Creación de campos personalizados en un área de trabajo de Log Analytics en Azure Monitor (versión preliminar)

Importante

La creación de nuevos campos personalizados se deshabilitará a partir del 31 de marzo de 2023. La funcionalidad de campos personalizados quedará en desuso y los campos personalizados existentes dejarán de funcionar el 31 de marzo de 2026. Debe migrar a transformaciones en tiempo de ingesta para mantener el análisis de los registros.

Actualmente, al agregar un nuevo campo personalizado, los datos pueden tardar hasta 7 días en aparecer.

La característica Campos personalizados de Azure Monitor le permite ampliar los registros existentes del área de trabajo de Log Analytics agregando sus propios campos de búsqueda. Los campos personalizados se rellenan automáticamente a partir de los datos extraídos de otras propiedades del mismo registro.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Por ejemplo, en el registro que se muestra a continuación, hay información útil que está escondida en la descripción del evento. Si estos datos se extraen en una propiedad diferente, estarán disponibles para ciertas acciones, como la ordenación y el filtrado.

Screenshot of sample extract.

Nota:

En la versión preliminar, el área de trabajo tiene un límite de 500 campos personalizados. Este límite se ampliará cuando esta característica esté disponible con carácter general.

Creación de un campo personalizado

Cuando se crea un campo personalizado, Log Analytics necesita saber qué datos debe usar para rellenar el valor. Para identificar rápidamente estos datos, utiliza una tecnología de Microsoft Research denominada FlashExtract. Azure Monitor es capaz de reconocer los datos que debe extraer a partir de los ejemplos proporcionados, por lo que no es necesario especificar instrucciones explícitas.

En las secciones siguientes, se describe el procedimiento necesario para crear un campo personalizado. Al final de este artículo, encontrará un tutorial con una extracción de ejemplo.

Nota

El campo personalizado se rellena a medida que los registros que cumplen los criterios especificados se agregan al área de trabajo de Log Analytics; por tanto, el campo personalizado solo aparecerá en los registros recopilados una vez que se haya creado. El campo personalizado no se agregará a los registros que ya se encuentren en el almacén de datos en el momento de su creación.

Paso 1: Identificación de los registros que incluirán el campo personalizado

El primer paso consiste en identificar los registros que incluirán el campo personalizado. Comience con una consulta de registros estándar y, después, seleccione un registro que sirva de modelo para que Azure Monitor aprenda de él. Cuando especifique que va a extraer los datos en un campo personalizado, se abrirá Field Extraction Wizard y (Asistente para extraer campos) podrá validar y delimitar los criterios.

  1. Vaya a Registros y utilice una consulta para recuperar los registros que incluirán el campo personalizado.
  2. Seleccione el registro que Log Analytics utilizará como modelo para extraer los datos y rellenar el campo personalizado. Deberá identificar los datos que quiere extraer de este registro. Log Analytics utilizará esa información para determinar la lógica con la que rellenará el campo personalizado en todos los registros que sean similares.
  3. Haga clic con el botón derecho en el registro y seleccione Extraer campos de.
  4. Se abrirá el Asistente para extraer campos y el registro seleccionado aparecerá en la columna Ejemplo principal. El campo personalizado se va a definir para aquellos recursos que tengan los mismos valores en las propiedades seleccionadas.
  5. Si la selección no coincide exactamente con sus expectativas, seleccione otros campos para restringir los criterios. Para cambiar los valores de campo de los criterios, debe cancelar y seleccionar otro registro que coincida con los criterios que quiere usar.

Paso 2: Ejecución de la extracción inicial

Una vez identificados los registros que incluirán el campo personalizado, deberá identificar los datos que desea extraer. Log Analytics utilizará esta información para identificar patrones parecidos en registros similares. En el paso siguiente, podrá validar los resultados y proporcionar más detalles para que Log Analytics los utilice en su análisis.

  1. Resalte el texto del registro de ejemplo con el que desea rellenar el campo personalizado. A continuación, aparecerá un cuadro de diálogo en el que tendrá que especificar un nombre y un tipo de datos para el campo y realizar la extracción inicial. Los caracteres _CF se anexarán automáticamente.
  2. Haga clic en Extract (Extraer) para realizar un análisis de los registros recopilados.
  3. En las secciones Resumeny Resultados de búsqueda, se muestran los resultados de la extracción para que pueda revisar si son correctos. Summary (Resumen), aparecen los criterios utilizados para identificar registros y el recuento de cada uno de los valores de datos identificados. Search Results (Resultados de búsqueda), aparece una lista detallada de los registros que cumplen los criterios.

Paso 3: Comprobación de la precisión de la extracción y creación de un campo personalizado

Una vez realizada la extracción inicial, Log Analytics mostrará los resultados en función de los datos que ya se han recopilado. Si los resultados parecen correctos, puede crear el campo personalizado sin necesidad de realizar ninguna otra operación. De lo contrario, puede delimitar los resultados para que Log Analytics mejore su lógica.

  1. Si alguno de los valores de la extracción inicial no es correcto, haga clic en el icono Editar que encontrará junto al registro incorrecto y seleccione Modificar este resaltado para poder realizar los cambios.
  2. La entrada se copia en la sección Ejemplos adicionales, bajo Ejemplo principal. En esta sección, puede ajustar el texto resaltado para ayudar a Log Analytics a entender qué selección debería haber hecho.
  3. Haga clic en Extract (Extraer) si desea utilizar esta nueva información para evaluar todos los registros existentes. Los resultados pueden modificarse en función de esta nueva información para otros registros distintos del que acaba de modificar.
  4. Continúe con las correcciones hasta que todos los registros de la extracción identifiquen correctamente los datos que van a incluirse en el nuevo campo personalizado.
  5. Haga clic en Save Extract (Guardar extracción) cuando esté satisfecho con los resultados. Ahora, el campo personalizado está definido, pero aún no se ha agregado a ningún registro.
  6. Espere a que se recopilen los registros nuevos que cumplan los criterios y vuelva a ejecutar la búsqueda de registros. Los nuevos registros deberían incluir el campo personalizado.
  7. Utilice el campo personalizado como cualquier otra propiedad del registro. Puede usarlo para agregar y agrupar datos, e incluso para generar nueva información.

Eliminación de un campo personalizado

Existen dos formas de quitar un campo personalizado. La primera es a través de la opción Remove (Quitar) que aparece en cada campo cuando se consulta la lista completa, tal y como que se describió anteriormente. El otro método consiste en recuperar un registro y hacer clic en el botón situado a la izquierda del campo. El menú incluirá una opción para quitar el campo personalizado.

Tutorial de ejemplo

La siguiente sección contiene un ejemplo completo que le guiará por el proceso de creación de un campo personalizado. En este ejemplo, se extrae el nombre de servicio de los eventos de Windows que indican un cambio de estado en el servicio. En este ejemplo, se utilizan eventos creados por el Administrador de control de servicios durante el inicio del sistema en equipos Windows. Si desea seguir este ejemplo, debe recopilar eventos de información del registro del sistema.

En primer lugar, escribimos la siguiente consulta para que devuelva todos los eventos del Administrador de control de servicios que tengan el identificador 7036, que es el evento que indica el inicio o la detención de un servicio.

Screenshot showing a query for an event source and ID.

A continuación, hacemos clic con el botón derecho en cualquier registro con el identificador de evento 7036 y seleccionamos Extraer campos de "Evento".

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

Se abre el Asistente para extraer campos, con los campos EventLog y EventID seleccionados en la columna Ejemplo principal. Esto indica que el campo personalizado se va a definir para los eventos del registro del sistema que tengan el identificador 7036. Como es suficiente, no es necesario seleccionar ningún otro campo.

Screenshot of main example.

Ahora, resaltamos el nombre del servicio en la propiedad RenderedDescription y utilizamos Servicio para identificar el nombre del servicio. El campo personalizado se llamará Service_CF. En este caso, el tipo de campo es una cadena, por lo que se puede dejar sin cambios.

Screenshot of Field Title.

Como podemos ver, el nombre del servicio se identifica correctamente en algunos registros, pero no en otros. En Resultados de búsqueda, vemos que parte del nombre del Adaptador de rendimiento de WMI no aparece seleccionado. El campo Resumen indica que un registro ha identificado Instalador de Módulos en lugar de Instalador de Módulos de Windows.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

Vamos a comenzar con el registro WMI Performance Adapter (Adaptador de rendimiento de WMI). Hacemos clic en el icono de edición y luego en Modify this highlight(Modificar texto resaltado).

Screenshot of modify highlight.

Ampliamos la selección para que incluya la palabra WMI y ejecutamos de nuevo la extracción.

Screenshot of additional example.

Ahora, podemos ver que las entradas de Adaptador de rendimiento de WMI se han corregido. Log Analytics utilizará esta información para corregir los registros de Instalador de módulos de Windows.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Ahora podemos ejecutar una consulta que compruebe que Service_CF se ha creado, aunque aún no se ha agregado a ningún registro. Eso es porque el campo personalizado no funciona con los registros existentes, así que tenemos que esperar hasta que se recopilen registros nuevos.

Screenshot of initial count.

A medida que pasa el tiempo, se recopilan nuevos eventos y podemos ver que el campo Service_CF se va agregando a los registros que cumplen nuestros criterios.

Final results

Ahora, podemos usar el campo personalizado como cualquier otra propiedad del registro. Para comprobarlo, creamos una consulta que agrupe los datos en función del nuevo campo Service_CF y que analice qué servicios son los más activos.

Screenshot of group by query.

Pasos siguientes