Abfragepakete in Azure Monitor-Protokollen

  • Artikel

Abfragepakete fungieren als Container für Protokollabfragen in Azure Monitor. Sie ermöglichen es Ihnen, Protokollabfragen zu speichern und sie über Arbeitsbereiche und andere Kontexte in Log Analytics hinweg freizugeben.

Berechtigungen

Sie können die Berechtigungen für ein Abfragepaket festlegen, wenn Sie es im Azure-Portal anzeigen. Sie benötigen die folgenden Berechtigungen, um Abfragepakete zu verwenden:

  • Leser: Benutzer können alle Abfragen im Abfragepaket sehen und ausführen.

  • Mitwirker: Benutzer können vorhandene Abfragen ändern und dem Abfragepaket neue Abfragen hinzufügen.

    Wichtig

    Wenn ein Benutzer Abfragen ändern oder hinzufügen muss, müssen Sie dem Benutzer immer die Berechtigung „Mitwirkender“ für DefaultQueryPack erteilen. Andernfalls kann der Benutzer keine Abfragen im Abonnement speichern, auch nicht in anderen Abfragepaketen.

Das Anzeigen von Abfragepaketen

Sie können die Abfragepakete im Azure-Portal über das Menü Log Analytics-Abfragepakete anzeigen und verwalten. Wählen Sie ein Abfragepaket aus, um seine Berechtigungen anzuzeigen und zu bearbeiten. In diesem Artikel wird beschrieben, wie Sie mithilfe der API ein Abfragepaket erstellen.

Screenshot that shows query packs.

Das Standardabfragepaket

Azure Monitor erstellt automatisch ein Abfragepaket mit dem Namen DefaultQueryPack in jedem Abonnement in einer Ressourcengruppe namens LogAnalyticsDefaultResources, wenn die erste Abfrage gespeichert wird. Sie können Abfragen in diesem Abfragepaket speichern oder abhängig von Ihren Anforderungen andere Abfragepakete erstellen.

Verwenden mehrerer Abfragepakete

Das Standardabfragepaket reicht für die meisten Benutzer*innen aus, um Abfragen zu speichern und wiederzuverwenden. Es empfiehlt sich ggf., mehrere Abfragepakete für Benutzer*innen in Ihrer Organisation zu erstellen, wenn Sie beispielsweise verschiedene Abfragesätze in verschiedenen Log Analytics-Sitzungen laden und unterschiedliche Berechtigungen für verschiedene Sammlungen von Abfragen bereitstellen möchten.

Wenn Sie ein neues Abfragepaket erstellen, können Sie Tags hinzufügen, die Abfragen gemäß Ihren Geschäftsanforderungen klassifizieren. Beispielsweise können Sie ein Abfragepaket markieren, um es einer bestimmten Abteilung in Ihrem Unternehmen zuzuordnen oder um den Schweregrad der Probleme zu bestimmen, auf die die enthaltenen Abfragen abzielen. Durch die Verwendung von Tags können Sie verschiedene Gruppen von Abfragen erstellen, die für unterschiedliche Benutzergruppen und unterschiedliche Situationen bestimmt sind.

So fügen Sie Abfragepakete zu Ihrem Log Analytics-Arbeitsbereich hinzu

  1. Öffnen Sie Log Analytics, und wählen Sie oben rechts Abfragen aus.
  2. Klicken Sie in der oberen linken Ecke im Dialogfeld "Abfragen" neben Abfragepaketen auf "Abfragepakete auswählen", oder wählen Sie "0" aus.
  3. Wählen Sie die Abfragepakete aus, die Sie dem Arbeitsbereich hinzufügen möchten.

Screenshot that shows the Select query packs page in Log Analytics, where you can add query packs to a Log Analytics workspace.

Wichtig

Sie können einem Log Analytics-Arbeitsbereich bis zu fünf Abfragepakete hinzufügen.

Erstellen eines Abfragepakets

Sie können ein Abfragepaket mithilfe der REST-API oder aus dem Bereich Log Analytics-Abfragepakete im Azure-Portal erstellen. Um den Bereich Log Analytics-Abfragepakete im Portal zu öffnen, wählen Sie Alle Dienste>Andere aus.

Hinweis

Im Abfragepaket gespeicherte Abfragen werden nicht mit dem vom Kunden verwalteten Schlüssel verschlüsselt. Wählen Sie beim Speichern von Abfragen stattdessen "Als Legacy speichern" aus, um sie mit dem vom Kunden verwalteten Schlüssel zu schützen.

Erstellen Sie ein Token

Sie müssen über ein Token für die Authentifizierung der API-Anforderung verfügen. Es gibt mehrere Methoden, ein Token abzurufen. Eine Methode besteht darin, armclient zu verwenden.

Melden Sie sich zuerst bei Azure mittels dem folgenden Befehl an:

armclient login

Erstellen Sie dann das Token mittels dem folgenden Befehl. Das Token wird automatisch in die Zwischenablage kopiert, damit Sie es in ein anderes Tool einfügen können.

armclient token

Erstellen einer Payload

Die Payload der Anforderung ist der JSON-Code, der eine oder mehrere Abfragen definiert, und der Speicherort, an dem das Abfragepaket gespeichert werden soll. Der Name des Abfragepakets wird in der API-Anforderung angegeben, die im nächsten Abschnitt beschrieben wird.

{
    "location": "eastus",
    "properties":
    {
        "displayName": "Query name that will be displayed in the UI",
        "description": "Query description that will be displayed in the UI",
        "body": "<<query text, standard KQL code>>",
        "related": {
            "categories": [
                "workloads"
            ],
            "resourceTypes": [
                "microsoft.insights/components"
            ],
            "solutions": [
                "logmanagement"
            ]
        },
        "tags": {
            "Tag1": [
                "Value1",
                "Value2"
            ]
        }
    }
}

Jede Abfrage im Abfragepaket verfügt über die folgenden Eigenschaften:

Eigenschaft Beschreibung
displayName Der Anzeigename, der in Log Analytics für jede Abfrage aufgeführt ist.
description Die Beschreibung der Abfrage, die in Log Analytics für jede Abfrage angezeigt wird.
body Abfrage, die in der Kusto-Abfragesprache geschrieben wurde.
related Die verwandten Kategorien, Ressourcentypen und Lösungen für die Abfrage. Diese wird für die Gruppierung und Filterung in Log Analytics durch den Benutzer verwendet, um das Auffinden seiner Anfrage zu erleichtern. Jede Abfrage kann bis zu 10 von jedem Typ aufweisen. Rufen Sie zulässige Werte aus https://api.loganalytics.io/v1/metadata?select=resourceTypes, Lösungen und Kategorien ab.
tags Andere Tags, die vom Benutzer zum Sortieren und Filtern in Log Analytics verwendet werden. Jedes Tag wird der Kategorie, dem Ressourcentyp und der Lösung hinzugefügt, wenn Sie Abfragen gruppieren und filtern.

Erstellen einer Anforderung

Verwenden Sie die folgende Anforderung, um mittels der REST-API ein neues Abfragepaket zu erstellen. Die Anforderung sollte die Bearertokenautorisierung verwenden. Der Inhaltstyp sollte application/json sein.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack?api-version=2019-09-01

Verwenden Sie ein Tool, das eine REST-API-Anforderung übermitteln kann, z. B. Fiddler oder Postman, um die Anforderung mithilfe der im vorherigen Abschnitt beschriebenen Payload zu übermitteln. Die Abfrage-ID wird generiert und in der Nutzlast zurückgegeben.

Das Aktualisieren eines Abfragepakets

Um ein Abfragepaket zu aktualisieren, senden Sie die folgende Anforderung mit einer aktualisierten Nutzlast. Für diesen Befehl ist die Abfragepaket-ID erforderlich.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack/queries/query-id/?api-version=2019-09-01

Nächste Schritte

Unter Verwenden von Abfragen in Azure Monitor Log Analytics erfahren Sie, wie die Benutzer mit Abfragepaketen in Log Analytics interagieren.