Hinzufügen oder Löschen von Tabellen und Spalten in Azure Monitor-Protokolle

Mit Datensammlungsregeln können Sie Protokolldaten filtern und transformieren, bevor Sie die Daten an eine Azure-Tabelle oder eine benutzerdefinierte Tabelle senden. In diesem Artikel wird erläutert, wie Sie benutzerdefinierte Tabellen erstellen und benutzerdefinierte Spalten zu einer Tabelle in Ihrem Log Analytics-Arbeitsbereich hinzufügen können.

Wichtig

Achten Sie bei jeder Aktualisierung eines Tabellenschemas darauf, dass Sie alle Datensammlungsregeln aktualisieren, die Daten an die Tabelle senden. Das Tabellenschema, das Sie in Ihrer Datensammlungsregel definieren, bestimmt, wie Azure Monitor Daten an die Zieltabelle streamt. Azure Monitor aktualisiert Datensammlungsregeln nicht automatisch, wenn Sie Tabellenschemaänderungen vornehmen.

Voraussetzungen

Um eine benutzerdefinierte Tabelle zu erstellen, benötigen Sie Folgendes:

• Einen Log Analytics-Arbeitsbereich, in dem Sie mindestens über Berechtigungen als Mitwirkender verfügen.

• Einen Datensammlungsendpunkt (DCE).

• Eine JSON-Datei mit mindestens einem Beispieldatensatz für Ihre benutzerdefinierte Tabelle. Diese sieht etwa folgendermaßen aus:

  [
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    }
  ]
  

  Alle Tabellen in einem Log Analytics-Arbeitsbereich müssen eine Spalte mit dem Namen „TimeGenerated“ haben. Wenn ihre Beispieldaten eine Spalte mit dem Namen „TimeGenerated“ haben, wird dieser Wert verwendet, um die Erfassungszeit des Datensatzes zu identifizieren. Wenn nicht, wird der Transformation in Ihrem DCR für die Tabelle eine Spalte „TimeGenerated“ hinzugefügt. Weitere Informationen zum TimeGenerated-Format finden Sie unter Unterstützte datetime-Formate.

Erstellen einer benutzerdefinierten Tabelle

Azure-Tabellen verfügen über vordefinierte Schemas. Um Protokolldaten in einem anderen Schema zu speichern, verwenden Sie Datensammlungsregeln, die definieren, wie die Daten gesammelt, transformiert und an eine benutzerdefinierte Tabelle in Ihrem Log Analytics-Arbeitsbereich gesendet werden.

Wichtig

Benutzerdefinierte Tabellen haben das Suffix _CL, z. B. tablename_CL. Das Azure-Portal fügt dem Tabellennamen automatisch das Suffix _CL hinzu. Wenn Sie eine benutzerdefinierte Tabelle mit einer anderen Methode erstellen, müssen Sie das Suffix _CL selbst hinzufügen. tablename_CL in den Eigenschaften von DataFlows-Streams muss dem Namen tablename_CL im Log Analytics-Arbeitsbereich entsprechen.

Hinweis

Informationen zum Erstellen einer benutzerdefinierten Tabelle für Protokolle, die Sie mit dem veralteten Log Analytics-Agent (auch als MMA oder OMS bezeichnet) erfassen, finden Sie im Artikel zum Sammeln von Textprotokollen mit dem Log Analytics-Agent.

Portal

So erstellen Sie eine benutzerdefinierte Tabelle im Azure-Portal:

1. Wählen Sie im Menü Log Analytics-Arbeitsbereiche die Option Tabellen aus.

   

2. Wählen Sie Erstellen und dann Neues benutzerdefiniertes Protokoll (DCR-basiert) aus.

   

3. Geben Sie für die Tabelle einen Namen und ggf. eine Beschreibung ein. Sie brauchen das Suffix _CL nicht zum Namen der benutzerdefinierten Tabelle hinzuzufügen. Es wird automatisch zum Namen hinzugefügt, den Sie im Portal angeben.

4. Wählen Sie in der Dropdownliste Datensammlungsregel eine vorhandene Datensammlungsregel aus, oder wählen Sie Neue Datensammlungsregel erstellen aus, und geben Sie Abonnement, Ressourcengruppe und Name für die neue Datensammlungsregel an.

   

5. Wählen Sie einen Datensammlungsendpunkt und dann Weiter aus.

   

6. Wählen Sie Nach Dateien suchen aus, und suchen Sie die JSON-Datei mit den Beispieldaten für Ihre neue Tabelle.

   

   Wenn Ihre Beispieldaten keine Spalte „TimeGenerated“ enthalten, erhalten Sie eine Meldung, dass mit dieser Spalte eine Transformation erstellt wird.

7. Wenn Sie Protokolldaten vor der Erfassung in Ihrer Tabelle transformieren möchten:

   1. Wählen Sie Transformations-Editor aus.

      Mit dem Transformations-Editor können Sie eine Transformation für den eingehenden Datenstrom erstellen. Dies ist eine KQL-Abfrage, die für jeden eingehenden Datensatz ausgeführt wird. Azure Monitor-Protokolle speichert die Ergebnisse der Abfrage in der Zieltabelle.

      

   2. Wählen Sie Ausführen aus, um die Ergebnisse anzuzeigen.

      

8. Wählen Sie Anwenden aus, um die Transformation zu speichern und das Schema der Tabelle anzuzeigen, die erstellt werden soll. Klicken Sie auf Weiter, um fortzufahren.

   

9. Überprüfen Sie die endgültigen Details, und wählen Sie Erstellen aus, um das benutzerdefinierte Protokoll zu speichern.

   

API

Um eine benutzerdefinierte Tabelle zu erstellen, rufen Sie die API Tables – Create Or Update auf.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Um eine benutzerdefinierte Tabelle zu erstellen, führen Sie den Befehl az monitor log-analytics workspace table create aus.

PowerShell

Verwenden Sie die REST-API Tables – Update, um die Tabelle mit dem unten angegebenen PowerShell-Code zu erstellen. Dieser Code erstellt eine Tabelle namens MyTable_CL mit zwei Spalten. Ändern Sie dieses Schema, um eine andere Tabelle zu sammeln.

1. Wählen Sie im Azure-Portal die Schaltfläche Cloud Shell aus, und achten Sie darauf, dass die Umgebung auf PowerShell festgelegt ist.

   

2. Kopieren Sie den folgenden PowerShell-Code, und ersetzen Sie den Path-Parameter durch die entsprechenden Werte für Ihren Arbeitsbereich im Befehl Invoke-AzRestMethod. Fügen Sie den Code in die Cloud Shell-Eingabeaufforderung ein, um ihn auszuführen.

   $tableParams = @'
   {
       "properties": {
           "schema": {
               "name": "MyTable_CL",
               "columns": [
                   {
                       "name": "TimeGenerated",
                       "type": "DateTime"
                   }, 
                   {
                       "name": "RawData",
                       "type": "String"
                   }
               ]
           }
       }
   }
   '@
   
   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/MyTable_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
   

Löschen einer Tabelle

Es gibt mehrere Arten von Tabellen in Azure Monitor-Protokollen. Sie können jede Tabelle löschen, die keine Azure-Tabelle ist, aber was mit den Daten passiert, wenn Sie die Tabelle löschen, ist bei jedem Tabellentyp unterschiedlich.

Weitere Informationen finden Sie unter Was geschieht mit Daten, wenn Sie eine Tabelle in einem Log Analytics-Arbeitsbereich löschen.

Portal

So löschen Sie eine Tabelle im Azure-Portal:

1. Wählen Sie im Menü des Log Analytics-Arbeitsbereichs die Option Tabellen aus.

2. Suchen Sie anhand des Namens nach den Tabellen, die Sie löschen möchten, oder wählen Sie Suchergebnisse im Feld Typ aus.

   

3. Wählen Sie die Tabelle aus, die Sie löschen möchten. Wählen Sie dann rechts neben der Tabelle die Auslassungspunkte (...) und Löschen aus. Bestätigen Sie den Löschvorgang, indem Sie ja eingeben.

   

API

Um eine Tabelle zu löschen, rufen Sie die API Tables – Delete auf.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Führen Sie zum Löschen einer Tabelle den Befehl az monitor log-analytics workspace table delete aus.

PowerShell

So löschen Sie eine Tabelle mithilfe von PowerShell:

1. Wählen Sie im Azure-Portal die Schaltfläche Cloud Shell aus, und achten Sie darauf, dass die Umgebung auf PowerShell festgelegt ist.

   

2. Kopieren Sie den folgenden PowerShell-Code, und ersetzen Sie den Path-Parameter durch die entsprechenden Werte für Ihren Arbeitsbereich im Befehl Invoke-AzRestMethod. Fügen Sie den Code in die Cloud Shell-Eingabeaufforderung ein, um ihn auszuführen.

   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/NewCustom_CL?api-version=2021-12-01-preview" -Method DELETE
   

Hinzufügen oder Löschen einer benutzerdefinierten Spalte

Sie können das Schema benutzerdefinierter Tabellen ändern und einer Standardtabelle benutzerdefinierte Spalten hinzufügen oder Spalten daraus löschen.

Hinweis

Spaltennamen müssen mit einem Buchstaben beginnen und können aus bis zu 45 alphanumerischen Zeichen und Unterstrichen (_) bestehen. _ResourceId, id, _ResourceId, _SubscriptionId, TenantId, Type, UniqueId und Title sind reservierte Spaltennamen.

Portal

So fügen Sie zu einer Tabelle in Ihrem Log Analytics-Arbeitsbereich eine benutzerdefinierte Spalte hinzu oder löschen Sie eine Spalte:

1. Wählen Sie im Menü Log Analytics-Arbeitsbereiche die Option Tabellen aus.

2. Wählen Sie die Auslassungspunkte (...) rechts neben der Tabelle, die Sie bearbeiten möchten, und dann Schema bearbeiten aus. Daraufhin wird der Bildschirm Schema-Editor geöffnet.

3. Scrollen Sie im Bildschirm Schema-Editor nach unten zum Abschnitt Benutzerdefinierte Spalten.

   

4. So fügen Sie eine neue Spalte hinzu:

   1. Wählen Sie Spalte hinzufügen aus.
   2. Geben Sie den Spaltennamen und eine Beschreibung (optional) ein, und wählen Sie in der Dropdownliste Typ den gewünschten Werttyp aus.
   3. Wählen Sie Speichern aus, um die neue Spalte zu speichern.

5. Um eine Spalte zu löschen, wählen Sie links neben der Spalte, die Sie löschen möchten, das Symbol Löschen aus.

API

Um eine benutzerdefinierte Spalte hinzuzufügen oder zu löschen, rufen Sie die API Tables – Create Or Update auf.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Um eine benutzerdefinierte Spalte hinzuzufügen oder zu löschen, führen Sie den Befehl az monitor log-analytics workspace table update aus.

PowerShell

Um einer Azure-Tabelle oder benutzerdefinierten Tabelle eine neue Spalte hinzuzufügen, führen Sie folgenden Befehl aus:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "<TableName>",
            "columns": [
                {
                    "name": ""<ColumnName>",
                    "description": "First custom column",
                    "type": "string",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/<TableName>?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Der PUT-Aufruf gibt die aktualisierten Tabelleneigenschaften zurück, die die neu hinzugefügte Spalte enthalten sollten.

Beispiel

Führen Sie diesen Befehl aus, um der Azure Heartbeat-Tabelle eine benutzerdefinierte Spalte mit dem Namen Custom1_CF hinzuzufügen:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom1_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Führen Sie nun folgenden Befehl aus, um die neu hinzugefügte Spalte zu löschen und stattdessen eine andere Spalte hinzuzufügen:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom2_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Um alle benutzerdefinierten Spalten in der Tabelle zu löschen, führen Sie folgenden Befehl aus:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Nächste Schritte

Weitere Informationen:

• Sammeln von Protokollen mit der Protokollerfassungs-API
• Sammeln von Protokollen mit dem Azure Monitor-Agent
• Datensammlungsregeln in Azure Monitor (Vorschau)