Vytvoření vlastních polí v pracovním prostoru služby Log Analytics ve službě Azure Monitor (Preview)

  • Článek

Důležité

Vytváření nových vlastních polí bude zakázáno od 31. března 2023. Funkce vlastních polí bude zastaralá a stávající vlastní pole přestanou fungovat do 31. března 2026. Pokud chcete zachovat analýzu záznamů protokolu, měli byste migrovat na transformace v čase příjmu dat.

Když v současné době přidáte nové vlastní pole, může trvat až 7 dní, než se začnou zobrazovat data.

Funkce Vlastní pole služby Azure Monitor umožňuje rozšířit existující záznamy v pracovním prostoru služby Log Analytics přidáním vlastních prohledávatelných polí. Vlastní pole se automaticky vyplní z dat extrahovaných z jiných vlastností ve stejném záznamu.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Například níže uvedený ukázkový záznam obsahuje užitečná data uložená v popisu události. Extrahování těchto dat do samostatné vlastnosti zpřístupňuje takové akce, jako je řazení a filtrování.

Screenshot of sample extract.

Poznámka:

Ve verzi Preview máte v pracovním prostoru omezení na 500 vlastních polí. Tento limit se rozšíří, když tato funkce dosáhne obecné dostupnosti.

Vytvoření vlastního pole

Při vytváření vlastního pole musí Log Analytics pochopit, která data se mají použít k naplnění jeho hodnoty. K rychlé identifikaci těchto dat používá technologii od společnosti Microsoft Research s názvem FlashExtract. Místo toho, abyste museli zadat explicitní pokyny, Azure Monitor se dozví o datech, která chcete extrahovat z příkladů, které zadáte.

Následující části obsahují postup pro vytvoření vlastního pole. V dolní části tohoto článku je návod k extrakci vzorků.

Poznámka:

Vlastní pole se vyplní jako záznamy odpovídající zadaným kritériím, které se přidají do pracovního prostoru služby Log Analytics, takže se zobrazí jenom u záznamů shromážděných po vytvoření vlastního pole. Vlastní pole se nepřidá do záznamů, které už jsou v úložišti dat při jeho vytvoření.

Krok 1: Identifikace záznamů, které budou mít vlastní pole

Prvním krokem je identifikace záznamů, které získají vlastní pole. Začnete standardním dotazem protokolu a pak vyberete záznam, který se bude chovat jako model, ze kterého se Azure Monitor naučí. Když určíte, že budete extrahovat data do vlastního pole, otevře se Průvodce extrakcí polí tam, kde ověříte a zpřesníte kritéria.

  1. Přejděte do protokolů a pomocí dotazu načtěte záznamy, které budou mít vlastní pole.
  2. Vyberte záznam, který bude Služba Log Analytics používat k tomu, aby fungovala jako model pro extrahování dat k naplnění vlastního pole. Určíte data, která chcete z tohoto záznamu extrahovat, a Log Analytics tyto informace použije k určení logiky pro naplnění vlastního pole pro všechny podobné záznamy.
  3. Klikněte pravým tlačítkem myši na záznam a vyberte Extrahovat pole.
  4. Otevře se Průvodce extrakcí polí a vybraný záznam se zobrazí ve sloupci Hlavní příklad . Vlastní pole bude definováno pro tyto záznamy se stejnými hodnotami ve vybraných vlastnostech.
  5. Pokud výběr není přesně to, co chcete, vyberte další pole, abyste kritéria zúžili. Pokud chcete změnit hodnoty polí pro kritéria, musíte zrušit a vybrat jiný záznam, který odpovídá požadovaným kritériím.

Krok 2: Proveďte počáteční extrakci.

Jakmile identifikujete záznamy, které budou mít vlastní pole, identifikujete data, která chcete extrahovat. Log Analytics tyto informace použije k identifikaci podobných vzorů v podobných záznamech. V kroku po tomto kroku budete moci ověřit výsledky a poskytnout další podrobnosti pro Log Analytics, které se mají použít v jeho analýze.

  1. Zvýrazněte text v ukázkovém záznamu, který chcete naplnit vlastním polem. Zobrazí se dialogové okno s názvem a datovým typem pole a provedením počátečního extrahování. Znaky _CF budou automaticky připojeny.
  2. Kliknutím na tlačítko Extrahovat provedete analýzu shromážděných záznamů.
  3. V oddílech Souhrn a Výsledky hledání se zobrazují výsledky extrakce, abyste mohli zkontrolovat jeho přesnost. Souhrn zobrazuje kritéria použitá k identifikaci záznamů a počtu zjištěných hodnot dat. Výsledky hledání poskytují podrobný seznam záznamů odpovídajících kritériím.

Krok 3: Ověření přesnosti extrakce a vytvoření vlastního pole

Jakmile provedete počáteční extrakci, Log Analytics zobrazí výsledky na základě dat, která už byla shromážděna. Pokud výsledky vypadají přesně, můžete vytvořit vlastní pole bez další práce. Pokud ne, můžete výsledky upřesnit tak, aby log Analytics mohl zlepšit svou logiku.

  1. Pokud některé hodnoty v počátečním extrakci nejsou správné, klikněte na ikonu Upravit vedle nepřesných záznamů a vyberte Upravit toto zvýraznění , aby bylo možné výběr upravit.
  2. Položka se zkopíruje do části Další příklady pod hlavním příkladem. Zvýraznění zde můžete upravit, abyste log Analytics porozuměli výběru, který by měl provést.
  3. Chcete-li tyto nové informace použít k vyhodnocení všech existujících záznamů, klikněte na tlačítko Extrahovat . Výsledky se můžou upravit pro jiné záznamy než u záznamů, které jste právě upravili na základě této nové inteligence.
  4. Pokračujte přidáním oprav, dokud všechny záznamy v extrahování správně identifikují data, která se mají naplnit novým vlastním polem.
  5. Až budete s výsledky spokojeni, klikněte na Uložit extrakci . Vlastní pole je teď definované, ale zatím se nepřidá do žádných záznamů.
  6. Počkejte, až se shromáždí nové záznamy odpovídající zadaným kritériím, a pak znovu spusťte prohledávání protokolu. Nové záznamy by měly mít vlastní pole.
  7. Použijte vlastní pole jako jakoukoli jinou vlastnost záznamu. Můžete je použít k agregaci a seskupení dat a dokonce k jejich použití k vytváření nových přehledů.

Odebrání vlastního pole

Vlastní pole můžete odebrat dvěma způsoby. První možností Je odebrat pro každé pole při prohlížení kompletního seznamu, jak je popsáno výše. Druhou metodou je načtení záznamu a kliknutí na tlačítko vlevo od pole. Nabídka bude mít možnost odebrat vlastní pole.

Ukázkový názorný postup

Následující část vás provede úplným příkladem vytvoření vlastního pole. Tento příklad extrahuje název služby v událostech Systému Windows, které označují stav změny služby. To závisí na událostech vytvořených správcem řízení služeb během spouštění systému na počítačích s Windows. Pokud chcete postupovat podle tohoto příkladu, musíte shromažďovat události informací pro systémový protokol.

Zadáním následujícího dotazu vrátíme všechny události z Portálu řízení služeb, které mají ID události 7036, což je událost, která označuje spuštění nebo zastavení služby.

Screenshot showing a query for an event source and ID.

Pak klikneme pravým tlačítkem na libovolný záznam s ID události 7036 a vybereme Extrahovat pole z události.

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

Otevře se Průvodce extrakcí polí s poli EventLog a EventID vybranými ve sloupci Hlavní příklad . To znamená, že vlastní pole bude definováno pro události z systémového protokolu s ID události 7036. To stačí, abychom nemuseli vybírat žádná další pole.

Screenshot of main example.

Zvýrazníme název služby ve vlastnosti RenderedDescription a pomocí služby identifikujeme název služby. Vlastní pole bude volána Service_CF. Typ pole v tomto případě je řetězec, takže můžeme nechat beze změny.

Screenshot of Field Title.

Vidíme, že název služby je správně identifikován pro některé záznamy, ale ne pro jiné. Výsledky hledání ukazují, že část názvu adaptéru výkonu rozhraní WMI nebyla vybrána. Souhrn ukazuje, že jeden záznam identifikoval instalační program modulů místo Instalační služby modulů systému Windows.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

Začneme záznamem adaptéru WMI Performance Adapter . Klikneme na jeho ikonu pro úpravy a pak změníme toto zvýraznění.

Screenshot of modify highlight.

Zvýraznění zvýrazníme tak, aby zahrnovalo slovo WMI , a pak znovu spustíme extrakci.

Screenshot of additional example.

Vidíme, že byly opraveny položky adaptéru výkonu rozhraní WMI a Log Analytics tyto informace také použily k opravě záznamů instalační služby modulu systému Windows.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Teď můžeme spustit dotaz, který ověří , že se vytvoří Service_CF , ale zatím se nepřidá do žádných záznamů. Je to proto, že vlastní pole nefunguje s existujícími záznamy, takže musíme počkat, až se budou shromažďovat nové záznamy.

Screenshot of initial count.

Po uplynutí určité doby, aby se shromáždily nové události, vidíme, že pole Service_CF se teď přidává do záznamů, které splňují naše kritéria.

Final results

Teď můžeme použít vlastní pole jako jakoukoli jinou vlastnost záznamu. Abychom to mohli ilustrovat, vytvoříme dotaz, který seskupí podle nového pole Service_CF a zkontroluje, které služby jsou nejaktivnější.

Screenshot of group by query.

Další kroky

  • Seznamte se s dotazy na protokoly pro vytváření dotazů pomocí vlastních polí pro kritéria.
  • Monitorujte vlastní soubory protokolu, které analyzujete pomocí vlastních polí.