共用方式為

Azure 監視器記錄中的查詢套件

  • 發行項

查詢套件如同 Azure 監視器中記錄查詢的容器。 可讓您儲存記錄查詢,在 Log Analytics 的工作區和其他內容之間共用。

權限

您可以在 Azure 入口網站中檢視查詢套件時,設定查詢套件的權限。 您需要下列權限才能使用查詢套件:

  • 讀者:使用者可以查看並執行查詢套件中的所有查詢。

  • 參與者:使用者可以修改現有的查詢,並將新的查詢新增至查詢套件。

    重要

    當使用者需要建立查詢套件時,可在資源群組層級將 Log Analytics 參與者指派給使用者。

檢視查詢套件

您可以從 [Log Analytics 查詢套件] 功能表檢視和管理 Azure 入口網站中的查詢元件。 選取查詢套件以檢視和編輯其權限。 本文說明如何使用 API 建立查詢套件。

顯示查詢套件的螢幕擷取畫面。

預設查詢套件

當您儲存第一個查詢時,Azure 監視器會在名為 LogAnalyticsDefaultResources 的資源群組中,在每個訂用帳戶中自動建立名為 DefaultQueryPack 的查詢套件。 您可以將查詢儲存至此查詢套件,或根據您的需求建立其他查詢套件。

使用多個查詢套件

對大部分的使用者而言,預設查詢套件足以儲存及重複使用查詢。 但在一些情況下,您可能想要為組織中的使用者建立多個查詢套件,例如,您想要在不同的 Log Analytics 工作階段中載入不同的查詢集,並為不同的查詢集提供不同的權限。

建立新的查詢套件時,您可以新增標記,根據您的商務需求將查詢分類。 例如,您可以標記查詢套件,使其與組織中的特定部門相關聯,或與包含查詢要解決的問題嚴重性相關聯。 透過使用標記,您可以建立適用於不同使用者組別和不同情況的不同查詢集。

若要將查詢套件新增至您的 Log Analytics 工作區:

  1. 開啟 Log Analytics,然後選取右上角 [查詢]
  2. 在 [查詢] 對話方塊的左上角,在 [查詢套件] 旁,按一下 [選取查詢套件]或 [已選取 0 個]
  3. 選取您要新增至工作區的查詢套件。

顯示 Log Analytics 中 [選取查詢套件] 頁面的螢幕擷取畫面,您可以在其中將查詢套件新增至 Log Analytics 工作區。

重要

您最多可以將五個查詢套件新增至 Log Analytics 工作區。

建立查詢套件

您可以使用 REST API 建立查詢套件,或在 Azure 入口網站的 [Log Analytics 查詢套件] 窗格中建立查詢套件。 若要在入口網站中開啟 [Log Analytics 查詢套件] 窗格,請選取 [所有服務]> [其他]

注意

儲存在查詢套件中的查詢不會使用客戶自控金鑰加密。 請在儲存查詢時改為選取 [另存為舊版查詢],以使用客戶自控金鑰保護查詢。

建立權杖

您必須使用權杖驗證 API 要求。 有數個方法可以取得權仗。 其中一個方法是使用 armclient

首先,使用下列命令登入 Azure:

armclient login

然後使用下列命令建立權杖。 權杖會自動複製到剪貼簿,以便您將權杖貼到另一個工具。

armclient token

建立承載

要求的承載是 JSON,定義一或多個查詢,以及應該儲存查詢套件的位置。 查詢套件名稱會在下一節所述的 API 要求中指定。

{
    "location": "eastus",
    "properties":
    {
        "displayName": "Query name that will be displayed in the UI",
        "description": "Query description that will be displayed in the UI",
        "body": "<<query text, standard KQL code>>",
        "related": {
            "categories": [
                "workloads"
            ],
            "resourceTypes": [
                "microsoft.insights/components"
            ],
            "solutions": [
                "logmanagement"
            ]
        },
        "tags": {
            "Tag1": [
                "Value1",
                "Value2"
            ]
        }
    }
}

查詢套件中的每個查詢都有下列屬性:

屬性 說明
displayName 每個查詢的 Log Analytics 中所列的顯示名稱。
description 針對每個查詢顯示在 Log Analytics 中的查詢描述。
body 以 Kusto 查詢語言撰寫。
related 查詢的相關類別、資源類型和解決方案。 使用者用於在 Log Analytics 中分組和篩選,以協助找出其查詢。 每個查詢的每個類型最多可以有 10 個。 從 https://api.loganalytics.io/v1/metadata?select=resourceTypes、解決方案和類別擷取允許值。
tags 使用者在 Log Analytics 中用來排序和篩選的其他標籤。 分組和篩選查詢時,每個標記都會新增至類別、資源類型和解決方案。

建立要求

使用下列要求,以使用 REST API 建立新的查詢套件。 要求應該使用持有人權杖授權。 內容類型應該是 application/json

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack?api-version=2019-09-01

使用可以提交 REST API 要求的工具 (例如 curl、Insomnia 或 Bruno),以使用上一節所述的承載提交要求。 系統會在承載中產生並傳回查詢識別碼。

建立查詢套件

若要更新查詢套件,請使用更新的承載提交下列要求。 此命令需要查詢套件識別碼。

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack/queries/query-id/?api-version=2019-09-01

下一步

請參閱在 Azure 監視器 Log Analytics 中使用查詢,以瞭解使用者如何與 Log Analytics 中的查詢套件互動。