Kurz: Nahrazení vlastních polí v pracovním prostoru služby Log Analytics vlastními sloupci založenými na KQL

Vlastní pole jsou funkcí služby Azure Monitor, která umožňuje extrahovat data do samostatného sloupce z jiného textového sloupce stejné tabulky. Vytváření nových vlastních polí bude zakázáno od 31. března 2023. Funkce vlastních polí bude zastaralá a stávající vlastní pole přestanou fungovat 31. března 2026.

Existuje několik výhod použití transformací při ingestování dat založených na DCR k dosažení stejného výsledku:

• Úplnou sadu řetězcových funkcí můžete použít k tvarování vlastních sloupců.
• Na stejná data můžete použít více operací. Extrahujte například část hodnoty do samostatného sloupce a odeberte původní sloupec.
• Pomocí transformací doby příjmu dat v šablonách ARM můžete nasadit vlastní sloupce ve velkém měřítku.

Se zavedením pravidel shromažďování dat (DCR) jsou transformace založené na jazyce KQL standardní metodou přizpůsobení tabulky a nahrazením starších vlastních polí.

V tomto kurzu se naučíte:

• Vyhledání vlastních polí vyžadujících nahrazení
• Vysvětlení obsahu vlastních polí
• Nastavení transformace doby příjmu dat pro nahrazení vlastních polí v tabulce

Požadavky

• Pracovní prostor služby Log Analytics s tabulkou obsahující vlastní pole
• Dostatečná oprávnění účtu k vytvoření a úpravě pravidel shromažďování dat (DCR)

Vyhledejte vlastní pole pro nahrazení

Začněte vyhledáním vlastních polí, která chcete nahradit. Pokud už znáte vlastní pole, která chcete nahradit, přejděte k dalšímu kroku.

1. Přejděte do pracovního prostoru služby Log Analytics, kde se nachází tabulka s vlastními poli.

2. V boční nabídce vyberte Tabulky. V místní nabídce tabulky vyberte Spravovat tabulku.

   

3. Všimněte si, jestli jsou k dané tabulce přidružená nějaká pravidla shromažďování dat (DCR).

   • Pokud jsou v příslušné části k dispozici nějaké DCR, znamená to, že všechna existující vlastní pole byla buď již implementována v rámci těchto DCR, nebo zrušena při vytváření DCR. V následujícím kroku tohoto tutoriálu prozkoumáte obsah vlastních polí a určíte, zda jsou potřeba další aktualizace požadavků na změny dokumentu (DCR).
   • Pokud nejsou k tabulce přidružená žádná pravidla shromažďování dat, budou všechny sloupce v dané tabulce s názvy končícími na "_CF" vlastními poli, která budou nahrazena.

   

4. Zavřete dialogové okno vlastností tabulky a v místní nabídce tabulky vyberte Upravit schéma . Posuňte se na konec stránky, kde jsou uvedeny vlastní sloupce. Tyto sloupce končí _CF.

   

5. Všimněte si názvů těchto sloupců, protože jejich obsah určíte v dalším kroku.

Pochopte obsah vlastních polí

Vzhledem k tomu, že neexistuje žádný způsob, jak přímo prozkoumat definici vlastního pole, je nutné zadat dotaz na tabulku, abyste určili vzorec vlastního pole.

1. V boční nabídce vyberte Protokoly a spuštěním dotazu získejte ukázku dat z tabulky.

   

2. Vyhledejte sloupce, které jste si poznamenali v předchozím kroku, a prozkoumejte jejich obsah.

   • Pokud sloupec není prázdný a s tabulkou jsou spojeny DCRy, logika vlastního pole již byla implementována pomocí transformace. Nevyžaduje se žádná akce.
   • Pokud je sloupec prázdný (nebo není přítomen ve výsledcích dotazu) a jsou k tabulce přidruženy DCR, logika vlastního pole nebyla implementována s DCR. Přidejte do toku dat v existujícím DCR transformaci.
   • Pokud sloupec není prázdný a není přidružen žádný DCR ke stolu, logika vlastního pole se musí implementovat jako transformace v DCR pracovního prostoru.

3. Prozkoumejte obsah vlastního pole a určete logiku, jak se počítá. Vlastní pole obvykle počítají podřetěžce jiných sloupců ve stejné tabulce. Určete, ze kterého sloupce data pocházejí, a část řetězce, která se extrahuje.

Vytvoření transformace

Teď jste připraveni vytvořit požadovaný fragment kódu KQL a přidat ho do dcR. Tato logika se použije u každého záznamu, který je zaveden do pracovního prostoru.

1. Upravte dotaz pro tabulku pomocí KQL a replikujte logiku vlastního pole. Pokud máte k nahrazení více vlastních polí, můžete jejich logiku výpočtu zkombinovat do jednoho příkazu.

   • Operátor parse slouží k hledání podřetězce v řetězci na základě vzoru.
   • Pro hledání podřetězců založených na regulárních výrazech použijte funkci extract().
   • Řetězcové funkce jako split(), substring() a mnoho dalších může být také užitečné.

   

2. Určete, kam je potřeba umístit novou KQL definici pro vlastní sloupec.

   • V případě protokolů shromážděných pomocí agenta Služby Azure Monitor (AMA)upravte DCR pro shromažďování dat pro tabulku přidáním transformace. Příklad najdete v tématu Osvědčené postupy a ukázky pro transformace ve službě Azure Monitor. Transformační dotaz je definován v elementu transformKql .
   • U protokolů prostředků shromážděných s diagnostickým nastavením přidejte transformaci do výchozího DCR pracovního prostoru. Tabulka musí podporovat transformace.

Nejčastější dotazy

Jak mohu migrovat vlastní pole pro log shromážděný pomocí staršího agenta Log Analytics (MMA)?

Zvažte migraci na agenta služby Azure Monitor (AMA). Agent Log Analytics se blíží konci podpory a měli byste migrovat na agenta služby Azure Monitor (AMA). Textové protokoly shromážděné pomocí AMA používají logiku analýzy protokolů definovanou ve formě transformací KQL od začátku. Vlastní pole nejsou povinná a nepodporují se v textových protokolech shromážděných agentem Služby Azure Monitor.

Je migrace vlastních polí na KQL povinná?

Ne, vlastní pole musíte migrovat pouze tehdy, pokud chcete, aby vaše vlastní sloupce byly vyplněny. Pokud vlastní pole nemigrujete, po ukončení podpory vlastních polí se odpovídající sloupce přestanou vyplňovat. Data, která už byla zpracována a uložená v tabulce, nebudou ovlivněna a zůstanou použitelná.

Ztratím stávající data v odpovídajících sloupcích, pokud nebudu migrovat vlastní pole včas?

Ne, vlastní pole se počítají v době příjmu dat. Odstranění definice pole nebo jejich migrace v čase neovlivní žádná data, která jste dříve ingestovali.

Další kroky

• Přečtěte si další informace o transformacích ve službě Azure Monitor.