在 Azure CLI 中管理 Azure Monitor 日志
使用本文所述的 Azure CLI 命令来管理 Azure Monitor 中的 Log Analytics 工作区。
先决条件
如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI。
如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅使用 Azure CLI 登录。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息,请参阅使用 Azure CLI 的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
为 Monitor 日志创建工作区
运行 az group create 命令创建资源组或使用现有资源组。 若要创建工作区,请使用 az monitor log-analytics workspace create 命令。
az group create --name ContosoRG --location chinaeast2
az monitor log-analytics workspace create --resource-group ContosoRG \
--workspace-name ContosoWorkspace
有关工作区的详细信息,请参阅 Azure Monitor 日志概述。
列出工作区中的表
每个工作区都包含表,这些表包含具有多行数据的列。 每个表都由数据源提供的一组唯一数据列定义。
若要查看工作区中的表,请使用 az monitor log-analytics workspace table list 命令:
az monitor log-analytics workspace table list --resource-group ContosoRG \
--workspace-name ContosoWorkspace --output table
输出值 table 以更易读的格式呈现结果。 有关详细信息,请参阅输出格式设置。
若要更改表的保留时间,请运行 az monitor log-analytics workspace table update 命令:
az monitor log-analytics workspace table update --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name Syslog --retention-time 45
保留时间在 30 到 730 天之间。
有关表的详细信息,请参阅数据结构。
管理链接服务
链接服务定义从工作区到另一个 Azure 资源的关系。 Azure Monitor 日志和 Azure 资源将在其操作中使用此关联。 链接服务的使用示例,包括自动化帐户以及工作区与客户管理的密钥的关联。
若要创建链接服务,请运行 az monitor log-analytics workspace linked-service create 命令:
az monitor log-analytics workspace linked-service create --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name linkedautomation \
--resource-id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Web/sites/ContosoWebApp09
az monitor log-analytics workspace linked-service list --resource-group ContosoRG \
--workspace-name ContosoWorkspace
若要删除链接服务关系,请运行 az monitor log-analytics workspace linked-service delete 命令:
az monitor log-analytics workspace linked-service delete --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name linkedautomation
有关详细信息,请参阅 az monitor log-analytics workspace linked-service。
管理链接存储
如果你为 Log Analytics 提供并管理自己的存储帐户,可以使用以下 Azure CLI 命令进行管理。
若要将工作区链接到存储帐户,请运行 az monitor log-analytics workspace linked-storage create 命令:
az monitor log-analytics workspace linked-storage create --resource-group ContosoRG \
--workspace-name ContosoWorkspace \
--storage-accounts /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/contosostorage \
--type Alerts
az monitor log-analytics workspace linked-storage list --resource-group ContosoRG \
--workspace-name ContosoWorkspace --output table
若要删除指向存储帐户的链接,请运行 az monitor log-analytics workspace linked-storage delete 命令:
az monitor log-analytics workspace linked-storage delete --resource-group ContosoRG \
--workspace-name ContosoWorkspace --type Alerts
管理智能包
若要查看可用的智能包,请运行 az monitor log-analytics workspace pack list 命令。 该命令还会指出该包是否已启用。
az monitor log-analytics workspace pack list --resource-group ContosoRG \
--workspace-name ContosoWorkspace
使用 az monitor log-analytics workspace pack enable 或 az monitor log-analytics workspace pack disable 命令:
az monitor log-analytics workspace pack enable --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name NetFlow
az monitor log-analytics workspace pack disable --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name NetFlow
管理保存的搜索
若要创建保存的搜索,请运行 az monitor log-analytics workspace saved-search 命令:
az monitor log-analytics workspace saved-search create --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name SavedSearch01 \
--category "Log Management" --display-name SavedSearch01 \
--saved-query "AzureActivity | summarize count() by bin(TimeGenerated, 1h)" --fa Function01 --fp "a:string = value"
使用 az monitor log-analytics workspace saved-search show 命令可查看保存的搜索。 使用 az monitor log-analytics workspace saved-search list 可查看所有保存的搜索。
az monitor log-analytics workspace saved-search show --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name SavedSearch01
az monitor log-analytics workspace saved-search list --resource-group ContosoRG \
--workspace-name ContosoWorkspace
若要删除保存的搜索,请运行 az monitor log-analytics workspace saved-search delete 命令:
az monitor log-analytics workspace saved-search delete --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name SavedSearch01 --yes
清理部署
如果创建了一个资源组来测试这些命令,则可以使用 az group delete 命令删除该资源组及其所有内容:
az group delete --name ContosoRG
若要从现有资源组中删除新工作区,请运行 az monitor log-analytics workspace delete 命令:
az monitor log-analytics workspace delete --resource-group ContosoRG
--workspace-name ContosoWorkspace --yes
Log Analytics 工作区有一个软删除选项。 你可以在删除后的两周内恢复已删除的工作区。 运行 az monitor log-analytics workspace recover 命令:
az monitor log-analytics workspace recover --resource-group ContosoRG
--workspace-name ContosoWorkspace
在 delete 命令中,添加 --force 参数可立即删除工作区。
本文中使用的 Azure CLI 命令
- az group create
- az group delete
- az monitor log-analytics workspace create
- az monitor log-analytics workspace data-export create
- az monitor log-analytics workspace data-export delete
- az monitor log-analytics workspace data-export list
- az monitor log-analytics workspace delete
- az monitor log-analytics workspace linked-service create
- az monitor log-analytics workspace linked-service delete
- az monitor log-analytics workspace linked-storage create
- az monitor log-analytics workspace linked-storage delete
- az monitor log-analytics workspace pack disable
- az monitor log-analytics workspace pack enable
- az monitor log-analytics workspace pack list
- az monitor log-analytics workspace recover
- az monitor log-analytics workspace saved-search delete
- az monitor log-analytics workspace saved-search list
- az monitor log-analytics workspace saved-search show
- az monitor log-analytics workspace saved-search
- az monitor log-analytics workspace table list
- az monitor log-analytics workspace table update