Группы компьютеров в запросах к журналам Azure Monitor
В Azure Monitor вы можете ограничить запросы к журналам определенной группой компьютеров. Каждая группа заполняется компьютерами с помощью определенного запроса. Если в запрос к журналам включена группа, в результатах возвращаются только те записи, которые относятся к компьютерам в этой группе.
Требуемые разрешения
| Действие | Требуемые разрешения |
|---|---|
| Создайте группу компьютеров из запроса журнала. | microsoft.operationalinsights/workspaces/savedSearches/write разрешения на рабочую область Log Analytics, в которой требуется создать группу компьютеров, как указано встроенной ролью участника Log Analytics, например. |
| Выполните поиск по журналам группы компьютеров или используйте группу компьютеров в запросе журнала. | Microsoft.OperationalInsights/workspaces/query/*/readразрешения для рабочих областей Log Analytics, которые вы запрашиваете, например, встроенной ролью Log Analytics Reader. |
| Удаление группы компьютеров. | microsoft.operationalinsights/workspaces/savedSearches/delete разрешения на рабочую область Log Analytics, в которой сохраняется группа компьютеров, как указано встроенной ролью участника Log Analytics, например. |
Создание группы компьютеров
Примечание.
Хотя некоторые классические функции удаляются с отмены использования агента Log Analytics, текущие планы не рекомендуется использовать для групп компьютеров. Обычно это более эффективно, хотя и использует возможности языка KQL для области запросов журнала.
Группу компьютеров в Azure Monitor можно создать с помощью методов в следующей таблице. Подробные сведения о способе представлены в разделах ниже.
| Метод | Description |
|---|---|
| Запрос журнала | Создание запроса к журналам, который возвращает список компьютеров. |
| Active Directory | Больше не поддерживается |
| диспетчер конфигураций | Больше не поддерживается |
| Службы обновления Windows Server | Больше не поддерживается |
Запрос журнала
Группы компьютеров, созданные на основе результата запроса к журналам, содержат все компьютеры, возвращенные указанным поисковым запросом. Так как этот запрос выполняется при каждом использовании группы компьютеров, отражаются все изменения, внесенные с момента создания группы.
Для группы можно применить любой запрос, но он должен возвращать набор компьютеров без повторов (используйте для этого distinct Computer). Ниже приведен типичный пример запроса, который можно использовать как группу компьютеров.
Heartbeat | where Computer contains "srv" | distinct Computer
Ниже приведены инструкции по созданию группы компьютеров с помощью поиска по журналам на портале Azure.
- Щелкните Журналы в меню Azure Monitor на портале Azure.
- Создайте и выполните запрос, который возвращает нужную группу компьютеров.
- Нажмите кнопку "Сохранить" в верхней части экрана и выберите "Сохранить как" в раскрывающемся списке.
- Выберите " Сохранить как группу компьютеров".
- Укажите значения для каждого свойства группы компьютеров в этой таблице и щелкните Сохранить.
В приведенной ниже таблице описаны свойства, которые есть у группы компьютеров.
| Свойство | Description |
|---|---|
| Имя функции | Имя запроса, которое отображается на портале. |
| Устаревшая категория | Категория для упорядочения поисковых запросов на портале. |
| Параметры | Добавьте параметры для всех переменных в функции, при использовании которых требуется указывать значения. Дополнительные сведения см. в разделе "Параметры функции". |
Active Directory
Больше не поддерживается
Служба обновления Windows Server
Больше не поддерживается
диспетчер конфигураций
Больше не поддерживается
Управление группами компьютеров
Вы можете просмотреть группы компьютеров, созданные из запроса журнала из пункта меню устаревших групп компьютеров в рабочей области Log Analytics в портал Azure. Перейдите на вкладку Сохраненные группы, чтобы просмотреть список групп.
Щелкните значок "Выполнить запрос" для группы, чтобы запустить поиск по журналам группы, возвращающий его участников. Щелкните значок "Удалить", чтобы удалить группу компьютеров. Вы не можете изменить группу компьютеров. Вместо этого следует удалить группу и создать ее заново с новыми параметрами.
Использование группы компьютеров в запросе к журналам
Группу компьютеров, созданную с помощью запроса к журналам, можно использовать в запросах, применяя ее псевдоним как функцию. Вот типичный синтаксис для этого:
Table | where Computer in (ComputerGroup)
Например, следующий запрос возвращает записи UpdateSummary только для тех компьютеров, которые входят в группу компьютеров mycomputergroup.
UpdateSummary | where Computer in (mycomputergroup)
Следующие шаги
- Узнайте больше о запросах журнала, которые можно применять для анализа данных, собираемых из источников данных и решений.