Administración de los registros de Azure Monitor en la CLI de Azure

Artículo
08/09/2023

Use los comandos de la CLI de Azure que se describen aquí para administrar el área de trabajo de Log Analytics en Azure Monitor.

Prerrequisitos

Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.
Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.
- Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.
- En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.
- Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

Creación de un área de trabajo para los registros de Azure Monitor

Ejecute el comando az group create para crear un grupo de recursos o use un grupo de recursos existente. Para crear un área de trabajo, use el comando az monitor log-analytics workspace create.

az group create --name ContosoRG --location eastus2
az monitor log-analytics workspace create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Para más información acerca de las áreas de trabajo, consulte Introducción a los registros de Azure Monitor.

Enumeración de las tablas del área de trabajo

Cada área de trabajo contiene tablas con columnas que tienen varias filas de datos. Cada tabla se define mediante un conjunto único de columnas de datos proporcionados por el origen de datos.

Para ver las tablas del área de trabajo, use el comando az monitor log-analytics workspace table list:

az monitor log-analytics workspace table list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

El valor de salida table presenta los resultados en un formato más legible. Para más información, consulte Formato de salida.

Para cambiar el tiempo de retención de una tabla, ejecute el comando az monitor log-analytics workspace table update:

az monitor log-analytics workspace table update --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name Syslog --retention-time 45

El tiempo de retención está entre 30 y 730 días.

Para más información sobre las tablas, consulte Estructura de los datos.

Eliminar una tabla

Puede eliminar las tablas Registros personalizados, Resultados de la búsqueda y Registros restaurados.

Para eliminar una tabla, ejecute el comando az monitor log-analytics workspace table delete:

az monitor log-analytics workspace table delete –subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name MySearchTable_SRCH

Exportación de datos de tablas seleccionadas

Puede exportar continuamente datos de tablas seleccionadas a una cuenta de almacenamiento de Azure o a Azure Event Hubs. Utilice el comando az monitor log-analytics workspace data-export create:

az monitor log-analytics workspace data-export create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name DataExport --table Syslog \
   --destination /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/exportaccount \
   --enable

Para ver las exportaciones de datos, ejecute el comando az monitor log-analytics workspace data-export list.

az monitor log-analytics workspace data-export list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

Para eliminar una exportación de datos, ejecute el comando az monitor log-analytics workspace data-export delete. El parámetro --yes omite la confirmación.

az monitor log-analytics workspace data-export delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name DataExport --yes

Para más información sobre la exportación de datos, consulte Exportación de datos del área de trabajo de Log Analytics en Azure Monitor (versión preliminar).

Administración de un servicio vinculado

Los servicios vinculados definen una relación entre el área de trabajo y otro recurso de Azure. Los registros de Azure Monitor y los recursos de Azure usan esta conexión en sus operaciones. El ejemplo utiliza servicios vinculados, como una cuenta de Automation y una asociación del área de trabajo a claves administradas por el cliente.

Para crear un servicio vinculado, ejecute el comando az monitor log-analytics workspace linked-service create:

az monitor log-analytics workspace linked-service create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name linkedautomation \
   --resource-id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Web/sites/ContosoWebApp09

az monitor log-analytics workspace linked-service list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Para eliminar una relación de servicio vinculado, ejecute el comando az monitor log-analytics workspace linked-service delete:

az monitor log-analytics workspace linked-service delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name linkedautomation

Para más información, consulte az monitor log-analytics workspace linked-service.

Administración del almacenamiento vinculado

Si proporciona y administra su propia cuenta de almacenamiento para Log Analytics, puede administrarla con estos comandos de la CLI de Azure.

Para vincular el área de trabajo a una cuenta de almacenamiento, ejecute el comando az monitor log-analytics workspace linked-storage create:

az monitor log-analytics workspace linked-storage create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace \
   --storage-accounts /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/contosostorage \
   --type Alerts

az monitor log-analytics workspace linked-storage list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

Para eliminar el vínculo a una cuenta de almacenamiento, ejecute el comando az monitor log-analytics workspace linked-storage delete:

az monitor log-analytics workspace linked-storage delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --type Alerts

Para más información, consulte Uso de cuentas de almacenamiento administradas por el cliente en Log Analytics de Azure Monitor.

Administración de módulos de inteligencia

Para ver los módulos de inteligencia disponibles, ejecute el comando az monitor log-analytics workspace pack list. El comando también indica si el paquete está habilitado.

az monitor log-analytics workspace pack list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Use los comandos az monitor log-analytics workspace pack enable o az monitor log-analytics workspace pack disable:

az monitor log-analytics workspace pack enable --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name NetFlow

az monitor log-analytics workspace pack disable --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name NetFlow

Administración de búsquedas guardadas

Para crear una búsqueda guardada, ejecute el comando az monitor log-analytics workspace saved-search:

az monitor log-analytics workspace saved-search create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01 \
   --category "Log Management" --display-name SavedSearch01 \
   --saved-query "AzureActivity | summarize count() by bin(TimeGenerated, 1h)" --fa Function01 --fp "a:string = value"

Para ver la búsqueda guardada, ejecute el comando az monitor log-analytics workspace saved-search show. Para ver todas las búsquedas guardadas, ejecute el comando az monitor log-analytics workspace saved-search list.

az monitor log-analytics workspace saved-search show --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01
az monitor log-analytics workspace saved-search list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Para eliminar una búsqueda guardada, ejecute el comando az monitor log-analytics workspace saved-search delete:

az monitor log-analytics workspace saved-search delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01 --yes

Limpieza de la implementación

Si ha creado un grupo de recursos para probar estos comandos, puede quitar el grupo de recursos y todo su contenido mediante el comando az group delete:

az group delete --name ContosoRG

Si desea quitar una nueva área de trabajo de un grupo de recursos existente, ejecute el comando az monitor log-analytics workspace delete:

az monitor log-analytics workspace delete --resource-group ContosoRG 
   --workspace-name ContosoWorkspace --yes

Las áreas de trabajo de Log Analytics tienen una opción de eliminación temporal. Puede recuperar un área de trabajo eliminada durante dos semanas después de la eliminación. Ejecute el comando az monitor log-analytics workspace recover:

az monitor log-analytics workspace recover --resource-group ContosoRG 
   --workspace-name ContosoWorkspace

En el comando delete, agregue el parámetro --force para eliminar el área de trabajo inmediatamente.

Comandos de la CLI de Azure usados en este artículo

Pasos siguientes

Introducción a Log Analytics en Azure Monitor