Erstellen von benutzerdefinierten Feldern in einem Log Analytics-Arbeitsbereich in Azure Monitor (Vorschauversion)

  • Artikel

Wichtig

Die Erstellung neuer benutzerdefinierter Felder wird ab dem 31. März 2023 deaktiviert. Die Funktionalität benutzerdefinierter Felder ist veraltet, und vorhandene benutzerdefinierte Felder funktionieren am 31. März 2026 nicht mehr. Sie sollten zu Erfassungszeittransformationen migrieren, um Ihre Protokolldatensätze weiter analysieren zu können.

Wenn Sie derzeit ein neues benutzerdefiniertes Feld hinzufügen, kann es bis zu 7 Tage dauern, bis Daten angezeigt werden.

Mit dem Feature Benutzerdefinierte Felder von Azure Monitor können Sie vorhandene Datensätze in Ihrem Log Analytics-Arbeitsbereich durch eigene durchsuchbare Felder erweitern. Benutzerdefinierte Felder werden automatisch auf der Grundlage von Daten aufgefüllt, die aus anderen Eigenschaften im gleichen Datensatz extrahiert wurden.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Der folgende Beispieldatensatz enthält beispielsweise weitere hilfreiche Daten in der Ereignisbeschreibung. Die Extraktion dieser Daten in eine separate Eigenschaft ermöglicht Aktionen wie Sortieren und Filtern.

Screenshot of sample extract.

Hinweis

In der Vorschauversion können Sie in Ihrem Arbeitsbereich maximal 500 benutzerdefinierte Felder verwenden. Diese Obergrenze wird erhöht, wenn das Feature allgemein verfügbar wird.

Erstellen eines benutzerdefinierten Felds

Wenn Sie ein benutzerdefiniertes Feld erstellen, muss Log Analytics wissen, mit welchen Daten dessen Wert aufgefüllt werden soll. Zur schnellen Ermittlung dieser Daten kommt eine von Microsoft Research entwickelte Technologie namens FlashExtract zum Einsatz. Die zu extrahierenden Daten werden dabei von Azure Monitor anhand von bereitgestellten Beispielen ermittelt, sodass Sie keine expliziten Anweisungen angeben müssen.

In den folgenden Abschnitten wird die Vorgehensweise zum Erstellen eines benutzerdefinierten Felds erläutert. Am Ende dieses Artikels befindet sich eine exemplarische Vorgehensweise für eine Beispielextraktion.

Hinweis

Das benutzerdefinierte Feld wird aufgefüllt, wenn dem Log Analytics-Arbeitsbereich Datensätze hinzugefügt werden, die den angegebenen Kriterien entsprechen. Das Feld ist also nur für Datensätze verfügbar, die nach der Erstellung des benutzerdefinierten Felds gesammelt werden. Das benutzerdefinierte Feld wird nicht zu Datensätzen hinzugefügt, die zum Zeitpunkt der Felderstellung bereits im Datenspeicher vorhanden sind.

Schritt 1: Ermitteln der Datensätze, die über das benutzerdefinierte Feld verfügen sollen

Als Erstes müssen die Datensätze angegeben werden, die über das benutzerdefinierte Feld verfügen sollen. Hierzu führen Sie zunächst eine Standard-Protokollabfrage durch und wählen dann einen Datensatz aus, der Azure Monitor als Modell für die Ermittlung dient. Wenn Sie angeben, dass Sie Daten in ein benutzerdefiniertes Feld extrahieren möchten, wird der Feldextraktions-Assistent geöffnet, in dem Sie die Kriterien überprüfen und anpassen können.

  1. Wechseln Sie zu Protokolle, und verwenden Sie eine Abfrage zum Abrufen der Datensätze, die über das benutzerdefinierte Feld verfügen sollen.
  2. Wählen Sie einen Datensatz aus, der Log Analytics als Modell für die Extraktion von Daten zur Auffüllung des benutzerdefinierten Felds dienen soll. Nachdem Sie die Daten angegeben haben, die aus diesem Datensatz extrahiert werden sollen, ermittelt Log Analytics auf der Grundlage dieser Informationen die Logik, mit der das benutzerdefinierte Felds für alle ähnlichen Datensätze aufgefüllt werden kann.
  3. Klicken Sie mit der rechten Maustaste auf den Datensatz, und wählen Sie Extract fields from (Felder extrahieren aus) aus.
  4. Der Feldextraktions-Assistent wird geöffnet, und der ausgewählte Datensatz wird in der Spalte Hauptbeispiel angezeigt. Das benutzerdefinierte Feld wird für Datensätze mit den gleichen Werten in den ausgewählten Eigenschaften definiert.
  5. Falls die Auswahl noch nicht ganz Ihren Vorstellungen entspricht, können Sie weitere Felder auswählen, um die Kriterien einzugrenzen. Wenn Sie die Feldwerte für die Kriterien ändern möchten, müssen Sie den Vorgang abbrechen und einen anderen Datensatz auswählen, der den gewünschten Kriterien entspricht.

Schritt 2: Ausführen der ersten Extraktion

Nach Angabe der Datensätze, die über das benutzerdefinierte Feld verfügen sollen, müssen die zu extrahierenden Daten angegeben werden. Auf der Grundlage dieser Informationen ermittelt Log Analytics dann ähnliche Muster in ähnlichen Datensätzen. Im nächsten Schritt können Sie die Ergebnisse überprüfen und weitere Details angeben, die Log Analytics bei der Analyse berücksichtigen soll.

  1. Markieren Sie im Beispieldatensatz den Text, mit dem das benutzerdefinierte Feld aufgefüllt werden soll. Daraufhin erscheint ein Dialogfeld, in dem Sie einen Namen und einen Datentyp für das Feld angeben und die erste Extraktion durchführen können. Die Zeichen _CF werden automatisch angefügt.
  2. Klicken Sie auf Extrahieren , um eine Analyse der gesammelten Datensätze durchzuführen.
  3. In den Abschnitten Zusammenfassung und Suchergebnisse werden die Ergebnisse der Extraktion zur Überprüfung angezeigt. Zusammenfassung enthält die Kriterien, die zur Ermittlung der Datensätze verwendet wurden, sowie die Anzahl der einzelnen ermittelten Datenwerte. Suchergebnisse enthält eine detaillierte Liste mit Datensätzen, die den Kriterien entsprechen.

Schritt 3: Überprüfen der Genauigkeit der Extraktion und Erstellen des benutzerdefinierten Felds

Im Anschluss an die erste Extraktion zeigt Log Analytics die Ergebnisse an, die auf der Grundlage bereits gesammelter Daten ermittelt wurden. Wenn die Ergebnisse Ihren Vorstellungen entsprechen, können Sie das benutzerdefinierte Feld ohne weitere Schritte erstellen. Andernfalls können Sie die Ergebnisse optimieren, damit Log Analytics seine Logik verbessern kann.

  1. Sollte die erste Extraktion falsche Werte enthalten, klicken Sie neben einem falschen Datensatz auf das Bearbeitungssymbol, und wählen Sie Diese Markierung ändern aus, um die Auswahl zu ändern.
  2. Der Eintrag wird in den Abschnitt Zusätzliche Beispiele kopiert, der sich unter dem Abschnitt Hauptbeispiel befindet. Hier können Sie die Markierung anpassen, um Log Analytics mitzuteilen, wie die Auswahl hätte aussehen sollen.
  3. Klicken Sie auf Extrahieren , um alle vorhandenen Datensätze auf der Grundlage dieser neuen Informationen zu untersuchen. Dadurch ändern sich unter Umständen auch die Ergebnisse anderer Datensätze.
  4. Nehmen Sie weitere Korrekturen vor, bis für alle Datensätze in der Extraktion genau die Daten angeben werden, mit denen das neue benutzerdefinierte Feld aufgefüllt werden soll.
  5. Klicken Sie auf Save Extract (Extraktion speichern), wenn Sie mit den Ergebnissen zufrieden sind. Das benutzerdefinierte Feld ist nun zwar definiert, wird aber noch keinen Datensätzen hinzugefügt.
  6. Warten Sie, bis neue, den angegebenen Kriterien entsprechende Datensätze gesammelt wurden, und führen Sie die Protokollsuche dann erneut aus. Die neuen Datensätze verfügen nun über das benutzerdefinierte Feld.
  7. Das benutzerdefinierte Feld kann wie jede andere Datensatzeigenschaft verwendet werden. Sie können damit Daten aggregieren und gruppieren und sogar neue Insights generieren.

Entfernen eines benutzerdefinierten Felds

Benutzerdefinierte Felder können auf zwei Arten entfernt werden: Sie können in der weiter oben beschriebenen Liste für jedes Feld die Option Entfernen verwenden. Alternativ können Sie einen Datensatz abrufen und auf die Schaltfläche links neben dem Feld klicken. Das Menü enthält eine Option zum Entfernen des benutzerdefinierten Felds.

Exemplarische Vorgehensweise

Der folgende Abschnitt enthält ein vollständiges Beispiel für die Erstellung eines benutzerdefinierten Felds. In diesem Beispiel wird in Windows-Ereignissen, die auf eine Zustandsänderung bei einem Dienst hindeuten, der Dienstname extrahiert. Als Grundlage dienen Ereignisse, die auf Windows-Computern beim Start des Systems vom Dienststeuerungs-Manager erstellt werden. Wenn Sie dieses Beispiel nachvollziehen möchten, müssen Sie Informationsereignisse für das Systemprotokoll sammeln.

Wir geben die folgende Abfrage ein, die alle Ereignisse des Dienststeuerungs-Managers mit der Ereignis-ID 7036 zurückgibt. (Dieses Ereignis gibt an, dass ein Dienst gestartet oder beendet wird.)

Screenshot showing a query for an event source and ID.

Anschließend klicken wir mit der rechten Maustaste auf einen beliebigen Datensatz mit der Ereignis-ID 7036 und wählen Felder aus "Ereignis" extrahieren aus.

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

Der Feldextraktions-Assistent wird geöffnet, und in der Spalte Hauptbeispiel sind die Felder EventLog und EventID ausgewählt. Das benutzerdefinierte Feld wird also für Ereignisse aus dem Systemprotokoll mit der Ereignis-ID 7036 definiert. Diese Angaben sind ausreichend, und es müssen keine weiteren Felder ausgewählt werden.

Screenshot of main example.

Wir markieren den Namen des Diensts in der RenderedDescription-Eigenschaft und verwenden Service, um den Dienstnamen anzugeben. Der Name des benutzerdefinierten Felds lautet Service_CF. Der Feldtyp ist in diesem Fall eine Zeichenfolge, sodass wir ihn unverändert lassen können.

Screenshot of Field Title.

Wir stellen fest, dass der Dienstname nicht bei allen Datensätzen korrekt ermittelt wird. In den Suchergebnissen sehen wir, dass bei WMI-Leistungsadapter ein Teil des Namens nicht ausgewählt wurde. Die Zusammenfassung zeigt, dass ein Datensatz Modules Installer anstelle von Windows Modules Installer identifiziert hat.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

Kümmern wir uns zunächst um den Datensatz WMI Performance Adapter . Wir klicken auf das Bearbeitungssymbol und anschließend auf Modify this highlight(Diese Markierung ändern).

Screenshot of modify highlight.

Wir erweitern die Markierung um das Wort WMI und wiederholen dann den Extraktionsvorgang.

Screenshot of additional example.

Wir sehen, dass Log Analytics auf der Grundlage dieser Informationen nicht nur die Einträge für WMI-Leistungsadapter, sondern auch die Einträge für Windows Modules Installer korrigiert hat.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Wir können jetzt eine Abfrage ausführen, die überprüft, ob Service_CF zwar erstellt, aber noch keinen Datensätzen hinzugefügt wurde. Dies liegt daran, dass das benutzerdefinierte Feld für bestehende Datensätze nicht funktioniert, sodass wir warten müssen, bis neue Datensätze gesammelt werden.

Screenshot of initial count.

Nachdem etwas Zeit vergangen ist und neue Ereignisse gesammelt wurden, wird das Feld Service_CF jetzt Datensätzen hinzugefügt, die unseren Kriterien entsprechen.

Final results

Nun können wir das benutzerdefinierte Feld wie jede andere Datensatzeigenschaft verwenden. Zur Veranschaulichung erstellen wir eine Abfrage, die auf der Grundlage des neuen Felds Service_CF eine Gruppierung vornimmt, um zu prüfen, welche Dienste besonders aktiv sind.

Screenshot of group by query.

Nächste Schritte