Függvények az Azure Monitor napló lekérdezéseiben

A függvények olyan napló lekérdezések az Azure Monitorban, amelyek más napló lekérdezésekben is használhatók, mintha parancs lenne. A függvényekkel megoldásokat biztosíthat a különböző ügyfeleknek, és a lekérdezési logikát is felhasználhatja a saját környezetében. Ez a cikk bemutatja, hogyan használhatja a függvényeket, és hogyan hozhat létre sajátokat.

A szükséges engedélyek

Művelet	A szükséges engedélyek
Függvények megtekintése vagy használata	Microsoft.OperationalInsights/workspaces/query/*/read a Log Analytics-munkaterületre vonatkozó engedélyek, például a Log Analytics-olvasó beépített szerepkörének megfelelően.
Függvények létrehozása vagy szerkesztése	microsoft.operationalinsights/workspaces/savedSearches/write a Log Analytics-munkaterületre vonatkozó engedélyek, például a Log Analytics-közreműködő beépített szerepköre alapján.

A függvények típusai

Az Azure Monitor kétféle függvényt különböztet meg:

• Megoldásfüggvények: Az előre összeállított függvények az Azure Monitor részét képezik. Ezek a függvények minden Log Analytics-munkaterületen elérhetők, és nem módosíthatók.

• Munkaterületi függvények: Ezek a függvények egy adott Log Analytics-munkaterületen vannak telepítve. Ezeket a felhasználó módosíthatja és szabályozhatja.

Függvények megtekintése

A megoldásfüggvényeket és a munkaterületi függvényeket a Log Analytics-munkaterület bal oldali paneljének Függvények lapján tekintheti meg az aktuális munkaterületen. A szűrővel szűrheti a listában szereplő függvényeket. A Csoportosítás használatával módosíthatja a csoportosítást. Adjon meg egy sztringet a Keresőmezőbe egy adott függvény megkereséséhez. Mutasson egy függvényre a részletek megtekintéséhez, beleértve a leírást és a paramétereket.

Függvény használata

Használjon függvényt egy lekérdezésben úgy, hogy beírja a nevét a parancsba beírt paraméterek értékeivel. A függvény kimenete eredményként visszaadható, vagy egy másik parancsba csövezhető.

Adjon hozzá egy függvényt az aktuális lekérdezéshez úgy, hogy duplán kattint a nevére, vagy rámutat rá, majd a Szerkesztőben a Használat lehetőséget választja. A munkaterületen lévő függvények az IntelliSense-ben is megjelennek, amikor beír egy lekérdezést.

Ha egy lekérdezés paramétereket igényel, adja meg őket a szintaxis function_name(param1,param2,...)használatával.

Függvény létrehozása

Portál

Ha az aktuális lekérdezésből szeretne függvényt létrehozni a szerkesztőben, válassza a Mentés>függvényként lehetőséget.

Hozzon létre egy függvényt a Log Analytics használatával az Azure Portalon a Mentés gombra kattintva, majd adja meg az alábbi táblázatban szereplő információkat:

Beállítás	Leírás
Függvénynév	A függvény neve. A név nem tartalmazhat szóközt vagy speciális karaktereket. Előfordulhat, hogy nem aláhúzásjellel (_) kezdődik, mert ez a karakter a megoldásfüggvények számára van fenntartva.
Örökölt kategória	Felhasználó által definiált kategória a függvények szűréséhez és csoportosításához.
Mentés számítógépcsoportként	Mentse a lekérdezést számítógépcsoportként.
Paraméterek	Adjon hozzá egy paramétert a függvény minden változója számára, amely a használat során értéket igényel. További információ: Függvényparaméterek.

Resource Manager-sablon

Az alábbi minta a Microsoft.OperationalInsights-munkaterületek/savedSearches sablon használatával hoz létre egy függvényt. Az Azure Resource Manager-sablonokról további információt az ARM-sablonok szerkezetének és szintaxisának ismertetése című témakörben talál.

Ha többet szeretne megtudni arról, hogyan helyezhet üzembe erőforrásokat egyéni sablonból, tekintse meg az Erőforrások üzembe helyezése ARM-sablonokkal és az Azure Portallal című témakört.

Feljegyzés

Az Azure Monitorhoz készült Azure Resource Manager-mintákban megtalálja az elérhető minták listáját, és útmutatást nyújt az Azure-előfizetésben való üzembe helyezésükhöz.

Sablonfájl

{
  "$schema": "
https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#"
,
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
      "apiVersion": "2020-08-01",
      "name": "[concat(parameters('workspaceName'), '/', parameters('functionName'))]",
      "location": "[parameters('location')]",
      "properties": {
        "etag": "*",
        "displayName": "[parameters('functionDisplayName')]",
        "category": "[parameters('category')]",
        "query": "[parameters('query')]",
        "functionAlias": "[parameters('functionAlias')]",
        "version": 1
      }
    }
  ],
  "parameters": {
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "Name of the Log Analytics workspace"
      }
    },
    "functionName": {
      "type": "string",
      "metadata": {
        "description": "Name of the function"
      }
    },
    "location": {
      "type": "string",
      "metadata": {
        "description": "Location of the Log Analytics workspace"
      }
    },
    "functionDisplayName": {
      "type": "string",
      "metadata": {
        "description": "Display name of the function"
      }
    },
    "category": {
      "type": "string",
      "metadata": {
        "description": "Category of the function"
      }
    },
    "query": {
      "type": "string",
      "metadata": {
        "description": "Kusto query for the function"
      }
    },
    "functionAlias": {
      "type": "string",
      "metadata": {
        "description": "Alias for the function"
      }
    }
  }
}

Függvényparaméterek

Paramétereket adhat hozzá egy függvényhez, hogy bizonyos változók értékeit meg tudja adni, amikor meghívja. Ennek eredményeképpen ugyanaz a függvény használható különböző lekérdezésekben, amelyek mindegyike különböző értékeket biztosít a paraméterek számára. A paramétereket a következő tulajdonságok határozzák meg:

Beállítás	Leírás
Típus	Az érték adattípusa.
Név	A paraméter neve. Ezt a nevet kell használni a lekérdezésben a paraméter értékére való lecseréléséhez.
Alapértelmezett érték	A paraméterhez használandó érték, ha nincs megadva érték.

A paraméterek létrehozásakor a rendszer rendezi a paramétereket. Az alapértelmezett értékkel nem rendelkező paraméterek az alapértelmezett értékkel rendelkező paraméterek elé kerülnek.

Függvénykód használata

A függvény kódját megtekintheti, hogy betekintést nyerjen a működésbe, vagy módosítsa egy munkaterületi függvény kódját. A függvénykód betöltése lehetőséget választva adja hozzá a függvénykódot az aktuális lekérdezéshez a szerkesztőben.

Ha egy üres lekérdezéshez vagy egy meglévő lekérdezés első sorához adja hozzá a függvénykódot, a függvény neve megjelenik a lapon. A munkaterületi függvények lehetővé teszik a függvény részleteinek szerkesztését.

Függvény szerkesztése

Szerkessze egy függvény tulajdonságait vagy kódját egy új lekérdezés létrehozásával. Vigye az egérmutatót a függvény nevére, és válassza a Függvénykód betöltése lehetőséget. Módosítsa a kódot, és válassza a Mentés lehetőséget. Ezután válassza a Függvény részleteinek szerkesztése lehetőséget. Módosítsa a függvény tulajdonságait és paramétereit, és válassza a Mentés lehetőséget.

Példa

Az alábbi mintafüggvény egy adott dátum óta az Azure-tevékenységnapló összes eseményét adja vissza, amely megfelel egy adott kategóriának.

Kezdje a következő lekérdezéssel a merevlemezes értékek használatával annak ellenőrzéséhez, hogy a lekérdezés a várt módon működik-e.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

Ezután cserélje le a rögzített értékeket paraméternevekre. Ezután mentse a függvényt a Mentés>függvényként lehetőséget választva.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

Adja meg a függvény tulajdonságainak alábbi értékeit:

Tulajdonság	Érték
Függvénynév	AzureActivityByCategory
Örökölt kategória	Demo függvények

A függvény mentése előtt adja meg a következő paramétereket:

Típus	Név	Alapértelmezett érték
húr	CategoryParam	"Rendszergazda"
dátum/idő	DateParam

Hozzon létre egy új lekérdezést, és mutasson rá az egérmutatóval, és tekintse meg az új függvényt. Tekintse meg a paraméterek sorrendjét. A függvény használatakor ebben a sorrendben kell megadni őket.

Válassza a Szerkesztő használata lehetőséget az új függvény lekérdezéshez való hozzáadásához. Ezután adjon meg értékeket a paraméterekhez. Nem kell megadnia egy értéket CategoryParam , mert az alapértelmezett értékkel rendelkezik.

Következő lépések

Az Azure Monitor napló lekérdezéseinek írásáról további információt a Sztringműveletek című témakörben talál.