البرنامج التعليمي: استبدال الحقول المخصصة في مساحة عمل Log Analytics بأعمدة مخصصة تستند إلى KQL

الحقول المخصصة هي ميزة في Azure Monitor تسمح لك باستخراج بيانات عمود منفصلة من عمود نص مختلف من نفس الجدول. سيتم تعطيل إنشاء حقول مخصصة جديدة بدءا من 31 مارس 2023. سيتم إهمال وظيفة الحقول المخصصة وستتوقف الحقول المخصصة الموجودة عن العمل في 31 مارس 2026.

هناك العديد من المزايا لاستخدام تحويلات وقت الاستيعاب المستندة إلى DCR لتحقيق نفس النتيجة:

• يمكنك تطبيق مجموعة كاملة من دالات السلسلة لتشكيل الأعمدة المخصصة.
• يمكنك تطبيق عمليات متعددة على نفس البيانات. على سبيل المثال، استخراج جزء من قيمة إلى عمود منفصل وإزالة العمود الأصلي.
• يمكنك استخدام تحويلات وقت الاستيعاب في قوالب ARM لنشر أعمدة مخصصة على نطاق واسع.

مع إدخال قواعد جمع البيانات (DCR)، تكون التحويلات المستندة إلى KQL هي الطريقة القياسية لتخصيص الجدول، واستبدال الحقول المخصصة القديمة.

في هذا البرنامج التعليمي، تتعلم كيفية:

• تحديد موقع الحقول المخصصة التي تتطلب الاستبدال
• فهم محتوى الحقول المخصصة
• إعداد تحويل وقت الاستيعاب لاستبدال الحقول المخصصة داخل الجدول

المتطلبات الأساسية

• مساحة عمل Log Analytics مع جدول يحتوي على حقول مخصصة
• امتياز حساب كاف لإنشاء قواعد جمع البيانات (DCR) وتعديلها

تحديد موقع الحقول المخصصة للاستبدال

ابدأ بتحديد موقع الحقول المخصصة لاستبدالها. إذا كنت تعرف بالفعل الحقول المخصصة التي تخطط لاستبدالها، فانتقل إلى الخطوة التالية.

1. انتقل إلى مساحة عمل Log Analytics حيث يوجد الجدول الذي يحتوي على حقول مخصصة.

2. في القائمة الجانبية، حدد جداول. حدد إدارة الجدول من قائمة السياق للجدول.

   

3. لاحظ ما إذا كانت أي قواعد لجمع البيانات (DCRs) مقترنة بجدول معين.

   • إذا كانت أي DCRs موجودة في القسم المقابل، فهذا يعني أن أي حقول مخصصة موجودة مسبقا إما تم تنفيذها بالفعل داخل DCRs هذه، أو تم التخلي عنها عند إنشاء DCR. ستقوم بفحص محتوى الحقول المخصصة في الخطوة التالية من هذا البرنامج التعليمي وتحديد ما إذا كانت هناك حاجة إلى مزيد من التحديثات ل DCRs.
   • إذا لم تكن هناك قواعد تجميع بيانات مقترنة بالجدول، فستكون جميع الأعمدة في جدول معين بأسماء تنتهي ب "_CF" حقولا مخصصة تخضع للاستبدال.

   

4. أغلق مربع الحوار خصائص الجدول وحدد تحرير المخطط من قائمة سياق الجدول. قم بالتمرير إلى أسفل الصفحة حيث يتم سرد الأعمدة المخصصة. تنتهي هذه الأعمدة _CF.

   

5. لاحظ أسماء هذه الأعمدة نظرا لأنك ستحدد محتواها في الخطوة التالية.

فهم محتوى الحقل المخصص

نظرا لعدم وجود طريقة لفحص تعريف الحقل المخصص مباشرة، تحتاج إلى الاستعلام عن الجدول لتحديد صيغة الحقل المخصص.

1. حدد Logs في القائمة الجانبية وقم بتشغيل استعلام للحصول على عينة من البيانات من الجدول.

   

2. حدد موقع الأعمدة المذكورة في الخطوة السابقة وافحص محتواها.

   • إذا لم يكن العمود فارغا وكانت هناك DCRs مقترنة بالجدول، فقد تم بالفعل تنفيذ منطق الحقل المخصص مع التحويل. لا يلزم اتخاذ أي إجراء
   • إذا كان العمود فارغا (أو غير موجود في نتائج الاستعلام) وكانت هناك DCRs مقترنة بالجدول، لم يتم تنفيذ منطق الحقل المخصص مع DCR. أضف تحويلا إلى تدفق البيانات في DCR الحالي.
   • إذا لم يكن العمود فارغاولا توجد DCRs مقترنة بالجدول، يجب تنفيذ منطق الحقل المخصص كتحويل في DCR لمساحة العمل.

3. افحص محتوى الحقل المخصص وحدد المنطق الذي يتم حسابه به. تحسب الحقول المخصصة عادة السلاسل الفرعية للأعمدة الأخرى في نفس الجدول. حدد العمود الذي تأتي منه البيانات وجزء السلسلة التي تستخرجها.

إنشاء تحويل

أنت الآن جاهز لإنشاء مقتطف KQL المطلوب وإضافته إلى DCR. يتم تطبيق هذا المنطق على كل سجل حيث يتم استيعابه في مساحة العمل.

1. تعديل الاستعلام للجدول باستخدام KQL لنسخ منطق الحقل المخصص نسخا متماثلا. إذا كان لديك حقول مخصصة متعددة لاستبدالها، يمكنك دمج منطق الحساب الخاص بها في عبارة واحدة.

   • استخدم عامل توزيع للبحث المستند إلى النمط لسلسلة فرعية داخل سلسلة.
   • استخدم الدالة extract() للبحث في السلسلة الفرعية المستندة إلى regex.
   • قد تكون دالات السلسلة ك split()وsubstring ()والعديد من الوظائف الأخرى مفيدة أيضا.

   

2. حدد مكان وضع تعريف KQL الجديد للعمود المخصص.

   • بالنسبة للسجلات التي تم جمعها باستخدام عامل Azure Monitor (AMA)، قم بتحرير DCR الذي يجمع البيانات للجدول، وإضافة تحويل. على سبيل المثال، راجع العينات. يتم تعريف استعلام التحويل في transformKql العنصر .
   • بالنسبة لسجلات الموارد التي تم جمعها مع إعدادات التشخيص، أضف التحويل إلى DCR الافتراضي لمساحة العمل. يجب أن يدعم الجدول التحويلات.

الأسئلة المتداولة

كيف أعمل ترحيل الحقول المخصصة لسجل نص تم جمعه باستخدام عامل Log Analytics القديم (MMA)؟

ضع في اعتبارك الترحيل إلى عامل Azure Monitor (AMA). يقترب عامل Log Analytics من انتهاء الدعم الخاص به، ويجب عليك الترحيل إلى Azure Monitor Agent (AMA). تستخدم سجلات النص التي تم جمعها مع AMA منطق تحليل السجل المحدد في شكل تحويلات KQL من البداية. الحقول المخصصة غير مطلوبة وغير مدعومة في سجلات النصوص التي تم جمعها بواسطة عامل Azure Monitor.

هل ترحيل الحقول المخصصة إلى KQL إلزامي؟

لا، تحتاج إلى ترحيل الحقول المخصصة فقط إذا كنت لا تزال تريد ملء الأعمدة المخصصة. إذا لم تقم بترحيل الحقول المخصصة، فستتوقف الأعمدة المقابلة عن ملؤها عند انتهاء دعم الحقول المخصصة. لن تتأثر البيانات التي تمت معالجتها وتخزينها بالفعل في الجدول وستظل قابلة للاستخدام.

هل سأفقد البيانات الموجودة في الأعمدة المقابلة إذا لم أرحل الحقول المخصصة في الوقت المناسب؟

لا، يتم حساب الحقول المخصصة في وقت استيعاب البيانات. لن يؤثر حذف تعريف الحقل أو عدم ترحيله في الوقت المناسب على أي بيانات تم تناولها مسبقا.

الخطوات التالية

• اقرأ المزيد حول التحويلات في Azure Monitor.