Azure Log Analytics (OMS) : Définition et utilisation des groupes d’ordinateur

Publié par Rémy BOVI le
3
Partages

Les groupes d’ordinateurs (computer groups) permettent dans Log analytics de définir un scope de recherche basé sur des ordinateurs en particulier (ex tous les DC, ou bien tous les serveurs d’une application …).

Chaque groupe est défini par une requête ou bien par l’importation de groupe à partir de SCCM, Active Directory ou WSUS.

Nous allons voir où et comment définir et utiliser les groupes d’ordinateur.

Les groupes sont visibles dans la partie Settings / Computer Groups d’OMS.

On retrouve bien ici les différentes « sources » :

  • Les Saved Groups sont en fait des groupes d’ordinateurs issues de requêtes.
  • Active directory permet d’importer les groupes d’ordinateurs AD dans OMS
  • WSUS importe les groupes d’ordinateurs interne à WSUS
  • SCCM permet de remonter les collections qui deviennent ici des groupes.

 

Définir un groupe d’ordinateur

Pour définir un groupe d’ordinateurs de manière manuelle, il faut tout d’abord définir quels ordinateurs doivent le composer et sur quel(s) élément(s) nous allons nous baser pour les reconnaître.

Par exemple si tous vos contrôleurs de domaine commence par VSSC-ADDxxxxx, alors nous utiliserons une requêtes qui sélectionnera tous les ordinateurs commençants par VSSC-ADD.

Si votre nomenclature de nommage ne permet pas de différencier vos DC alors nous partirons sur des éléments propres à des contrôleurs de domaine.

Par exemple les logs Kerberos (4768, 4769, 4770)

Une fois que votre requête renvoie les ordinateurs désirés, il suffit de l’enregistrer en tant que « Computer Group »

En cliquant sur le bouton « Save » une fenêtre de dialogue va apparaître.  Il faut maintenant nommer votre requête, surtout ne pas oublier de mettre « Computer Group » à YES et ensuite donner un Alias à votre requête. Cet alias est celui que vous allez utiliser ensuite dans vos requêtes.

 

Utiliser un groupe d’ordinateur (Alias)

Dans notre exemple j’ai défini un groupe d’ordinateur que j’ai nommé « AllMyDC » et qui reprend mes 2 contrôleurs de domaines.

Si je souhaite réaliser des requêtes spécifiquement sur ce groupe alors je vais utiliser par exemple :

Si je souhaite compter mes DC (pour afficher le nombre dans une tuile par exemple)

Ou bien si je souhaite comptabiliser le nombre d’Event Warning et Error sur mes 2 DC je vais utiliser : where Computer in (AllMyDC)

Cela fonctionne bien-sur pour les groupes qui proviennent de WSUS, SCCM et Azure AD.

Enjoy