Pacotes de consultas nos Logs do Azure Monitor

  • Artigo

Os pacotes de consulta atuam como contêineres para consultas de log no Azure Monitor. Eles permitem salvar consultas de log e compartilhá-las entre espaços de trabalho e outros contextos no Log Analytics.

Permissões

Você pode definir as permissões em um pacote de consultas ao exibi-lo no portal do Azure. Você precisa das seguintes permissões para usar pacotes de consulta:

  • Leitor: Os usuários podem ver e executar todas as consultas no pacote de consultas.

  • Colaborador: os usuários podem modificar consultas existentes e adicionar novas consultas ao pacote de consultas.

    Importante

    Quando um usuário precisar modificar ou adicionar consultas, sempre conceda ao usuário a permissão de Colaborador no DefaultQueryPack. Caso contrário, o usuário não poderá salvar nenhuma consulta na assinatura, inclusive em outros pacotes de consultas.

Ver pacotes de consultas

Pode ver e gerir pacotes de consultas no portal do Azure a partir do menu de pacotes de consultas do Log Analytics. Selecione um pacote de consultas para exibir e editar suas permissões. Este artigo descreve como criar um pacote de consultas usando a API.

Screenshot that shows query packs.

Pacote de consultas padrão

O Azure Monitor cria automaticamente um pacote de consulta chamado em cada assinatura em um grupo de recursos chamado DefaultQueryPackLogAnalyticsDefaultResources quando você salva sua primeira consulta. Você pode salvar consultas neste pacote de consultas ou criar outros pacotes de consultas, dependendo de suas necessidades.

Usar vários pacotes de consultas

O pacote de consultas padrão é suficiente para a maioria dos usuários salvar e reutilizar consultas. Talvez você queira criar vários pacotes de consultas para usuários em sua organização se, por exemplo, quiser carregar conjuntos diferentes de consultas em sessões diferentes do Log Analytics e fornecer permissões diferentes para diferentes coleções de consultas.

Ao criar um novo pacote de consultas, você pode adicionar tags que classificam as consultas com base nas suas necessidades comerciais. Por exemplo, você pode marcar um pacote de consultas para relacioná-lo a um departamento específico em sua organização ou à gravidade dos problemas que as consultas incluídas devem resolver. Usando tags, você pode criar diferentes conjuntos de consultas destinadas a diferentes conjuntos de usuários e diferentes situações.

Para adicionar pacotes de consultas ao seu espaço de trabalho do Log Analytics:

  1. Abra o Log Analytics e selecione Consultas no canto superior direito.
  2. No canto superior esquerdo da caixa de diálogo Consultas , ao lado de Pacotes de consultas, clique em Selecionar pacotes de consultas ou 0 selecionado.
  3. Selecione os pacotes de consulta que deseja adicionar ao espaço de trabalho.

Screenshot that shows the Select query packs page in Log Analytics, where you can add query packs to a Log Analytics workspace.

Importante

Você pode adicionar até cinco pacotes de consultas a um espaço de trabalho do Log Analytics.

Criar um pacote de consultas

Você pode criar um pacote de consultas usando a API REST ou a partir do painel de pacotes de consultas do Log Analytics no portal do Azure. Para abrir o painel de pacotes de consultas do Log Analytics no portal, selecione Todos os serviços>Outros.

Nota

As consultas salvas no pacote de consultas não são criptografadas com a chave gerenciada pelo cliente. Selecione Salvar como consulta herdada ao salvar consultas, para protegê-las com a chave gerenciada pelo cliente.

Criar um token

Você deve ter um token para autenticação da solicitação de API. Existem vários métodos para obter um token. Um método é usar armclient.

Primeiro, entre no Azure usando o seguinte comando:

armclient login

Em seguida, crie o token usando o seguinte comando. O token é copiado automaticamente para a área de transferência para que você possa colá-lo em outra ferramenta.

armclient token

Criar uma carga útil

A carga útil da solicitação é o JSON que define uma ou mais consultas e o local onde o pacote de consultas deve ser armazenado. O nome do pacote de consultas é especificado na solicitação de API descrita na próxima seção.

{
    "location": "eastus",
    "properties":
    {
        "displayName": "Query name that will be displayed in the UI",
        "description": "Query description that will be displayed in the UI",
        "body": "<<query text, standard KQL code>>",
        "related": {
            "categories": [
                "workloads"
            ],
            "resourceTypes": [
                "microsoft.insights/components"
            ],
            "solutions": [
                "logmanagement"
            ]
        },
        "tags": {
            "Tag1": [
                "Value1",
                "Value2"
            ]
        }
    }
}

Cada consulta no pacote de consultas tem as seguintes propriedades:

Propriedade Description
displayName Nome para exibição listado no Log Analytics para cada consulta.
description Descrição da consulta exibida no Log Analytics para cada consulta.
body Consulta escrita em Kusto Query Language.
related Categorias relacionadas, tipos de recursos e soluções para a consulta. Usado para agrupar e filtrar no Log Analytics pelo usuário para ajudar a localizar sua consulta. Cada consulta pode ter até 10 de cada tipo. Recupere valores permitidos de https://api.loganalytics.io/v1/metadata?select=resourceTypes, soluções e categorias.
tags Outras tags usadas pelo usuário para classificação e filtragem no Log Analytics. Cada tag será adicionada à Categoria, Tipo de Recurso e Solução quando você agrupar e filtrar consultas.

Criar um pedido

Use a solicitação a seguir para criar um novo pacote de consultas usando a API REST. A solicitação deve usar autorização de token ao portador. O tipo de conteúdo deve ser application/json.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack?api-version=2019-09-01

Use uma ferramenta que possa enviar uma solicitação de API REST, como Fiddler ou Postman, para enviar a solicitação usando a carga descrita na seção anterior. O ID da consulta será gerado e devolvido na carga útil.

Atualizar um pacote de consultas

Para atualizar um pacote de consultas, envie a seguinte solicitação com uma carga atualizada. Este comando requer o ID do pacote de consultas.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack/queries/query-id/?api-version=2019-09-01

Próximos passos

Consulte Usando consultas no Azure Monitor Log Analytics para ver como os usuários interagem com pacotes de consulta no Log Analytics .