Запрос данных в базовой и вспомогательной таблице в журналах Azure Monitor

Таблицы базовых и вспомогательных журналов снижают затраты на прием подробных журналов большого объема и позволяют запрашивать данные, которые они хранят с некоторыми ограничениями. В этой статье объясняется, как запрашивать данные из таблиц базовых и вспомогательных журналов.

Для получения дополнительной информации о базовых и вспомогательных планах таблиц см. раздел Обзор журналов Azure Monitor: планы таблиц.

Требуемые разрешения

У вас должны быть Microsoft.OperationalInsights/workspaces/query/*/read разрешения на запрашиваемые рабочие области Log Analytics, как указано встроенной ролью Log Analytics Reader, например.

Ограничения

Запросы к данным в базовых и вспомогательных таблицах имеют следующие ограничения:

ограничения языка язык запросов Kusto (KQL)

Запросы данных в базовых или вспомогательных таблицах поддерживают все скалярные и агрегатные функции KQL. Однако запросы базовой или вспомогательной таблицы ограничены одной таблицей. Поэтому эти ограничения применяются:

• Операторы, которые объединяют данные из нескольких таблиц, ограничены:

  • присоединение, поиск и внешние данные не поддерживаются.
  • Поддерживаются поиск и объединение, но не более пяти таблиц Аналитики.

• Определяемые пользователем функции не поддерживаются.

• Межслужбовые и межресурсные запросы не поддерживаются.

Диапазон времени

Укажите время начала и окончания с помощью средства выбора диапазона времени в Log Analytics или синтаксиса диапазона времени с вызовом API. Если указать диапазон времени в запросе, используется объединение средства выбора диапазона времени и диапазона времени KQL.

Вспомогательные таблицы журналов поддерживают диапазон времени для общего периода хранения. Базовые таблицы журналов поддерживают диапазон времени до последних 30 дней. Если вам нужно найти данные между 30 дней назад и общим периодом хранения таблицы Basic, используйте задание поиска. Дополнительные сведения см. в разделе "Поиск вакансий в базовых таблицах".

Область запроса

Задайте рабочую область Log Analytics в качестве области запроса. Нельзя выполнять запросы, используя другой ресурс для области. Дополнительные сведения об области и диапазоне времени запросов см. в разделе "Область запросов журнала и диапазон времени в Azure Monitor Log Analytics".

Параллельные запросы

Можно выполнять два одновременных запроса для каждого пользователя. Дополнительные сведения см. в разделе об ограничениях запросов Log Analytics.

Производительность запросов вспомогательных журналов

Запросы данных в вспомогательных таблицах неоптимизированы и могут занять больше времени, чем запросы, выполняемые в таблицах Analytics и Basic.

Очистка

Вы не можете очистить персональные данные из базовых и вспомогательных таблиц.

Выполнение запроса в базовой или вспомогательной таблице

Выполнение запроса в базовых или вспомогательных таблицах выполняет те же действия, что и запрос любой другой таблицы в Log Analytics. Дополнительные сведения см. в руководстве по Log Analytics.

https://api.loganalytics.io/v1/workspaces/{workspaceId}/search?timespan=P1D

{
    "query": "ContainerLogV2 | where Computer == \"some value\"\n",
}

Модель ценообразования

Плата за запрос к базовым и вспомогательным таблицам зависит от объема данных сканирования запроса, который зависит от размера таблицы и диапазона времени запроса. Сканируемые данные определяются как объем данных, которые были приняты в пределах диапазона времени, указанного запросом для таблицы, которая запрашивается. Например, за запрос, выполняющий сканирование данных за три дня в таблице, которая каждый день принимает 100 ГБ, будет взиматься плата за 300 ГБ.

Дополнительные сведения см. в разделе о ценах на Azure Monitor.

Связанный контент

• Узнайте подробнее о планах таблиц логов Azure Monitor.