Azure Monitor ログ クエリでのコンピューター グループ
Azure Monitor では、コンピューター グループを使用して、ログ クエリの範囲を特定のコンピューターのセットに限定することができます。 それぞれのグループには、定義したクエリを使用してコンピューターが追加されます。 そのグループをログ クエリに含めると、対応するグループ内のコンピューターと一致するレコードに検索結果が限定されます。
必要なアクセス許可
| アクション | 必要なアクセス許可 |
|---|---|
| ログ クエリからコンピューター グループを作成する。 | たとえば、Log Analytics 共同作成者組み込みロールによって提供される、コンピューター グループを作成する Log Analytics ワークスペースへの microsoft.operationalinsights/workspaces/savedSearches/write アクセス許可。 |
| コンピューター グループのログ検索を実行するか、ログ クエリでコンピューター グループを使用する。 | クエリを実行する Log Analytics ワークスペースに対する Microsoft.OperationalInsights/workspaces/query/*/read アクセス許可。これは、たとえば、Log Analytics 閲覧者組み込みロールによって提供されます。 |
| コンピューター グループを削除する。 | たとえば、Log Analytics 共同作成者組み込みロールによって提供される、コンピューター グループが保存されている Log Analytics ワークスペースへの microsoft.operationalinsights/workspaces/savedSearches/delete アクセス許可。 |
コンピューター グループの作成
Note
Log Analytics エージェントの廃止に伴い、一部の従来の機能が廃止されていますが、コンピューター グループを廃止する計画は現在ありません。 ただし、通常は KQL 言語の機能を活用して、ログ クエリのスコープを設定する方が効果的です。
Azure Monitor のコンピューター グループは、以下の表に示した方法で作成できます。 それぞれの方法について、以降のセクションで詳しく説明します。
| Method | 説明 |
|---|---|
| Log query | コンピューターの一覧を返すログ クエリを作成します。 |
| Active Directory | サポートされていません |
| 構成マネージャー | サポートされていません |
| Windows Server Update Services | サポートされていません |
Log query
ログ クエリから作成されたコンピューター グループには、ユーザーが定義したクエリによって返されるすべてのコンピューターが含まれます。 このクエリは、コンピューター グループを使用するたびに実行されます。そうすることで、グループの作成以降に行われた変更が反映されます。
コンピューター グループにはどのクエリでも使用できますが、クエリは distinct Computer を使用して明確な一連のコンピューターを返す必要があります。 コンピューター グループに使用できる一般的なクエリの例を次に示します。
Heartbeat | where Computer contains "srv" | distinct Computer
Azure Portal でログ検索からコンピューター グループを作成するには、次の手順に従います。
- Azure portal の [Azure Monitor] メニューで [ログ] をクリックします。
- グループに含めるコンピューターが返されるクエリを作成して実行します。
- 画面の上部にある [保存] をクリックし、ドロップダウンから [関数として保存] を選択します。
- [コンピューター グループとして保存] を選択します。
- コンピューター グループに対して表で説明されている各プロパティの値を指定し、 [保存] をクリックします。
次の表では、コンピューター グループを定義するプロパティについて説明しています。
| プロパティ | 説明 |
|---|---|
| 関数名 | ポータルに表示するクエリの名前。 |
| 従来のカテゴリ | ポータル内でクエリを整理するためのカテゴリ。 |
| パラメーター | 使用時に値を必要とする関数内の各変数に対し、パラメーターを追加します。 詳細については、「関数のパラメーター」をご覧ください。 |
Active Directory
サポートされていません
Windows Server Update Service
サポートされていません
構成マネージャー
サポートされていません
コンピューター グループの管理
ログ クエリから作成されたコンピューター グループは、Azure portal でお使いの Log Analytics ワークスペースの [Legacy computer groups] (レガシ コンピューター グループ) メニュー項目から表示できます。 [保存済みグループ] タブを選んで、グループの一覧を表示します。
グループの [クエリの実行] アイコンをクリックすると、グループのログ検索が実行されて、そのメンバーが返されます。 [削除] アイコンをクリックして、コンピューター グループを削除します。 コンピューター グループは変更できませんが、コンピューター グループを削除し、変更された設定で再度作成する必要があります。
ログ クエリでのコンピューター グループの使用
ログ クエリから作成されたコンピューター グループをクエリで使用するには、そのエイリアスを関数として扱います。通常は、次の構文を使用します。
Table | where Computer in (ComputerGroup)
たとえば、以下を使用して、mycomputergroup という名前のコンピューター グループ内のコンピューターのみを対象とした UpdateSummary レコードを返すことができます。
UpdateSummary | where Computer in (mycomputergroup)
次のステップ
- ログ クエリについて学習し、データ ソースとソリューションから収集されたデータを分析します。