在 Azure Monitor 日志查询中使用函数

若要将某个日志查询用于其他查询,可以将其保存为函数。 这使你能够通过分解复杂查询将其简化,并能够对多个查询重用通用代码。

创建函数

在 Azure 门户中单击“保存”,然后提供下表中的信息,使用 Log Analytics 创建函数。

设置 描述
名称 查询资源管理器中查询的显示名称。
另存为 函数
函数别名 在其他查询中使用该函数的短名称。 不可包含空格,必须唯一。
类别 用于在查询资源管理器中整理已保存的查询和函数的类别。

还可以使用 REST APIPowerShell 创建函数。

使用函数

通过在另一个查询中添加其别名来使用函数。 可以像使用其他任何表一样使用它。

函数参数

可以为函数添加参数,以便在调用该函数时为某些变量提供值。 目前使用参数创建函数的唯一方法是使用资源管理器模板。 有关示例,请参阅用于 Azure Monitor 日志查询的资源管理器模板示例

示例

以下示例查询将返回最近一天报告的所有缺失的安全更新。 使用别名 security_updates_last_day 将此查询另存为函数。

Update
| where TimeGenerated > ago(1d) 
| where Classification == "Security Updates" 
| where UpdateState == "Needed"

创建另一个查询并引用 security_updates_last_day 函数,以搜索 SQL 相关的必需安全更新。

security_updates_last_day | where Title contains "SQL"

后续步骤

参阅有关编写 Azure Monitor 日志查询的其他课: