Frågepaket i Azure Monitor-loggar

  • Artikel

Frågepaket fungerar som containrar för loggfrågor i Azure Monitor. De gör att du kan spara loggfrågor och dela dem mellan arbetsytor och andra kontexter i Log Analytics.

Behörigheter

Du kan ange behörigheter för ett frågepaket när du visar det i Azure Portal. Du behöver följande behörigheter för att använda frågepaket:

  • Läsare: Användarna kan se och köra alla frågor i frågepaketet.

  • Deltagare: Användare kan ändra befintliga frågor och lägga till nya frågor i frågepaketet.

    Viktigt!

    När en användare behöver skapa ett frågepaket tilldelar du användaren Log Analytics-deltagare på resursgruppsnivå.

Visa frågepaket

Du kan visa och hantera frågepaket i Azure Portal från Log Analytics-frågepaketmenyn. Välj ett frågepaket för att visa och redigera dess behörigheter. Den här artikeln beskriver hur du skapar ett frågepaket med hjälp av API:et.

Skärmbild som visar frågepaket.

Standardfrågepaket

Azure Monitor skapar automatiskt ett frågepaket som anropas DefaultQueryPack i varje prenumeration i en resursgrupp som anropas LogAnalyticsDefaultResources när du sparar din första fråga. Du kan spara frågor i det här frågepaketet eller skapa andra frågepaket beroende på dina krav.

Använda flera frågepaket

Standardfrågepaketet räcker för att de flesta användare ska kunna spara och återanvända frågor. Du kanske vill skapa flera frågepaket för användare i din organisation om du till exempel vill läsa in olika uppsättningar frågor i olika Log Analytics-sessioner och ge olika behörigheter för olika samlingar av frågor.

När du skapar ett nytt frågepaket kan du lägga till taggar som klassificerar frågor baserat på dina affärsbehov. Du kan till exempel tagga ett frågepaket för att relatera det till en viss avdelning i din organisation eller till allvarlighetsgraden för problem som de inkluderade frågorna är avsedda att åtgärda. Genom att använda taggar kan du skapa olika uppsättningar med frågor som är avsedda för olika uppsättningar användare och olika situationer.

Så här lägger du till frågepaket på Log Analytics-arbetsytan:

  1. Öppna Log Analytics och välj Frågor i det övre högra hörnet.
  2. I det övre vänstra hörnet i dialogrutan Frågor , bredvid Frågepaket, klickar du på Välj frågepaket eller 0 markerat.
  3. Välj de frågepaket som du vill lägga till i arbetsytan.

Skärmbild som visar sidan Välj frågepaket i Log Analytics, där du kan lägga till frågepaket på en Log Analytics-arbetsyta.

Viktigt!

Du kan lägga till upp till fem frågepaket på en Log Analytics-arbetsyta.

Skapa ett frågepaket

Du kan skapa ett frågepaket med hjälp av REST-API:et eller från fönstret Log Analytics-frågepaket i Azure Portal. Om du vill öppna fönstret Log Analytics-frågepaket i portalen väljer du Alla tjänster>Övrigt.

Kommentar

Frågor som sparats i frågepaketet krypteras inte med kundhanterad nyckel. Välj Spara som äldre fråga när du sparar frågor i stället för att skydda dem med kundhanterad nyckel.

Skapa en token

Du måste ha en token för autentisering av API-begäran. Det finns flera metoder för att hämta en token. En metod är att använda armclient.

Logga först in på Azure med följande kommando:

armclient login

Skapa sedan token med hjälp av följande kommando. Token kopieras automatiskt till Urklipp så att du kan klistra in den i ett annat verktyg.

armclient token

Skapa en nyttolast

Nyttolasten för begäran är JSON som definierar en eller flera frågor och den plats där frågepaketet ska lagras. Namnet på frågepaketet anges i API-begäran som beskrivs i nästa avsnitt.

{
    "location": "eastus",
    "properties":
    {
        "displayName": "Query name that will be displayed in the UI",
        "description": "Query description that will be displayed in the UI",
        "body": "<<query text, standard KQL code>>",
        "related": {
            "categories": [
                "workloads"
            ],
            "resourceTypes": [
                "microsoft.insights/components"
            ],
            "solutions": [
                "logmanagement"
            ]
        },
        "tags": {
            "Tag1": [
                "Value1",
                "Value2"
            ]
        }
    }
}

Varje fråga i frågepaketet har följande egenskaper:

Property beskrivning
displayName Visningsnamn som anges i Log Analytics för varje fråga.
description Beskrivning av frågan som visas i Log Analytics för varje fråga.
body Fråga skriven i Kusto-frågespråk.
related Relaterade kategorier, resurstyper och lösningar för frågan. Används för att gruppera och filtrera i Log Analytics av användaren för att hitta deras fråga. Varje fråga kan ha upp till 10 av varje typ. Hämta tillåtna värden från https://api.loganalytics.io/v1/metadata?select=resourceTypes, lösningar och kategorier.
tags Andra taggar som används av användaren för sortering och filtrering i Log Analytics. Varje tagg läggs till i Kategori, Resurstyp och Lösning när du grupperar och filtrerar frågor.

Skapa en begäran

Använd följande begäran för att skapa ett nytt frågepaket med hjälp av REST-API:et. Begäran bör använda ägartokensauktorisering. Innehållstypen ska vara application/json.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack?api-version=2019-09-01

Använd ett verktyg som kan skicka en REST API-begäran, till exempel curl, Insomnia eller Bruno, för att skicka begäran med hjälp av nyttolasten som beskrivs i föregående avsnitt. Fråge-ID:t genereras och returneras i nyttolasten.

Uppdatera ett frågepaket

Om du vill uppdatera ett frågepaket skickar du följande begäran med en uppdaterad nyttolast. Det här kommandot kräver frågepaketets ID.

POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/querypacks/my-query-pack/queries/query-id/?api-version=2019-09-01

Nästa steg

Se Använda frågor i Azure Monitor Log Analytics för att se hur användare interagerar med frågepaket i Log Analytics.