使用 PowerShell 在 Azure 監視器中設定 Log Analytics 工作區

文章
07/02/2023

下列範例指令碼會設定工作區，以使用 Log Analytics 代理程式，從虛擬機器收集多種記錄。

此指令碼會執行下列功能：

建立工作區。
從已安裝 Windows 代理程式的電腦啟用 IIS 記錄收集功能。
從 Linux 電腦收集邏輯磁碟效能計數器 (% Used Inodes; Free Megabytes; % Used Space; Disk Transfers/sec; Disk Reads/sec; Disk Writes/sec)。
從 Linux 電腦收集 Syslog 事件。
從 Windows 電腦的應用程式事件記錄檔收集錯誤和警告事件。
從 Windows 電腦收集記憶體可用 Mb 效能計數器。
收集自訂記錄檔。

$ResourceGroup = "my-resource-group"
$WorkspaceName = "log-analytics-" + (Get-Random -Maximum 99999) # workspace names need to be unique in resource group - Get-Random helps with this for the example code
$Location = "westeurope"

# Create the resource group if needed
try {
    Get-AzResourceGroup -Name $ResourceGroup -ErrorAction Stop
} catch {
    New-AzResourceGroup -Name $ResourceGroup -Location $Location
}

# Create the workspace
New-AzOperationalInsightsWorkspace -Location $Location -Name $WorkspaceName -Sku PerGB2018 -ResourceGroupName $ResourceGroup

# Enable IIS Log Collection using agent
Enable-AzOperationalInsightsIISLogCollection -ResourceGroupName $ResourceGroup -WorkspaceName $WorkspaceName

# Linux Perf
New-AzOperationalInsightsLinuxPerformanceObjectDataSource -ResourceGroupName $ResourceGroup -WorkspaceName $WorkspaceName -ObjectName "Logical Disk" -InstanceName "*"  -CounterNames @("% Used Inodes", "Free Megabytes", "% Used Space", "Disk Transfers/sec", "Disk Reads/sec", "Disk Writes/sec") -IntervalSeconds 20  -Name "Example Linux Disk Performance Counters"
Enable-AzOperationalInsightsLinuxPerformanceCollection -ResourceGroupName $ResourceGroup -WorkspaceName $WorkspaceName

# Linux Syslog
New-AzOperationalInsightsLinuxSyslogDataSource -ResourceGroupName $ResourceGroup -WorkspaceName $WorkspaceName -Facility "kern" -CollectEmergency -CollectAlert -CollectCritical -CollectError -CollectWarning -Name "Example kernel syslog collection"
Enable-AzOperationalInsightsLinuxSyslogCollection -ResourceGroupName $ResourceGroup -WorkspaceName $WorkspaceName

# Windows Event
New-AzOperationalInsightsWindowsEventDataSource -ResourceGroupName $ResourceGroup -WorkspaceName $WorkspaceName -EventLogName "Application" -CollectErrors -CollectWarnings -Name "Example Application Event Log"

# Windows Perf
New-AzOperationalInsightsWindowsPerformanceCounterDataSource -ResourceGroupName $ResourceGroup -WorkspaceName $WorkspaceName -ObjectName "Memory" -InstanceName "*" -CounterName "Available MBytes" -IntervalSeconds 20 -Name "Example Windows Performance Counter"

# Custom Logs

New-AzOperationalInsightsCustomLogDataSource -ResourceGroupName $ResourceGroup -WorkspaceName $WorkspaceName -CustomLogRawJson "$CustomLog" -Name "Example Custom Log Collection"

注意

CustomLogRawJson 參數 (定義自訂記錄的設定) 格式可能很複雜。使用 Get-AzOperationalInsightsDataSource 來擷取現有自訂記錄的設定。 Properties 屬性是 CustomLogRawJson 參數所需的組態。

在前述範例中，regexDelimiter 被定義為 \\n，表示新行。記錄分隔符號也可能是時間戳記。下表列出支援的格式。

格式	JSON RegEx 格式會對標準 RegEx 中每個 `\` 使用兩個 `\\`，因此，如果在 RegEx 應用程式中測試，請將 `\\` 減少為 `\`
`YYYY-MM-DD HH:MM:SS`	`((\\d{2})\|(\\d{4}))-([0-1]\\d)-(([0-3]\\d)\|(\\d))\\s((\\d)\|([0-1]\\d)\|(2[0-4])):[0-5][0-9]:[0-5][0-9]`
`M/D/YYYY HH:MM:SS AM/PM`	`(([0-1]\\d)\|[0-9])/(([0-3]\\d)\|(\\d))/((\\d{2})\|(\\d{4}))\\s((\\d)\|([0-1]\\d)\|(2[0-4])):[0-5][0-9]:[0-5][0-9]\\s(AM\|PM\|am\|pm)`
`dd/MMM/yyyy HH:MM:SS`	`(([0-2][1-9]\|[3][0-1])\\/(Jan\|Feb\|Mar\|May\|Apr\|Jul\|Jun\|Aug\|Oct\|Sep\|Nov\|Dec\|jan\|feb\|mar\|may\|apr\|jul\|jun\|aug\|oct\|sep\|nov\|dec)\\/((19\|20)[0-9][0-9]))\\s((\\d)\|([0-1]\\d)\|(2[0-4])):[0-5][0-9]:[0-5][0-9])`
`MMM dd yyyy HH:MM:SS`	`(((?:Jan(?:uary)?\|Feb(?:ruary)?\|Mar(?:ch)?\|Apr(?:il)?\|May\|Jun(?:e)?\|Jul(?:y)?\|Aug(?:ust)?\|Sep(?:tember)?\|Sept\|Oct(?:ober)?\|Nov(?:ember)?\|Dec(?:ember)?)).?((?:(?:[0-2]?\\d{1})\|(?:[3][01]{1})))(?![\\d]).?((?:(?:[1]{1}\\d{1}\\d{1}\\d{1})\|(?:[2]{1}\\d{3})))(?![\\d]).*?((?:(?:[0-1][0-9])\|(?:[2][0-3])\|(?:[0-9])):(?:[0-5][0-9])(?::[0-5][0-9])?(?:\\s?(?:am\|AM\|pm\|PM))?))`
`yyMMdd HH:mm:ss`	`([0-9]{2}([0][1-9]\|[1][0-2])([0-2][0-9]\|[3][0-1])\\s\\s?([0-1]?[0-9]\|[2][0-3]):[0-5][0-9]:[0-5][0-9])`
`ddMMyy HH:mm:ss`	`(([0-2][0-9]\|[3][0-1])([0][1-9]\|[1][0-2])[0-9]{2}\\s\\s?([0-1]?[0-9]\|[2][0-3]):[0-5][0-9]:[0-5][0-9])`
`MMM d HH:mm:ss`	`(Jan\|Feb\|Mar\|Apr\|May\|Jun\|Jul\|Aug\|Sep\|Oct\|Nov\|Dec)\\s\\s?([0]?[1-9]\|[1-2][0-9]\|[3][0-1])\\s([0-1]?[0-9]\|[2][0-3]):([0-5][0-9]):([0-5][0-9])`
`MMM d HH:mm:ss` MMM 後有兩個空格	`(Jan\|Feb\|Mar\|Apr\|May\|Jun\|Jul\|Aug\|Sep\|Oct\|Nov\|Dec)\\s\\s([0]?[1-9]\|[1-2][0-9]\|[3][0-1])\\s([0][0-9]\|[1][0-2]):([0-5][0-9]):([0-5][0-9])`
`MMM d HH:mm:ss`	`(Jan\|Feb\|Mar\|Apr\|May\|Jun\|Jul\|Aug\|Sep\|Oct\|Nov\|Dec)\\s([0]?[1-9]\|[1-2][0-9]\|[3][0-1])\\s([0][0-9]\|[1][0-2]):([0-5][0-9]):([0-5][0-9])`
`dd/MMM/yyyy:HH:mm:ss +zzzz` 其中 + 是 + 或 - zzzz 是時間位移	`(([0-2][1-9]\|[3][0-1])\\/(Jan\|Feb\|Mar\|Apr\|May\|Jun\|Jul\|Aug\|Sep\|Oct\|Nov\|Dec)\\/((19\|20)[0-9][0-9]):([0][0-9]\|[1][0-2]):([0-5][0-9]):([0-5][0-9])\\s[\\+\|\\-][0-9]{4})`
`yyyy-MM-ddTHH:mm:ss` T 是常值的字母 T	`((\\d{2})\|(\\d{4}))-([0-1]\\d)-(([0-3]\\d)\|(\\d))T((\\d)\|([0-1]\\d)\|(2[0-4])):[0-5][0-9]:[0-5][0-9]`

疑難排解

當您建立在過去 14 天內刪除且處於虛刪除狀態的工作區時，根據工作區設定而定，此作業可能會有不同的結果。例如：

如果您提供的工作區名稱、資源群組、訂用帳戶和區域，與已刪除的工作區相同，您的工作區將會復原。復原的工作區包括資料、設定和連線的代理程式。
工作區名稱對於每個資源群組必須是唯一的。如果您使用的工作區名稱已存在，而且該工作區在資源群組中也處於虛刪除狀態，您將會收到錯誤。錯誤會指出「工作區名稱 'workspace-name' 不是唯一的」或「衝突」。若要覆寫虛刪除、永久刪除工作區，以及使用相同名稱建立新的工作區，請遵循下列步驟先復原工作區，然後執行永久刪除：
- 復原您的工作區。
- 永久刪除您的工作區。
- 使用相同工作區名稱建立新的工作區。

下一步

檢閱 Log Analytics PowerShell Cmdlet，瞭解更多關於使用 PowerShell 設定 Log Analytics 的資訊。

Share via

使用 PowerShell 在 Azure 監視器中設定 Log Analytics 工作區

疑難排解

下一步

更多資源