Gestione dei log di Monitoraggio di Azure nell'interfaccia della riga di comando di Azure

Articolo
08/09/2023

Usare i comandi dell'interfaccia della riga di comando di Azure descritti qui per gestire l'area di lavoro log analytics in Monitoraggio di Azure.

Prerequisiti

Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido per Bash in Azure Cloud Shell.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
- Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere con l'interfaccia della riga di comando di Azure.
- Quando viene richiesto, installare l'estensione dell'interfaccia della riga di comando di Azure per la prima volta. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.
- Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

Creare un'area di lavoro per i log di monitoraggio

Eseguire il comando az group create per creare un gruppo di risorse o usare un gruppo di risorse esistente. Per creare un'area di lavoro, usare il comando az monitor log-analytics workspace create.

az group create --name ContosoRG --location eastus2
az monitor log-analytics workspace create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Per altre informazioni sulle aree di lavoro, vedere Panoramica dei log di Monitoraggio di Azure.

Elencare le tabelle nell'area di lavoro

Ogni area di lavoro contiene tabelle con colonne con più righe di dati. Ogni tabella è definita da un set univoco di colonne di dati fornite dall'origine dati.

Per visualizzare le tabelle nell'area di lavoro, usare il comando az monitor log-analytics workspace table list :

az monitor log-analytics workspace table list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

Il valore table di output presenta i risultati in un formato più leggibile. Per altre informazioni, vedere Formattazione dell'output.

Per modificare il tempo di conservazione per una tabella, eseguire il comando az monitor log-analytics workspace table update :

az monitor log-analytics workspace table update --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name Syslog --retention-time 45

Il tempo di conservazione è compreso tra 30 e 730 giorni.

Per altre informazioni sulle tabelle, vedere Struttura dei dati.

Eliminare una tabella

È possibile eliminare tabelle log,risultati di ricerca e log ripristinati .

Per eliminare una tabella, eseguire il comando az monitor log-analytics workspace table delete :

az monitor log-analytics workspace table delete –subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name MySearchTable_SRCH

Esportare i dati dalle tabelle selezionate

È possibile esportare continuamente i dati da tabelle selezionate a un account di archiviazione di Azure o Hub eventi di Azure. Usare il comando az monitor log-analytics workspace data-export create :

az monitor log-analytics workspace data-export create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name DataExport --table Syslog \
   --destination /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/exportaccount \
   --enable

Per visualizzare le esportazioni dei dati, eseguire il comando az monitor log-analytics workspace data-export list .

az monitor log-analytics workspace data-export list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

Per eliminare un'esportazione dei dati, eseguire il comando az monitor log-analytics workspace data-export delete . Il --yes parametro ignora la conferma.

az monitor log-analytics workspace data-export delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name DataExport --yes

Per altre informazioni sull'esportazione dei dati, vedere Esportazione dei dati dell'area di lavoro Log Analytics in Monitoraggio di Azure.

Gestire un servizio collegato

I servizi collegati definiscono una relazione dall'area di lavoro a un'altra risorsa di Azure. I log di Monitoraggio di Azure e le risorse di Azure usano questa connessione nelle operazioni. Esempio di utilizzo di servizi collegati, tra cui un account di automazione e un'associazione dell'area di lavoro alle chiavi gestite dal cliente.

Per creare un servizio collegato, eseguire il comando az monitor log-analytics workspace linked-service create :

az monitor log-analytics workspace linked-service create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name linkedautomation \
   --resource-id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Web/sites/ContosoWebApp09

az monitor log-analytics workspace linked-service list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Per rimuovere una relazione del servizio collegato, eseguire il comando az monitor log-analytics workspace linked-service delete :

az monitor log-analytics workspace linked-service delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name linkedautomation

Per altre informazioni, vedere az monitor log-analytics workspace linked-service.

Gestire l'archiviazione collegata

Se si fornisce e si gestisce un account di archiviazione personalizzato per l'analisi dei log, è possibile gestirlo con questi comandi dell'interfaccia della riga di comando di Azure.

Per collegare l'area di lavoro a un account di archiviazione, eseguire il comando az monitor log-analytics workspace linked-storage create :

az monitor log-analytics workspace linked-storage create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace \
   --storage-accounts /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/contosostorage \
   --type Alerts

az monitor log-analytics workspace linked-storage list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

Per rimuovere il collegamento a un account di archiviazione, eseguire il comando az monitor log-analytics workspace linked-storage delete :

az monitor log-analytics workspace linked-storage delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --type Alerts

Per altre informazioni, vedere Uso degli account di archiviazione gestiti dal cliente in Monitoraggio di Azure Log Analytics.

Gestire i pacchetti di intelligence

Per visualizzare i pacchetti di intelligence disponibili, eseguire il comando az monitor log-analytics workspace pack list . Il comando indica anche se il pacchetto è abilitato.

az monitor log-analytics workspace pack list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Usare il pacchetto di aree di lavoro az monitor log-analytics enable o az monitor log-analytics workspace pack disabilita i comandi:

az monitor log-analytics workspace pack enable --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name NetFlow

az monitor log-analytics workspace pack disable --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name NetFlow

Gestire le ricerche salvate

Per creare una ricerca salvata, eseguire il comando az monitor log-analytics workspace saved-search :

az monitor log-analytics workspace saved-search create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01 \
   --category "Log Management" --display-name SavedSearch01 \
   --saved-query "AzureActivity | summarize count() by bin(TimeGenerated, 1h)" --fa Function01 --fp "a:string = value"

Visualizzare la ricerca salvata usando il comando az monitor log-analytics workspace saved-search show . Vedere tutte le ricerche salvate usando az monitor log-analytics workspace saved-search list.

az monitor log-analytics workspace saved-search show --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01
az monitor log-analytics workspace saved-search list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Per eliminare una ricerca salvata, eseguire il comando az monitor log-analytics workspace saved-search delete :

az monitor log-analytics workspace saved-search delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01 --yes

Pulire la distribuzione

Se è stato creato un gruppo di risorse per testare questi comandi, è possibile rimuovere il gruppo di risorse e tutto il relativo contenuto usando il comando az group delete :

az group delete --name ContosoRG

Se si vuole rimuovere una nuova area di lavoro da un gruppo di risorse esistente, eseguire il comando az monitor log-analytics workspace delete :

az monitor log-analytics workspace delete --resource-group ContosoRG 
   --workspace-name ContosoWorkspace --yes

Le aree di lavoro di Log Analytics dispongono di un'opzione di eliminazione temporanea. È possibile ripristinare un'area di lavoro eliminata per due settimane dopo l'eliminazione. Eseguire il comando az monitor log-analytics workspace recovery :

az monitor log-analytics workspace recover --resource-group ContosoRG 
   --workspace-name ContosoWorkspace

Nel comando delete aggiungere il --force parametro per eliminare immediatamente l'area di lavoro.

Comandi dell'interfaccia della riga di comando di Azure usati in questo articolo

Passaggi successivi

Panoramica di Log Analytics in Monitoraggio di Azure