AzureTech

Log Analytics カスタムテーブルの変換

2024年3月31日 投稿者: 黒飴 0

Log Analytics ワークスペースのカスタムログテーブルは、2024年3月時点では2種類存在します。

・Azure Monitor Agent対応のDCR(Data Collection Rule)対応テーブル。

・Log Analytics Agent対応のMMA(Microsoft Monitoring Agent)対応テーブル。

2024年8月31日までに移行するにせよ、MMAをインストールしたまま、AMAもインストールし、両方のログが同じテーブルに入ることを確認してからMMA止めるシーンを想定した移行方法を検証してみます。

MMA カスタム テキスト ログから AMA DCR ベースのカスタム テキスト ログに移行する

https://learn.microsoft.com/ja-jp/azure/azure-monitor/agents/azure-monitor-agent-custom-text-log-migration

要約すると、ハイブリッド構成になり、両方のAgentからテーブルに書き込みできるようになります。

https://learn.microsoft.com/ja-jp/azure/azure-monitor/agents/data-collection-text-log?tabs=portal#create-a-custom-table:~:text=%E3%81%93%E3%81%A8%E3%81%AB%E3%81%AA%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82-,%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%20%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B,-%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%88%E3%81%A7%E3%81%AF%202

URL内のカスタムテーブルを作成する箇所、Azure PowerShell、REST APIにて「PUT」では新規作成ですが、移行手順では「POST」で実行すれば既存のテーブルを変換できるようです。

構文は以下の様になります。

$tableParams = @'
{
    "properties": {
        "schema": {
               "name": "{TableName}_CL",
               "columns": [
        {
                                "name": "TimeGenerated",
                                "type": "DateTime"
                        }, 
                       {
                                "name": "RawData",
                                "type": "String"
                       }
              ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{WorkspaceName}/tables/{TableName}_CL/migrate?api-version=2021-12-01-preview" -Method POST -payload $tableParams

ハイブリッド構成のテーブルになりました。

赤枠内がAMA経由で取込みしたログ、その他はMMA経由でのログです。AMA対応のテーブルは、基本的にComputerカラムは無くなっています。しかし、ハイブリッド構成テーブルはComputerカラムも存在するため、過去ログに対するクエリ影響はありません。何れ、AMA対応に合わせてクエリは変える必要はあるとは思われますが…

カテゴリーLog Analytics

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です