在 Azure CLI 中管理 Azure 監視器記錄
使用此處說明的 Azure CLI 命令,在 Azure 監視器中管理您的記錄分析工作區。
必要條件
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱使用 Azure CLI 登入。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊,請參閱使用 Azure CLI 擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
建立監視器記錄的工作區
執行 az group create 命令以建立資源群組,或使用現有的資源群組。 若要建立工作區,請使用 az monitor log-analytics workspace create 命令。
az group create --name ContosoRG --location eastus2
az monitor log-analytics workspace create --resource-group ContosoRG \
--workspace-name ContosoWorkspace
如需工作區的詳細資訊,請參閱 Azure 監視器記錄概觀 (機器翻譯)。
列出工作區中的資料表
每個工作區都包含具多個資料列之資料行的資料表。 每個資料表都由資料來源提供的一組不重複資料行所定義。
若要查看工作區中的資料表,請使用 az monitor log-analytics workspace table list 命令:
az monitor log-analytics workspace table list --resource-group ContosoRG \
--workspace-name ContosoWorkspace --output table
輸出值 table 會以更容易閱讀的格式呈現結果。 如需詳細資訊,請參閱輸出格式化 (機器翻譯)。
若要變更資料表的保留時間,請執行 az monitor log-analytics workspace table update 命令:
az monitor log-analytics workspace table update --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name Syslog --retention-time 45
保留時間介於 30 到 730 天之間。
如需資料表的詳細資訊,請參閱資料結構。
刪除資料表
若要刪除資料表,請執行 az monitor log-analytics workspace table delete 命令:
az monitor log-analytics workspace table delete –subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name MySearchTable_SRCH
從選取的資料表匯出資料
您可以持續將資料從選取的資料表,匯出至 Azure 儲存體帳戶或 Azure 事件中樞。 使用 az monitor log-analytics workspace data-export create 命令:
az monitor log-analytics workspace data-export create --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name DataExport --table Syslog \
--destination /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/exportaccount \
--enable
若要查看您的資料匯出,請執行 az monitor log-analytics workspace data-export list 命令。
az monitor log-analytics workspace data-export list --resource-group ContosoRG \
--workspace-name ContosoWorkspace --output table
若要刪除資料匯出,請執行 az monitor log-analytics workspace data-export delete 命令。 --yes 參數會跳過確認步驟。
az monitor log-analytics workspace data-export delete --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name DataExport --yes
如需資料匯出的詳細資訊,請參閱 Azure 監視器中的 Log Analytics 工作區資料匯出 (機器翻譯)。
管理連結服務
連結服務會定義工作區與另一個 Azure 資源的關聯。 Azure 監視器記錄和 Azure 資源會在其作業中使用此連線。 連結服務的範例用途,包括自動化帳戶,以及與客戶自控金鑰相關聯的工作區。
若要建立連結服務,請執行 az monitor log-analytics workspace linked-service create 命令:
az monitor log-analytics workspace linked-service create --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name linkedautomation \
--resource-id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Web/sites/ContosoWebApp09
az monitor log-analytics workspace linked-service list --resource-group ContosoRG \
--workspace-name ContosoWorkspace
若要移除連結服務關聯,請執行 az monitor log-analytics workspace linked-service delete 命令:
az monitor log-analytics workspace linked-service delete --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name linkedautomation
如需詳細資訊,請參閱 az monitor log-analytics workspace linked-service。
管理連結儲存體
如果您提供並管理自己的記錄分析儲存體帳戶,可以使用下列 Azure CLI 命令加以管理。
若要將工作區連結至儲存體帳戶,請執行 az monitor log-analytics workspace linked-storage create 命令:
az monitor log-analytics workspace linked-storage create --resource-group ContosoRG \
--workspace-name ContosoWorkspace \
--storage-accounts /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/contosostorage \
--type Alerts
az monitor log-analytics workspace linked-storage list --resource-group ContosoRG \
--workspace-name ContosoWorkspace --output table
若要移除儲存體帳戶的連結,請執行 az monitor log-analytics workspace linked-storage delete 命令:
az monitor log-analytics workspace linked-storage delete --resource-group ContosoRG \
--workspace-name ContosoWorkspace --type Alerts
如需詳細資訊,請參閱在 Azure 監視器 Log Analytics 中使用客戶自控儲存體帳戶 (機器翻譯)。
管理情報套件
若要查看可用的情報套件,請執行 az monitor log-analytics workspace pack list 命令。 此命令也會告訴您套件是否已啟用。
az monitor log-analytics workspace pack list --resource-group ContosoRG \
--workspace-name ContosoWorkspace
使用 az monitor log-analytics workspace pack enable 或 az monitor log-analytics workspace pack disable 命令:
az monitor log-analytics workspace pack enable --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name NetFlow
az monitor log-analytics workspace pack disable --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name NetFlow
管理已儲存的搜尋
若要建立已儲存的搜尋,請執行 az monitor log-analytics workspace saved-search 命令:
az monitor log-analytics workspace saved-search create --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name SavedSearch01 \
--category "Log Management" --display-name SavedSearch01 \
--saved-query "AzureActivity | summarize count() by bin(TimeGenerated, 1h)" --fa Function01 --fp "a:string = value"
使用 az monitor log-analytics workspace saved-search show 命令,檢視已儲存的搜尋。 使用 az monitor log-analytics workspace saved-search list,查看所有已儲存的搜尋。
az monitor log-analytics workspace saved-search show --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name SavedSearch01
az monitor log-analytics workspace saved-search list --resource-group ContosoRG \
--workspace-name ContosoWorkspace
若要刪除已儲存的搜尋,請執行 az monitor log-analytics workspace saved-search delete 命令:
az monitor log-analytics workspace saved-search delete --resource-group ContosoRG \
--workspace-name ContosoWorkspace --name SavedSearch01 --yes
清除部署
如果您已建立資源群組來測試這些命令,可以使用 az group delete 命令,移除資源群組及其所有內容:
az group delete --name ContosoRG
如果您想要從現有資源群組中移除新工作區,請執行 az monitor log-analytics workspace delete 命令:
az monitor log-analytics workspace delete --resource-group ContosoRG
--workspace-name ContosoWorkspace --yes
記錄分析工作區有虛刪除選項。 您可以在刪除後兩週內復原刪除的工作區。 執行 az monitor log-analytics workspace recover 命令:
az monitor log-analytics workspace recover --resource-group ContosoRG
--workspace-name ContosoWorkspace
在刪除命令中新增 --force 參數,即可立即刪除工作區。
本文中使用的 Azure CLI 命令
- az group create
- az group delete
- az monitor log-analytics workspace create
- az monitor log-analytics workspace data-export create
- az monitor log-analytics workspace data-export delete
- az monitor log-analytics workspace data-export list
- az monitor log-analytics workspace delete
- az monitor log-analytics workspace linked-service create
- az monitor log-analytics workspace linked-service delete
- az monitor log-analytics workspace linked-storage create
- az monitor log-analytics workspace linked-storage delete
- az monitor log-analytics workspace pack disable
- az monitor log-analytics workspace pack enable
- az monitor log-analytics workspace pack list
- az monitor log-analytics workspace recover
- az monitor log-analytics workspace saved-search delete
- az monitor log-analytics workspace saved-search list
- az monitor log-analytics workspace saved-search show
- az monitor log-analytics workspace saved-search
- az monitor log-analytics workspace table list
- az monitor log-analytics workspace table update