Azure Monitor ログ クエリでのコンピューター グループComputer groups in Azure Monitor log queries

Azure Monitor では、コンピューター グループを使用して、ログ クエリの範囲を特定のコンピューターのセットに限定することができます。Computer groups in Azure Monitor allow you to scope log queries to a particular set of computers. それぞれのグループには、自分で定義したクエリを使用するか、さまざまなソースからグループをインポートすることでコンピューターを追加します。Each group is populated with computers either using a query that you define or by importing groups from different sources. そのグループをログ クエリに含めると、対応するグループ内のコンピューターと一致するレコードに検索結果が限定されます。When the group is included in a log query, the results are limited to records that match the computers in the group.

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。We are updating the terminology to better reflect the role of logs in Azure Monitor. 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。See Azure Monitor terminology changes for details.

コンピューター グループの作成Creating a computer group

Azure Monitor のコンピューター グループは、以下の表に示した方法のいずれかで作成できます。You can create a computer group in Azure Monitor using any of the methods in the following table. それぞれの方法について、以降のセクションで詳しく説明します。Details on each method are provided in the sections below.

方法Method 説明Description
Log queryLog query コンピューターの一覧を返すログ クエリを作成します。Create a log query that returns a list of computers.
Log Search APILog Search API ログ クエリの結果に基づいてプログラムからコンピューター グループを作成するには、Log Search API を使用します。Use the Log Search API to programmatically create a computer group based on the results of a log query.
Active DirectoryActive Directory Active Directory ドメインに属しているエージェント コンピューターのグループ メンバーシップを自動的にスキャンし、セキュリティ グループごとのグループを Azure Monitor に作成します。Automatically scan the group membership of any agent computers that are members of an Active Directory domain and create a group in Azure Monitor for each security group. (Windows マシンのみ)(Windows machines only)
構成マネージャーConfiguration Manager System Center Configuration Manager からコレクションをインポートし、Azure Monitor でそれぞれに対してグループを作成します。Import collections from System Center Configuration Manager and create a group in Azure Monitor for each.
Windows Server Update ServicesWindows Server Update Services WSUS のサーバーまたはクライアントを自動的にスキャンして WSUS の対象グループを取得し、それぞれのグループを Azure Monitor で作成します。Automatically scan WSUS servers or clients for targeting groups and create a group in Azure Monitor for each.

Log queryLog query

ログ クエリから作成されたコンピューター グループには、ユーザーが定義したクエリによって返されるすべてのコンピューターが含まれます。Computer groups created from a log query contain all of the computers returned by a query that you define. このクエリは、コンピューター グループを使用するたびに実行されます。そうすることで、グループの作成以降に行われた変更が反映されます。This query is run every time the computer group is used so that any changes since the group was created is reflected.

コンピューター グループにはどのクエリでも使用できますが、クエリは distinct Computer を使用して明確な一連のコンピューターを返す必要があります。You can use any query for a computer group, but it must return a distinct set of computers by using distinct Computer. コンピューター グループに使用できる一般的なクエリの例を次に示します。Following is a typical example query that you could use for as a computer group.

Heartbeat | where Computer contains "srv" | distinct Computer

Azure Portal でログ検索からコンピューター グループを作成するには、次の手順に従います。Use the following procedure to create a computer group from a log search in the Azure portal.

  1. Azure portal の [Azure Monitor] メニューで [ログ] をクリックします。Click Logs in the Azure Monitor menu in the Azure portal.
  2. グループに含めるコンピューターが返されるクエリを作成して実行します。Create and run a query that returns the computers that you want in the group.
  3. 画面の上部にある [保存] をクリックします。Click Save at the top of the screen.
  4. [名前を付けて保存][関数] に変更し、 [このクエリをコンピューター グループとして保存します] を選択します。Change Save as to Function and select Save this query as a computer group.
  5. コンピューター グループに対して表で説明されている各プロパティの値を指定し、 [保存] をクリックします。Provide values for each property for the computer group described in the table and click Save.

次の表では、コンピューター グループを定義するプロパティについて説明しています。The following table describes the properties that define a computer group.

プロパティProperty DescriptionDescription
名前Name ポータルに表示するクエリの名前。Name of the query to display in the portal.
関数のエイリアスFunction alias クエリ内でコンピューター グループを識別するのに使用される一意のエイリアス。A unique alias used to identify the computer group in a query.
CategoryCategory ポータル内でクエリを整理するためのカテゴリ。Category to organize the queries in the portal.

Active DirectoryActive Directory

Active Directory のグループ メンバーシップをインポートするように Azure Monitor を構成すると、Log Analytics エージェントが存在する Windows ドメイン参加済みコンピューターのグループ メンバーシップが分析されます。When you configure Azure Monitor to import Active Directory group memberships, it analyzes the group membership of any Windows domain joined computers with the Log Analytics agent. Azure Monitor で Active Directory 内のセキュリティ グループごとにコンピューター グループが作成され、各 Windows コンピューターは、メンバーになっているセキュリティ グループに対応したコンピューター グループに追加されます。A computer group is created in Azure Monitor for each security group in Active Directory, and each Windows computer is added to the computer groups corresponding to the security groups they are members of. このメンバーシップは絶えず 4 時間おきに更新されます。This membership is continuously updated every 4 hours.

注意

インポートされた Active Directory グループのみが Windows コンピューターを含みます。Imported Active Directory groups only contain Windows machines.

Azure portal でお使いの Log Analytics ワークスペースの [詳細設定] から、Active Directory のセキュリティ グループをインポートするように Azure Monitor を構成します。You configure Azure Monitor to import Active Directory security groups from Advanced settings in your Log Analytics workspace in the Azure portal. [コンピューター グループ][Active Directory] の順に選択し、 [コンピューターから Active Directory のグループ メンバーシップをインポートします] を選択します。Select Computer Groups, Active Directory, and then Import Active Directory group memberships from computers. さらに手動で構成する必要はありません。There is no further configuration required.

Active Directory からのコンピューター グループ

グループがインポートされると、検出されたグループ メンバーシップを持つコンピューターの数とインポートされたグループの数がメニューに表示されます。When groups have been imported, the menu lists the number of computers with group membership detected and the number of groups imported. そのいずれかのリンクをクリックすると、ComputerGroup のレコードがこの情報と共に返されます。You can click on either of these links to return the ComputerGroup records with this information.

Windows Server Update ServiceWindows Server Update Service

WSUS グループのメンバーシップをインポートするように Azure Monitor を構成すると、Log Analytics エージェントが存在するすべてのコンピューターの対象グループ メンバーシップが分析されます。When you configure Azure Monitor to import WSUS group memberships, it analyzes the targeting group membership of any computers with the Log Analytics agent. クライアント側のターゲット指定方式を使用している場合、Azure Monitor に接続されていて、かつ WSUS の対象グループに属しているすべてのコンピューターのグループ メンバーシップが、Azure Monitor にインポートされます。If you are using client-side targeting, any computer that is connected to Azure Monitor and is part of any WSUS targeting groups has its group membership imported to Azure Monitor. サーバー側のターゲット指定方式を使用している場合、グループ メンバーシップ情報を Azure Monitor にインポートするためには、WSUS サーバーに Log Analytics エージェントがインストールされている必要があります。If you are using server-side targeting, the Log Analytics agent should be installed on the WSUS server in order for the group membership information to be imported to Azure Monitor. このメンバーシップは絶えず 4 時間おきに更新されます。This membership is continuously updated every 4 hours.

Azure portal でお使いの Log Analytics ワークスペースの [詳細設定] から、WSUS グループをインポートするように Azure Monitor を構成します。You configure Azure Monitor to import WSUS groups from Advanced settings in your Log Analytics workspace in the Azure portal. [コンピューター グループ][WSUS] の順に選択し、 [WSUS のグループ メンバーシップをインポートします] を選択します。Select Computer Groups, WSUS, and then Import WSUS group memberships. さらに手動で構成する必要はありません。There is no further configuration required.

WSUS のコンピューター グループ

グループがインポートされると、検出されたグループ メンバーシップを持つコンピューターの数とインポートされたグループの数がメニューに表示されます。When groups have been imported, the menu lists the number of computers with group membership detected and the number of groups imported. そのいずれかのリンクをクリックすると、ComputerGroup のレコードがこの情報と共に返されます。You can click on either of these links to return the ComputerGroup records with this information.

System Center Configuration ManagerSystem Center Configuration Manager

Configuration Manager のコレクション メンバーシップをインポートするように Azure Monitor を構成すると、各コレクションのコンピューター グループが作成されます。When you configure Azure Monitor to import Configuration Manager collection memberships, it creates a computer group for each collection. コンピューター グループを最新に保つために、コレクション メンバーシップ情報は 3 時間ごとに取得されます。The collection membership information is retrieved every 3 hours to keep the computer groups current.

Configuration Manager のコレクションをインポートするには、Azure Monitor に Configuration Manager を接続する必要があります。Before you can import Configuration Manager collections, you must connect Configuration Manager to Azure Monitor.

SCCM のコンピューター グループ

コレクションがインポートされると、検出されたコンピューターおよびグループ メンバーシップの数と、インポートされたグループの数がメニューに表示されます。When collections have been imported, the menu lists the number of computers with group membership detected and the number of groups imported. そのいずれかのリンクをクリックすると、ComputerGroup のレコードがこの情報と共に返されます。You can click on either of these links to return the ComputerGroup records with this information.

コンピューター グループの管理Managing computer groups

ログ クエリまたは Log Search API から作成されたコンピューター グループは、Azure portal でお使いの Log Analytics ワークスペースの [詳細設定] から表示できます。You can view computer groups that were created from a log query or the Log Search API from Advanced settings in your Log Analytics workspace in the Azure portal. [コンピューター グループ] を選択してから、 [保存済みグループ] を選択します。Select Computer Groups and then Saved Groups.

[削除] 列の [x] をクリックすると、コンピューター グループが削除されます。Click the x in the Remove column to delete the computer group. グループの [メンバーの表示] アイコンをクリックすると、グループのログ検索が実行されて、そのメンバーが返されます。Click the View members icon for a group to run the group's log search that returns its members. コンピューター グループは変更できませんが、コンピューター グループを削除し、変更された設定で再度作成する必要があります。You can't modify a computer group but instead must delete and then recreate it with the modified settings.

保存されているコンピューター グループ

ログ クエリでのコンピューター グループの使用Using a computer group in a log query

ログ クエリから作成されたコンピューター グループをクエリで使用するには、そのエイリアスを関数として扱います。通常は、次の構文を使用します。You use a Computer group created from a log query in a query by treating its alias as a function, typically with the following syntax:

Table | where Computer in (ComputerGroup)

たとえば、以下を使用して、mycomputergroup という名前のコンピューター グループ内のコンピューターのみを対象とした UpdateSummary レコードを返すことができます。For example, you could use the following to return UpdateSummary records for only computers in a computer group called mycomputergroup.

UpdateSummary | where Computer in (mycomputergroup)

インポートされたコンピュータ グループとそれらに含まれるコンピューターは、ComputerGroup テーブルに格納されます。Imported computer groups and their included computers are stored in the ComputerGroup table. たとえば、次のクエリは、Active Directory の Domain Computers グループにコンピューターの一覧を返します。For example, the following query would return a list of computers in the Domain Computers group from Active Directory.

ComputerGroup | where GroupSource == "ActiveDirectory" and Group == "Domain Computers" | distinct Computer

次のクエリは、Domain Computers 内のコンピューターの UpdateSummary レコードのみを返します。The following query would return UpdateSummary records for only computers in Domain Computers.

let ADComputers = ComputerGroup | where GroupSource == "ActiveDirectory" and Group == "Domain Computers" | distinct Computer;
UpdateSummary | where Computer in (ADComputers)

コンピューター グループのレコードComputer group records

Active Directory または WSUS から作成されたコンピューター グループでは、そのメンバーシップごとのレコードが Log Analytics ワークスペースに作成されます。A record is created in the Log Analytics workspace for each computer group membership created from Active Directory or WSUS. これらは ComputerGroup タイプのレコードとして、次の表に示すプロパティを持ちます。These records have a type of ComputerGroup and have the properties in the following table. ログ クエリに基づくコンピューター グループにはレコードが作成されません。Records are not created for computer groups based on log queries.

プロパティProperty 説明Description
Type ComputerGroupComputerGroup
SourceSystem SourceSystemSourceSystem
Computer メンバー コンピューターの名前。Name of the member computer.
Group グループの名前。Name of the group.
GroupFullName ソースとソース名を含んだグループの完全パス。Full path to the group including the source and source name.
GroupSource グループの収集元となったソース。Source that group was collected from.

ActiveDirectoryActiveDirectory
WSUSWSUS
WSUSClientTargetingWSUSClientTargeting
GroupSourceName グループの収集元となったソースの名前。Name of the source that the group was collected from. Active Directory の場合はドメイン名になります。For Active Directory, this is the domain name.
ManagementGroupName SCOM エージェントの管理グループの名前。Name of the management group for SCOM agents. その他のエージェントの場合、これは AOI-<workspace ID> です。For other agents, this is AOI-<workspace ID>
TimeGenerated コンピューター グループが作成または更新された日時。Date and time the computer group was created or updated.

次の手順Next steps

  • ログ クエリについて学習し、データ ソースとソリューションから収集されたデータを分析します。Learn about log queries to analyze the data collected from data sources and solutions.