概要

OMS、Azure Log Analyticsの1つの特徴はそのとても強力な検索機能です。非常な柔軟なクエリによって様々なものを抽出、可視化することができます。
一方で、柔軟に生成できるからこそクエリの記述が難しいと感じたり、具体的に何にどのように使っていいかわからないという印象を持つ方も少なからずいるようです。(実際にはそんなに難しくないのですが)

そこで、この記事では、現場ですぐに使えるサンプルクエリを集めてみました。

クエリ入力方法

検索クエリを入力するにはAzure管理ポータルのLog Analytics、あるいはOMSワークスペースにて「ログ検索」をクリックします。

ログの検索画面になり検索クエリを入力することができるようになります。

クエリを入力すると結果が表示されます。

種類によってはグラフで表示することもできます。

OMS管理系

コンピューターの最終データ報告日時

ObjectName!="Advisor Metrics" ObjectName!=ManagedSpace | measure max(TimeGenerated) as LastReportTime by Computer | Sort Computer

種類別のレコード件数

* | Measure count() by Type

サーバー管理系

CPU使用率

Type:Perf CounterName="% Processor Time" InstanceName="_Total" | measure avg(CounterValue) by Computer Interval 1HOUR

予期せぬシャットダウンが発生したコンピュータ

Type=Event EventID=6008 Source=EventLog

ディスク空き容量

* Type=Perf CounterName="Free Megabytes"

過去1時間の平均CPU使用率 Top10

* Type=Perf CounterName="% Processor Time" InstanceName="_Total" TimeGenerated>NOW-1HOUR | Measure avg(CounterValue) as AVGCPU by Computer | Sort AVGCPU desc | Top 10

過去24時間で最もDiskQueueLengthが高かったコンピューターTop10

* Type=Perf ObjectName=LogicalDisk CounterName="Current Disk Queue Length" TimeGenerated>NOW-24HOUR| Measure Max(CounterValue) as MAXDiskQueue by Computer | Sort MAXDiskQueue desc | Top 10

SQL Server がIOを15秒以上待った管理対象

EventID=833 EventLog=Application Source=MSSQLSERVER | measure count() by Computer

セキュリティ関連

重要な更新プログラムまたはセキュリティ更新プログラムがインストールされていないすべてのコンピューター

Type=Update UpdateState=Needed Optional=false (Classification="Security Updates" OR Classification="Critical Updates")

ゲストアカウントによるログオンがあったコンピューター

Type=SecurityEvent EventID=4624 (LogonType=10 or LogonType=3) TargetUserName="Guest" | Measure count() by Computer

クリアテキストのパスワードによるログオン