppslag och union stöds, men är begränsade till upp till fem Analytics-tabeller.
• Användardefinierade funktioner stöds inte.
• Frågor mellan tjänster och resurser stöds inte.

Tidsintervall

Ange tidsintervallet i frågehuvudet i Log Analytics eller i API-anropet. Du kan inte ange tidsintervallet i frågetexten med hjälp av en where-instruktion .

Frågeomfång

Ange Log Analytics-arbetsytan som omfång för din fråga. Du kan inte köra frågor med hjälp av en annan resurs för omfånget. Mer information om frågeomfång finns i Omfång för loggfrågor och tidsintervall i Azure Monitor Log Analytics.

Samtidiga frågor

Du kan köra två samtidiga frågor per användare.

Prestanda för extra loggfråga

Datafrågor i hjälptabeller är ooptimerade och kan ta längre tid att returnera resultat än frågor som du kör i Analytics- och Basic-tabeller.

Rensa

Du kan inte rensa personliga data från tabellerna Basic och Auxiliary.

Köra en fråga i en basic- eller extratabell

Att köra en fråga i basic- eller extratabeller är detsamma som att köra frågor mot andra tabeller i Log Analytics. Se Kom igång med Azure Monitor Log Analytics om du inte är bekant med den här processen.

Portal

I Azure-portalen väljer du Övervaka>loggtabeller.>

I listan över tabeller kan du identifiera tabellerna Basic och Auxiliary med hjälp av deras unika ikon:

Du kan också hovra över ett tabellnamn för tabellinformationsvyn, som anger att tabellen har tabellplanen Basic eller Auxiliary:

När du lägger till en tabell i frågan identifierar Log Analytics en Basic- eller Auxiliary-tabell och justerar redigeringsupplevelsen därefter.

API

Använd /search från Log Analytics-API:et för att fråga efter data i en Basic- eller Auxiliary-tabell med hjälp av ett REST-API. Detta liknar API:et /query med följande skillnader:

• Frågan omfattas av de språkbegränsningar som beskrivs i KQL-språkbegränsningar.
• Tidsintervallet måste anges i rubriken för begäran och inte i frågeuttryck.

Exempelbegäran

https://api.loganalytics.io/v1/workspaces/{workspaceId}/search?timespan=P1D

Begärandetext

{
    "query": "ContainerLogV2 | where Computer ==  \"some value\"\n",
}

Prismodell

Kostnaden för en fråga i tabellerna Basic och Auxiliary baseras på mängden data som genomsöker frågan, vilket beror på tabellens storlek och frågans tidsintervall. Till exempel debiteras en fråga som söker igenom tre dagars data i en tabell som matar in 100 GB varje dag för 300 GB.

Mer information finns i Prissättning för Azure Monitor.

Nästa steg

• Läs mer om tabellplaner för Azure Monitor-loggar.