kustoでAzureLogAnalyticsからログを検索する

Where

検索条件に一致するフィールドを抜き出す。

| where <検索条件>

:Backupジョブが失敗したレコードを取り出す

AddonAzureBackupJobs
| where JobOperation==“Backup”
| where JobStatus==“Failed”

project

表示するフィールドを指定する

| project <フィールド名>

例1:Azurebackupの「ジョブステータス」フィールドのみ表示

AddonAzureBackupJobs
| project JobStatus

例2: 複数指定するときはコンマ区切り

AddonAzureBackupJobs
| project JobStatus, JobUniqueId

project-away

表示しないフィールドを指定する。

| project-away <フィールド>

例1:Azurebackupの「TenantId」フィールドは表示しない

AddonAzureBackupJobs
| project-away TenantId

例2: 複数指定するときはコンマ区切り

AddonAzureBackupJobs
| project-away TenantId, Category

project-rename

フィールド名を変更する

| project-rename <変更後のフィールド名>=<現在のフィールド名>

例: フィールド名を「JobFailureCode」を 「FailureCode」に変換する

| project-rename FailureCode=JobFailureCode

変数にフィールド名を入れてて表示する

| project AAA=<フィールド名>

例: フィールド名「JobFailureCode」を変数「AAA」に代入して表示する

AddonAzureBackupJobs
| project AAAA=(JobFailureCode)

タイムゾーンを日本時間に変換して表示する

| project <変数>=<フィールド名+9h>

例: 「TimeGenerated」フィールドをUTCから日本時間に変換して表示する

AddonAzureBackupJobs
| project TimeGeneratedJST = (TimeGenerated+9h)

フィールドの値から任意の項目を取り出して表示する

| project <変数名> = split(<フィールド名> , “<区切り文字>”, <位置番号>)

例: 「ResourceId」フィールドの値から、「/」で区切られた4番目の項目を取り出して、「RESOURCEGROUP」変数に代入し、表示する。

AddonAzureBackupJobs
| project RESOURCEGROUP = split(ResourceId , “/”, 4)

任意の値を含むレコードを表示する

AddonAzureBackupJobs
| search “<キーワード>”

例1: 値に「failed」を含むレコードを表示する

AddonAzureBackupJobs
| search “failed”

例2: 結果がうまく表示できない場合は正規表現で!!

AddonAzureBackupJobs
| search “*dev*”

コメント