Přidání nebo odstranění tabulek a sloupců v protokolech služby Azure Monitor

Článek
04/10/2024

Pravidla shromažďování dat umožňují filtrovat a transformovat data protokolu před odesláním dat do tabulky Azure nebo vlastní tabulky. Tento článek vysvětluje, jak vytvořit vlastní tabulky a přidat vlastní sloupce do tabulek v pracovním prostoru služby Log Analytics.

Důležité

Při každé aktualizaci schématu tabulky nezapomeňte aktualizovat všechna pravidla shromažďování dat, která odesílají data do tabulky. Schéma tabulky, které definujete v pravidle shromažďování dat, určuje, jak Azure Monitor streamuje data do cílové tabulky. Azure Monitor neaktualizuje pravidla shromažďování dat automaticky, když provedete změny schématu tabulky.

Požadavky

K vytvoření vlastní tabulky potřebujete:

Pracovní prostor služby Log Analytics, kde máte alespoň práva přispěvatele.
Koncový bod shromažďování dat (DCE)
Soubor JSON s alespoň jedním záznamem ukázky pro vlastní tabulku. Bude vypadat nějak takto:
```
[
  {
    "TimeGenerated": "supported_datetime_format",
    "<column_name_1>": "<column_name_1_value>",
    "<column_name_2>": "<column_name_2_value>"
  },
  {
    "TimeGenerated": "supported_datetime_format",
    "<column_name_1>": "<column_name_1_value>",
    "<column_name_2>": "<column_name_2_value>"
  },
  {
    "TimeGenerated": "supported_datetime_format",
    "<column_name_1>": "<column_name_1_value>",
    "<column_name_2>": "<column_name_2_value>"
  }
]
```
Všechny tabulky v pracovním prostoru služby Log Analytics musí mít sloupec s názvem TimeGenerated. Pokud vaše ukázková data mají sloupec s názvem TimeGenerated, použije se tato hodnota k identifikaci času příjmu dat záznamu. Pokud ne, TimeGenerated sloupec se přidá do transformace v dcR pro tabulku. Informace o TimeGenerated formátu najdete v podporovaných formátech data a času.

Vytvoření vlastní tabulky

Tabulky Azure mají předdefinovaná schémata. Pokud chcete ukládat data protokolů do jiného schématu, definujte pomocí pravidel shromažďování dat, jak shromažďovat, transformovat a odesílat data do vlastní tabulky v pracovním prostoru služby Log Analytics.

Důležité

Vlastní tabulky mají příponu _CL; například tablename_CL. Azure Portal přidá do názvu tabulky automaticky příponu _CL . Když vytvoříte vlastní tabulku pomocí jiné metody, musíte přidat příponu _CL sami. Tablename_CL ve vlastnostech toků dat Toky v pravidlech shromažďování dat musí odpovídat názvu tablename_CL v pracovním prostoru služby Log Analytics.

Poznámka:

Informace o vytvoření vlastní tabulky pro protokoly, které ingestujete pomocí zastaralého agenta Log Analytics, označovaného také jako MMA nebo OMS, najdete v tématu Shromažďování textových protokolů pomocí agenta Log Analytics.

Vytvoření vlastní tabulky na webu Azure Portal:

V nabídce Pracovních prostorů služby Log Analytics vyberte Tabulky.
Vyberte Vytvořit a potom Nový vlastní protokol (založený na DCR).
Zadejte název a volitelně také popis tabulky. K názvu vlastní tabulky nemusíte přidávat příponu _CL – přidá se automaticky k názvu, který zadáte na portálu.
V rozevíracím seznamu Pravidla shromažďování dat vyberte existující pravidlo shromažďování dat nebo vyberte Vytvořit nové pravidlo shromažďování dat a zadejte předplatné, skupinu prostředků a název nového pravidla shromažďování dat.
Vyberte koncový bod shromažďování dat a vyberte Další.
Vyberte Vyhledat soubory a vyhledejte soubor JSON s ukázkovými daty pro novou tabulku.

Pokud ukázková data neobsahují TimeGenerated sloupec, zobrazí se zpráva, že se s tímto sloupcem vytváří transformace.
Pokud chcete data protokolu před příjmem dat transformovat do tabulky:
1. Vyberte editor transformace.
  
  Editor transformací umožňuje vytvořit transformaci příchozího datového proudu. Jedná se o dotaz KQL, který se spouští pro každý příchozí záznam. Protokoly služby Azure Monitor ukládají výsledky dotazu v cílové tabulce.
2. Výběrem možnosti Spustit zobrazíte výsledky.
Výběrem možnosti Použít uložíte transformaci a zobrazíte schéma tabulky, která se má vytvořit. Pokračujte výběrem možnosti Další .
Ověřte poslední podrobnosti a výběrem možnosti Vytvořit uložte vlastní protokol.

Pomocí tabulek – Aktualizace rozhraní PATCH API vytvořte vlastní tabulku s následujícím kódem PowerShellu. Tento kód vytvoří tabulku s názvem MyTable_CL se dvěma sloupci. Upravte toto schéma a shromážděte jinou tabulku.

Na webu Azure Portal vyberte tlačítko Cloud Shell a ujistěte se, že je prostředí nastavené na PowerShell.

Zkopírujte následující kód PowerShellu a nahraďte parametr Path odpovídajícími hodnotami pro váš pracovní prostor v Invoke-AzRestMethod příkazu. Vložte ho do příkazového řádku Cloud Shellu a spusťte ho.

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "MyTable_CL",
            "columns": [
                {
                    "name": "TimeGenerated",
                    "type": "DateTime"
                }, 
                {
                    "name": "RawData",
                    "type": "String"
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/MyTable_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Odstraní tabulku

V protokolech služby Azure Monitor existuje několik typů tabulek. Můžete odstranit libovolnou tabulku, která není tabulkou Azure, ale to, co se stane s daty, když tabulku odstraníte, se pro každý typ tabulky liší.

Další informace najdete v tématu Co se stane s daty při odstranění tabulky v pracovním prostoru služby Log Analytics.

Odstranění tabulky z webu Azure Portal:

V nabídce pracovního prostoru služby Log Analytics vyberte Tabulky.
Vyhledejte tabulky, které chcete odstranit podle názvu, nebo výběrem výsledků hledání v poli Typ.
Vyberte tabulku, kterou chcete odstranit, vyberte tři tečky ( ... ) napravo od tabulky, vyberte Odstranit a potvrďte odstranění zadáním ano.

Odstranění tabulky pomocí PowerShellu:

Na webu Azure Portal vyberte tlačítko Cloud Shell a ujistěte se, že je prostředí nastavené na PowerShell.

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/NewCustom_CL?api-version=2021-12-01-preview" -Method DELETE

Přidání nebo odstranění vlastního sloupce

Můžete upravit schéma vlastních tabulek a přidat vlastní sloupce do standardní tabulky nebo odstranit sloupce ze standardní tabulky.

Poznámka:

Názvy sloupců musí začínat písmenem a mohou obsahovat až 45 alfanumerických znaků a podtržítka (_). _ResourceId, id, , _SubscriptionId_ResourceId, , TenantId, Type, UniqueIda Title jsou vyhrazené názvy sloupců.

Přidání vlastního sloupce do tabulky v pracovním prostoru služby Log Analytics nebo odstranění sloupce:

V nabídce Pracovních prostorů služby Log Analytics vyberte Tabulky.
Vyberte tři tečky ( ... ) napravo od tabulky, kterou chcete upravit, a vyberte Upravit schéma. Otevře se obrazovka Editoru schémat.
Posuňte se dolů do části Vlastní sloupce na obrazovce Editor schématu.
Přidání nového sloupce:
1. Vyberte Přidat sloupec.
2. Nastavte název a popis sloupce (volitelné) a v rozevíracím seznamu Typ vyberte očekávaný typ hodnoty.
3. Vyberte Uložit a uložte nový sloupec.
Pokud chcete odstranit sloupec, vyberte ikonu Odstranit vlevo od sloupce, který chcete odstranit.

Pokud chcete do Azure nebo vlastní tabulky přidat nový sloupec, spusťte:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "<TableName>",
            "columns": [
                {
                    "name": ""<ColumnName>",
                    "description": "First custom column",
                    "type": "string",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/<TableName>?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Volání PUT vrátí aktualizované vlastnosti tabulky, které by měly obsahovat nově přidaný sloupec.

Příklad

Spuštěním tohoto příkazu přidejte do tabulky Azure Heartbeat vlastní sloupec s názvemCustom1_CF:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom1_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Teď, pokud chcete odstranit nově přidaný sloupec a přidat další sloupec, spusťte příkaz:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom2_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Pokud chcete odstranit všechny vlastní sloupce v tabulce, spusťte:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Další kroky

Přečtěte si další informace: