Interroger les données d’une table de base et d’une table auxiliaire dans les journaux Azure Monitor
Les tables de journaux de base et auxiliaires réduisent le coût d’ingestion des journaux détaillés de grand volume, et vous permettent d’interroger les données stockées avec certaines limitations. Cet article explique comment interroger les données des tables de journaux de base et auxiliaires.
Pour plus d’informations sur les plans relatifs aux tables De base et Auxiliaires, consultez Vue d’ensemble des journaux Azure Monitor : Plans de table.
Remarque
Les autres outils qui utilisent l’API Azure pour l’interrogation, par exemple Grafana et Power BI, ne peuvent pas accéder aux données des tables de base et auxiliaires.
Autorisations requises
Vous devez disposer d’autorisations Microsoft.OperationalInsights/workspaces/query/*/read dans les espaces de travail Log Analytics que vous interrogez, comme fourni par le rôle intégré de Lecteur Log Analytics, par exemple.
Limites
Les requêtes sur les données des tables de base et auxiliaires sont soumises aux limitations suivantes :
Limitations du langage KQL (langage de requête Kusto)
Les requêtes de données dans les tables de base ou auxiliaires prennent en charge toutes les fonctions scalaires et d’agrégations KQL. Toutefois, les requêtes sur des tables de base ou auxiliaires sont limitées à une seule table. C’est la raison pour laquelle les limitations suivantes s’appliquent :
- Les opérateurs qui joignent des données à partir de plusieurs tables sont limités :
- Les fonctions définies par l’utilisateur ne sont pas prises en charge.
- Les requêtes interservices et interressources ne sont pas prises en charge.
Plage temporelle
Spécifiez l’intervalle de temps dans l’en-tête de requête dans Log Analytics ou dans l’appel d’API. Il n’est pas possible de spécifier l’intervalle de temps dans le corps de la requête à l’aide d’une instruction where.
Étendue de requête
Définissez l’espace de travail Log Analytics en tant qu’étendue de votre requête. Vous ne pouvez pas exécuter de requêtes en utilisant une autre ressource comme étendue. Pour plus d’informations sur l’étendue de requête, consultez Étendue de requête de journal et intervalle de temps dans la fonctionnalité Log Analytics d’Azure Monitor.
Requêtes simultanées
Vous pouvez exécuter deux requêtes simultanées par utilisateur.
Performances des requêtes de journal dans les tables auxiliaires
Les requêtes de données dans les tables auxiliaires ne sont pas optimisées. Elles peuvent prendre plus de temps pour retourner des résultats que les requêtes que vous exécutez sur les tables Analytics et de base.
Purge
Vous ne pouvez pas vider les données personnelles des tables de base et auxiliaires.
Exécuter une requête sur une table de base ou auxiliaire
L’exécution d’une requête sur les tables de base ou auxiliaires est identique à l’exécution d’une requête sur n’importe quelle autre table dans Log Analytics. Si vous ne connaissez pas ce processus, consultez Prise en main de Log Analytics d’Azure Monitor.
Dans le portail Azure, sélectionnez Surveiller>les tables>des journaux.
Dans la liste des tables, vous pouvez identifier les tables de base et auxiliaires à l’aide de leur icône unique :
Vous pouvez également placer le curseur de la souris sur un nom de table pour voir les informations relatives à la table. Ces informations indiquent si la table est associée au plan de table de base ou auxiliaire :
Quand vous ajoutez une table à la requête, Log Analytics identifie cette table en tant que table de base ou auxiliaire, et adapte l’expérience de création.
Modèle de tarification
Le coût d’une requête sur les tables de base et auxiliaires est basé sur la quantité de données analysées par la requête, qui dépend de la taille de la table et de l’intervalle de temps de la requête. Par exemple, une requête qui analyse trois jours de données dans une table qui ingère 100 Go par jour est facturée pour 300 Go.
Pour plus d’informations, consultez Tarification Azure Monitor.