Azure İzleyici günlük sorgularındaki işlevler

Makale
10/31/2024

İşlev, Azure İzleyici'de bir komut gibi diğer günlük sorgularında kullanılabilen bir günlük sorgusudur. İşlevleri kullanarak farklı müşterilere çözüm sağlayabilir ve sorgu mantığını kendi ortamınızda yeniden kullanabilirsiniz. Bu makalede işlevlerin nasıl kullanılacağı ve kendi işlevlerinizin nasıl oluşturulacağı açıklanır.

Gerekli izinler

Eylem	Gerekli izinler
İşlevleri görüntüleme veya kullanma	`Microsoft.OperationalInsights/workspaces/query/*/read`örneğin Log Analytics Okuyucusu yerleşik rolü tarafından sağlanan Log Analytics çalışma alanı izinleri.
İşlev oluşturma veya düzenleme	`microsoft.operationalinsights/workspaces/savedSearches/write`örneğin Log Analytics Katkıda Bulunanı yerleşik rolü tarafından sağlanan Log Analytics çalışma alanı izinleri.

İşlev türleri

Azure İzleyici'de iki tür işlev vardır:

Çözüm işlevleri: Önceden oluşturulmuş işlevler Azure İzleyici'ye dahil edilir. Bu işlevler tüm Log Analytics çalışma alanlarında kullanılabilir ve değiştirilemez.
Çalışma alanı işlevleri: Bu işlevler belirli bir Log Analytics çalışma alanına yüklenir. Bunlar kullanıcı tarafından değiştirilebilir ve denetlenebilir.

İşlevleri görüntüleme

Geçerli çalışma alanında çözüm işlevlerini ve çalışma alanı işlevlerini Log Analytics çalışma alanının sol bölmesindeki İşlevler sekmesinde görüntüleyebilirsiniz. Listeye dahil edilen işlevleri filtrelemek için Filtrele'yi kullanın. Gruplandırmalarını değiştirmek için Gruplandırma ölçütü'ne tıklayın. Belirli bir işlevi bulmak için Arama kutusuna bir dize girin. Açıklama ve parametreler de dahil olmak üzere ilgili ayrıntıları görüntülemek için bir işlevin üzerine gelin.

İşlev kullanma

Sorgudaki bir işlevi, komutta yazdığınız parametrelerle aynı değerlerle birlikte yazarak kullanın. İşlevin çıkışı sonuç olarak döndürülebilir veya başka bir komuta yöneltilebilir.

Geçerli sorguya, adına çift tıklayarak veya üzerine gelip Düzenleyicide kullan'ı seçerek işlev ekleyin. Çalışma alanı işlevleri, siz sorguya yazarken IntelliSense'e de eklenir.

Bir sorgu parametre gerektiriyorsa, söz dizimini function_name(param1,param2,...)kullanarak bunları sağlayın.

Düzenleyicideki geçerli sorgudan işlev oluşturmak için İşlev olarak kaydet'i>seçin.

Kaydet'i seçip aşağıdaki tabloda yer alan bilgileri sağlayarak Azure portalında Log Analytics ile bir işlev oluşturun:

Ayar	Açıklama
İşlev adı	İşlevin adı. Ad boşluk veya özel karakter içeremez. Ayrıca, bu karakter çözüm işlevleri için ayrıldığından alt çizgi (_) ile başlanmayabilir.
Eski kategori	İşlevleri filtrelemeye ve gruplandırmaya yardımcı olmak için kullanıcı tanımlı kategori.
Bilgisayar grubu olarak kaydet	Sorguyu bilgisayar grubu olarak kaydedin.
Parametreler	İşlevdeki her değişken için kullanıldığında bir değer gerektiren bir parametre ekleyin. Daha fazla bilgi için bkz . İşlev parametreleri.

Aşağıdaki örnekte bir işlev oluşturmak için Microsoft.OperationalInsights workspaces/savedSearches şablonu kullanılmaktadır. Azure Resource Manager şablonları hakkında daha fazla bilgi için bkz . ARM şablonlarının yapısını ve söz dizimini anlama.

Kaynakları özel bir şablondan dağıtma hakkında daha fazla bilgi edinmek için ARM şablonları ve Azure portalı ile kaynakları dağıtma bölümüne gidin.

Not

Kullanılabilen örneklerin listesi ve bunları Azure aboneliğinizde dağıtma yönergeleri için bkz. Azure İzleyici için Azure Resource Manager örnekleri.

Şablon dosyası

{
  "$schema": "
https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#"
,
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
      "apiVersion": "2020-08-01",
      "name": "[concat(parameters('workspaceName'), '/', parameters('functionName'))]",
      "location": "[parameters('location')]",
      "properties": {
        "etag": "*",
        "displayName": "[parameters('functionDisplayName')]",
        "category": "[parameters('category')]",
        "query": "[parameters('query')]",
        "functionAlias": "[parameters('functionAlias')]",
        "version": 1
      }
    }
  ],
  "parameters": {
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "Name of the Log Analytics workspace"
      }
    },
    "functionName": {
      "type": "string",
      "metadata": {
        "description": "Name of the function"
      }
    },
    "location": {
      "type": "string",
      "metadata": {
        "description": "Location of the Log Analytics workspace"
      }
    },
    "functionDisplayName": {
      "type": "string",
      "metadata": {
        "description": "Display name of the function"
      }
    },
    "category": {
      "type": "string",
      "metadata": {
        "description": "Category of the function"
      }
    },
    "query": {
      "type": "string",
      "metadata": {
        "description": "Kusto query for the function"
      }
    },
    "functionAlias": {
      "type": "string",
      "metadata": {
        "description": "Alias for the function"
      }
    }
  }
}

İşlev parametreleri

Bir işleve parametre ekleyebilirsiniz, böylece çağırdığınızda belirli değişkenler için değerler sağlayabilirsiniz. Sonuç olarak, her birinde parametreler için farklı değerler sağlayan farklı sorgularda aynı işlev kullanılabilir. Parametreler aşağıdaki özelliklerle tanımlanır:

Ayar	Açıklama
Tür	Değerin veri türü.
Veri Akışı Adı	Parametrenin adı. Bu adı parametre değeriyle değiştirmek için sorguda kullanılmalıdır.
Default value	Bir değer sağlanmazsa parametre için kullanılacak değer.

Parametreler oluşturulduklarında sıralanır. Varsayılan değeri olmayan parametreler, varsayılan değere sahip parametrelerin önüne yerleştirilir.

İşlev koduyla çalışma

İşlevin nasıl çalıştığına ilişkin içgörü elde etmek veya çalışma alanı işlevinin kodunu değiştirmek için işlevinin kodunu görüntüleyebilirsiniz. İşlev kodunu düzenleyicideki geçerli sorguya eklemek için İşlev kodunu yükle'yi seçin.

İşlev kodunu boş bir sorguya veya var olan bir sorgunun ilk satırına eklerseniz, işlev adı sekmeye eklenir. Çalışma alanı işlevi, işlev ayrıntılarını düzenleme seçeneğini etkinleştirir.

İşlevi düzenleme

Yeni bir sorgu oluşturarak bir işlevin özelliklerini veya kodunu düzenleyin. İşlev adının üzerine gelin ve İşlev kodunu yükle'yi seçin. Kodda istediğiniz değişiklikleri yapın ve Kaydet'i seçin. Ardından İşlev ayrıntılarını düzenle'yi seçin. İşlevin özelliklerinde ve parametrelerinde istediğiniz değişiklikleri yapın ve Kaydet'i seçin.

Örnek

Aşağıdaki örnek işlev, azure etkinlik günlüğünde belirli bir tarihten bu yana ve belirli bir kategoriyle eşleşen tüm olayları döndürür.

Sorgunun beklendiği gibi çalıştığını doğrulamak için sabit kodlanmış değerleri kullanarak aşağıdaki sorguyla başlayın.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

Ardından, sabit kodlanmış değerleri parametre adlarıyla değiştirin. Ardından İşlev olarak kaydet'i>seçerek işlevi kaydedin.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

İşlev özellikleri için aşağıdaki değerleri sağlayın:

Özellik	Değer
İşlev adı	AzureActivityByCategory
Eski kategori	Tanıtım işlevleri

İşlevi kaydetmeden önce aşağıdaki parametreleri tanımlayın:

Tür	Veri Akışı Adı	Varsayılan değer
Dize	CategoryParam	"Yönetim"
datetime	DateParam

Yeni bir sorgu oluşturun ve üzerine gelerek yeni işlevi görüntüleyin. Parametrelerin sırasına bakın. İşlevi kullandığınızda bu sırada belirtilmelidir.

Yeni işlevi sorguya eklemek için Düzenleyicide kullan'ı seçin. Ardından parametreler için değerler ekleyin. Varsayılan değeri olduğundan için CategoryParam bir değer belirtmeniz gerekmez.

Sonraki adımlar

Azure İzleyici günlük sorguları yazma hakkında daha fazla bilgi için bkz . Dize işlemleri .

Aracılığıyla paylaş