Dela via


Datorgrupper i Azure Monitor-loggfrågor

Med datorgrupper i Azure Monitor kan du begränsa loggfrågor till en viss uppsättning datorer. Varje grupp fylls med datorer med hjälp av en fråga som du definierar. När gruppen ingår i en loggfråga begränsas resultatet till poster som matchar datorerna i gruppen.

Behörigheter som krävs

Åtgärd Behörigheter som krävs
Skapa en datorgrupp från en loggfråga. microsoft.operationalinsights/workspaces/savedSearches/write behörigheter till Log Analytics-arbetsytan där du vill skapa datorgruppen, till exempel enligt log analytics-deltagarens inbyggda roll.
Kör en datorgrupps loggsökning eller använd en datorgrupp i en loggfråga. Microsoft.OperationalInsights/workspaces/query/*/read behörigheter till de Log Analytics-arbetsytor som du frågar efter, till exempel den inbyggda rollen Log Analytics Reader.
Ta bort en datorgrupp. microsoft.operationalinsights/workspaces/savedSearches/delete behörigheter till Log Analytics-arbetsytan där datorgruppen sparas, till exempel den inbyggda rollen Log Analytics-deltagare.

Skapa en datorgrupp

Kommentar

Vissa klassiska funktioner dras tillbaka med Log Analytics-agentutfasningen, men det finns inga aktuella planer på att inaktuella datorgrupper. Det är dock vanligtvis mer effektivt att utnyttja funktionerna i KQL-språket för att begränsa loggfrågor.

Du kan skapa en datorgrupp i Azure Monitor med hjälp av metoderna i följande tabell. Information om varje metod finns i avsnitten nedan.

Metod beskrivning
Loggfråga Skapa en loggfråga som returnerar en lista över datorer.
Active Directory Stöds inte längre
Konfigurationshanteraren Stöds inte längre
Windows Server Update Services Stöds inte längre

Loggfråga

Datorgrupper som skapats från en loggfråga innehåller alla datorer som returneras av en fråga som du definierar. Den här frågan körs varje gång datorgruppen används så att eventuella ändringar sedan gruppen skapades återspeglas.

Du kan använda valfri fråga för en datorgrupp, men den måste returnera en distinkt uppsättning datorer med hjälp distinct Computerav . Följande är en typisk exempelfråga som du kan använda för som en datorgrupp.

Heartbeat | where Computer contains "srv" | distinct Computer

Använd följande procedur för att skapa en datorgrupp från en loggsökning i Azure Portal.

  1. Klicka på LoggarAzure Monitor-menyn i Azure Portal.
  2. Skapa och kör en fråga som returnerar de datorer som du vill använda i gruppen.
  3. Klicka på Spara överst på skärmen och välj Spara som funktion i listrutan.
  4. Välj Spara som datorgrupp.
  5. Ange värden för varje egenskap för datorgruppen som beskrivs i tabellen och klicka på Spara.

I följande tabell beskrivs de egenskaper som definierar en datorgrupp.

Property beskrivning
Funktionsnamn Namnet på frågan som ska visas i portalen.
Äldre kategori Kategori för att organisera frågorna i portalen.
Parametrar Lägg till en parameter för varje variabel i funktionen som kräver ett värde när den används. Mer information finns i Funktionsparametrar.

Active Directory

Stöds inte längre

Windows Server Update Service

Stöds inte längre

Konfigurationshanteraren

Stöds inte längre

Hantera datorgrupper

Du kan visa datorgrupper som har skapats från en loggfråga från menyalternativet Äldre datorgrupper i Log Analytics-arbetsytan i Azure Portal. Välj fliken Sparade grupper för att visa listan över grupper.

Klicka på ikonen Kör fråga för en grupp för att köra gruppens loggsökning som returnerar dess medlemmar. Klicka på ikonen Ta bort för att ta bort datorgruppen. Du kan inte ändra en datorgrupp utan måste ta bort och sedan återskapa den med de ändrade inställningarna.

Skärmbild av en Log Analytics-resurs i Azure med fönstret Äldre datorgrupper, fliken Sparade grupper, frågeikonen Kör och ikonen Ta bort markerad.

Använda en datorgrupp i en loggfråga

Du använder en datorgrupp som skapats från en loggfråga i en fråga genom att behandla dess alias som en funktion, vanligtvis med följande syntax:

Table | where Computer in (ComputerGroup)

Du kan till exempel använda följande för att returnera UpdateSummary-poster för endast datorer i en datorgrupp med namnet mycomputergroup.

UpdateSummary | where Computer in (mycomputergroup)

Nästa steg

  • Lär dig mer om loggfrågor för att analysera data som samlas in från datakällor och lösningar.