مشاركة عبر

إنشاء حقول مخصصة في مساحة عمل Log Analytics في مراقبة Azure (معاينة)

  • مقالة

هام

سيتم تعطيل إنشاء حقول مخصصة جديدة بدءا من 31 مارس 2023. سيتم إهمال وظيفة الحقول المخصصة، وستتوقف الحقول المخصصة الموجودة عن العمل بحلول 31 مارس 2026. يجب الترحيل إلى تحويلات وقت الاستيعاب للحفاظ على تحليل سجلات السجل.

حاليا، عند إضافة حقل مخصص جديد، قد يستغرق ظهور البيانات ما يصل إلى 7 أيام.

تتيح لك ميزة الحقول المخصصة في مراقب Azure، توسيع السجلات الموجودة في مساحة عمل Log Analytics، عن طريق إضافة حقول قابلة للبحث. يتم ملء الحقول المخصصة تلقائياً من البيانات المستخرجة من خصائص أخرى في نفس السجل.

يظهر الرسم التخطيطي سجلاً أصلياً مقترناً بسجل معدل في مساحة عمل Log Analytics، مع إضافة أزواج قيمة الخاصية إلى الخاصية الأصلية في السجل المعدل.

على سبيل المثال، يحتوي سجل العينة التالي على بيانات مفيدة مدفونة في وصف الحدث. يؤدي استخراج هذه البيانات في خاصية منفصلة إلى أن تصبح متاحة لإجراءات مثل الفرز والتصفية.

لقطة شاشة لاستخراج العينة.

إشعار

في المعاينة، تقتصر على 500 حقل مخصص في مساحة العمل الخاصة بك. سيتم توسيع هذا الحد عندما تصل هذه الميزة إلى التوفر العام.

إنشاء الحقل المخصص

عند إنشاء حقل مخصص، يجب أن يفهم Log Analytics، البيانات التي سيتم استخدامها لملء قيمته. ويستخدم تقنية من Microsoft Research، تسمى FlashExtract للتعرف على هذه البيانات بسرعة. بدلاً من مطالبتك بتوفير إرشادات صريحة، تتعرف مراقبة Azure على البيانات التي تريد استخراجها من الأمثلة التي تقدمها.

توفر المقاطع التالية الإجراء المطلوب لإنشاء حقل مخصص. لمشاهدة معاينة لاستخراج عينة، انتقل إلى نموذج المعاينة.

إشعار

تتم تعبئة الحقل المخصص، حيث تتم إضافة السجلات المطابقة للمعايير المحددة إلى مساحة عمل Log Analytics، لذلك لن يظهر إلا في السجلات التي تم تجميعها بعد إنشاء الحقل المخصص. لن تتم إضافة الحقل المخصص إلى السجلات الموجودة بالفعل في مخزن البيانات عند إنشائه.

الخطوة 1: تحديد السجلات التي تحصل على الحقل المخصص

الخطوة الأولى هي تحديد السجلات التي تحصل على الحقل المخصص. تبدأ باستعلام سجل قياسي ثم تحدد سجلا ليكون بمثابة النموذج الذي يتعلم منه Azure Monitor. عند تحديد أنك ستقوم باستخراج البيانات إلى حقل مخصص، يتم فتح معالج استخراج الحقول حيث تقوم بالتحقق من صحة المعايير وتحسينها.

  1. انتقل إلى السجلات واستخدم استعلاما لاسترداد السجلات التي تحصل على الحقل المخصص.
  2. حدد سجلاً سيستخدمه Log Analytics ليقوم بدور نموذج استخراج البيانات، لتعبئة الحقل المخصص. ستحدد البيانات التي تريد استخراجها من هذا السجل، وسيستخدم Log Analytics هذه المعلومات لتحديد المنطق لملء الحقل المخصص لجميع السجلات المماثلة.
  3. انقر بزر الماوس الأيمن فوق السجل، وحدد استخراج الحقول من.
  4. يتم فتح معالج استخراج الحقل، ويتم عرض السجل الذي حددته في عمود المثال الرئيسي. سيتم تعريف الحقل المخصص لتلك السجلات بنفس القيم في الخصائص المحددة.
  5. إذا لم يكن التحديد كما تريد بالضبط، فحدد المزيد من الحقول لتضييق نطاق المعايير. لتغيير قيم الحقول للمعايير، يجب الإلغاء، وتحديد سجل مختلف مطابق للمعايير التي تريدها.

الخطوة 2: تنفيذ الاستخراج الأولي

بمجرد تحديد السجلات التي تحصل على الحقل المخصص، يمكنك تحديد البيانات التي تريد استخراجها. يستخدم Log Analytics هذه المعلومات لتحديد أنماط مماثلة في سجلات مماثلة. في الخطوة 3، ستتمكن من التحقق من صحة النتائج وتوفير مزيد من التفاصيل لتحليلات السجل لاستخدامها في تحليلها.

  1. قم بتمييز النص في عينة السجل، الذي تريد ملء الحقل المخصص به. ثم سيتم تقديم مربع حوار لتوفير اسم ونوع بيانات للحقل ولإجراء الاستخراج الأولي. سيتم إلحاق الأحرف _CF تلقائيًا.
  2. انقر فوق استخراج لإجراء تحليل السجلات المجمعة.
  3. يعرض القسمان ملخص ونتائج البحث، نتائج عملية الاستخراج، حتى تتمكن من فحص دقتها. يعرض الملخص المعايير المستخدمة للتعرف على السجلات وعدد قيم البيانات المحددة. توفر نتائج البحث قائمة مفصلة بالسجلات المطابقة للمعايير.

الخطوة 3: التحقق من دقة استخراج وإنشاء حقل مخصص

بمجرد الانتهاء من تنفيذ عملية الاستخراج الأولي، سيعرض Log Analytics نتائجه استناداً إلى البيانات التي تم جمعها بالفعل. إذا كانت النتائج تبدو دقيقة، يمكنك إنشاء الحقل المخصص دون أي عمل إضافي. إذا لم يكن الأمر كذلك، يمكنك تحسين النتائج بحيث يمكن ل Log Analytics تحسين منطقها.

  1. إذا كانت أي قيم موجودة في الاستخراج الأولي غير صحيحة، فانقر فوق أيقونة تحرير الموجودة بجانب السجل غير الدقيق، ثم حدد تعديل العنصر المميز، من أجل تعديل العنصر المحدد.
  2. يتم نسخ الإدخال إلى قسم الأمثلة الإضافية أسفل المثال الرئيسي. يمكنك ضبط التمييز هنا لمساعدة Log Analytics على فهم التحديد الذي كان يجب أن تقوم به.
  3. انقر فوق استخراج، لاستخدام هذه المعلومات الجديدة لتقييم كل السجلات الموجودة. قد يتم تعديل النتائج لسجلات أخرى غير تلك التي قمت بتعديلها للتو، استناداً إلى هذه المعلومات الجديدة.
  4. استمر في إضافة التصحيحات حتى تتعرف جميع السجلات الموجودة في عملية الاستخراج من التعرف على البيانات بصورة صحيحة، لملء الحقل المخصص الجديد.
  5. انقر فوق حفظ الاستخراج عندما تكون راضيا عن النتائج. تم تحديد الحقل المخصص الآن، ولكن لن تتم إضافته إلى أي سجلات حتى الآن.
  6. انتظر السجلات الجديدة المطابقة للمعايير المحددة، التي من المقرر جمعها، ثم شغل البحث في السجلات مرة أخرى. يجب أن تحتوي السجلات الجديدة على الحقل المخصص.
  7. استخدم الحقل المخصص مثل أي خاصية سجل أخرى. يمكنك استخدامه لتجميع البيانات، ووضعها في مجموعات، وحتى استخدامها لإنتاج نتيجة تحليلات جديدة.

إزالة الحقل المخصص

هناك طريقتان لإزالة حقل مخصص. الأول هو الخيار إزالة لكل حقل عند عرض القائمة الكاملة كما هو موضح في الخطوة 2: تنفيذ الاستخراج الأولي. الطريقة الأخرى هي أن تسترد سجلاً، ثم تنقر فوق الزر الموجود على يمين الحقل. تحتوي القائمة على خيار لإزالة الحقل المخصص.

معاينة العينة

يستعرض القسم التالي مثالاُ على إنشاء حقل مخصص. يستخرج هذا المثال اسم الخدمة في أحداث Windows الذي يشير إلى حالة تغيير الخدمة. يعتمد هذا على الأحداث التي أنشأها مدير التحكم بالخدمة، أثناء بدء تشغيل النظام على أجهزة Windows. إذا كنت تريد اتباع هذا المثال، يجب أن تقوم بتجميع أحداث المعلومات لسجل النظام.

نحن ندخل الاستعلام التالي، لإرجاع كل الأحداث من مدير التحكم بالخدمة، ذات معرف الحدث رقم 7036، وهو الحدث الذي يشير إلى بدء تشغيل خدمة أو إيقافها.

تعرض لقطة الشاشة استعلامًا لمصدر الحدث والمعرّف.

ثم انقر بزر الماوس الأيمن فوق أي سجل بمعرف الحدث 7036 وحدد استخراج الحقول من "الحدث".

لقطة شاشة تعرض خياري نسخ واستخراج الحقول، والتي تتوفر عند النقر بزر الماوس الأيمن فوق سجل من قائمة النتائج.

يتم فتح معالج استخراج الحقل مع EventLog، وحقول EventID المحددين في عمود المثال الرئيسي. ويشير هذا إلى أنه سيتم تعريف الحقل المخصص للأحداث من سجل النظام مع معرف الحدث رقم 7036. هذا يكفي، فنحن لسنا بحاجة إلى تحديد أي حقول أخرى.

لقطة شاشة للمثال الرئيسي.

نحن نميز اسم الخدمة في الخاصية RenderedDescription، ونستخدم Service لتحديد اسم الخدمة. ستتم تسمية الحقل المخصص Service_CF. نوع الحقل في هذه الحالة هو سلسلة، حتى نتمكن من ترك ذلك دون تغيير.

لقطة شاشة لعنوان الحقل.

نرى أن اسم الخدمة تم تعريفه بشكل صحيح، لبعض السجلات، ولكن ليس للسجلات الأخرى. توضح نتائج البحث أنه لم يتم تحديد هذا الجزء من اسم محول أداء WMI. يوضح الملخص أن سجلاً واحداً تعرف على مثبت الوحدات النمطية، بدلاً من مثبت الوحدات النمطية لـ Windows.

لقطة شاشة توضح أجزاء من اسم الخدمة المميز في جزء نتائج البحث، واسم خدمة واحد غير صحيح تم تمييزه في الملخص.

نبدأ بسجل محول أداء WMI. نحن انقر فوق رمز التحرير الخاص به ثم تعديل هذا العنصر المميز.

لقطة شاشة لتمييز التعديل.

نحن نزيد من التمييز، لتضمين الكلمة WMI، ومن ثم نعيد تشغيل عملية الاستخراج.

لقطة شاشة لمثال إضافي.

يمكننا أن نرى أنه تم تصحيح إدخالات WMI Performance Adapter ، كما استخدم Log Analytics هذه المعلومات لتصحيح سجلات Windows Module Installer.

لقطة شاشة توضح اسم الخدمة الكامل، المميز في جزء نتائج البحث، وأسماء الخدمة الصحيحة تم تمييزها في الملخص.

يمكننا الآن تشغيل استعلام يتحقق من إنشاء Service_CF ولكن لم تتم إضافته بعد إلى أي سجلات. وذلك لأن الحقل المخصص لا يعمل مقابل السجلات الموجودة، لذا نحتاج إلى انتظار تجميع سجلات جديدة.

لقطة شاشة للعدد الأولي.

بعد مرور بعض الوقت، يتم جمع أحداث جديدة ويمكننا رؤية حقل Service_CF تتم إضافته إلى السجلات التي تطابق معاييرنا.

النتائج النهائية

يمكننا الآن استخدام الحقل المخصص كأي خاصية سجل أخرى. لتوضيح ذلك، نقوم بإنشاء استعلام يقوم بتجميعه حقل Service_CF الجديد، لفحص الخدمات الأكثر نشاطاً.

لقطة شاشة للمجموعة حسب الاستعلام.

الخطوات التالية