Fungsi dalam kueri log Azure Monitor

Artikel
10/31/2024

Fungsi adalah kueri log di Azure Monitor yang dapat digunakan dalam kueri log lain seolah-olah itu adalah perintah. Anda dapat menggunakan fungsi untuk memberikan solusi kepada pelanggan yang berbeda dan juga menggunakan kembali logika kueri di lingkungan Anda sendiri. Artikel ini menjelaskan cara menggunakan fungsi dan cara membuat fungsi Anda sendiri.

Izin yang diperlukan

Perbuatan	Izin yang diperlukan
Menampilkan atau menggunakan fungsi	`Microsoft.OperationalInsights/workspaces/query/*/read` izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan Pembaca Analitik Log, misalnya.
Membuat atau mengedit fungsi	`microsoft.operationalinsights/workspaces/savedSearches/write` izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan Kontributor Analitik Log, misalnya.

Jenis-jenis fungsi

Ada dua jenis fungsi di Azure Monitor:

Fungsi solusi: Fungsi bawaan disertakan dengan Azure Monitor. Fungsi-fungsi ini tersedia di semua ruang kerja Analitik Log dan tidak dapat dimodifikasi.
Fungsi ruang kerja: Fungsi-fungsi ini diinstal di ruang kerja Analitik Log tertentu. Mereka dapat dimodifikasi dan dikontrol oleh pengguna.

Menampilkan fungsi

Anda dapat melihat fungsi solusi dan fungsi ruang kerja di ruang kerja saat ini pada tab Fungsi di panel kiri ruang kerja Analitik Log. Gunakan Filter untuk memfilter fungsi yang disertakan dalam daftar. Gunakan Kelompokkan menurut untuk mengubah pengelompokan mereka. Masukkan string di kotak Pencarian untuk menemukan fungsi tertentu. Arahkan mouse ke atas fungsi untuk melihat detail tentang fungsi tersebut, termasuk deskripsi dan parameter.

Menggunakan fungsi

Gunakan fungsi dalam kueri dengan mengetik namanya dengan nilai untuk parameter apa pun yang sama seperti yang akan Anda ketikkan dalam perintah. Output fungsi dapat dikembalikan sebagai hasil atau disalurkan ke perintah lain.

Tambahkan fungsi ke kueri saat ini dengan mengeklik dua kali pada namanya atau mengarahkan kursor ke kueri tersebut dan memilih Gunakan di editor. Fungsi di ruang kerja juga akan disertakan dalam IntelliSense saat Anda mengetik dalam kueri.

Jika kueri memerlukan parameter, berikan dengan menggunakan sintaks function_name(param1,param2,...).

Untuk membuat fungsi dari kueri saat ini di editor, pilih Simpan Simpan>sebagai fungsi.

Buat fungsi dengan Analitik Log di portal Azure dengan memilih Simpan lalu berikan informasi dalam tabel berikut:

Pengaturan	Deskripsi
Nama fungsi	Nama untuk fungsi. Nama mungkin tidak menyertakan spasi atau karakter khusus apa pun. Ini juga mungkin tidak dimulai dengan garis bawah (_) karena karakter ini dicadangkan untuk fungsi solusi.
Kategori warisan	Kategori yang ditentukan pengguna untuk membantu memfilter dan mengelompokkan fungsi.
Menyimpan sebagai grup komputer	Simpan kueri sebagai grup komputer.
Parameter	Tambahkan parameter untuk setiap variabel dalam fungsi yang memerlukan nilai saat digunakan. Untuk informasi selengkapnya, lihat Parameter fungsi.

Sampel berikut menggunakan templat Microsoft.OperationalInsights workspaces/savedSearches untuk membuat fungsi. Untuk informasi selengkapnya tentang templat Azure Resource Manager, lihat Memahami struktur dan sintaks templat ARM.

Untuk mempelajari selengkapnya tentang cara menyebarkan sumber daya dari templat kustom, buka Menyebarkan sumber daya dengan templat ARM dan portal Azure.

Catatan

Lihat Sampel Azure Resource Manager untuk Azure Monitor untuk daftar sampel yang tersedia dan panduan tentang menyebarkannya di langganan Azure Anda.

File templat

{
  "$schema": "
https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#"
,
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
      "apiVersion": "2020-08-01",
      "name": "[concat(parameters('workspaceName'), '/', parameters('functionName'))]",
      "location": "[parameters('location')]",
      "properties": {
        "etag": "*",
        "displayName": "[parameters('functionDisplayName')]",
        "category": "[parameters('category')]",
        "query": "[parameters('query')]",
        "functionAlias": "[parameters('functionAlias')]",
        "version": 1
      }
    }
  ],
  "parameters": {
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "Name of the Log Analytics workspace"
      }
    },
    "functionName": {
      "type": "string",
      "metadata": {
        "description": "Name of the function"
      }
    },
    "location": {
      "type": "string",
      "metadata": {
        "description": "Location of the Log Analytics workspace"
      }
    },
    "functionDisplayName": {
      "type": "string",
      "metadata": {
        "description": "Display name of the function"
      }
    },
    "category": {
      "type": "string",
      "metadata": {
        "description": "Category of the function"
      }
    },
    "query": {
      "type": "string",
      "metadata": {
        "description": "Kusto query for the function"
      }
    },
    "functionAlias": {
      "type": "string",
      "metadata": {
        "description": "Alias for the function"
      }
    }
  }
}

Parameter fungsi

Anda dapat menambahkan parameter ke fungsi sehingga Anda dapat memberikan nilai untuk variabel tertentu saat memanggilnya. Akibatnya, fungsi yang sama dapat digunakan dalam kueri yang berbeda, masing-masing menyediakan nilai yang berbeda untuk parameter. Parameter ditentukan oleh properti berikut:

Pengaturan	Deskripsi
Jenis	Jenis data untuk nilai tersebut.
Nama	Nama untuk parameter. Nama ini harus digunakan dalam kueri untuk mengganti dengan nilai parameter.
Nilai default	Nilai yang akan digunakan untuk parameter jika nilai tidak disediakan.

Parameter diurutkan saat dibuat. Parameter yang tidak memiliki nilai default diposisikan di depan parameter yang memiliki nilai default.

Bekerja dengan kode fungsi

Anda dapat melihat kode fungsi baik untuk mendapatkan wawasan tentang cara kerjanya atau untuk memodifikasi kode untuk fungsi ruang kerja. Pilih Muat kode fungsi untuk menambahkan kode fungsi ke kueri saat ini di editor.

Jika Anda menambahkan kode fungsi ke kueri kosong atau baris pertama kueri yang sudah ada, nama fungsi ditambahkan ke tab . Fungsi ruang kerja memungkinkan opsi untuk mengedit detail fungsi.

Mengedit fungsi

Edit properti atau kode fungsi dengan membuat kueri baru. Arahkan mouse ke atas nama fungsi dan pilih Muat kode fungsi. Buat modifikasi apa pun yang Anda inginkan ke kode dan pilih Simpan. Lalu pilih Edit detail fungsi. Buat perubahan apa pun yang Anda inginkan ke properti dan parameter fungsi dan pilih Simpan.

Contoh

Contoh fungsi berikut mengembalikan semua peristiwa di log aktivitas Azure sejak tanggal tertentu dan yang cocok dengan kategori tertentu.

Mulailah dengan kueri berikut dengan menggunakan nilai yang dikodekan secara permanen untuk memverifikasi bahwa kueri berfungsi seperti yang diharapkan.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

Selanjutnya, ganti nilai yang dikodekan secara permanen dengan nama parameter. Kemudian simpan fungsi dengan memilih Simpan Simpan>sebagai fungsi.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

Berikan nilai berikut untuk properti fungsi:

Properti	Nilai
Nama fungsi	AzureActivityByCategory
Kategori warisan	Fungsi demo

Tentukan parameter berikut sebelum Anda menyimpan fungsi:

Jenis	Nama	Nilai default
string	CategoryParam	"Administratif"
datetime	DateParam

Buat kueri baru dan tampilkan fungsi baru dengan mengarahkan kursor ke atasnya. Lihat urutan parameter. Mereka harus ditentukan dalam urutan ini ketika Anda menggunakan fungsi .

Pilih Gunakan di editor untuk menambahkan fungsi baru ke kueri. Kemudian tambahkan nilai untuk parameter. Anda tidak perlu menentukan nilai CategoryParam karena memiliki nilai default.

Langkah berikutnya

Lihat Operasi string untuk informasi selengkapnya tentang cara menulis kueri log Azure Monitor.

Bagikan melalui