Azure Monitor ログ クエリでのコンピューター グループ

Azure Monitor では、コンピューター グループを使用して、ログ クエリの範囲を特定のコンピューターのセットに限定することができます。 それぞれのグループには、定義したクエリを使用してコンピューターが追加されます。 そのグループをログ クエリに含めると、対応するグループ内のコンピューターと一致するレコードに検索結果が限定されます。

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。 ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。 Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。

必要なアクセス許可

アクション 必要なアクセス許可
ログ クエリからコンピューター グループを作成する。 たとえば、Log Analytics 共同作成者組み込みロールによって提供される、コンピューター グループを作成する Log Analytics ワークスペースへの microsoft.operationalinsights/workspaces/savedSearches/write アクセス許可。
コンピューター グループのログ検索を実行するか、ログ クエリでコンピューター グループを使用する。 クエリを実行する Log Analytics ワークスペースに対する Microsoft.OperationalInsights/workspaces/query/*/read アクセス許可。これは、たとえば、Log Analytics 閲覧者組み込みロールによって提供されます。
コンピューター グループを削除する。 たとえば、Log Analytics 共同作成者組み込みロールによって提供される、コンピューター グループが保存されている Log Analytics ワークスペースへの microsoft.operationalinsights/workspaces/savedSearches/delete アクセス許可。

コンピューター グループの作成

Azure Monitor のコンピューター グループは、以下の表に示した方法で作成できます。 それぞれの方法について、以降のセクションで詳しく説明します。

Method 説明
Log query コンピューターの一覧を返すログ クエリを作成します。
Active Directory サポートされていません
構成マネージャー サポートされていません
Windows Server Update Services サポートされていません

Log query

ログ クエリから作成されたコンピューター グループには、ユーザーが定義したクエリによって返されるすべてのコンピューターが含まれます。 このクエリは、コンピューター グループを使用するたびに実行されます。そうすることで、グループの作成以降に行われた変更が反映されます。

コンピューター グループにはどのクエリでも使用できますが、クエリは distinct Computer を使用して明確な一連のコンピューターを返す必要があります。 コンピューター グループに使用できる一般的なクエリの例を次に示します。

Heartbeat | where Computer contains "srv" | distinct Computer

Azure Portal でログ検索からコンピューター グループを作成するには、次の手順に従います。

  1. Azure portal の [Azure Monitor] メニューで [ログ] をクリックします。
  2. グループに含めるコンピューターが返されるクエリを作成して実行します。
  3. 画面の上部にある [保存] をクリックし、ドロップダウンから [関数として保存] を選択します。
  4. [コンピューター グループとして保存] を選択します。
  5. コンピューター グループに対して表で説明されている各プロパティの値を指定し、 [保存] をクリックします。

次の表では、コンピューター グループを定義するプロパティについて説明しています。

プロパティ 説明
関数名 ポータルに表示するクエリの名前。
従来のカテゴリ ポータル内でクエリを整理するためのカテゴリ。
パラメーター 使用時に値を必要とする関数内の各変数に対し、パラメーターを追加します。 詳細については、「関数のパラメーター」をご覧ください。

Active Directory

サポートされていません

Windows Server Update Service

サポートされていません

構成マネージャー

サポートされていません

コンピューター グループの管理

ログ クエリから作成されたコンピューター グループは、Azure portal でお使いの Log Analytics ワークスペースの [Legacy computer groups] (レガシ コンピューター グループ) メニュー項目から表示できます。 [保存済みグループ] タブを選んで、グループの一覧を表示します。

グループの [クエリの実行] アイコンをクリックすると、グループのログ検索が実行されて、そのメンバーが返されます。 [削除] アイコンをクリックして、コンピューター グループを削除します。 コンピューター グループは変更できませんが、コンピューター グループを削除し、変更された設定で再度作成する必要があります。

Screenshot of a Log Analytics resource in Azure with Legacy computer groups pane, Saved Groups tab, Run query icon, and Delete icon highlighted.

ログ クエリでのコンピューター グループの使用

ログ クエリから作成されたコンピューター グループをクエリで使用するには、そのエイリアスを関数として扱います。通常は、次の構文を使用します。

Table | where Computer in (ComputerGroup)

たとえば、以下を使用して、mycomputergroup という名前のコンピューター グループ内のコンピューターのみを対象とした UpdateSummary レコードを返すことができます。

UpdateSummary | where Computer in (mycomputergroup)

次のステップ

  • ログ クエリについて学習し、データ ソースとソリューションから収集されたデータを分析します。