Azure Monitor 日志查询中的计算机组
使用 Azure Monitor 中的计算机组可为一组特定的计算机设定日志查询的范围。 使用你定义的查询,为每个组填充计算机。 当日志查询中包括组时,结果仅限于与组中的计算机匹配的记录。
所需的权限
操作 | 所需的权限 |
---|---|
从日志查询创建计算机组。 | 例如,由 Log Analytics 参与者内置角色 提供的对要在其中创建计算机组的 Log Analytics 工作区的 microsoft.operationalinsights/workspaces/savedSearches/write 权限。 |
在日志查询中运行计算机组的日志搜索或使用计算机组。 | 对你查询的 Log Analytics 工作区具有 Microsoft.OperationalInsights/workspaces/query/*/read 权限,例如,Log Analytics 读者内置角色所提供的权限。 |
删除计算机组。 | 例如,由 Log Analytics 参与者内置角色 提供的对要在其中创建计算机组的 Log Analytics 工作区的 microsoft.operationalinsights/workspaces/savedSearches/delete 权限。 |
创建计算机组
注意
虽然一些经典功能随着 Log Analytics 代理的弃用而停用,但没有弃用计算机组的当前计划。 不过,利用 KQL 语言的功能来限定日志查询的范围通常更为有效。
可以通过以下表中的方法在 Azure Monitor 中创建计算机组。 在以下各节中提供了每个方法的详细信息。
方法 | 说明 |
---|---|
日志查询 | 创建将返回计算机列表的日志查询。 |
Active Directory | 不再支持 |
配置管理器 | 不再支持 |
Windows Server Update Services | 不再支持 |
日志查询
从日志查询创建的计算机组包含由你定义的查询返回的所有计算机。 每次使用计算机组时都会运行此查询,以反映创建组之后所做的任何更改。
可以将任何查询用于计算机组,但它必须通过使用 distinct Computer
返回一组不同的计算机。 下面是可以用于计算机组的一个典型示例查询。
Heartbeat | where Computer contains "srv" | distinct Computer
在 Azure 门户中,可以使用以下过程从日志搜索创建计算机组。
- 在 Azure 门户中,单击“Azure Monitor”菜单中的“日志”。
- 创建并运行一个查询,以返回组中所需的计算机。
- 单击屏幕顶部的“保存”,然后从下拉列表中选择“另存为函数”。
- 选择“保存为计算机组”。
- 为表中所述计算机组的每个属性提供值,然后单击“保存”。
下表介绍了用于定义计算机组的属性。
properties | 说明 |
---|---|
函数名称 | 要在门户中显示的查询名称。 |
旧类别 | 用于在门户中对查询进行组织的类别。 |
参数 | 为函数中在使用时需要值的每个变量都添加一个参数。 有关详细信息,请参阅函数参数。 |
Active Directory
不再支持
Windows Server Update Service
不再支持
配置管理器
不再支持
管理计算机组
你可以查看通过日志查询或通过 Azure 门户上 Log Analytics 工作区“旧版计算机组”菜单项中的日志搜索 API 创建的计算机组。 选择“已保存组”选项卡以查看组列表。
单击组的“运行查询”图标可运行返回其成员的组的日志搜索。 单击“删除”图标以删除计算机组。 无法修改计算机组,而是必须删除该组,然后使用修改的设置重新创建它。
在日志查询中使用计算机组
通过将计算机组的别名视为函数,可在查询中使用从日志查询创建的计算机组,通常使用以下语法:
Table | where Computer in (ComputerGroup)
例如,可以使用以下语法仅返回名为 mycomputergroup 的计算机组中的计算机的 UpdateSummary 记录。
UpdateSummary | where Computer in (mycomputergroup)
后续步骤
- 了解日志查询以便分析从数据源和解决方案中收集的数据。