Verwalten von Azure Monitor-Protokollen in Azure CLI

  • Artikel

Verwenden Sie die hier beschriebenen Azure CLI-Befehle, um Ihren Log Analytics-Arbeitsbereich in Azure Monitor zu verwalten.

Voraussetzungen

  • Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  • Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

    • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

    • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

    • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

Erstellen eines Arbeitsbereichs für Monitor-Protokolle

Führen Sie den Befehl az group create aus, um eine Ressourcengruppe zu erstellen, oder verwenden Sie eine vorhandene Ressourcengruppe. Verwenden Sie zum Erstellen eines Arbeitsbereichs den Befehl az monitor log-analytics workspace create.

az group create --name ContosoRG --location eastus2
az monitor log-analytics workspace create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Weitere Informationen zu Arbeitsbereichen finden Sie in der Azure Monitor-Protokolle: Übersicht.

Auflisten von Tabellen in Ihrem Arbeitsbereich

Jeder Arbeitsbereich enthält Tabellen mit Spalten, die über mehrere Datenzeilen verfügen. Jede Tabelle ist durch einen eindeutigen Satz von Spalten definiert, die von der Datenquelle bereitgestellt werden.

Um diese Tabellen in Ihrem Arbeitsbereich anzuzeigen, verwenden Sie den Befehl az monitor log-analytics workspace table list:

az monitor log-analytics workspace table list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

Der Ausgabewert table stellt die Ergebnisse in einem besser lesbaren Format dar. Weitere Informationen finden Sie unter Ausgabeformatierung.

Um die Aufbewahrungsdauer für eine Tabelle zu ändern, führen Sie den Befehl az monitor log-analytics workspace table update aus:

az monitor log-analytics workspace table update --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name Syslog --retention-time 45

Die Aufbewahrungsdauer liegt zwischen 30 und 730 Tagen.

Weitere Informationen zu Tabellen finden Sie unter Datenstruktur.

Löschen einer Tabelle

Sie können Tabellen vom Typ Benutzerdefiniertes Protokoll, Suchergebnisse und Wiederhergestellte Protokolle löschen.

Führen Sie zum Löschen einer Tabelle den Befehl az monitor log-analytics workspace table delete aus:

az monitor log-analytics workspace table delete –subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name MySearchTable_SRCH

Exportieren von Daten aus ausgewählten Tabellen

Sie können kontinuierlich Daten aus ausgewählten Tabellen in ein Azure-Speicherkonto oder in Azure Event Hubs exportieren. Verwenden Sie den Befehl az monitor log-analytics workspace data-export create:

az monitor log-analytics workspace data-export create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name DataExport --table Syslog \
   --destination /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/exportaccount \
   --enable

Um ihre Datenexporte anzuzeigen, verwenden Sie den Befehl az monitor log-analytics workspace data-export list.

az monitor log-analytics workspace data-export list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

Um ihre Datenexporte zu löschen, verwenden Sie den Befehl az monitor log-analytics workspace data-export delete. Durch den Parameter --yes wird die Bestätigung übersprungen.

az monitor log-analytics workspace data-export delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name DataExport --yes

Weitere Informationen zum Exportieren von Daten finden Sie unter Datenexport im Log Analytics-Arbeitsbereich in Azure Monitor.

Verwalten eines verknüpften Diensts

Verknüpfte Dienste definieren eine Beziehung zwischen dem Arbeitsbereich und einer anderen Azure-Ressource. Azure Monitor-Protokolle und Azure-Ressourcen verwenden diese Verbindung für ihre Vorgänge. Beispielverwendungen verknüpfter Dienste, einschließlich eines Automation-Kontos und einer Arbeitsbereichszuordnung zu kundenseitig verwalteten Schlüsseln.

Um einen verknüpften Dienst zu erstellen, führen Sie den Befehl az monitor log-analytics workspace linked-service create aus:

az monitor log-analytics workspace linked-service create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name linkedautomation \
   --resource-id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Web/sites/ContosoWebApp09

az monitor log-analytics workspace linked-service list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Um eine verknüpfte Dienstbeziehung zu entfernen, führen Sie den Befehl az monitor log-analytics workspace linked-service delete aus:

az monitor log-analytics workspace linked-service delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name linkedautomation

Weitere Informationen finden Sie unter az monitor log-analytics workspace linked-service.

Verwalten von verknüpftem Speicher

Wenn Sie Ihr eigenes Speicherkonto für Log Analytics bereitstellen und verwalten, können Sie es mit diesen Azure CLI-Befehlen verwalten.

Um Ihren Arbeitsbereich mit einem Speicherkonto zu verknüpfen, führen Sie den Befehl az monitor log-analytics workspace linked-storage create aus:

az monitor log-analytics workspace linked-storage create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace \
   --storage-accounts /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/contosostorage \
   --type Alerts

az monitor log-analytics workspace linked-storage list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

Um die Verknüpfung mit einem Speicherkonto zu entfernen, führen Sie den Befehl az monitor log-analytics workspace linked-storage delete aus:

az monitor log-analytics workspace linked-storage delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --type Alerts

Weitere Informationen finden Sie unter Verwenden von kundenseitig verwalteten Speicherkonten in Azure Monitor Log Analytics.

Verwalten von Intelligence Packs

Führen Sie den Befehl az monitor log-analytics workspace pack list aus, um die verfügbaren Intelligence Packs anzuzeigen. Der Befehl teilt Ihnen auch mit, ob das Paket aktiviert ist.

az monitor log-analytics workspace pack list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Verwenden Sie die Befehle az monitor log-analytics workspace pack enable oder az monitor log-analytics workspace pack disable:

az monitor log-analytics workspace pack enable --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name NetFlow

az monitor log-analytics workspace pack disable --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name NetFlow

Verwalten gespeicherter Suchvorgänge

Führen Sie zum Erstellen einer gespeicherten Suche den Befehl az monitor log-analytics workspace saved-search aus:

az monitor log-analytics workspace saved-search create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01 \
   --category "Log Management" --display-name SavedSearch01 \
   --saved-query "AzureActivity | summarize count() by bin(TimeGenerated, 1h)" --fa Function01 --fp "a:string = value"

Führen Sie zum Anzeigen Ihrer gespeicherten Suche den Befehl az monitor log-analytics workspace saved-search show aus. Führen Sie zum Anzeigen aller gespeicherten Suche den Befehl az monitor log-analytics workspace saved-search list aus.

az monitor log-analytics workspace saved-search show --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01
az monitor log-analytics workspace saved-search list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

Führen Sie zum Löschen einer gespeicherten Suche den Befehl az monitor log-analytics workspace saved-search delete aus:

az monitor log-analytics workspace saved-search delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01 --yes

Bereinigen der Bereitstellung

Wenn Sie eine Ressourcengruppe zum Testen dieser Befehle erstellt haben, können Sie die Ressourcengruppe und ihren gesamten Inhalt mit dem Befehl az group delete entfernen:

az group delete --name ContosoRG

Wenn Sie einen neuen Arbeitsbereich aus einer vorhandenen Ressourcengruppe entfernen möchten, führen Sie den Befehl az monitor log-analytics workspace delete aus:

az monitor log-analytics workspace delete --resource-group ContosoRG 
   --workspace-name ContosoWorkspace --yes

Log Analytics-Arbeitsbereiche verfügen über eine Option zum vorläufigen Löschen. Sie können einen gelöschten Arbeitsbereich zwei Wochen lang nach dem Löschen wiederherstellen. Führen Sie den Befehl az monitor log-analytics workspace recover aus:

az monitor log-analytics workspace recover --resource-group ContosoRG 
   --workspace-name ContosoWorkspace

Fügen Sie im Befehl „delete“ den Parameter --force hinzu, um den Arbeitsbereich sofort zu löschen.

In diesem Artikel verwendete Azure CLI-Befehle

Nächste Schritte

Übersicht über Log Analytics in Azure Monitor