Freigeben über


Computergruppen in Azure Monitor-Protokollabfragen

Mit Computergruppen in Azure Monitor können Sie Protokollabfragen auf eine bestimmte Gruppe von Computern eingrenzen. Jede Gruppe wird anhand einer von Ihnen definierten Abfrage mit Computern gefüllt. Wenn die Gruppe in eine Protokollabfrage eingeschlossen wird, sind die Ergebnisse auf Datensätze beschränkt, die den Computern in der Gruppe entsprechen.

Hinweis

Dieser Artikel wurde kürzlich aktualisiert, um den Begriff Azure Monitor-Protokolle anstelle von Log Analytics aufzunehmen. Protokolldaten werden immer noch in einem Log Analytics-Arbeitsbereich gespeichert und weiterhin mit dem gleichen Log Analytics-Dienst erfasst und analysiert. Die Terminologie hat sich geändert, um der Rolle von Protokollen in Azure Monitor besser Rechnung zu tragen. Weitere Informationen finden Sie unter Terminologieänderungen bei Azure Monitor.

Erforderliche Berechtigungen

Aktion Erforderliche Berechtigungen
Erstellen Sie eine Computergruppe aus einer Protokollabfrage. microsoft.operationalinsights/workspaces/savedSearches/write-Berechtigungen für den Log Analytics-Arbeitsbereich, in dem Sie die Computergruppe erstellen möchten, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden.
Führen Sie die Protokollsuche nach einer Computergruppe aus, oder verwenden Sie eine Computergruppe in einer Protokollabfrage. Microsoft.OperationalInsights/workspaces/query/*/read-Berechtigungen für die Log Analytics-Arbeitsbereiche, die Sie abfragen, wie sie z. B. von der integrierten Rolle „Log Analytics-Leser“ bereitgestellt werden.
Löschen Sie eine Computergruppe. microsoft.operationalinsights/workspaces/savedSearches/delete-Berechtigungen für den Log Analytics-Arbeitsbereich, in dem die Computergruppe gespeichert ist, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden.

Erstellen einer Computergruppe

Hinweis

Einige klassische Technologien sind durch Einstellung des Log Analytics-Agents zwar veraltet, allerdings sollen Computergruppen davon in absehbarer Zeit nicht betroffen sein. Gleichzeitig empfehlen wir Ihnen, die Funktionen der KQL-Sprache zu nutzen, um Protokollabfragen einzugrenzen. Sie können eine Computergruppe in Azure Monitor mit den Methoden in der folgenden Tabelle erstellen. Einzelheiten zu den einzelnen Methoden finden Sie in den Abschnitten unten.

Methode BESCHREIBUNG
Protokollabfrage Erstellen Sie eine Protokollabfrage, die eine Liste mit Computern zurückgibt.
Active Directory Nicht mehr unterstützt
Konfigurations-Manager Nicht mehr unterstützt
Windows Server Update Services Nicht mehr unterstützt

Protokollabfrage

Computergruppen, die durch eine Protokollabfrage erstellt wurden, enthalten alle Computer, die bei der von Ihnen definierten Abfrage zurückgegeben wurden. Diese Abfrage wird jedes Mal ausgeführt, wenn die Computergruppe verwendet wird. Daher werden sämtliche Änderungen seit der Erstellung der Gruppe berücksichtigt.

Sie können für eine Computergruppe eine beliebige Abfrage verwenden. Diese muss allerdings unter Verwendung von distinct Computer eine eindeutige Gruppe von Computern zurückgeben. Das folgende Beispiel enthält eine typische Abfrage, die Sie für eine Computergruppe verwendet können.

Heartbeat | where Computer contains "srv" | distinct Computer

Gehen Sie zum Erstellen einer Computergruppe aus einer Protokollsuche im Azure-Portal wie folgt vor:

  1. Klicken Sie im Azure-Portal im Azure Monitor-Menü auf Protokolle.
  2. Erstellen Sie eine Abfrage, mit der die in der Gruppe gewünschten Computer zurückgegeben werden, und führen Sie sie aus.
  3. Klicken Sie am oberen Bildschirmrand auf Speichern, und wählen Sie in der Dropdownliste Speichern als-Funktion aus.
  4. Wählen Sie Als Computergruppe speichern aus.
  5. Geben Sie Werte für jede Eigenschaft der Computergruppe an, die in der Tabelle beschrieben ist, und klicken Sie auf Speichern.

Die folgende Tabelle beschreibt die Eigenschaften, durch die eine Computergruppe definiert wird.

Eigenschaft BESCHREIBUNG
Funktionsname Name der Abfrage, die im Portal angezeigt werden soll
Legacykategorie Kategorie zum Organisieren von Abfragen im Portal
Parameter Fügen Sie einen Parameter für jede Variable in der Funktion hinzu, die einen Wert erfordert, wenn sie verwendet wird. Weitere Informationen finden Sie unter Funktionsparameter.

Active Directory

Nicht mehr unterstützt

Windows Server Update Service

Nicht mehr unterstützt

Konfigurations-Manager

Nicht mehr unterstützt

Verwalten von Computergruppen

Sie können Computergruppen, die aus einer Protokollabfrage erstellt wurden, über das Menüelement Legacy-Computergruppen in Ihrem Log Analytics-Arbeitsbereich im Azure-Portal aufrufen. Wählen Sie die Registerkarte Gespeicherte Gruppen aus, um die Liste der Gruppen anzuzeigen.

Klicken Sie auf das Symbol Mitglieder anzeigen für eine Gruppe, um für die Gruppe die Protokollsuche auszuführen, mit der die Elemente zurückgegeben werden. Klicken Sie auf das Symbol Löschen, um die Computergruppe zu löschen. Sie können eine Computergruppe nicht ändern, sondern nur löschen und dann mit den geänderten Einstellungen erneut erstellen.

Screenshot: Log Analytics-Ressource in Azure mit hervorgehobenem Bereich Legacycomputergruppen, Registerkarte „Gespeicherte Gruppen“, Symbol „Abfrage ausführen“ und hervorgehobenem Symbol „Löschen“

Verwenden einer Computergruppe in einer Protokollabfrage

Sie können eine aus einer Protokollabfrage erstellte Computergruppe in einer Abfrage verwenden, indem Sie den zugehörigen Alias als Funktion behandeln. Üblicherweise nutzen Sie dabei die folgende Syntax:

Table | where Computer in (ComputerGroup)

Mit dem folgenden Codebeispiel geben Sie ausschließlich UpdateSummary-Datensätze von Computern der Computergruppe „mycomputergroup“ zurück.

UpdateSummary | where Computer in (mycomputergroup)

Nächste Schritte

  • Erfahren Sie mehr über Protokollabfragen zum Analysieren der aus Datenquellen und Lösungen gesammelten Daten.