在 Azure Monitor 中查询基本日志
“基本日志”表降低了引入大量详细日志的成本,并允许你使用一组有限的日志查询来查询它们存储的数据。 本文介绍如何从“基本日志”表查询数据。
有关详细信息,请参阅设置表的日志数据计划。
备注
其他使用 Azure API 进行查询的工具(例如,Grafana 和 Power BI)无法访问基本日志。
所需的权限
你必须对查询的 Log Analytics 工作区具有 Microsoft.OperationalInsights/workspaces/query/*/read 权限,例如,Log Analytics 读者内置角色所提供的权限。
限制
针对基本日志的查询存在以下限制:
KQL 语言限制
针对基本日志的日志查询使用 KQL 语言的一个子集(包括以下运算符),为简单数据检索进行了优化:
可以在这些运算符中使用所有函数和二元运算符。
时间范围
在 Log Analytics 中的查询标头中或在 API 调用中指定时间范围。 不能使用 where 语句在查询主体中指定时间范围。
查询上下文
针对基本日志的查询必须使用范围的工作区。 不能使用范围的其他资源来运行查询。 有关详细信息,请参阅 Azure Monitor Log Analytics 中的日志查询范围和时间范围。
并发查询
可以为每个用户运行两个并发查询。
清除
不能从“基本日志”表中清除个人数据。
对“基本日志”表运行查询
使用基本日志创建查询与 Log Analytics 中的任何其他查询是相同的。 如果你不熟悉此过程,请参阅 Azure Monitor Log Analytics 入门。
在 Azure 门户中,选择“监视”>“日志”>“表”。
在表列表中,可以通过“基本日志”表的唯一图标来进行识别:
还可以将鼠标悬停在表信息视图的表名上,它将指定表配置为“基本日志”:
在将某个表添加到查询时,Log Analytics 将会标识基本日志表,并相应地调整创作体验。 下面的示例演示了在尝试使用基本日志不支持的某个运算符时的情形。
定价模型
基本日志查询的费用取决于查询扫描的数据量,这受到表大小和查询时间范围的影响。 例如,某个查询在每天引入 100GB 的表中扫描 3 天的数据,就会被收取 300GB 的费用。
有关详细信息,请参阅 Azure Monitor 定价。