使用Log Analytics監(jiān)視Azure VM的創(chuàng)建和刪除

隨著企業(yè)對云資源使用的越來越廣泛，很多企業(yè)的關(guān)注點已經(jīng)不單單滿足于簡單的使用云，而是更關(guān)注如何把運(yùn)用的更好。對于如何把云用的更好，其實我們有很多個方面可以考量，比如系統(tǒng)的監(jiān)控，比如成本的管控等等。因此對云資源使用的合理性，成為企業(yè)越來越關(guān)注的一個重點。那么接下來我們就一起來看一下如何使用Log Analytics監(jiān)視Azure VM的創(chuàng)建和刪除，從而幫助資源的使用者來了解云上最近新增/減少了什么資源。

前面我們提過Log Analytics允許從許多Azure資源中收集診斷數(shù)據(jù)。Log Analytics可以收集的資源之一是Azure活動日志。活動日志中包括有關(guān)虛擬機(jī)創(chuàng)建，更新和刪除的信息。下面我們就一起來看一下如何實現(xiàn)這一點。

將Azure活動日志連接到Log Analytics工作區(qū)

若要允許Log Analytics Workspace從Azure活動日志捕獲數(shù)據(jù)，需要進(jìn)入Log Analytics工作區(qū)，轉(zhuǎn)到“工作區(qū)數(shù)據(jù)源”，然后單擊“ Azure活動日志”。

點擊“Azure活動日志”，可以確定要收集活動日志數(shù)據(jù)的Azure訂閱是否已連接到Log Analytics Workspace。

點擊“訂閱”，將彈出以下對話框。然后點擊“連接”

點擊連接后，我們會看到，指定訂閱的Azure活動日志現(xiàn)在已經(jīng)收集到Log Analytics工作區(qū)。

查看收集到的數(shù)據(jù)
要查看Log Analytics數(shù)據(jù)，需要在工作區(qū)中單擊“日志”：

點擊后將打開日志查詢查看器，我們可以使用Kusto查詢語言為其搜索數(shù)據(jù)。
在尋找Azure活動日志數(shù)據(jù)時，我們可以簡單地搜索“AzureActivity”。

執(zhí)行完查詢以后，我們可能會看到很多數(shù)據(jù)，如創(chuàng)建磁盤，創(chuàng)建NSG等等。但在此演示中，我只想查看虛擬機(jī)的創(chuàng)建和刪除數(shù)據(jù)，因此我們需要構(gòu)建一個查詢語句，以對所需的結(jié)果進(jìn)行鍋爐和篩選。具體如下：

AzureActivity
| where ResourceProvider == "Microsoft.Compute"
        and OperationName == "Delete Virtual Machine"
        or OperationName == "Create or Update Virtual Machine" and ActivitySubstatusValue == "Created"
| project TimeGenerated, OperationName, ActivityStatusValue,ActivitySubstatusValue,ResourceGroup,Caller

運(yùn)行日志查詢后，我們得到以下想要的結(jié)果：

將日志查詢固定到共享儀表板
現(xiàn)在我們有了想要的結(jié)果，讓我們將其固定到“共享儀表板”，這樣我們就可以輕松查看結(jié)果，而不必在Log Analytics中手動查詢。每當(dāng)創(chuàng)建或刪除虛擬機(jī)時，結(jié)果都會添加到“共享儀表板”中。
在同一“日志查詢”窗口中，單擊“固定到儀表板”：

選擇要將日志查詢固定到的共享儀表板。如果尚未創(chuàng)建共享儀表板，將會要求我們創(chuàng)建一個：

配置完成后，我們會在儀表板上看到如下圖所示的監(jiān)控報表，此報表會在創(chuàng)建或刪除虛擬機(jī)時自動更新：

若我們要編輯日志查詢代碼，可以單擊以下屏幕截圖中的代碼圖標(biāo)：