Functies in Azure Monitor-logboekquery's

Een functie is een logboekquery in Azure Monitor die kan worden gebruikt in andere logboekquery's alsof het een opdracht is. U kunt functies gebruiken om oplossingen te bieden aan verschillende klanten en querylogica ook opnieuw te gebruiken in uw eigen omgeving. In dit artikel wordt beschreven hoe u functies gebruikt en hoe u uw eigen functies maakt.

Vereiste machtigingen

Actie	Vereiste machtigingen
Functies weergeven of gebruiken	Microsoft.OperationalInsights/workspaces/query/*/read machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol Log Analytics Reader.
Functies maken of bewerken	microsoft.operationalinsights/workspaces/savedSearches/write machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol Log Analytics-inzender.

Typen functies

Er zijn twee typen functies in Azure Monitor:

• Oplossingsfuncties: vooraf gemaakte functies zijn opgenomen in Azure Monitor. Deze functies zijn beschikbaar in alle Log Analytics-werkruimten en kunnen niet worden gewijzigd.

• Werkruimtefuncties: deze functies worden geïnstalleerd in een bepaalde Log Analytics-werkruimte. Ze kunnen worden gewijzigd en beheerd door de gebruiker.

Functies weergeven

U kunt oplossingsfuncties en werkruimtefuncties weergeven in de huidige werkruimte op het tabblad Functies in het linkerdeelvenster van een Log Analytics-werkruimte. Gebruik Filter om de functies in de lijst te filteren. Gebruik Groeperen door om de groepering te wijzigen. Voer een tekenreeks in het zoekvak in om een bepaalde functie te zoeken. Beweeg de muisaanwijzer over een functie om details over deze functie weer te geven, inclusief een beschrijving en parameters.

Een functie gebruiken

Gebruik een functie in een query door de naam ervan te typen met waarden voor parameters die hetzelfde zijn als u in een opdracht zou typen. De uitvoer van de functie kan worden geretourneerd als resultaten of worden doorgesluisd naar een andere opdracht.

Voeg een functie toe aan de huidige query door te dubbelklikken op de naam of de muisaanwijzer erop te bewegen en Use in editor te selecteren. Functies in de werkruimte worden ook opgenomen in IntelliSense terwijl u een query typt.

Als voor een query parameters zijn vereist, geeft u deze op met behulp van de syntaxis function_name(param1,param2,...).

Een functie maken

Portal

Als u een functie wilt maken op basis van de huidige query in de editor, selecteert u Opslaan>als functie.

Maak een functie met Log Analytics in Azure Portal door Opslaan te selecteren en vervolgens de informatie op te geven in de volgende tabel:

Instelling	Beschrijving
Functienaam	Naam voor de functie. De naam mag geen spatie of speciale tekens bevatten. Het mag ook niet beginnen met een onderstrepingsteken (_), omdat dit teken is gereserveerd voor oplossingsfuncties.
Verouderde categorie	Door de gebruiker gedefinieerde categorie om functies te filteren en te groeperen.
Opslaan als computergroep	Sla de query op als een computergroep.
Parameters	Voeg een parameter toe voor elke variabele in de functie waarvoor een waarde is vereist wanneer deze wordt gebruikt. Zie Functieparameters voor meer informatie.

Resource Manager-sjabloon

In het volgende voorbeeld wordt de microsoft.OperationalInsights-werkruimten/opgeslagenSearches-sjabloon gebruikt om een functie te maken. Zie De structuur en syntaxis van ARM-sjablonen begrijpen voor meer informatie over Azure Resource Manager-sjablonen.

Ga naar Resources implementeren met ARM-sjablonen en Azure Portal voor meer informatie over het implementeren van resources vanuit een aangepaste sjabloon.

Notitie

Zie Azure Resource Manager-voorbeelden voor Azure Monitor voor een lijst met voorbeelden die beschikbaar zijn en richtlijnen voor het implementeren ervan in uw Azure-abonnement.

Sjabloonbestand

{
  "$schema": "
https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#"
,
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
      "apiVersion": "2020-08-01",
      "name": "[concat(parameters('workspaceName'), '/', parameters('functionName'))]",
      "location": "[parameters('location')]",
      "properties": {
        "etag": "*",
        "displayName": "[parameters('functionDisplayName')]",
        "category": "[parameters('category')]",
        "query": "[parameters('query')]",
        "functionAlias": "[parameters('functionAlias')]",
        "version": 1
      }
    }
  ],
  "parameters": {
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "Name of the Log Analytics workspace"
      }
    },
    "functionName": {
      "type": "string",
      "metadata": {
        "description": "Name of the function"
      }
    },
    "location": {
      "type": "string",
      "metadata": {
        "description": "Location of the Log Analytics workspace"
      }
    },
    "functionDisplayName": {
      "type": "string",
      "metadata": {
        "description": "Display name of the function"
      }
    },
    "category": {
      "type": "string",
      "metadata": {
        "description": "Category of the function"
      }
    },
    "query": {
      "type": "string",
      "metadata": {
        "description": "Kusto query for the function"
      }
    },
    "functionAlias": {
      "type": "string",
      "metadata": {
        "description": "Alias for the function"
      }
    }
  }
}

Functieparameters

U kunt parameters toevoegen aan een functie, zodat u waarden voor bepaalde variabelen kunt opgeven wanneer u deze aanroept. Als gevolg hiervan kan dezelfde functie worden gebruikt in verschillende query's, elk met verschillende waarden voor de parameters. Parameters worden gedefinieerd door de volgende eigenschappen:

Instelling	Beschrijving
Type	Gegevenstype voor de waarde.
Naam	Naam voor de parameter. Deze naam moet worden gebruikt in de query om te vervangen door de parameterwaarde.
Default value	De waarde die moet worden gebruikt voor de parameter als er geen waarde is opgegeven.

Parameters worden geordend terwijl ze worden gemaakt. Parameters die geen standaardwaarde hebben, worden vóór parameters met een standaardwaarde weergegeven.

Werken met functiecode

U kunt de code van een functie bekijken om inzicht te krijgen in hoe deze werkt of om de code voor een werkruimtefunctie te wijzigen. Selecteer De functiecode laden om de functiecode toe te voegen aan de huidige query in de editor.

Als u de functiecode toevoegt aan een lege query of de eerste regel van een bestaande query, wordt de functienaam toegevoegd aan het tabblad. Met een werkruimtefunctie kunt u de functiedetails bewerken.

Een functie bewerken

Bewerk de eigenschappen of de code van een functie door een nieuwe query te maken. Beweeg de muisaanwijzer over de naam van de functie en selecteer Functiecode laden. Breng de gewenste wijzigingen aan in de code en selecteer Opslaan. Selecteer vervolgens Functiedetails bewerken. Breng de gewenste wijzigingen aan in de eigenschappen en parameters van de functie en selecteer Opslaan.

Opmerking

De volgende voorbeeldfunctie retourneert alle gebeurtenissen in het Azure-activiteitenlogboek sinds een bepaalde datum en die overeenkomen met een bepaalde categorie.

Begin met de volgende query met behulp van vastgelegde waarden om te controleren of de query werkt zoals verwacht.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

Vervang vervolgens de vastgelegde waarden door parameternamen. Sla de functie vervolgens op door de functie Opslaan>als te selecteren.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

Geef de volgende waarden op voor de functie-eigenschappen:

Eigenschappen	Weergegeven als
Functienaam	AzureActivityByCategory
Verouderde categorie	Demofuncties

Definieer de volgende parameters voordat u de functie opslaat:

Type	Naam	Default value
tekenreeks	CategoryParam	'Administratief'
datetime	DateParam

Maak een nieuwe query en bekijk de nieuwe functie door de muisaanwijzer erop te bewegen. Bekijk de volgorde van de parameters. Deze moeten in deze volgorde worden opgegeven wanneer u de functie gebruikt.

Selecteer Gebruiken in editor om de nieuwe functie toe te voegen aan een query. Voeg vervolgens waarden toe voor de parameters. U hoeft geen waarde op te geven omdat CategoryParam deze een standaardwaarde heeft.

Volgende stappen

Zie Tekenreeksbewerkingen voor meer informatie over het schrijven van Azure Monitor-logboekquery's.