Computergroepen in Azure Monitor-logboekquery'sComputer groups in Azure Monitor log queries

Met computergroepen in Azure Monitor u logboekquery's naar een bepaalde set computers richten.Computer groups in Azure Monitor allow you to scope log queries to a particular set of computers. Elke groep wordt gevuld met computers met behulp van een query die u definieert of door groepen uit verschillende bronnen te importeren.Each group is populated with computers either using a query that you define or by importing groups from different sources. Wanneer de groep is opgenomen in een logboekquery, zijn de resultaten beperkt tot records die overeenkomen met de computers in de groep.When the group is included in a log query, the results are limited to records that match the computers in the group.

Notitie

Dit artikel is onlangs bijgewerkt om de term Azure Monitor-logboeken te gebruiken in plaats van Logboekanalyse.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Loggegevens worden nog steeds opgeslagen in een Log Analytics-werkruimte en worden nog steeds verzameld en geanalyseerd door dezelfde Log Analytics-service.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. We werken de terminologie bij om de rol van logboeken in Azure Monitorbeter weer te geven.We are updating the terminology to better reflect the role of logs in Azure Monitor. Zie terminologiewijzigingen in Azure Monitor voor meer informatie.See Azure Monitor terminology changes for details.

Een computergroep makenCreating a computer group

U een computergroep maken in Azure Monitor met behulp van een van de methoden in de volgende tabel.You can create a computer group in Azure Monitor using any of the methods in the following table. Details over elke methode zijn opgenomen in de onderstaande secties.Details on each method are provided in the sections below.

MethodeMethod BeschrijvingDescription
LogboekqueryLog query Maak een logboekquery die een lijst met computers retourneert.Create a log query that returns a list of computers.
API voor zoeken in logboekenLog Search API Gebruik de API Voor logboekzoeken om programmatisch een computergroep te maken op basis van de resultaten van een logboekquery.Use the Log Search API to programmatically create a computer group based on the results of a log query.
Active DirectoryActive Directory Scan automatisch het groepslidmaatschap van agentcomputers die lid zijn van een Active Directory-domein en maak een groep in Azure Monitor voor elke beveiligingsgroep.Automatically scan the group membership of any agent computers that are members of an Active Directory domain and create a group in Azure Monitor for each security group. (Alleen Windows-machines)(Windows machines only)
ConfiguratiebeheerConfiguration Manager Importeer verzamelingen uit Microsoft Endpoint Configuration Manager en maak voor elk een groep in Azure Monitor.Import collections from Microsoft Endpoint Configuration Manager and create a group in Azure Monitor for each.
Windows Server Update ServicesWindows Server Update Services Scan automatisch WSUS-servers of -clients voor targetinggroepen en maak voor elk een groep in Azure Monitor.Automatically scan WSUS servers or clients for targeting groups and create a group in Azure Monitor for each.

LogboekqueryLog query

Computergroepen die zijn gemaakt met een logboekquery bevatten alle computers die zijn geretourneerd door een query die u definieert.Computer groups created from a log query contain all of the computers returned by a query that you define. Deze query wordt uitgevoerd elke keer dat de computergroep wordt gebruikt, zodat eventuele wijzigingen sinds het maken van de groep worden weergegeven.This query is run every time the computer group is used so that any changes since the group was created is reflected.

U elke query gebruiken voor een computergroep, maar deze distinct Computermoet een afzonderlijke set computers retourneren met behulp van.You can use any query for a computer group, but it must return a distinct set of computers by using distinct Computer. Hieronder volgt een typische voorbeeldquery die u als computergroep gebruiken.Following is a typical example query that you could use for as a computer group.

Heartbeat | where Computer contains "srv" | distinct Computer

Gebruik de volgende procedure om een computergroep te maken vanuit een logboekzoekopdracht in de Azure-portal.Use the following procedure to create a computer group from a log search in the Azure portal.

  1. Klik op Logboeken in het azure-monitormenu in de Azure-portal.Click Logs in the Azure Monitor menu in the Azure portal.
  2. Maak en voer een query uit die de gewenste computers in de groep retourneert.Create and run a query that returns the computers that you want in the group.
  3. Klik boven aan het scherm op Opslaan.Click Save at the top of the screen.
  4. Wijzig Opslaan als functie en selecteer Deze query opslaan als een computergroep.Change Save as to Function and select Save this query as a computer group.
  5. Geef waarden op voor elke eigenschap voor de computergroep die in de tabel wordt beschreven en klik op Opslaan.Provide values for each property for the computer group described in the table and click Save.

In de volgende tabel worden de eigenschappen beschreven die een computergroep definiëren.The following table describes the properties that define a computer group.

EigenschapProperty BeschrijvingDescription
NameName Naam van de query die in de portal moet worden weergegeven.Name of the query to display in the portal.
FunctiealiasFunction alias Een unieke alias die wordt gebruikt om de computergroep in een query te identificeren.A unique alias used to identify the computer group in a query.
CategorieCategory Categorie om de query's in de portal te ordenen.Category to organize the queries in the portal.

Active DirectoryActive Directory

Wanneer u Azure Monitor configureert om Active Directory-groepslidmaatschappen te importeren, wordt het groepslidmaatschap van een Windows-domein samengevoegd met de agent Log Analytics geanalyseerd.When you configure Azure Monitor to import Active Directory group memberships, it analyzes the group membership of any Windows domain joined computers with the Log Analytics agent. Voor elke beveiligingsgroep in Active Directory wordt een computergroep gemaakt die overeenkomt met de computergroepen die overeenkomen met de beveiligingsgroepen waarvan ze lid zijn.A computer group is created in Azure Monitor for each security group in Active Directory, and each Windows computer is added to the computer groups corresponding to the security groups they are members of. Dit lidmaatschap wordt elke 4 uur voortdurend bijgewerkt.This membership is continuously updated every 4 hours.

Notitie

Geïmporteerde Active Directory-groepen bevatten alleen Windows-machines.Imported Active Directory groups only contain Windows machines.

U configureert Azure Monitor om Active Directory-beveiligingsgroepen te importeren uit geavanceerde instellingen in uw Log Analytics-werkruimte in de Azure-portal.You configure Azure Monitor to import Active Directory security groups from Advanced settings in your Log Analytics workspace in the Azure portal. Selecteer Computergroepen, Active Directoryen importeer active directory-groepslidmaatschappen vanaf computers.Select Computer Groups, Active Directory, and then Import Active Directory group memberships from computers. Er is geen verdere configuratie nodig.There is no further configuration required.

Computergroepen uit Active Directory

Wanneer groepen zijn geïmporteerd, wordt in het menu het aantal computers met groepslidmaatschap gedetecteerd en het aantal geïmporteerde groepen weergegeven.When groups have been imported, the menu lists the number of computers with group membership detected and the number of groups imported. U op een van deze koppelingen klikken om de ComputerGroup-records met deze informatie terug te sturen.You can click on either of these links to return the ComputerGroup records with this information.

Windows Server updateserviceWindows Server Update Service

Wanneer u Azure Monitor configureert om WSUS-groepslidmaatschappen te importeren, wordt het lidmaatschap van de doelgroep van alle computers geanalyseerd met de Log Analytics-agent.When you configure Azure Monitor to import WSUS group memberships, it analyzes the targeting group membership of any computers with the Log Analytics agent. Als u targeting aan clientzijde gebruikt, wordt op elke computer die is verbonden met Azure Monitor en deel uitmaakt van wsus-targetinggroepen, het groepslidmaatschap geïmporteerd naar Azure Monitor.If you are using client-side targeting, any computer that is connected to Azure Monitor and is part of any WSUS targeting groups has its group membership imported to Azure Monitor. Als u servertargeting gebruikt, moet de Log Analytics-agent op de WSUS-server worden geïnstalleerd om de groepslidmaatschapsgegevens te kunnen importeren in Azure Monitor.If you are using server-side targeting, the Log Analytics agent should be installed on the WSUS server in order for the group membership information to be imported to Azure Monitor. Dit lidmaatschap wordt elke 4 uur voortdurend bijgewerkt.This membership is continuously updated every 4 hours.

U configureert Azure Monitor om WSUS-groepen te importeren uit geavanceerde instellingen in uw Log Analytics-werkruimte in de Azure-portal.You configure Azure Monitor to import WSUS groups from Advanced settings in your Log Analytics workspace in the Azure portal. Selecteer Computergroepen, WSUSen importeer WSUS-groepslidmaatschappen.Select Computer Groups, WSUS, and then Import WSUS group memberships. Er is geen verdere configuratie nodig.There is no further configuration required.

Computergroepen van WSUS

Wanneer groepen zijn geïmporteerd, wordt in het menu het aantal computers met groepslidmaatschap gedetecteerd en het aantal geïmporteerde groepen weergegeven.When groups have been imported, the menu lists the number of computers with group membership detected and the number of groups imported. U op een van deze koppelingen klikken om de ComputerGroup-records met deze informatie terug te sturen.You can click on either of these links to return the ComputerGroup records with this information.

ConfiguratiebeheerConfiguration Manager

Wanneer u Azure Monitor configureert om lidmaatschappen van configuration manager-verzameling te importeren, wordt voor elke verzameling een computergroep voor elke verzameling geconfigureerd.When you configure Azure Monitor to import Configuration Manager collection memberships, it creates a computer group for each collection. De collectielidmaatschapsinformatie wordt elke 3 uur opgehaald om de computergroepen actueel te houden.The collection membership information is retrieved every 3 hours to keep the computer groups current.

Voordat u Configuration Manager-verzamelingen importeren, moet u Configuration Manager verbinden met Azure Monitor.Before you can import Configuration Manager collections, you must connect Configuration Manager to Azure Monitor.

Computergroepen van SCCM

Wanneer verzamelingen zijn geïmporteerd, wordt in het menu het aantal computers met groepslidmaatschap gedetecteerd en het aantal geïmporteerde groepen weergegeven.When collections have been imported, the menu lists the number of computers with group membership detected and the number of groups imported. U op een van deze koppelingen klikken om de ComputerGroup-records met deze informatie terug te sturen.You can click on either of these links to return the ComputerGroup records with this information.

Computergroepen beherenManaging computer groups

U computergroepen bekijken die zijn gemaakt op basis van een logboekquery of de Api voor logboekzoeken vanuit geavanceerde instellingen in uw Log Analytics-werkruimte in de Azure-portal.You can view computer groups that were created from a log query or the Log Search API from Advanced settings in your Log Analytics workspace in the Azure portal. Selecteer Computergroepen en vervolgens Opgeslagen groepen.Select Computer Groups and then Saved Groups.

Klik op de x in de kolom Verwijderen om de computergroep te verwijderen.Click the x in the Remove column to delete the computer group. Klik op het pictogram Leden weergeven voor een groep om de logboekzoekopdracht van de groep uit te voeren die de leden retourneert.Click the View members icon for a group to run the group's log search that returns its members. U een computergroep niet wijzigen, maar in plaats daarvan verwijderen en vervolgens opnieuw maken met de gewijzigde instellingen.You can't modify a computer group but instead must delete and then recreate it with the modified settings.

Opgeslagen computergroepen

Een computergroep gebruiken in een logboekqueryUsing a computer group in a log query

U gebruikt een computergroep die is gemaakt op basis van een logboekquery in een query door de alias als functie te behandelen, meestal met de volgende syntaxis:You use a Computer group created from a log query in a query by treating its alias as a function, typically with the following syntax:

Table | where Computer in (ComputerGroup)

U bijvoorbeeld het volgende gebruiken om UpdateSummary-records terug te sturen voor alleen computers in een computergroep genaamd mycomputergroep.For example, you could use the following to return UpdateSummary records for only computers in a computer group called mycomputergroup.

UpdateSummary | where Computer in (mycomputergroup)

Geïmporteerde computergroepen en hun meegeleverde computers worden opgeslagen in de tabel Computergroep.Imported computer groups and their included computers are stored in the ComputerGroup table. Met de volgende query wordt bijvoorbeeld een lijst met computers in de groep Domeincomputers teruggegeven uit Active Directory.For example, the following query would return a list of computers in the Domain Computers group from Active Directory.

ComputerGroup | where GroupSource == "ActiveDirectory" and Group == "Domain Computers" | distinct Computer

Met de volgende query worden updateoverzichtrecords alleen voor computers in domeincomputers retourneert.The following query would return UpdateSummary records for only computers in Domain Computers.

let ADComputers = ComputerGroup | where GroupSource == "ActiveDirectory" and Group == "Domain Computers" | distinct Computer;
UpdateSummary | where Computer in (ADComputers)

ComputergroeprecordsComputer group records

Er wordt een record gemaakt in de werkruimte Log Analytics voor elk computergroepslidmaatschap dat is gemaakt vanuit Active Directory of WSUS.A record is created in the Log Analytics workspace for each computer group membership created from Active Directory or WSUS. Deze records hebben een type ComputerGroep en hebben de eigenschappen in de volgende tabel.These records have a type of ComputerGroup and have the properties in the following table. Records worden niet gemaakt voor computergroepen op basis van logboekquery's.Records are not created for computer groups based on log queries.

EigenschapProperty BeschrijvingDescription
Type ComputergroepComputerGroup
SourceSystem SourceSystemSourceSystem
Computer Naam van de lidcomputer.Name of the member computer.
Group Naam van de groep.Name of the group.
GroupFullName Volledig pad naar de groep inclusief de bron- en bronnaam.Full path to the group including the source and source name.
GroupSource Bron van die groep werd verzameld.Source that group was collected from.

Active DirectoryActiveDirectory
WSUSWSUS
WSUSClientTargetingWSUSClientTargeting
GroupSourceName Naam van de bron waarvan de groep is verzameld.Name of the source that the group was collected from. Voor Active Directory is dit de domeinnaam.For Active Directory, this is the domain name.
ManagementGroupName Naam van de beheergroep voor SCOM-agents.Name of the management group for SCOM agents. Voor andere agents is dit<AOI-werkplek-ID>For other agents, this is AOI-<workspace ID>
TimeGenerated Datum en tijd waarop de computergroep is gemaakt of bijgewerkt.Date and time the computer group was created or updated.

Volgende stappenNext steps

  • Meer informatie over logboekquery's om de gegevens te analyseren die zijn verzameld uit gegevensbronnen en -oplossingen.Learn about log queries to analyze the data collected from data sources and solutions.