Gruppi di computer nelle ricerche nei log in Log AnalyticsComputer groups in Log Analytics log searches

I gruppi di computer in Log Analytics consentono di limitare l'ambito delle ricerche nei log a uno specifico set di computer.Computer groups in Log Analytics allow you to scope log searches to a particular set of computers. Ogni gruppo viene popolato con i computer usando una query definita dall'utente oppure importando gruppi da diverse origini.Each group is populated with computers either using a query that you define or by importing groups from different sources. Quando il gruppo viene incluso in una ricerca nei log, i risultati sono limitati ai record corrispondenti ai computer del gruppo.When the group is included in a log search, the results are limited to records that match the computers in the group.

Creazione di un gruppo di computerCreating a computer group

È possibile creare un gruppo di computer in Log Analytics usando uno dei metodi riportati nella tabella seguente.You can create a computer group in Log Analytics using any of the methods in the following table. Informazioni dettagliate su ogni metodo sono disponibili nelle sezioni successive.Details on each method are provided in the sections below.

MetodoMethod DescrizioneDescription
Ricerca logLog search Creare una ricerca log che restituisca un elenco di computer.Create a log search that returns a list of computers.
API di ricerca nei logLog Search API Usare l'API di ricerca nei log per creare un gruppo di computer a livello di codice in base ai risultati di una ricerca nei log.Use the Log Search API to programmatically create a computer group based on the results of a log search.
Active DirectoryActive Directory Analizzare automaticamente l'appartenenza a gruppi di tutti i computer degli agenti che sono membri di un dominio di Active Directory e creare un gruppo in Log Analytics per ogni gruppo di sicurezza.Automatically scan the group membership of any agent computers that are members of an Active Directory domain and create a group in Log Analytics for each security group.
Gestione configurazioneConfiguration Manager Importare raccolte da System Center Configuration Manager e creare in Log Analytics un gruppo per ognuna.Import collections from System Center Configuration Manager and create a group in Log Analytics for each.
Windows Server Update ServicesWindows Server Update Services Analizzare automaticamente i server o i client WSUS per rilevare i gruppi di destinazione e creare in Log Analytics un gruppo per ognuno.Automatically scan WSUS servers or clients for targeting groups and create a group in Log Analytics for each.

I gruppi di computer creati da una ricerca log contengono tutti i computer restituiti da una query definita dall'utente.Computer groups created from a Log Search contain all of the computers returned by a query that you define. Questa query viene eseguita ogni volta che viene usato il gruppo di computer, in modo da riflettere le modifiche successive alla creazione del gruppo.This query is run every time the computer group is used so that any changes since the group was created is reflected.

Per un gruppo di computer è possibile usare qualsiasi query, ma questa deve restituire un set distinto di computer tramite distinct Computer.You can use any query for a computer group, but it must return a distinct set of computers by using distinct Computer. Ecco un esempio tipico di ricerca che è possibile usare per un gruppo di computer.Following is a typical example search that you could use for as a computer group.

Heartbeat | where Computer contains "srv" | distinct Computer

La tabella seguente descrive le proprietà che definiscono un gruppo di computer.The following table describes the properties that define a computer group.

ProprietàProperty DescrizioneDescription
Nome visualizzatoDisplay Name Nome della ricerca da visualizzare nel portale.Name of the search to display in the portal.
CategoriaCategory Categoria per l'organizzazione delle ricerche nel portale.Category to organize the searches in the portal.
QueryQuery Query per il gruppo di computer.The query for the computer group.
Alias di funzioneFunction alias Alias univoco usato per identificare il gruppo di computer in una query.A unique alias used to identify the computer group in a query.

Eseguire questa procedura per creare un gruppo di computer da una ricerca log nel portale di Azure.Use the following procedure to create a computer group from a log search in the Azure portal.

  1. Aprire Ricerca log e quindi fare clic su Ricerche salvate nella parte superiore della schermata.Open Log Search and then click Saved Searches at the top of the screen.
  2. Fare clic su Aggiungi e specificare i valori di ogni proprietà del gruppo di computer.Click Add and provide values for each property for the computer group.
  3. Selezionare Salva questa query come gruppo di computer e fare clic su OK.Select Save this query as a computer group and click OK.

Eseguire la procedura seguente per creare un gruppo di computer da una ricerca log nel portale di OMS.Use the following procedure to create a computer group from a log search in the OMS portal.

  1. Aprire Ricerca log e creare la ricerca log per il gruppo di computer.Open Log Search and create the log search for the computer group.
  2. Fare clic sul pulsante Salva nella parte superiore della schermata.Click the Save button at the top of the screen.
  3. Selezionare per impostare l'opzione Salva questa query come gruppo di computer.Select Yes to Save this query as a computer group.
  4. Specificare i valori di ogni proprietà del gruppo di computer.Provide values for each property for the computer group.

Nota

Se l'area di lavoro usa ancora il linguaggio di query legacy di Log Analytics, è possibile usare la stessa procedura per la creazione di un gruppo di computer. È tuttavia necessario usare la sintassi del linguaggio di query legacy.If your workspace is still using the legacy Log Analytics query language then you use the same procedure for creating a computer group, but the you must use the syntax of the legacy query language.

API di ricerca nei logLog search API

I gruppi di computer creati con l'API di ricerca nei log sono uguali alle ricerche create con una ricerca nei log.Computer groups created with the Log Search API are the same as searches created with a Log Search. Per informazioni dettagliate sulla creazione di un gruppo di computer con l'API di ricerca nei log, vedere la sezione Gruppi di computer in API REST di Log Analytics per la ricerca nei log.For details on creating a computer group using the Log Search API see Computer Groups in Log Analytics log search REST API.

Active DirectoryActive Directory

Quando si configura Log Analytics per importare le appartenenze ai gruppi di Active Directory, viene analizzata l'appartenenza ai gruppi di tutti i computer aggiunti a un dominio con l'agente OMS.When you configure Log Analytics to import Active Directory group memberships, it analyzes the group membership of any domain joined computers with the OMS agent. Viene creato un gruppo di computer in Log Analytics per ogni gruppo di sicurezza in Active Directory e ogni computer viene aggiunto ai gruppi di computer corrispondenti ai gruppi di sicurezza di cui è membro.A computer group is created in Log Analytics for each security group in Active Directory, and each computer is added to the computer groups corresponding to the security groups they are members of. L'appartenenza viene aggiornata continuamente ogni 4 ore.This membership is continuously updated every 4 hours.

È possibile configurare Log Analytics per l'importazione dei gruppi di sicurezza di Active Directory in Impostazioni avanzate di Log Analytics nel portale di Azure.You configure Log Analytics to import Active Directory security groups from Log Analytics Advanced settings in the Azure portal. Selezionare Gruppi di computer, Active Directory e quindi Importa le appartenenze a gruppi di Active Directory dai computer.Select Computer Groups, Active Directory, and then Import Active Directory group memberships from computers. Non è richiesta alcuna ulteriore configurazione.There is no further configuration required.

Gruppi di computer da Active Directory

Al termine dell'importazione dei gruppi, nel menu vengono elencati il numero dei computer di cui sono state rilevate le appartenenze a gruppi e il numero dei gruppi importati.When groups have been imported, the menu lists the number of computers with group membership detected and the number of groups imported. È possibile fare clic su uno di questi collegamenti per ottenere i record ComputerGroup con tali informazioni.You can click on either of these links to return the ComputerGroup records with this information.

Windows Server Update ServiceWindows Server Update Service

Quando si configura Log Analytics per importare le appartenenze a gruppi di WSUS, viene analizzata l'appartenenza a gruppi di destinazione di tutti i computer con l'agente OMS.When you configure Log Analytics to import WSUS group memberships, it analyzes the targeting group membership of any computers with the OMS agent. Se si usa la destinazione lato client, vengono importate in Log Analytics le appartenenze a gruppi di tutti i computer connessi a OMS che fanno parte di qualsiasi gruppo di destinazione di WSUS.If you are using client-side targeting, any computer that is connected to OMS and is part of any WSUS targeting groups has its group membership imported to Log Analytics. Se si usa la destinazione lato server, per poter importare le informazioni relative all'appartenenza a gruppi in OMS è necessario che l'agente OMS sia installato nel server WSUS.If you are using server-side targeting, the OMS agent should be installed on the WSUS server in order for the group membership information to be imported to OMS. L'appartenenza viene aggiornata continuamente ogni 4 ore.This membership is continuously updated every 4 hours.

È possibile configurare Log Analytics per l'importazione di gruppi WSUS in Impostazioni avanzate di Log Analytics nel portale di Azure.You configure Log Analytics to import WSUS groups from Log Analytics Advanced settings in the Azure portal. Selezionare Gruppi di computer, WSUS e quindi Importa appartenenze a gruppi WSUS.Select Computer Groups, WSUS, and then Import WSUS group memberships. Non è richiesta alcuna ulteriore configurazione.There is no further configuration required.

Gruppi di computer da WSUS

Al termine dell'importazione dei gruppi, nel menu vengono elencati il numero dei computer di cui sono state rilevate le appartenenze a gruppi e il numero dei gruppi importati.When groups have been imported, the menu lists the number of computers with group membership detected and the number of groups imported. È possibile fare clic su uno di questi collegamenti per ottenere i record ComputerGroup con tali informazioni.You can click on either of these links to return the ComputerGroup records with this information.

System Center Configuration ManagerSystem Center Configuration Manager

Quando si configura Log Analytics per l'importazione delle appartenenze a raccolte di Configuration Manager, Log Analytics crea un gruppo di computer per ogni raccolta.When you configure Log Analytics to import Configuration Manager collection memberships, it creates a computer group for each collection. Le informazioni di appartenenza delle raccolte vengono recuperate ogni 3 ore per mantenere aggiornati i gruppi di computer.The collection membership information is retrieved every 3 hours to keep the computer groups current.

Prima di importare raccolte di Configuration Manager è necessario connettere Configuration Manager a Log Analytics.Before you can import Configuration Manager collections, you must connect Configuration Manager to Log Analytics. È quindi possibile configurare l'importazione da Impostazioni avanzate di Log Analytics nel portale di Azure.You can then configure the import from Log Analytics Advanced settings in the Azure portal. Selezionare Gruppi di computer, SCCM e quindi Importa appartenenze alla raccolta di Configuration Manager.Select Computer Groups, SCCM, and then Import Configuration Manager collection memberships. Non è richiesta alcuna ulteriore configurazione.There is no further configuration required.

Gruppi di computer da SCCM

Dopo l'importazione delle raccolte, nel menu sono elencati il numero dei computer per i quali sono state rilevate appartenenze a gruppi e il numero dei gruppi importati.When collections have been imported, the menu lists the number of computers with group membership detected and the number of groups imported. È possibile fare clic su uno di questi collegamenti per ottenere i record ComputerGroup con tali informazioni.You can click on either of these links to return the ComputerGroup records with this information.

Gestione dei gruppi di computerManaging computer groups

È possibile visualizzare i gruppi di computer creati tramite una ricerca log o tramite l'API di ricerca log dalle Impostazioni avanzate di Log Analytics nel portale di Azure.You can view computer groups that were created from a log search or the Log Search API from Log Analytics Advanced settings in the Azure portal. Selezionare Gruppi di computer e quindi Gruppi salvati.Select Computer Groups and then Saved Groups.

Fare clic sulla x nella colonna Rimuovi per eliminare il gruppo di computer.Click the x in the Remove column to delete the computer group. Fare clic sull'icona Visualizza membri in corrispondenza di un gruppo per eseguire la ricerca nei log del gruppo che ne restituisce i membri.Click the View members icon for a group to run the group's log search that returns its members. Non è possibile modificare un gruppo di computer. È necessario eliminarlo e quindi ricrearlo con le impostazioni modificate.You can't modify a computer group but instead must delete and then recreate it with the modified settings.

Gruppi di computer salvati

È possibile usare gruppo di computer creato da una ricerca log in una query trattando il relativo alias come una funzione, in genere con la sintassi seguente:You use a Computer group created from a log search in a query by treating its alias as a function, typically with the following syntax:

Table | where Computer in (ComputerGroup)

È ad esempio possibile usare quanto segue per restituire record UpdateSummary solo dei computer in un gruppo di computer denominato mycomputergroup.For example, you could use the following to return UpdateSummary records for only computers in a computer group called mycomputergroup.

UpdateSummary | where Computer in (mycomputergroup)

I gruppi di computer importati e i computer in essi inclusi vengono archiviati nella tabella ComputerGroup.Imported computer groups and their included computers are stored in the ComputerGroup table. Ad esempio, la query seguente restituirà un elenco di computer nel gruppo Computer del dominio da Active Directory.For example, the following query would return a list of computers in the Domain Computers group from Active Directory.

ComputerGroup | where GroupSource == "ActiveDirectory" and Group == "Domain Computers" | distinct Computer

La query seguente restituisce i record UpdateSummary solo per i computer in Computer del dominio.The following query would return UpdateSummary records for only computers in Domain Computers.

let ADComputers = ComputerGroup | where GroupSource == "ActiveDirectory" and Group == "Domain Computers" | distinct Computer;
UpdateSummary | where Computer in (ADComputers)

Nota

Se l'area di lavoro usa ancora il linguaggio di query legacy di Log Analytics>, per fare riferimento a un gruppo di computer in una ricerca log usare la sintassi seguente.If your workspace is still using the legacy Log Analytics query language>, then you use the following syntax to refer to a computer group in a log search. Specificare Category> è facoltativo ed è necessario solo se sono presenti gruppi di computer con lo stesso nome in categorie diverse.Specifying the Category >is optional and only required if you have computer groups with the same name in different categories.

$ComputerGroups[Category: Name]

Nella ricerca log, i gruppi di computer vengono in genere usati con la clausola IN, come nell'esempio seguente:Computer groups are typically used with the IN clause in the log search as in the following example:

Type=UpdateSummary Computer IN $ComputerGroups[My Computer Group]

Record dei gruppi di computerComputer group records

Per ogni appartenenza a gruppi di computer creata da Active Directory o WSUS viene creato un record nel repository OMS.A record is created in the OMS repository for each computer group membership created from Active Directory or WSUS. Il tipo di questi record è ComputerGroup e le proprietà sono elencate nella tabella seguente.These records have a type of ComputerGroup and have the properties in the following table. Per i gruppi di computer basati su ricerche nei log non vengono creati record.Records are not created for computer groups based on log searches.

ProprietàProperty DescrizioneDescription
TipoType ComputerGroupComputerGroup
SourceSystemSourceSystem SourceSystemSourceSystem
ComputerComputer Nome del computer membro.Name of the member computer.
GroupGroup Nome del gruppo.Name of the group.
GroupFullNameGroupFullName Percorso completo del gruppo, con origine e nome dell'origine.Full path to the group including the source and source name.
GroupSourceGroupSource Origine da cui il gruppo è stato raccolto.Source that group was collected from.

ActiveDirectoryActiveDirectory
WSUSWSUS
WSUSClientTargetingWSUSClientTargeting
GroupSourceNameGroupSourceName Nome dell'origine da cui il gruppo è stato raccolto.Name of the source that the group was collected from. Per Active Directory, corrisponde al nome del dominio.For Active Directory, this is the domain name.
ManagementGroupNameManagementGroupName Nome del gruppo di gestione per gli agenti SCOM.Name of the management group for SCOM agents. Per gli altri agenti, corrisponde ad AOI-<ID area di lavoro>For other agents, this is AOI-<workspace ID>
TimeGeneratedTimeGenerated Data e ora in cui il gruppo di computer è stato creato o aggiornato.Date and time the computer group was created or updated.

Passaggi successiviNext steps

  • Informazioni sulle ricerche nei log per analizzare i dati raccolti dalle origini dati e dalle soluzioni.Learn about log searches to analyze the data collected from data sources and solutions.