Azure Monitor 日志查询中的计算机组

使用 Azure Monitor 中的计算机组可为一组特定的计算机设定日志查询的范围。 使用你定义的查询,为每个组填充计算机。 当日志查询中包括组时,结果仅限于与组中的计算机匹配的记录。

所需的权限

操作 所需的权限
从日志查询创建计算机组。 例如,由 Log Analytics 参与者内置角色 提供的对要在其中创建计算机组的 Log Analytics 工作区的 microsoft.operationalinsights/workspaces/savedSearches/write 权限。
在日志查询中运行计算机组的日志搜索或使用计算机组。 对你查询的 Log Analytics 工作区具有 Microsoft.OperationalInsights/workspaces/query/*/read 权限,例如,Log Analytics 读者内置角色所提供的权限。
删除计算机组。 例如,由 Log Analytics 参与者内置角色 提供的对要在其中创建计算机组的 Log Analytics 工作区的 microsoft.operationalinsights/workspaces/savedSearches/delete 权限。

创建计算机组

注意

虽然一些经典功能随着 Log Analytics 代理的弃用而停用,但没有弃用计算机组的当前计划。 不过,利用 KQL 语言的功能来限定日志查询的范围通常更为有效。

可以通过以下表中的方法在 Azure Monitor 中创建计算机组。 在以下各节中提供了每个方法的详细信息。

方法 说明
日志查询 创建将返回计算机列表的日志查询。
Active Directory 不再支持
配置管理器 不再支持
Windows Server Update Services 不再支持

日志查询

从日志查询创建的计算机组包含由你定义的查询返回的所有计算机。 每次使用计算机组时都会运行此查询,以反映创建组之后所做的任何更改。

可以将任何查询用于计算机组,但它必须通过使用 distinct Computer 返回一组不同的计算机。 下面是可以用于计算机组的一个典型示例查询。

Heartbeat | where Computer contains "srv" | distinct Computer

在 Azure 门户中,可以使用以下过程从日志搜索创建计算机组。

  1. 在 Azure 门户中,单击“Azure Monitor”菜单中的“日志”。
  2. 创建并运行一个查询,以返回组中所需的计算机。
  3. 单击屏幕顶部的“保存”,然后从下拉列表中选择“另存为函数”。
  4. 选择“保存为计算机组”。
  5. 为表中所述计算机组的每个属性提供值,然后单击“保存”。

下表介绍了用于定义计算机组的属性。

properties 说明
函数名称 要在门户中显示的查询名称。
旧类别 用于在门户中对查询进行组织的类别。
参数 为函数中在使用时需要值的每个变量都添加一个参数。 有关详细信息,请参阅函数参数

Active Directory

不再支持

Windows Server Update Service

不再支持

配置管理器

不再支持

管理计算机组

你可以查看通过日志查询或通过 Azure 门户上 Log Analytics 工作区“旧版计算机组”菜单项中的日志搜索 API 创建的计算机组。 选择“已保存组”选项卡以查看组列表。

单击组的“运行查询”图标可运行返回其成员的组的日志搜索。 单击“删除”图标以删除计算机组。 无法修改计算机组,而是必须删除该组,然后使用修改的设置重新创建它。

Azure 中 Log Analytics 资源的屏幕截图,其中突出显示了“旧计算机组”窗格、“保存的组”选项卡、“运行查询”图标和“删除”图标。

在日志查询中使用计算机组

通过将计算机组的别名视为函数,可在查询中使用从日志查询创建的计算机组,通常使用以下语法:

Table | where Computer in (ComputerGroup)

例如,可以使用以下语法仅返回名为 mycomputergroup 的计算机组中的计算机的 UpdateSummary 记录。

UpdateSummary | where Computer in (mycomputergroup)

后续步骤

  • 了解日志查询以便分析从数据源和解决方案中收集的数据。