Datorgrupper i Azure Monitor-loggfrågor
Med datorgrupper i Azure Monitor kan du begränsa loggfrågor till en viss uppsättning datorer. Varje grupp fylls med datorer med hjälp av en fråga som du definierar. När gruppen ingår i en loggfråga begränsas resultatet till poster som matchar datorerna i gruppen.
Åtgärd | Behörigheter som krävs |
---|---|
Skapa en datorgrupp från en loggfråga. | microsoft.operationalinsights/workspaces/savedSearches/write behörigheter till Log Analytics-arbetsytan där du vill skapa datorgruppen, till exempel enligt log analytics-deltagarens inbyggda roll. |
Kör en datorgrupps loggsökning eller använd en datorgrupp i en loggfråga. | Microsoft.OperationalInsights/workspaces/query/*/read behörigheter till de Log Analytics-arbetsytor som du frågar efter, till exempel den inbyggda rollen Log Analytics Reader. |
Ta bort en datorgrupp. | microsoft.operationalinsights/workspaces/savedSearches/delete behörigheter till Log Analytics-arbetsytan där datorgruppen sparas, till exempel den inbyggda rollen Log Analytics-deltagare. |
Anteckning
Vissa klassiska funktioner dras tillbaka med Log Analytics-agentutfasningen, men det finns inga aktuella planer på att inaktuella datorgrupper. Det är dock vanligtvis mer effektivt att utnyttja funktionerna i KQL-språket för att begränsa loggfrågor.
Du kan skapa en datorgrupp i Azure Monitor med hjälp av metoderna i följande tabell. Information om varje metod finns i avsnitten nedan.
Metod | beskrivning |
---|---|
Loggfråga | Skapa en loggfråga som returnerar en lista över datorer. |
Active Directory | Stöds inte längre |
Konfigurationshanteraren | Stöds inte längre |
Windows Server Update Services | Stöds inte längre |
Datorgrupper som skapats från en loggfråga innehåller alla datorer som returneras av en fråga som du definierar. Den här frågan körs varje gång datorgruppen används så att eventuella ändringar sedan gruppen skapades återspeglas.
Du kan använda valfri fråga för en datorgrupp, men den måste returnera en distinkt uppsättning datorer med hjälp distinct Computer
av . Följande är en typisk exempelfråga som du kan använda för som en datorgrupp.
Heartbeat | where Computer contains "srv" | distinct Computer
Använd följande procedur för att skapa en datorgrupp från en loggsökning i Azure Portal.
- Klicka på Loggar på Azure Monitor-menyn i Azure Portal.
- Skapa och kör en fråga som returnerar de datorer som du vill använda i gruppen.
- Klicka på Spara överst på skärmen och välj Spara som funktion i listrutan.
- Välj Spara som datorgrupp.
- Ange värden för varje egenskap för datorgruppen som beskrivs i tabellen och klicka på Spara.
I följande tabell beskrivs de egenskaper som definierar en datorgrupp.
Property | beskrivning |
---|---|
Funktionsnamn | Namnet på frågan som ska visas i portalen. |
Äldre kategori | Kategori för att organisera frågorna i portalen. |
Parametrar | Lägg till en parameter för varje variabel i funktionen som kräver ett värde när den används. Mer information finns i Funktionsparametrar. |
Stöds inte längre
Stöds inte längre
Stöds inte längre
Du kan visa datorgrupper som har skapats från en loggfråga från menyalternativet Äldre datorgrupper i Log Analytics-arbetsytan i Azure Portal. Välj fliken Sparade grupper för att visa listan över grupper.
Klicka på ikonen Kör fråga för en grupp för att köra gruppens loggsökning som returnerar dess medlemmar. Klicka på ikonen Ta bort för att ta bort datorgruppen. Du kan inte ändra en datorgrupp utan måste ta bort och sedan återskapa den med de ändrade inställningarna.
Du använder en datorgrupp som skapats från en loggfråga i en fråga genom att behandla dess alias som en funktion, vanligtvis med följande syntax:
Table | where Computer in (ComputerGroup)
Du kan till exempel använda följande för att returnera UpdateSummary-poster för endast datorer i en datorgrupp med namnet mycomputergroup.
UpdateSummary | where Computer in (mycomputergroup)
- Lär dig mer om loggfrågor för att analysera data som samlas in från datakällor och lösningar.