Azure Monitor の Log Analytics の概要

Log Analytics は、Azure portal のツールであり、Azure Monitor Logs ストア内のデータに対するログ クエリの編集と実行に使用します。

一連のレコードを返す単純なクエリを作成後、Log Analytics の機能を使用して、それらを並べ替え、フィルター、および分析できます。 また、より高度なクエリを作成して統計分析を実行し、結果をグラフで視覚化して特定の傾向を識別することもできます。

クエリの結果を対話的に操作する場合でも、ログ検索アラートやブックなどの他の Azure Monitor の機能で使用する場合でも、クエリ結果の書き込みとテストのためのツールとして Log Analytics を使用します。

ヒント

この記事では、Log Analytics とその機能について説明します。 チュートリアルに直接進む場合は、「Log Analytics のチュートリアル」を参照してください。

このチュートリアルの動画バージョンをご覧ください。

Log Analytics の起動

Azure portal で Log Analytics を起動するには、[Azure Monitor] メニューの [ログ] を選択します。 このオプションは、ほとんどの Azure リソースのメニューにも表示されます。 Log Analytics をどこから起動しても、ツールは同じです。 ただし、Log Analytics を起動するために使用するメニューによって、使用可能なデータが決まります。

[Azure Monitor] メニューまたは [Log Analytics ワークスペース] メニューから Log Analytics を起動した場合、ワークスペース内のすべてのレコードにアクセスできます。 別の種類のリソースから [ログ] を選択した場合、データはそのリソースのログ データに制限されます。 詳細については、「Azure Monitor Log Analytics のログ クエリのスコープと時間範囲」を参照してください。

Log Analytics の開始を示すスクリーンショット。

Log Analytics を起動すると、クエリの例を含むダイアログが表示されます。 クエリはソリューション別に分類されます。 要件に一致するクエリを参照または検索します。 必要なものを正確に実行するものが見つかる場合があります。 エディターに読み込んで、必要に応じて変更することもできます。 クエリの例を参照することは、独自のクエリを記述する方法を学ぶのに最適です。

空のスクリプトからクエリを自分で作成する場合は、クエリの例を閉じてください。 画面上部にある [クエリ] を選択して、それらを元に戻すことができます。

ヒント

Log Analytics 簡易モードは現在プレビュー段階であり、利用できるお客様の数が限られています。 これを試すには、Log Analytics クエリ エディターの右上隅にある [Log Analytics 簡易モードを試す] を選んでください。 [新しい Log Analytics を試す] ボタンを示す GIF。

Log Analytics のインターフェイス

次の図は、Log Analytics の 4 つのコンポーネントを示しています。 4 つの Log Analytics コンポーネントは次のとおりです。

  1. 上部アクション バー
  2. 左側サイドバー
  3. クエリ ウィンドウ
  4. 結果ウィンドウ

4 つの機能が識別された Log Analytics インターフェイスを示すスクリーンショット。

上部アクション バー

上部バーには、クエリ ウィンドウでクエリを操作するためのコントロールが表示されます。

オプション 説明
Scope クエリに使用するデータのスコープを指定します。 Log Analytics ワークスペース内のすべてのデータでも、複数のワークスペースにわたる特定のリソースのデータでもかまいません。 「クエリ スコープ」を参照してください。
[実行] ボタン 選択したクエリがクエリ ウィンドウで実行されます。 Shift + Enter キーを選択してクエリを実行することもできます。
時刻の選択ツール クエリで使用できるデータの時間範囲を選択します。 このアクションは、クエリに時間フィルターを含めるとオーバーライドされます。 「Azure Monitor Log Analytics のログ クエリのスコープと時間範囲」を参照してください。
[保存] ボタン クエリをクエリ パックに保存します。 保存されたクエリは次の場所から使用できます。
  • ワークスペースの [クエリ] ダイアログの [その他] セクション
  • ワークスペースの左側サイドバーにある [クエリ] タブの [その他] セクション
[共有] ボタン クエリへのリンク、クエリ テキスト、またはクエリ結果をクリップボードにコピーします。
[新しいアラート ルール] ボタン 警告ルール ページで、[作成] を開きます。 このページを使用して、アラートの種類がログ検索アラート警告ルールを作成します。 [条件] タブが選択された状態でページが開き、[検索クエリ] フィールドにクエリが追加されます。
[エクスポート] ボタン クエリの結果を CSV ファイルにエクスポートします。または、クエリを Power BI で使用するための Power Query Formula Language 形式にエクスポートします。
[ピン留め] ボタン クエリの結果を Azure ダッシュボードにピン留めするか、Azure ブックに追加します。
[Format query](クエリの形式設定) ボタン 選択したテキストを読みやすく配置します。
検索ジョブ モードの切り替え 検索ジョブを実行します
[クエリ] ボタン [クエリ] ダイアログを開きます。これにより、ワークスペースの保存済みクエリにアクセスできるようになります。

左側のサイドバーには、ワークスペース内のテーブル、サンプル クエリ、関数、現在のクエリのフィルター オプションが一覧表示されます。

Tab 説明
テーブル 選択したスコープに含まれるテーブルが一覧表示されます。 テーブルのグループを変更するには、 [グループ化] を選択します。 テーブル名にマウス ポインターを合わせると、そのテーブルの説明、そのドキュメントを表示するためのオプション、そのデータをプレビューするためのオプションを含むダイアログが表示されます。 テーブルを展開すると、その列が表示されます。 テーブルまたは列の名前をダブルクリックすると、それがクエリに追加されます。
クエリ クエリ ウィンドウで開くことができるクエリの例の一覧。 この一覧は、Log Analytics を開くと表示されるものと同じです。 クエリのグループを変更するには、 [グループ化] を選択します。 クエリをダブルクリックすると、それがクエリ ウィンドウに追加されます。または、マウス ポインターを合わせると、他のオプションが表示されます。
関数 ワークスペースの関数が一覧表示されます。
Assert クエリの結果に基づいてフィルター オプションを作成します。 クエリを実行すると、結果とは異なる値を含む列が表示されます。 1 つ以上の値を選択し、[適用して実行] を選択して where コマンドをクエリに追加し、それを再度実行します。

クエリ ウィンドウ

クエリ ウィンドウは、クエリを編集する場所です。 IntelliSense は KQL コマンドに使用され、色分けによって読みやすさが向上します。 ウィンドウの上部にある + を選択すると、別のタブが開きます。

1 つのウィンドウに複数のクエリを含めることができます。 クエリに空白行を含めることはできません。そのため、ウィンドウで 1 つ以上の空白行を使用して複数のクエリを区切ることができます。 カーソルが置かれているのが現在のクエリです。

現在のクエリを実行するには、[実行] ボタンを選択するか、Shift + Enter キーを押します。

[結果] ウィンドウ

クエリの結果が [結果] ウィンドウに表示されます。 既定では、結果はテーブルとして表示されます。 結果をグラフとして表示するには、[結果] ウィンドウで [グラフ] を選択します。 クエリに render コマンドを追加することもできます。

結果ビュー

[結果] ビューには、行と列で編成された表形式でクエリの結果が表示されます。 行の左側をクリックすると、その値が展開されます。 [列] ドロップダウンを選択すると、列の一覧が変更されます。 列名を選択すると、結果が並べ替えられます。 列名の横にあるじょうごを選択すると、結果がフィルターされます。 クエリを再実行すると、フィルターがクリアされ、並べ替えがリセットされます。

[列のグループ化] を選択すると、クエリ結果の上にグループ化バーが表示されます。 列をこのバーにドラッグすることで、結果を列でグループ化します。 結果で入れ子になったグループを作成するには、列をさらに追加します。

グラフ ビュー

[グラフ] ビューには、使用可能な複数のグラフの種類のいずれかで結果が表示されます。 クエリに render コマンドでグラフの種類を指定することができます。 [視覚化の種類] ドロップダウンからそれを選択することもできます。

オプション 説明
視覚化の種類 表示するグラフの種類。
X 軸 X 軸に使用する結果の列。
Y 軸 Y 軸に使用する結果の列。 通常、これは数値列です。
分割基準 グラフ内の系列を定義する結果の列。 列の値ごとに系列が作成されます。
集計 Y 軸の数値に対して実行する集計の種類。

Azure Data Explorer とのリレーションシップ

Azure Data Explorer Web UI を操作したことがある場合は、Log Analytics の外観に見覚えがあるでしょう。 これは、それが Azure Data Explorer を基に構築されており、同じ Kusto 照会言語を使用するためです。

Log Analytics には、時間範囲によるフィルターや、クエリからの警告ルールの作成機能など、Azure Monitor 固有の機能が追加されています。 どちらのツールも、使用可能なテーブルの構造をスキャンできるエクスプローラーを備えています。 Azure Data Explorer Web UI は、主に Azure Data Explorer データベースのテーブルで機能します。 Log Analytics は、Log Analytics ワークスペースのテーブルと連携します。

次のステップ