OMS 中的電腦群組
概要: 學習如何建立 OMS 中的電腦群組或從 AD 和 WSUS 導入。
儲存電腦群組
第一個要介紹的功能是如何將一個電腦群組存到 OMS 中。儲存的電腦群組 是從記錄搜尋所建立的。任何會回傳一個電腦列表的搜尋指令都可以被儲存為電腦群組。
要建立您的 儲存的電腦群組,到 OMS 記錄搜尋輸入一個會回傳電腦列表的指令,如以下範例:
Computer=DB* | Distinct Computer
此指令會回傳所有名稱含有 DB 並會傳送資料到 OMS 的電腦。要儲存這個電腦群組,按下左上方的儲存。這跟儲存搜尋指令是類似的。
在右側儲存的視窗,輸入名稱和類別。接著點選 [是] 將其儲存為電腦群組。
要儲存電腦群組,您的指令必須輸入 Distinct Computer。以下是幾個建立電腦群組的範例:
範例一:所有電腦的群組
*| Distinct Computer
範例二:包含電腦A和電腦B的靜態群組
Computer=A OR Computer=B | Distinct Computer
此範例可看到您可以藉由列出所有電腦來建立一個靜態群組並對其使用 Distinct。
電腦群組被儲存後,您可以在 設定>Computer Group 查看已儲存的電腦群組列表:
每個群組的搜尋圖示能夠搜尋群組內所有電腦。當您想要移除該電腦群組時,可以按下右方的 [x]。您在此移除電腦群組時,儲存的搜尋指令也會一起被移除,反之對應的搜尋指令被移除時,儲存的電腦群組也會被移除。
如何在搜尋時使用儲存的電腦群組
您可以利用電腦群組在搜尋時將搜尋範圍縮小到特定的電腦群組。以下是您可以利用的語法:
$ComputerGroups[Name]
OR
$ComputerGroups[Category: Name]
Note: 當有同樣名字的電腦群組被存在不同的類別中時,就需要輸入類別名稱。
若現在想要在電腦群組中找出所有遺失的需求更新。可以制訂類似以下的指令:
Type:Update UpdateState=needed Optional=false Computer IN $ComputerGroups[My Crepe Computers]
同樣的,若想要查看該電腦群組每小時的平均 CPU,可以仿照以下指令:
Type:Perf ObjectName=Processor CounterName=”% Processor Time” InstanceName=_Total Computer IN $ComputerGroups[My Crepe Computers] | measure avg(CounterValue) by Computer interval 1HOUR
如何利用 Azure Resource Manager API 建立儲存的電腦群組?
您也可以利用 Azure Resource Manager API 建立儲存的資源群組。詳細步驟請參閱以下文章:Log Analytics 記錄檔搜尋 REST API。
從 AD 導入電腦群組
您不只可以在 OMS 中建立電腦群組,也可以從 AD 中導入您的電腦群組。對任何加入 domain 並連接到 OMS 的電腦,我們可以拉出所有有該電腦為成員的 AD 安全性群組,和所有在 OMS 中可用的群組。
要從 AD 導入電腦群組,首先到 設定>Computer Group>Active Directory。接著勾選右側畫面中的方框並按下儲存,您 AD 的電腦群組就被導入 OMS 中。這個導入的過程大約需花費一小時您才能在 OMS 中看到。
AD 導入啟用後,將會定期擷取群組成員資格資訊,以確保群組成員是最新的。您可以隨時停用此功能。
電腦群組被導入後,您可以看到有多少具有群組身份的電腦被偵測到。您也可以看到有多少群組被導入。當您點選任一個時,便會跳到記錄搜尋頁面,回報出所有導入的群組和所有歸屬於不同群組的電腦。
現在可以對 AD 群組利用同樣的指令語法。在此範例中,將會查看 AD 群組、Corp 電腦中的所有 error 事件。指令如下:
Type:Event EventLevelName=error Computer IN $ComputerGroups[Corp Computers]
Note: 若 AD 群組與已儲存的群組有相同的名稱,$ComputerGroups 將會回傳儲存的群組的搜尋結果。
從 WSUS 導入電腦群組
若您是使用 WSUS 目標群組,一樣可以將其導入 OMS 中。這與導入 AD 群組是相似的,一樣是到 設定>Computer Group>WSUS ,並勾選右側畫面中的方框再按下儲存。若客戶端的目標是配置在您的 WSUS 伺服器中,任何連接到 OMS 且是任何 WSUS 群組一部份的電腦,其成員都會被導入 OMS 中。
與 AD 相似,在啟用後,每隔一段時間會擷取一次群組成員資格資訊。您可以隨時取消勾選來停用。成功導入後,與 AD 群組相同,您可以看到有多少具有群組身份的電腦被偵測到和有多少群組被導入。
此外您也可以用一樣的語法來查看與 WSUS 相關的內容:
$ComputerGroups[WSUSGROUPNAME]
相同的,若 WSUS 群組與已儲存的群組有相同的名稱,$ComputerGroups 將會回傳儲存的群組的搜尋結果。