Pacotes de consulta nos logs do Azure Monitor

  • Artigo

Os pacotes de consulta atuam como contêineres para consultas de log no Azure Monitor. Eles permitem que você salve consultas de log e as compartilhe em espaços de trabalho e outros contextos no Log Analytics.

Permissões

Você pode definir as permissões em um pacote de consulta ao exibi-lo no portal do Azure. São necessárias as seguintes permissões para usar pacotes de consulta:

  • Leitor: os usuários podem ver e executar todas as consultas no pacote de consulta.

  • Colaborador: os usuários podem modificar consultas existentes e adicionar novas consultas ao pacote de consulta.

    Importante

    Quando um usuário precisar modificar ou adicionar consultas, sempre conceda ao usuário a permissão de Colaborador no DefaultQueryPack. Caso contrário, o usuário não poderá salvar nenhuma consulta na assinatura, inclusive em outros pacotes de consulta.

Exibir pacotes de consulta

Você pode exibir e gerenciar pacotes de consulta no portal do Azure no menu Pacotes de consulta do Log Analytics. Selecione um pacote de consulta para exibir e editar suas permissões. Este artigo descreve como criar um pacote de consultas usando a API.

Screenshot that shows query packs.

Pacote de consulta padrão

O Azure Monitor cria automaticamente um pacote de consultas chamado DefaultQueryPack em cada assinatura em um grupo de recursos chamado LogAnalyticsDefaultResources quando você salva sua primeira consulta. Você pode salvar consultas neste pacote de consulta ou criar outros pacotes de consulta, dependendo de seus requisitos.

Use vários pacotes de consulta

O pacote de consulta padrão é suficiente para a maioria dos usuários salvar e reutilizar as consultas. Talvez você queira criar vários pacotes de consultas para usuários em sua organização se, por exemplo, quiser carregar diferentes conjuntos de consultas em diferentes sessões do Log Analytics e fornecer permissões diferentes para diferentes coleções de consultas.

Ao criar um novo pacote de consultas, você pode adicionar marcas que classificam as consultas com base em suas necessidades comerciais. Por exemplo, você pode marcar um pacote de consultas para relacioná-lo a um departamento específico em sua organização ou à severidade dos problemas que as consultas incluídas devem abordar. Usando marcas, você pode criar diferentes conjuntos de consultas destinados a diferentes conjuntos de usuários e situações.

Para adicionar pacotes de consulta ao workspace do Log Analytics:

  1. Abra o Log Analytics e selecione Consultas no canto superior direito.
  2. No canto superior esquerdo da caixa de diálogo Consultas, ao lado de Pacotes de consulta, clique em Selecionar pacotes de consulta ou em 0 selecionado.
  3. Selecione os pacotes de consulta que você deseja adicionar ao workspace.

Screenshot that shows the Select query packs page in Log Analytics, where you can add query packs to a Log Analytics workspace.

Importante

Você pode adicionar até cinco pacotes de consulta a um workspace do Log Analytics.

Criar um pacote de consulta

Você pode criar um pacote de consultas usando a API REST ou no painel de pacotes de consultas do Log Analytics no portal do Azure. Para abrir o painel pacotes de consulta do Log Analytics no portal, selecione Todos os serviços>Outros.

Observação

As consultas salvas no pacote de consultas não são criptografadas com a chave gerenciada pelo cliente. Selecione Salvar como consulta herdada ao salvar consultas para protegê-las com a chave gerenciada pelo cliente.

Criar um token

Você precisa de um token para autenticação da solicitação da API. Existem vários métodos para obter um token. Um método é usar armclient.

Em primeiro lugar, entre no Azure usando o seguinte comando:

armclient login

Em seguida, crie o token usando o comando a seguir. O token é copiado automaticamente para a área de transferência para que você possa colá-lo em outra ferramenta.

armclient token

Criar uma payload

A payload da solicitação é o JSON que define uma ou mais consultas e o local onde o pacote de consulta deve ser armazenado. O nome do pacote de consulta é especificado na solicitação da API descrita na próxima seção.

{
    "location": "eastus",
    "properties":
    {
        "displayName": "Query name that will be displayed in the UI",
        "description": "Query description that will be displayed in the UI",
        "body": "<<query text, standard KQL code>>",
        "related": {
            "categories": [
                "workloads"
            ],
            "resourceTypes": [
                "microsoft.insights/components"
            ],
            "solutions": [
                "logmanagement"
            ]
        },
        "tags": {
            "Tag1": [
                "Value1",
                "Value2"
            ]
        }
    }
}

Cada consulta no pacote de consulta tem as propriedades a seguir:

Propriedade Descrição
displayName Nome de exibição listado no Log Analytics para cada consulta.
description Descrição da consulta exibida no Log Analytics para cada consulta.
body Consulta gravada na Linguagem de Consulta Kusto.
related Categorias relacionadas, tipos de recursos e soluções para a consulta. Usado para o usuário agrupar e filtrar no Log Analytics para ajudar a localizar a sua consulta. Cada consulta pode ter até dez de cada tipo. Recuperar valores permitidos de https://api.loganalytics.io/v1/metadata?select=resourceTypes, soluções e categorias.
tags Outras marcas usadas pelo usuário para classificação e filtragem no Log Analytics. Cada marca será adicionada a Categoria, Tipo de Recurso e Solução quando você agrupar e filtrar consultas.

Criar uma solicitação

Use a solicitação a seguir para criar um novo pacote de consulta usando a API REST. A solicitação deve usar a autorização de token de portador. O tipo de conteúdo deve ser application/json.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack?api-version=2019-09-01

Use uma ferramenta que possa enviar uma solicitação da API REST, como o Fiddler ou o Postman, para enviar a solicitação usando a payload descrita na seção anterior. A ID da consulta será gerada e retornada na payload.

Atualizar um pacote de consulta

Para atualizar um pacote de consultas, envie a solicitação a seguir com uma payload atualizada. Esse comando requer a ID do pacote de consulta.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack/queries/query-id/?api-version=2019-09-01

Próximas etapas

Consulte Usando consultas no Log Analytics do Azure Monitor para ver como os usuários interagem com pacotes de consulta no Log Analytics.