Funktioner i Azure Monitor-loggfrågor

En funktion är en loggfråga i Azure Monitor som kan användas i andra loggfrågor som om det vore ett kommando. Du kan använda funktioner för att tillhandahålla lösningar till olika kunder och även återanvända frågelogik i din egen miljö. Den här artikeln beskriver hur du använder funktioner och hur du skapar egna.

Behörigheter som krävs

Åtgärd	Behörigheter som krävs
Visa eller använda funktioner	Microsoft.OperationalInsights/workspaces/query/*/read behörigheter till Log Analytics-arbetsytan, som tillhandahålls av log analytics-läsarens inbyggda roll, till exempel.
Skapa eller redigera funktioner	microsoft.operationalinsights/workspaces/savedSearches/write behörigheter till Log Analytics-arbetsytan, som tillhandahålls av log analytics-deltagarens inbyggda roll, till exempel.

Typer av funktioner

Det finns två typer av funktioner i Azure Monitor:

• Lösningsfunktioner: Fördefinierade funktioner ingår i Azure Monitor. Dessa funktioner är tillgängliga på alla Log Analytics-arbetsytor och kan inte ändras.

• Arbetsytefunktioner: Dessa funktioner installeras på en viss Log Analytics-arbetsyta. De kan ändras och kontrolleras av användaren.

Visa funktioner

Du kan visa lösningsfunktioner och arbetsytefunktioner på den aktuella arbetsytan på fliken Funktioner i den vänstra rutan på en Log Analytics-arbetsyta. Använd Filter för att filtrera de funktioner som ingår i listan. Använd Gruppera efter för att ändra deras gruppering. Ange en sträng i sökrutan för att hitta en viss funktion. Hovra över en funktion för att visa information om den, inklusive en beskrivning och parametrar.

Använda en funktion

Använd en funktion i en fråga genom att skriva dess namn med värden för alla parametrar på samma sätt som du skriver in ett kommando. Funktionens utdata kan antingen returneras som resultat eller skickas till ett annat kommando.

Lägg till en funktion i den aktuella frågan genom att dubbelklicka på dess namn eller hovra över den och välja Använd i redigeraren. Funktioner på arbetsytan inkluderas också i IntelliSense när du skriver in en fråga.

Om en fråga kräver parametrar anger du dem med hjälp av syntaxen function_name(param1,param2,...).

Skapa en funktion

Portal

Om du vill skapa en funktion från den aktuella frågan i redigeraren väljer du Spara>som-funktion.

Skapa en funktion med Log Analytics i Azure Portal genom att välja Spara och sedan ange informationen i följande tabell:

Inställning	beskrivning
Funktionsnamn	Namnet på funktionen. Namnet får inte innehålla ett blanksteg eller specialtecken. Det kanske inte heller börjar med ett understreck (_) eftersom det här tecknet är reserverat för lösningsfunktioner.
Äldre kategori	Användardefinierad kategori för att filtrera och gruppera funktioner.
Spara som datorgrupp	Spara frågan som en datorgrupp.
Parametrar	Lägg till en parameter för varje variabel i funktionen som kräver ett värde när den används. Mer information finns i Funktionsparametrar.

Resource Manager-mall

I följande exempel används mallen Microsoft.OperationalInsights-arbetsytor/savedSearches för att skapa en funktion. Mer information om Azure Resource Manager-mallar finns i Förstå strukturen och syntaxen för ARM-mallar.

Mer information om hur du distribuerar resurser från en anpassad mall finns i Distribuera resurser med ARM-mallar och Azure Portal.

Kommentar

Se Azure Resource Manager-exempel för Azure Monitor för en lista över exempel som är tillgängliga och vägledning om hur du distribuerar dem i din Azure-prenumeration.

Mallfil

{
  "$schema": "
https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#"
,
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
      "apiVersion": "2020-08-01",
      "name": "[concat(parameters('workspaceName'), '/', parameters('functionName'))]",
      "location": "[parameters('location')]",
      "properties": {
        "etag": "*",
        "displayName": "[parameters('functionDisplayName')]",
        "category": "[parameters('category')]",
        "query": "[parameters('query')]",
        "functionAlias": "[parameters('functionAlias')]",
        "version": 1
      }
    }
  ],
  "parameters": {
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "Name of the Log Analytics workspace"
      }
    },
    "functionName": {
      "type": "string",
      "metadata": {
        "description": "Name of the function"
      }
    },
    "location": {
      "type": "string",
      "metadata": {
        "description": "Location of the Log Analytics workspace"
      }
    },
    "functionDisplayName": {
      "type": "string",
      "metadata": {
        "description": "Display name of the function"
      }
    },
    "category": {
      "type": "string",
      "metadata": {
        "description": "Category of the function"
      }
    },
    "query": {
      "type": "string",
      "metadata": {
        "description": "Kusto query for the function"
      }
    },
    "functionAlias": {
      "type": "string",
      "metadata": {
        "description": "Alias for the function"
      }
    }
  }
}

Funktionsparametrar

Du kan lägga till parametrar i en funktion så att du kan ange värden för vissa variabler när du anropar den. Därför kan samma funktion användas i olika frågor, var och en med olika värden för parametrarna. Parametrar definieras av följande egenskaper:

Inställning	beskrivning
Typ	Datatyp för värdet.
Name	Namn på parametern. Det här namnet måste användas i frågan för att ersätta med parametervärdet.
Standardvärde	Värde som ska användas för parametern om ett värde inte anges.

Parametrarna sorteras när de skapas. Parametrar som inte har något standardvärde placeras framför parametrar som har ett standardvärde.

Arbeta med funktionskod

Du kan visa koden för en funktion antingen för att få insikt i hur den fungerar eller för att ändra koden för en arbetsytefunktion. Välj Läs in funktionskoden för att lägga till funktionskoden i den aktuella frågan i redigeraren.

Om du lägger till funktionskoden i en tom fråga eller den första raden i en befintlig fråga läggs funktionsnamnet till på fliken . Med en arbetsytefunktion kan du redigera funktionsinformationen.

Redigera en funktion

Redigera egenskaperna eller koden för en funktion genom att skapa en ny fråga. Hovra över namnet på funktionen och välj Läs in funktionskod. Gör eventuella ändringar som du vill göra i koden och välj Spara. Välj sedan Redigera funktionsinformation. Gör eventuella ändringar som du vill göra i egenskaperna och parametrarna för funktionen och välj Spara.

Exempel

Följande exempelfunktion returnerar alla händelser i Azure-aktivitetsloggen sedan ett visst datum och som matchar en viss kategori.

Börja med följande fråga med hjälp av hårdkodade värden för att verifiera att frågan fungerar som förväntat.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

Ersätt sedan de hårdkodade värdena med parameternamn. Spara sedan funktionen genom att välja Spara>spara som-funktion.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

Ange följande värden för funktionsegenskaperna:

Property	Värde
Funktionsnamn	AzureActivityByCategory
Äldre kategori	Demofunktioner

Definiera följande parametrar innan du sparar funktionen:

Typ	Name	Standardvärde
sträng	CategoryParam	"Administrativ"
datetime	DateParam

Skapa en ny fråga och visa den nya funktionen genom att hovra över den. Titta på parametrarnas ordning. De måste anges i den här ordningen när du använder funktionen.

Välj Använd i redigeraren för att lägga till den nya funktionen i en fråga. Lägg sedan till värden för parametrarna. Du behöver inte ange något värde för CategoryParam eftersom det har ett standardvärde.

Nästa steg

Mer information om hur du skriver Azure Monitor-loggfrågor finns i Strängåtgärder .