Pacchetti di query nei log di Monitoraggio di Azure

  • Articolo

I pacchetti di query fungono da contenitori per le query di log in Monitoraggio di Azure. Consentono di salvare le query di log e condividerle tra aree di lavoro e altri contesti in Log Analytics.

Autorizzazioni

È possibile impostare le autorizzazioni per un Query Pack quando la si visualizza nel portale di Azure. Per usare i Pacchetti di query sono necessarie le autorizzazioni seguenti:

  • Lettore: gli utenti possono visualizzare ed eseguire tutte le query nel pacchetto di query.

  • Collaboratore: gli utenti possono modificare le query esistenti e aggiungere nuove query al pacchetto di query.

    Importante

    Quando un utente deve modificare o aggiungere query, concedere sempre all'utente l'autorizzazione Collaboratore per .DefaultQueryPack In caso contrario, l'utente non sarà in grado di salvare alcuna query nella sottoscrizione, inclusi in altri Query Pack.

Visualizzare i pacchetti di query

È possibile visualizzare e gestire i pacchetti di query nel portale di Azure dal menu Query Pack di Log Analytics. Selezionare un pacchetto di query per visualizzarne e modificarne le autorizzazioni. Questo articolo descrive come creare un pacchetto di query usando l'API.

Screenshot that shows query packs.

Pacchetto di query predefinito

Monitoraggio di Azure crea automaticamente un pacchetto di query denominato DefaultQueryPack in ogni sottoscrizione in un gruppo di risorse denominato LogAnalyticsDefaultResources quando si salva la prima query. È possibile salvare le query in questo Query Pack o creare altri Pacchetti di query in base alle esigenze.

Usare più pacchetti di query

Il pacchetto di query predefinito è sufficiente per la maggior parte degli utenti per salvare e riutilizzare le query. È possibile creare più Query Pack per gli utenti dell'organizzazione se, ad esempio, si vogliono caricare set di query diversi in sessioni di Log Analytics diverse e fornire autorizzazioni diverse per raccolte diverse di query.

Quando si crea un nuovo query pack, è possibile aggiungere tag che classificano le query in base alle esigenze aziendali. Ad esempio, è possibile contrassegnare un pacchetto di query per correlarlo a un determinato reparto dell'organizzazione o alla gravità dei problemi che le query incluse devono risolvere. Usando i tag, è possibile creare set di query diversi destinati a diversi set di utenti e situazioni diverse.

Per aggiungere pacchetti di query all'area di lavoro Log Analytics:

  1. Aprire Log Analytics e selezionare Query nell'angolo superiore destro.
  2. Nell'angolo superiore sinistro della finestra di dialogo Query accanto a Pacchetti di query fare clic su Seleziona pacchetti di query o selezionare 0.
  3. Selezionare i pacchetti di query da aggiungere all'area di lavoro.

Screenshot that shows the Select query packs page in Log Analytics, where you can add query packs to a Log Analytics workspace.

Importante

È possibile aggiungere fino a cinque Query Pack a un'area di lavoro Log Analytics.

Creare un pacchetto di query

È possibile creare un pacchetto di query usando l'API REST o dal riquadro Query Pack di Log Analytics nel portale di Azure. Per aprire il riquadro Query Pack di Log Analytics nel portale, selezionare Tutti i servizi>Altro.

Nota

Le query salvate in Query Pack non vengono crittografate con la chiave gestita dal cliente. Selezionare Salva come query legacy durante il salvataggio delle query per proteggerle con la chiave gestita dal cliente.

Creare un token

È necessario disporre di un token per l'autenticazione della richiesta API. Esistono più metodi per ottenere un token. Un metodo consiste nell'usare armclient.

Per prima cosa, accedere ad Azure usando il comando seguente:

armclient login

Creare quindi il token usando il comando seguente. Il token viene copiato automaticamente negli Appunti in modo che sia possibile incollarlo in un altro strumento.

armclient token

Creare un payload

Il payload della richiesta è il codice JSON che definisce una o più query e il percorso in cui deve essere archiviato il pacchetto di query. Il nome del pacchetto di query viene specificato nella richiesta API descritta nella sezione successiva.

{
    "location": "eastus",
    "properties":
    {
        "displayName": "Query name that will be displayed in the UI",
        "description": "Query description that will be displayed in the UI",
        "body": "<<query text, standard KQL code>>",
        "related": {
            "categories": [
                "workloads"
            ],
            "resourceTypes": [
                "microsoft.insights/components"
            ],
            "solutions": [
                "logmanagement"
            ]
        },
        "tags": {
            "Tag1": [
                "Value1",
                "Value2"
            ]
        }
    }
}

Ogni query nel pacchetto di query ha le proprietà seguenti:

Proprietà Descrizione
displayName Nome visualizzato elencato in Log Analytics per ogni query.
description Descrizione della query visualizzata in Log Analytics per ogni query.
body Query scritta in Linguaggio di query Kusto.
related Categorie correlate, tipi di risorse e soluzioni per la query. Usato per il raggruppamento e il filtro in Log Analytics da parte dell'utente per individuare la query. Ogni query può avere fino a 10 di ogni tipo. Recuperare i valori consentiti da https://api.loganalytics.io/v1/metadata?select=resourceTypes, soluzioni e categorie.
tags Altri tag usati dall'utente per l'ordinamento e il filtro in Log Analytics. Ogni tag verrà aggiunto a Categoria, Tipo di risorsa e Soluzione quando si raggruppano e filtrano le query.

Crea una richiesta

Usare la richiesta seguente per creare un nuovo query pack usando l'API REST. La richiesta deve usare l'autorizzazione del token di connessione. Il tipo di contenuto deve essere application/json.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack?api-version=2019-09-01

Usare uno strumento che può inviare una richiesta API REST, ad esempio Fiddler o Postman, per inviare la richiesta usando il payload descritto nella sezione precedente. L'ID della query verrà generato e restituito nel payload.

Aggiornare un pacchetto di query

Per aggiornare un pacchetto di query, inviare la richiesta seguente con un payload aggiornato. Questo comando richiede l'ID del pacchetto di query.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack/queries/query-id/?api-version=2019-09-01

Passaggi successivi

Vedere Uso delle query in Log Analytics di Monitoraggio di Azure per vedere come gli utenti interagiscono con i Query Pack in Log Analytics.