Querypakketten in Azure Monitor-logboeken

  • Artikel

Querypakketten fungeren als containers voor logboekquery's in Azure Monitor. Hiermee kunt u logboekquery's opslaan en delen in werkruimten en andere contexten in Log Analytics.

Bevoegdheden

U kunt de machtigingen voor een querypakket instellen wanneer u het in Azure Portal bekijkt. U hebt de volgende machtigingen nodig om querypakketten te kunnen gebruiken:

  • Lezer: Gebruikers kunnen alle query's in het querypakket bekijken en uitvoeren.

  • Inzender: Gebruikers kunnen bestaande query's wijzigen en nieuwe query's toevoegen aan het querypakket.

    Belangrijk

    Wanneer een gebruiker query's moet wijzigen of toevoegen, verleent u de gebruiker altijd de machtiging Inzender voor de DefaultQueryPack. Anders kan de gebruiker geen query's opslaan in het abonnement, ook in andere querypakketten.

Querypakketten weergeven

U kunt querypakketten weergeven en beheren in Azure Portal vanuit het menu Log Analytics-querypakketten . Selecteer een querypakket om de machtigingen ervan weer te geven en te bewerken. In dit artikel wordt beschreven hoe u een querypakket maakt met behulp van de API.

Screenshot that shows query packs.

Standaardquerypakket

Azure Monitor maakt automatisch een querypakket dat wordt aangeroepen DefaultQueryPack in elk abonnement in een resourcegroep die wordt aangeroepen LogAnalyticsDefaultResources wanneer u uw eerste query opslaat. U kunt query's opslaan in dit querypakket of andere querypakketten maken, afhankelijk van uw vereisten.

Meerdere querypakketten gebruiken

Het standaardquerypakket is voldoende voor de meeste gebruikers om query's op te slaan en opnieuw te gebruiken. Mogelijk wilt u meerdere querypakketten maken voor gebruikers in uw organisatie als u bijvoorbeeld verschillende sets query's in verschillende Log Analytics-sessies wilt laden en verschillende machtigingen wilt opgeven voor verschillende verzamelingen query's.

Wanneer u een nieuw querypakket maakt, kunt u tags toevoegen die query's classificeren op basis van uw bedrijfsbehoeften. U kunt bijvoorbeeld een querypakket taggen om het te relateren aan een bepaalde afdeling in uw organisatie of de ernst van problemen die door de opgenomen query's moeten worden opgelost. Met behulp van tags kunt u verschillende sets query's maken die zijn bedoeld voor verschillende sets gebruikers en verschillende situaties.

Querypakketten toevoegen aan uw Log Analytics-werkruimte:

  1. Open Log Analytics en selecteer query's in de rechterbovenhoek.
  2. Klik in de linkerbovenhoek van het dialoogvenster Query's naast Querypacks op Querypakketten selecteren of op 0 geselecteerd.
  3. Selecteer de querypakketten die u wilt toevoegen aan de werkruimte.

Screenshot that shows the Select query packs page in Log Analytics, where you can add query packs to a Log Analytics workspace.

Belangrijk

U kunt maximaal vijf querypakketten toevoegen aan een Log Analytics-werkruimte.

Een querypakket maken

U kunt een querypakket maken met behulp van de REST API of vanuit het deelvenster Log Analytics-querypakketten in Azure Portal. Als u het deelvenster Log Analytics-querypakketten in de portal wilt openen, selecteert u Alle services>overige.

Notitie

Query's die zijn opgeslagen in het querypakket , worden niet versleuteld met de door de klant beheerde sleutel. Selecteer Opslaan als verouderde query bij het opslaan van query's om ze te beveiligen met door de klant beheerde sleutel.

Een token maken

U moet een token hebben voor verificatie van de API-aanvraag. Er zijn meerdere methoden om een token op te halen. Een methode is om te gebruiken armclient.

Meld u eerst aan bij Azure met behulp van de volgende opdracht:

armclient login

Maak vervolgens het token met behulp van de volgende opdracht. Het token wordt automatisch gekopieerd naar het klembord, zodat u het in een ander hulpmiddel kunt plakken.

armclient token

Een nettolading maken

De nettolading van de aanvraag is de JSON die een of meer query's definieert en de locatie waar het querypakket moet worden opgeslagen. De naam van het querypakket wordt opgegeven in de API-aanvraag die in de volgende sectie wordt beschreven.

{
    "location": "eastus",
    "properties":
    {
        "displayName": "Query name that will be displayed in the UI",
        "description": "Query description that will be displayed in the UI",
        "body": "<<query text, standard KQL code>>",
        "related": {
            "categories": [
                "workloads"
            ],
            "resourceTypes": [
                "microsoft.insights/components"
            ],
            "solutions": [
                "logmanagement"
            ]
        },
        "tags": {
            "Tag1": [
                "Value1",
                "Value2"
            ]
        }
    }
}

Elke query in het querypakket heeft de volgende eigenschappen:

Eigenschappen Beschrijving
displayName Weergavenaam die wordt vermeld in Log Analytics voor elke query.
description Beschrijving van de query die wordt weergegeven in Log Analytics voor elke query.
body Query geschreven in Kusto-querytaal.
related Gerelateerde categorieën, resourcetypen en oplossingen voor de query. Wordt gebruikt voor het groeperen en filteren in Log Analytics door de gebruiker om de query te vinden. Elke query kan maximaal 10 van elk type hebben. Toegestane waarden ophalen uit https://api.loganalytics.io/v1/metadata?select=resourceTypes, oplossingen en categorieën.
tags Andere tags die door de gebruiker worden gebruikt voor het sorteren en filteren in Log Analytics. Elke tag wordt toegevoegd aan Categorie, Resourcetype en Oplossing wanneer u query's groepeert en filtert.

Een aanvraag maken

Gebruik de volgende aanvraag om een nieuw querypakket te maken met behulp van de REST API. De aanvraag moet bearer-tokenautorisatie gebruiken. Het inhoudstype moet zijn application/json.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack?api-version=2019-09-01

Gebruik een hulpprogramma dat een REST API-aanvraag, zoals Fiddler of Postman, kan indienen om de aanvraag in te dienen met behulp van de nettolading die in de vorige sectie wordt beschreven. De query-id wordt gegenereerd en geretourneerd in de nettolading.

Een querypakket bijwerken

Als u een querypakket wilt bijwerken, dient u de volgende aanvraag in met een bijgewerkte nettolading. Voor deze opdracht is de id van het querypakket vereist.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack/queries/query-id/?api-version=2019-09-01

Volgende stappen

Zie Query's gebruiken in Azure Monitor Log Analytics om te zien hoe gebruikers werken met querypakketten in Log Analytics.