你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Monitor 日志查询中的计算机组

使用 Azure Monitor 中的计算机组可为一组特定的计算机设定日志查询的范围。 使用你定义的查询，为每个组填充计算机。 当日志查询中包括组时，结果仅限于与组中的计算机匹配的记录。

注意

本文最近已更新，从使用术语“Log Analytics”改为使用术语“Azure Monitor 日志”。 日志数据仍然存储在 Log Analytics 工作区中，并仍然由同一 Log Analytics 服务收集并分析。 我们正在更新术语，以便更好地反映 Azure Monitor 中的日志的角色。 有关详细信息，请参阅 Azure Monitor 术语更改。

所需的权限

操作	所需的权限
从日志查询创建计算机组。	例如，由 Log Analytics 参与者内置角色 提供的对要在其中创建计算机组的 Log Analytics 工作区的 microsoft.operationalinsights/workspaces/savedSearches/write 权限。
在日志查询中运行计算机组的日志搜索或使用计算机组。	对你查询的 Log Analytics 工作区具有 Microsoft.OperationalInsights/workspaces/query/*/read 权限，例如，Log Analytics 读者内置角色所提供的权限。
删除计算机组。	例如，由 Log Analytics 参与者内置角色 提供的对要在其中创建计算机组的 Log Analytics 工作区的 microsoft.operationalinsights/workspaces/savedSearches/delete 权限。

创建计算机组

可以通过以下表中的方法在 Azure Monitor 中创建计算机组。 在以下各节中提供了每个方法的详细信息。

方法	说明
日志查询	创建将返回计算机列表的日志查询。
Active Directory	不再支持
配置管理器	不再支持
Windows Server Update Services	不再支持

日志查询

从日志查询创建的计算机组包含由你定义的查询返回的所有计算机。 每次使用计算机组时都会运行此查询，以反映创建组之后所做的任何更改。

可以将任何查询用于计算机组，但它必须通过使用 distinct Computer 返回一组不同的计算机。 下面是可以用于计算机组的一个典型示例查询。

Heartbeat | where Computer contains "srv" | distinct Computer

在 Azure 门户中，可以使用以下过程从日志搜索创建计算机组。

1. 在 Azure 门户中，单击“Azure Monitor”菜单中的“日志”。
2. 创建并运行一个查询，以返回组中所需的计算机。
3. 单击屏幕顶部的“保存”，然后从下拉列表中选择“另存为函数”。
4. 选择“保存为计算机组”。
5. 为表中所述计算机组的每个属性提供值，然后单击“保存”。

下表介绍了用于定义计算机组的属性。

properties	说明
函数名称	要在门户中显示的查询名称。
旧类别	用于在门户中对查询进行组织的类别。
参数	为函数中在使用时需要值的每个变量都添加一个参数。 有关详细信息，请参阅函数参数。

Active Directory

不再支持

Windows Server Update Service

不再支持

配置管理器

不再支持

管理计算机组

你可以查看通过日志查询或通过 Azure 门户上 Log Analytics 工作区“旧版计算机组”菜单项中的日志搜索 API 创建的计算机组。 选择“已保存组”选项卡以查看组列表。

单击组的“运行查询”图标可运行返回其成员的组的日志搜索。 单击“删除”图标以删除计算机组。 无法修改计算机组，而是必须删除该组，然后使用修改的设置重新创建它。

在日志查询中使用计算机组

通过将计算机组的别名视为函数，可在查询中使用从日志查询创建的计算机组，通常使用以下语法：

Table | where Computer in (ComputerGroup)

例如，可以使用以下语法仅返回名为 mycomputergroup 的计算机组中的计算机的 UpdateSummary 记录。

UpdateSummary | where Computer in (mycomputergroup)

后续步骤

• 了解日志查询以便分析从数据源和解决方案中收集的数据。