Groupes d’ordinateurs dans les requêtes de journal Azure Monitor

Les groupes d’ordinateurs d’Azure Monitor permettent de formuler des requêtes de journal portant sur un ensemble spécifique d’ordinateurs. Vous peuplez chaque groupe d’ordinateurs soit à l’aide d’une requête que vous définissez, soit en important des groupes à partir de différentes sources. Quand le groupe est inclus dans une requête de journal, les résultats sont limités aux enregistrements correspondant aux ordinateurs du groupe.

Notes

Cet article a récemment été mis à jour pour utiliser le terme journaux d’activité Azure Monitor au lieu de Log Analytics. Les données de journal sont toujours stockées dans un espace de travail Log Analytics, et elles sont toujours collectées et analysées par le même service Log Analytics. Nous mettons la terminologie à jour pour mieux refléter le rôle des journaux d’activité dans Azure Monitor. Pour plus d'informations, consultez Modifications de la terminologie d'Azure Monitor.

Création d’un groupe d’ordinateurs

Pour créer un groupe d’ordinateurs dans Azure Monitor, vous pouvez suivre les méthodes présentées dans le tableau suivant. Des détails sur chaque méthode sont fournis dans les sections ci-dessous.

Méthode Description
Requête de journal Créer une requête de journal qui retourne une liste d’ordinateurs.
API Recherche de journal Utiliser l’API Recherche dans les journaux pour créer un groupe d’ordinateurs programmatiquement à partir des résultats d’une requête de journal.
Active Directory Analyser automatiquement l’appartenance de groupe de tous les ordinateurs agents membres d’un domaine Active Directory et créer un groupe pour chaque groupe de sécurité dans Azure Monitor. (Ordinateurs Windows uniquement)
Gestionnaire de configuration Importer des regroupements depuis Microsoft Endpoint Configuration Manager et créer un groupe pour chacun dans Azure Monitor.
Windows Server Update Services Analyser automatiquement les clients ou serveurs WSUS pour détecter les groupes de ciblage et créer un groupe pour chacun dans Azure Monitor.

Requête de journal

Les groupes d’ordinateurs créés à partir d’une requête de journal contiennent tous les ordinateurs retournés par la requête définie par vos soins. Cette requête est exécutée chaque fois que le groupe d’ordinateurs est utilisé, de façon à refléter toutes les modifications apportées depuis la création du groupe.

Vous pouvez utiliser une requête pour un groupe d’ordinateurs, mais elle doit retourner un ensemble distinct d’ordinateurs à l’aide de distinct Computer. Voici un exemple type de requête utilisable pour un groupe d’ordinateurs.

Heartbeat | where Computer contains "srv" | distinct Computer

Utilisez la procédure suivante pour créer un groupe d’ordinateurs à partir d’une recherche dans les journaux dans le portail Azure.

  1. Cliquez sur Journaux d’activité dans le menu Azure Monitor sur le Portail Azure.
  2. Créez et exécutez une requête qui retourne les ordinateurs que vous voulez ajouter au groupe.
  3. Cliquez sur Enregistrer dans la partie supérieure de l’écran.
  4. Remplacez Enregistrer sous par Fonction et sélectionnez Enregistrer cette requête comme groupe d’ordinateurs.
  5. Entrez les valeurs de chaque propriété décrite dans le tableau pour le groupe d’ordinateurs et cliquez sur Enregistrer.

Le tableau suivant décrit les propriétés qui définissent un groupe d’ordinateurs.

Propriété Description
Name Nom de la requête à afficher sur le portail.
Alias de fonction Alias unique utilisé pour identifier le groupe d’ordinateurs dans une requête.
Category Catégorie servant à organiser les requêtes sur le portail.

Active Directory

Si Azure Monitor est configuré de façon à importer les appartenances de groupe Active Directory, il analyse l’appartenance de tous les ordinateurs joints à un domaine Windows avec l’agent Log Analytics. Un groupe d’ordinateurs est créé dans Azure Monitor pour chaque groupe de sécurité dans Active Directory, et chaque ordinateur Windows est ajouté aux groupes d’ordinateurs correspondant aux groupes de sécurité auxquels il appartient. Cet appartenance est mise à jour toutes les 4 heures.

Notes

Les groupes Active Directory importés contiennent uniquement les ordinateurs Windows.

Pour configurer Azure Monitor de façon à importer des groupes de sécurité Active Directory, accédez à l’élément de menu Groupe d’ordinateurs dans votre espace de travail Log Analytics dans le portail Azure. Sélectionnez l’onglet Active Directory puis Importer les appartenances à des groupes Active Directory depuis les ordinateurs. Une fois des groupes importés, le menu répertorie le nombre d’ordinateurs détectés avec une appartenance à un groupe et le nombre de groupes importés. Vous pouvez cliquer sur l’un de ces liens pour retourner les enregistrements ComputerGroupavec ces informations.

Windows Server Update Service

Si Azure Monitor est configuré de façon à importer les appartenances de groupe WSUS, il analyse l’appartenance de groupe de ciblage de tous les ordinateurs avec l’agent Log Analytics. Si vous utilisez un ciblage côté client, l’appartenance de groupe de tous les ordinateurs connectés à Azure Monitor et faisant partie d’un groupe de ciblage WSUS est importée dans Azure Monitor. Si vous utilisez un ciblage côté serveur, l’agent Log Analytics doit être installé sur le serveur WSUS pour que les informations d’appartenance de groupe soient importées dans Azure Monitor. Cet appartenance est mise à jour toutes les 4 heures.

Pour configurer Azure Monitor de façon à importer des groupes WSUS, accédez à l’élément de menu Groupe d’ordinateurs dans votre espace de travail Log Analytics dans le portail Azure. Sélectionnez l’onglet Windows Server Update Service, puis Importer les appartenances à un groupe WSUS. Une fois des groupes importés, le menu répertorie le nombre d’ordinateurs détectés avec une appartenance à un groupe et le nombre de groupes importés. Vous pouvez cliquer sur l’un de ces liens pour retourner les enregistrements ComputerGroupavec ces informations.

Gestionnaire de configuration

Si Azure Monitor est configuré de façon à importer les adhésions aux regroupements Configuration Manager, il crée un groupe d’ordinateurs pour chaque regroupement. Les informations d’appartenance au regroupement sont récupérées toutes les 3 heures pour tenir les groupes d’ordinateurs à jour. Pour pouvoir importer des regroupements Configuration Manager, vous devez connecter Configuration Manager à Azure Monitor.

Pour configurer Azure Monitor de façon à importer des groupes WSUS, accédez à l’élément de menu Groupe d’ordinateurs dans votre espace de travail Log Analytics dans le portail Azure. Sélectionnez l’onglet System Center Configuration Manager, puis Importer les appartenances aux regroupements Configuration Manager. Une fois les regroupements importés, le menu répertorie le nombre d’ordinateurs détectés avec une appartenance à un groupe et le nombre de groupes importés. Vous pouvez cliquer sur l’un de ces liens pour retourner les enregistrements ComputerGroupavec ces informations.

Gestion de groupes d’ordinateurs

Pour afficher les groupes d’ordinateurs créés à partir d’une requête de journal d’activité ou de l’API Recherche dans les journaux, accédez à l’élément de menu Groupes d'ordinateurs dans votre espace de travail Log Analytics dans le portail Azure. Sélectionnez l’onglet Groupes enregistrés pour afficher la liste des groupes.

Cliquez sur le signe x dans la colonne Supprimer pour supprimer le groupe d’ordinateurs. Cliquez sur l’icône Afficher les membres correspondant à un groupe pour exécuter la recherche de journal du groupe qui retourne les membres de celui-ci. Pour modifier un groupe d’ordinateurs, vous devez le supprimer et le recréer avec les paramètres modifiés.

Saved computer groups

Utiliser un groupe d’ordinateurs dans une requête de journal

Pour utiliser un groupe d’ordinateurs créé à partir d’une requête de journal, traitez son alias comme une fonction, en général avec la syntaxe suivante :

Table | where Computer in (ComputerGroup)

Par exemple, vous pouvez utiliser les éléments suivants pour retourner les enregistrements UpdateSummary pour les ordinateurs contenus dans un groupe d’ordinateurs appelé mycomputergroup.

UpdateSummary | where Computer in (mycomputergroup)

Les groupes d’ordinateurs importés et leurs ordinateurs inclus sont stockés dans la table ComputerGroup. Par exemple, la requête suivante retourne une liste d’ordinateurs du groupe d’ordinateurs du domaine d’Active Directory.

ComputerGroup | where GroupSource == "ActiveDirectory" and Group == "Domain Computers" | distinct Computer

La requête suivante retourne les enregistrements UpdateSummary pour les seuls ordinateurs du domaine.

let ADComputers = ComputerGroup | where GroupSource == "ActiveDirectory" and Group == "Domain Computers" | distinct Computer;
  UpdateSummary | where Computer in (ADComputers)

Enregistrements de groupe d’ordinateurs

Un enregistrement est créé dans l’espace de travail Log Analytics pour chaque appartenance à un groupe d’ordinateur créée à partir d’Active Directory ou de WSUS. Ces enregistrements sont de type ComputerGroup et ont les propriétés décrites dans le tableau suivant. Aucun enregistrement n’est créé pour des groupes d’ordinateurs basés sur des requêtes de journal.

Propriété Description
Type ComputerGroup
SourceSystem SourceSystem
Computer Nom de l’ordinateur membre.
Group Nom du groupe.
GroupFullName Chemin d’accès complet au groupe, incluant la source et le nom de la source.
GroupSource Source à partir de laquelle ce groupe a été collecté.

Active Directory
WSUS
WSUSClientTargeting
GroupSourceName Nom de la source à partir de laquelle le groupe a été collecté. Pour Active Directory, il s’agit du nom de domaine.
ManagementGroupName Nom du groupe d'administration pour les agents SCOM. Pour les autres agents, il s’agit d’AOI-<workspace ID>
TimeGenerated Date et heure de création ou de mise à jour du groupe d’ordinateurs.

Étapes suivantes