Datorgrupper i Azure Monitor-loggfrågor
Med datorgrupper i Azure Monitor kan du begränsa loggfrågor till en viss uppsättning datorer. Varje grupp fylls med datorer med hjälp av en fråga som du definierar. När gruppen ingår i en loggfråga begränsas resultatet till poster som matchar datorerna i gruppen.
Kommentar
Den här artikeln uppdaterades nyligen för att använda termen Azure Monitor-loggar i stället för Log Analytics. Loggdata lagras fortfarande på en Log Analytics-arbetsyta och samlas fortfarande in och analyseras av samma Log Analytics-tjänst. Vi uppdaterar terminologin för att bättre återspegla loggarnas roll i Azure Monitor. Mer information finns i Terminologiändringar i Azure Monitor.
Behörigheter som krävs
| Åtgärd | Behörigheter som krävs |
|---|---|
| Skapa en datorgrupp från en loggfråga. | microsoft.operationalinsights/workspaces/savedSearches/write behörigheter till Log Analytics-arbetsytan där du vill skapa datorgruppen, till exempel enligt log analytics-deltagarens inbyggda roll. |
| Kör en datorgrupps loggsökning eller använd en datorgrupp i en loggfråga. | Microsoft.OperationalInsights/workspaces/query/*/read behörigheter till de Log Analytics-arbetsytor som du frågar efter, till exempel den inbyggda rollen Log Analytics Reader. |
| Ta bort en datorgrupp. | microsoft.operationalinsights/workspaces/savedSearches/delete behörigheter till Log Analytics-arbetsytan där datorgruppen sparas, till exempel den inbyggda rollen Log Analytics-deltagare. |
Skapa en datorgrupp
Du kan skapa en datorgrupp i Azure Monitor med hjälp av metoderna i följande tabell. Information om varje metod finns i avsnitten nedan.
| Metod | Description |
|---|---|
| Loggfråga | Skapa en loggfråga som returnerar en lista över datorer. |
| Active Directory | Stöds inte längre |
| Konfigurationshanteraren | Stöds inte längre |
| Windows Server Update Services | Stöds inte längre |
Loggfråga
Datorgrupper som skapats från en loggfråga innehåller alla datorer som returneras av en fråga som du definierar. Den här frågan körs varje gång datorgruppen används så att eventuella ändringar sedan gruppen skapades återspeglas.
Du kan använda valfri fråga för en datorgrupp, men den måste returnera en distinkt uppsättning datorer med hjälp distinct Computerav . Följande är en typisk exempelfråga som du kan använda för som en datorgrupp.
Heartbeat | where Computer contains "srv" | distinct Computer
Använd följande procedur för att skapa en datorgrupp från en loggsökning i Azure-portalen.
- Klicka på Loggar på Azure Monitor-menyn i Azure-portalen.
- Skapa och kör en fråga som returnerar de datorer som du vill använda i gruppen.
- Klicka på Spara överst på skärmen och välj Spara som funktion i listrutan.
- Välj Spara som datorgrupp.
- Ange värden för varje egenskap för datorgruppen som beskrivs i tabellen och klicka på Spara.
I följande tabell beskrivs de egenskaper som definierar en datorgrupp.
| Property | Beskrivning |
|---|---|
| Funktionsnamn | Namnet på frågan som ska visas i portalen. |
| Äldre kategori | Kategori för att organisera frågorna i portalen. |
| Parameters | Lägg till en parameter för varje variabel i funktionen som kräver ett värde när den används. Mer information finns i Funktionsparametrar. |
Active Directory
Stöds inte längre
Windows Server Update Service
Stöds inte längre
Konfigurationshanteraren
Stöds inte längre
Hantera datorgrupper
Du kan visa datorgrupper som har skapats från en loggfråga från menyalternativet Äldre datorgrupper i Log Analytics-arbetsytan i Azure-portalen. Välj fliken Sparade grupper för att visa listan över grupper.
Klicka på ikonen Kör fråga för en grupp för att köra gruppens loggsökning som returnerar dess medlemmar. Klicka på ikonen Ta bort för att ta bort datorgruppen. Du kan inte ändra en datorgrupp utan måste ta bort och sedan återskapa den med de ändrade inställningarna.
Använda en datorgrupp i en loggfråga
Du använder en datorgrupp som skapats från en loggfråga i en fråga genom att behandla dess alias som en funktion, vanligtvis med följande syntax:
Table | where Computer in (ComputerGroup)
Du kan till exempel använda följande för att returnera UpdateSummary-poster för endast datorer i en datorgrupp med namnet mycomputergroup.
UpdateSummary | where Computer in (mycomputergroup)
Nästa steg
- Lär dig mer om loggfrågor för att analysera data som samlas in från datakällor och lösningar.