مشاركة عبر

إنشاء حقول مخصصة في مساحة عمل Log Analytics في مراقبة Azure (معاينة)

  • مقالة

هام

سيتم تعطيل إنشاء حقول مخصصة جديدة بدءا من 31 مارس 2023. سيتم إهمال وظيفة الحقول المخصصة، وستتوقف الحقول المخصصة الموجودة عن العمل بحلول 31 مارس 2026. يجب الترحيل إلى تحويلات وقت الاستيعاب للحفاظ على تحليل سجلات السجل.

حاليا، عند إضافة حقل مخصص جديد، قد يستغرق ظهور البيانات ما يصل إلى 7 أيام.

تتيح لك ميزة الحقول المخصصة في مراقب Azure، توسيع السجلات الموجودة في مساحة عمل Log Analytics، عن طريق إضافة حقول قابلة للبحث. يتم ملء الحقول المخصصة تلقائياً من البيانات المستخرجة من خصائص أخرى في نفس السجل.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

على سبيل المثال، يحتوي سجل العينة أدناه على بيانات مفيدة كامنة في وصف الحدث. يؤدي استخراج هذه البيانات في خاصية منفصلة إلى أن تصبح متاحة لإجراءات مثل الفرز والتصفية.

Screenshot of sample extract.

إشعار

في المعاينة، غير مسموح إلا بـ 500 حقل مخصص في مساحة العمل الخاصة بك. سيتم توسيع هذا الحد عندما تصل هذه الميزة إلى التوفر العام.

إنشاء الحقل المخصص

عند إنشاء حقل مخصص، يجب أن يفهم Log Analytics، البيانات التي سيتم استخدامها لملء قيمته. ويستخدم تقنية من Microsoft Research، تسمى FlashExtract للتعرف على هذه البيانات بسرعة. بدلاً من مطالبتك بتوفير إرشادات صريحة، تتعرف مراقبة Azure على البيانات التي تريد استخراجها من الأمثلة التي تقدمها.

توفر المقاطع التالية الإجراء المطلوب لإنشاء حقل مخصص. توجد معاينة لاستخراج العينة في الجزء السفلي من هذه المقالة.

إشعار

تتم تعبئة الحقل المخصص، حيث تتم إضافة السجلات المطابقة للمعايير المحددة إلى مساحة عمل Log Analytics، لذلك لن يظهر إلا في السجلات التي تم تجميعها بعد إنشاء الحقل المخصص. لن تتم إضافة الحقل المخصص إلى السجلات الموجودة بالفعل في مخزن البيانات عند إنشائه.

الخطوة 1: تحديد السجلات التي سيكون لها الحقل المخصص

الخطوة الأولى هي تحديد السجلات التي ستحصل على الحقل المخصص. ابدأ باستعلام السجل القياسي، ثم حدد سجلاً ليقوم بدور النموذج الذي ستتعلم منه مراقبة Azure. عندما تحدد أنك على وشك استخراج البيانات إلى حقل مخصص، يتم فتح معالج استخراج الحقل، حيث يمكنك التحقق من صحة المعايير وتحسينها.

  1. انتقل إلى السجلات واستخدم استعلام لاسترداد السجلات، التي سيكون فيها الحقل المخصص.
  2. حدد سجلاً سيستخدمه Log Analytics ليقوم بدور نموذج استخراج البيانات، لتعبئة الحقل المخصص. سوف تتعرف على البيانات التي تريد استخراجها من هذا السجل، وسوف يستخدم Log Analytics هذه المعلومات لتحديد المنطق، لملء الحقل المخصص لكل السجلات المشابهة.
  3. انقر بزر الماوس الأيمن فوق السجل، وحدد استخراج الحقول من.
  4. يتم فتح معالج استخراج الحقل، ويتم عرض السجل الذي حددته في عمود المثال الرئيسي. سيتم تعريف الحقل المخصص لتلك السجلات بنفس القيم في الخصائص المحددة.
  5. إذا لم يكن التحديد هو بالضبط ما تريده، فحدد حقولاً إضافية لتضييق المعايير. لتغيير قيم الحقول للمعايير، يجب الإلغاء، وتحديد سجل مختلف مطابق للمعايير التي تريدها.

الخطوة 2: تنفيذ الاستخراج الأولي.

بمجرد التعرف على السجلات التي ستتضمن الحقل المخصص، يمكنك تحديد البيانات التي تريد استخراجها. سيستخدم Log Analytics هذه المعلومات لتحديد أنماط مماثلة في سجلات مماثلة. في الخطوة التي بعد ذلك، ستكون قادراً على التحقق من صحة النتائج، وتوفير المزيد من التفاصيل لـ Log Analytics لاستخدامه في التحليلات.

  1. قم بتمييز النص في عينة السجل، الذي تريد ملء الحقل المخصص به. وسيظهر لك مربع حوار لإدخال اسم، ونوع البيانات للحقل، ولإجراء عملية الاستخراج الأولي. سيتم إلحاق الأحرف _CF تلقائيًا.
  2. انقر فوق استخراج لإجراء تحليل السجلات المجمعة.
  3. يعرض القسمان ملخص ونتائج البحث، نتائج عملية الاستخراج، حتى تتمكن من فحص دقتها. يعرض الملخص المعايير المستخدمة للتعرف على السجلات وعدد قيم البيانات المحددة. توفر نتائج البحث قائمة مفصلة بالسجلات المطابقة للمعايير.

الخطوة 3: التحقق من دقة استخراج وإنشاء حقل مخصص

بمجرد الانتهاء من تنفيذ عملية الاستخراج الأولي، سيعرض Log Analytics نتائجه استناداً إلى البيانات التي تم جمعها بالفعل. إذا كانت النتائج تبدو دقيقة، فمن ثم يمكنك إنشاء حقل مخصص مع أي عمل آخر بعد ذلك. إذا لم يكن الأمر كذلك، فيمكنك تحسين النتائج حتى يتمكن Log Analytics من تحسين المنطق الخاص به.

  1. إذا كانت أي قيم موجودة في الاستخراج الأولي غير صحيحة، فانقر فوق أيقونة تحرير الموجودة بجانب السجل غير الدقيق، ثم حدد تعديل العنصر المميز، من أجل تعديل العنصر المحدد.
  2. يتم نسخ الإدخال إلى قسم الأمثلة الإضافية أسفل المثال الرئيسي. يمكنك ضبط التمييز هنا لمساعدة Log Analytics على فهم التحديد الذي كان يجب أن تقوم به.
  3. انقر فوق استخراج، لاستخدام هذه المعلومات الجديدة لتقييم كل السجلات الموجودة. قد يتم تعديل النتائج لسجلات أخرى غير تلك التي قمت بتعديلها للتو، استناداً إلى هذه المعلومات الجديدة.
  4. استمر في إضافة التصحيحات حتى تتعرف جميع السجلات الموجودة في عملية الاستخراج من التعرف على البيانات بصورة صحيحة، لملء الحقل المخصص الجديد.
  5. انقر فوق حفظ الاستخراج عندما تكون راضياً عن النتائج. تم تحديد الحقل المخصص الآن، ولكن لن تتم إضافته إلى أي سجلات حتى الآن.
  6. انتظر السجلات الجديدة المطابقة للمعايير المحددة، التي من المقرر جمعها، ثم شغل البحث في السجلات مرة أخرى. يجب أن تحتوي السجلات الجديدة على الحقل المخصص.
  7. استخدم الحقل المخصص مثل أي خاصية سجل أخرى. يمكنك استخدامه لتجميع البيانات، ووضعها في مجموعات، وحتى استخدامها لإنتاج نتيجة تحليلات جديدة.

إزالة الحقل المخصص

هناك طريقتان لإزالة حقل مخصص. الطريقة الأولى هي خيار إزالة لكل حقل، عند عرض القائمة الكاملة، على النحو الموصوف أعلاه. الطريقة الأخرى هي أن تسترد سجلاً، ثم تنقر فوق الزر الموجود على يمين الحقل. سيكون للقائمة خيار لإزالة الحقل المخصص.

معاينة العينة

يستعرض القسم التالي مثالاُ على إنشاء حقل مخصص. يستخرج هذا المثال اسم الخدمة في أحداث Windows الذي يشير إلى حالة تغيير الخدمة. يعتمد هذا على الأحداث التي أنشأها مدير التحكم بالخدمة، أثناء بدء تشغيل النظام على أجهزة Windows. إذا كنت تريد اتباع هذا المثال، يجب أن تقوم بتجميع أحداث المعلومات لسجل النظام.

نحن ندخل الاستعلام التالي، لإرجاع كل الأحداث من مدير التحكم بالخدمة، ذات معرف الحدث رقم 7036، وهو الحدث الذي يشير إلى بدء تشغيل خدمة أو إيقافها.

Screenshot showing a query for an event source and ID.

ثم انقر بزر الماوس الأيمن فوق أي سجل بمعرف الحدث 7036 وحدد استخراج الحقول من "الحدث".

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

يتم فتح معالج استخراج الحقل مع EventLog، وحقول EventID المحددين في عمود المثال الرئيسي. ويشير هذا إلى أنه سيتم تعريف الحقل المخصص للأحداث من سجل النظام مع معرف الحدث رقم 7036. هذا يكفي، فنحن لسنا بحاجة إلى تحديد أي حقول أخرى.

Screenshot of main example.

نحن نميز اسم الخدمة في الخاصية RenderedDescription، ونستخدم Service لتحديد اسم الخدمة. ستتم تسمية الحقل المخصص Service_CF. نوع الحقل في هذه الحالة هو سلسلة، حتى نتمكن من ترك ذلك دون تغيير.

Screenshot of Field Title.

نرى أن اسم الخدمة تم تعريفه بشكل صحيح، لبعض السجلات، ولكن ليس للسجلات الأخرى. توضح نتائج البحث أنه لم يتم تحديد هذا الجزء من اسم محول أداء WMI. يوضح الملخص أن سجلاً واحداً تعرف على مثبت الوحدات النمطية، بدلاً من مثبت الوحدات النمطية لـ Windows.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

نبدأ بسجل محول أداء WMI. نحن انقر فوق رمز التحرير الخاص به ثم تعديل هذا العنصر المميز.

Screenshot of modify highlight.

نحن نزيد من التمييز، لتضمين الكلمة WMI، ومن ثم نعيد تشغيل عملية الاستخراج.

Screenshot of additional example.

يمكننا أن نرى أن إدخالات محول أداء WMI قد تم تصحيحها، واستخدم Log Analytics تلك المعلومات أيضاً، لتصحيح السجلات مثبت الوحدة النمطية لـ Windows.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

يمكننا الآن تشغيل استعلام يتحقق من Service_CF، تم إنشاؤه ولكن لم تتم إضافته بعد إلى أي سجلات. وذلك لأن الحقل المخصص لا يعمل مقابل السجلات الموجودة، لذا نحتاج إلى انتظار تجميع سجلات جديدة.

Screenshot of initial count.

بعد مرور بعض الوقت حتى يتم جمع أحداث جديدة، يمكننا أن نرى أن حقل Service_CF، تتم إضافته الآن إلى السجلات التي تتطابق مع معاييرنا.

Final results

يمكننا الآن استخدام الحقل المخصص كأي خاصية سجل أخرى. لتوضيح ذلك، نقوم بإنشاء استعلام يقوم بتجميعه حقل Service_CF الجديد، لفحص الخدمات الأكثر نشاطاً.

Screenshot of group by query.

الخطوات التالية