随着企业对云资源使用的越来越广泛,很多企业的关注点已经不单单满足于简单的使用云,而是更关注如何把运用的更好。对于如何把云用的更好,其实我们有很多个方面可以考量,比如系统的监控,比如成本的管控等等。因此对云资源使用的合理性,成为企业越来越关注的一个重点。那么接下来我们就一起来看一下如何使用Log Analytics监视Azure VM的创建和删除,从而帮助资源的使用者来了解云上最近新增/减少了什么资源。 前面我们提过Log Analytics允许从许多Azure资源中收集诊断数据。Log Analytics可以收集的资源之一是Azure活动日志。活动日志中包括有关虚拟机创建,更新和删除的信息。下面我们就一起来看一下如何实现这一点。

将Azure活动日志连接到Log Analytics工作区

若要允许Log Analytics Workspace从Azure活动日志捕获数据,需要进入Log Analytics工作区,转到“工作区数据源”,然后单击“ Azure活动日志”。

点击“Azure活动日志”,可以确定要收集活动日志数据的Azure订阅是否已连接到Log Analytics Workspace。

点击“订阅”,将弹出以下对话框。然后点击“连接”

点击连接后,我们会看到,指定订阅的Azure活动日志现在已经收集到Log Analytics工作区。

查看收集到的数据 要查看Log Analytics数据,需要在工作区中单击“日志”:

点击后将打开日志查询查看器,我们可以使用Kusto查询语言为其搜索数据。 在寻找Azure活动日志数据时,我们可以简单地搜索“AzureActivity”。

执行完查询以后,我们可能会看到很多数据,如创建磁盘,创建NSG等等。但在此演示中,我只想查看虚拟机的创建和删除数据,因此我们需要构建一个查询语句,以对所需的结果进行锅炉和筛选。具体如下:

AzureActivity
| where ResourceProvider == "Microsoft.Compute"
        and OperationName == "Delete Virtual Machine"
        or OperationName == "Create or Update Virtual Machine" and ActivitySubstatusValue == "Created"
| project TimeGenerated, OperationName, ActivityStatusValue,ActivitySubstatusValue,ResourceGroup,Caller

运行日志查询后,我们得到以下想要的结果:

将日志查询固定到共享仪表板 现在我们有了想要的结果,让我们将其固定到“共享仪表板”,这样我们就可以轻松查看结果,而不必在Log Analytics中手动查询。每当创建或删除虚拟机时,结果都会添加到“共享仪表板”中。 在同一“日志查询”窗口中,单击“固定到仪表板”: 选择要将日志查询固定到的共享仪表板。如果尚未创建共享仪表板,将会要求我们创建一个:

配置完成后,我们会在仪表板上看到如下图所示的监控报表,此报表会在创建或删除虚拟机时自动更新:

若我们要编辑日志查询代码,可以单击以下屏幕截图中的代码图标: