Azure 監視器記錄查詢中的電腦群組

Azure 監視器中的電腦群組可讓您將記錄查詢範圍限於一組特定的電腦。使用您所定義的查詢，將電腦填入每個群組中。當記錄查詢包含群組時，結果就僅限於與群組中的電腦相符的記錄。

需要的權限

動作	需要的權限
從記錄查詢建立電腦群組。	對於用來建立電腦群組的 Log Analytics 工作區，擁有 `microsoft.operationalinsights/workspaces/savedSearches/write` 權限，如 Log Analytics 參與者內建角色所提供。
執行電腦群組的記錄搜尋，或在記錄查詢中使用電腦群組。	對於查詢的 Log Analytics 工作區，擁有 `Microsoft.OperationalInsights/workspaces/query/*/read` 權限，如 Log Analytics 讀取器內建角色所提供。
刪除電腦群組。	對於用來儲存電腦群組的 Log Analytics 工作區，擁有 `microsoft.operationalinsights/workspaces/savedSearches/delete` 權限，如 Log Analytics 參與者內建角色所提供。

注意

雖然某些傳統功能因 Log Analytics 代理程式淘汰而要淘汰，但目前沒有淘汰電腦群組的計畫。不過，利用 KQL 語言的功能來限定記錄查詢的範圍，通常更有效率。

您可以使用下表中的方法，在 Azure 監視器中建立電腦群組。下列各節提供每個方法的詳細資料。

方法	描述
記錄檔查詢	建立記錄查詢來傳回電腦清單。
Active Directory	不再支援
Configuration Manager	不再支援
Windows Server Update Services	不再支援

從記錄查詢建立的電腦群組會包含您定義的查詢所傳回的所有電腦。每次使用電腦群組時都會執行此查詢，因此會反映自建立群組以來的任何變更。

您可以對電腦群組使用任何查詢，但它必須使用 distinct Computer 傳回一組不同的電腦。以下是您可以用來作為電腦群組的典型查詢範例。

Heartbeat | where Computer contains "srv" | distinct Computer

使用下列程序在 Azure 入口網站中透過記錄搜尋建立電腦群組。

下表描述定義電腦群組的屬性。

屬性	說明
函式名稱	要在入口網站中顯示的查詢名稱。
舊版類別	用來在入口網站中組織查詢的類別。
參數	針對函式中的每個變數新增參數，該函式在使用時需要值。如需詳細資訊，請參閱函式參數。

不再支援

不再支援

不再支援

您可以在 Azure 入口網站中，從 Log Analytics 工作區的 [舊版電腦群組] 功能表項目，檢視透過記錄查詢建立的電腦群組。選取 [已儲存的群組] 索引標籤，以檢視群組清單。

按一下群組的 [執行查詢] 圖示，以執行群組的記錄檔搜尋來傳回其成員。按一下 [刪除] 圖示以刪除電腦群組。您無法修改電腦群組，而是必須先加以刪除再以修改後的設定重建。

您可以將電腦群組的別名當作函式，在查詢中使用從記錄查詢建立的電腦群組，所使用的語法一般如下：

Table | where Computer in (ComputerGroup)

例如，您可以使用下列語法，僅傳回 mycomputergroup 電腦群組中之電腦的 UpdateSummary 記錄。

UpdateSummary | where Computer in (mycomputergroup)