Compartir a través de


Creación de campos personalizados en un área de trabajo de Log Analytics en Azure Monitor (versión preliminar)

Importante

La creación de nuevos campos personalizados se deshabilitará a partir del 31 de marzo de 2023. La funcionalidad de campos personalizados quedará en desuso y los campos personalizados existentes dejarán de funcionar el 31 de marzo de 2026. Debe migrar a transformaciones en tiempo de ingesta para mantener el análisis de los registros.

Actualmente, al agregar un nuevo campo personalizado, los datos pueden tardar hasta 7 días en aparecer.

La característica Campos personalizados de Azure Monitor le permite ampliar los registros existentes del área de trabajo de Log Analytics agregando sus propios campos de búsqueda. Los campos personalizados se rellenan automáticamente a partir de los datos extraídos de otras propiedades del mismo registro.

Diagrama que muestra un registro original asociado a un registro modificado en un área de trabajo de Log Analytics con pares de valores de propiedad agregados a la propiedad original en el registro modificado.

Por ejemplo, el siguiente registro de ejemplo tiene datos útiles escondidos en la descripción del evento. Si estos datos se extraen en una propiedad diferente, estarán disponibles para ciertas acciones, como la ordenación y el filtrado.

Recorte de pantalla de la extracción de ejemplo.

Nota:

En la versión preliminar, el área de trabajo tiene un límite de 500 campos personalizados. Este límite se ampliará cuando esta característica esté disponible con carácter general.

Creación de un campo personalizado

Cuando se crea un campo personalizado, Log Analytics necesita saber qué datos debe usar para rellenar el valor. Para identificar rápidamente estos datos, utiliza una tecnología de Microsoft Research denominada FlashExtract. Azure Monitor es capaz de reconocer los datos que debe extraer a partir de los ejemplos proporcionados, por lo que no es necesario especificar instrucciones explícitas.

En las secciones siguientes, se describe el procedimiento necesario para crear un campo personalizado. Para ver un tutorial de una extracción de ejemplo, vaya a Tutorial de ejemplo.

Nota:

El campo personalizado se rellena a medida que los registros que cumplen los criterios especificados se agregan al área de trabajo de Log Analytics; por tanto, el campo personalizado solo aparecerá en los registros recopilados una vez que se haya creado. El campo personalizado no se agregará a los registros que ya se encuentren en el almacén de datos en el momento de su creación.

Paso 1: Identificación de los registros que obtienen el campo personalizado

El primer paso consiste en identificar los registros que obtienen el campo personalizado. Comience con una consulta de registros estándar y, después, seleccione un registro que sirva de modelo para que Azure Monitor aprenda de él. Al especificar que va a extraer datos en un campo personalizado, se abre el Asistente para extracción de campos donde se validan y refinan los criterios.

  1. Vaya a Registros y use una consulta para recuperar los registros que obtienen el campo personalizado.
  2. Seleccione el registro que Log Analytics utilizará como modelo para extraer los datos y rellenar el campo personalizado. Deberá identificar los datos que quiere extraer de este registro. Log Analytics utilizará esa información para determinar la lógica con la que rellenará el campo personalizado en todos los registros que sean similares.
  3. Haga clic con el botón derecho en el registro y seleccione Extraer campos de.
  4. Se abrirá el Asistente para extraer campos y el registro seleccionado aparecerá en la columna Ejemplo principal. El campo personalizado se va a definir para aquellos recursos que tengan los mismos valores en las propiedades seleccionadas.
  5. Si la selección no es exactamente lo que quiere, seleccione más campos para restringir los criterios. Para cambiar los valores de campo de los criterios, debe cancelar y seleccionar otro registro que coincida con los criterios que quiere usar.

Paso 2: Ejecución de la extracción inicial

Una vez que haya identificado los registros que obtienen el campo personalizado, identifique los datos que desea extraer. Log Analytics usa esta información para identificar patrones similares en registros similares. En el paso 3, podrá validar los resultados y proporcionar más detalles para que Log Analytics los use en su análisis.

  1. Resalte el texto del registro de ejemplo con el que desea rellenar el campo personalizado. A continuación, se le mostrará un cuadro de diálogo para proporcionar un nombre y un tipo de datos para el campo y para realizar la extracción inicial. Los caracteres _CF se anexarán automáticamente.
  2. Haga clic en Extract (Extraer) para realizar un análisis de los registros recopilados.
  3. En las secciones Resumeny Resultados de búsqueda, se muestran los resultados de la extracción para que pueda revisar si son correctos. Summary (Resumen), aparecen los criterios utilizados para identificar registros y el recuento de cada uno de los valores de datos identificados. Search Results (Resultados de búsqueda), aparece una lista detallada de los registros que cumplen los criterios.

Paso 3: Comprobación de la precisión de la extracción y creación de un campo personalizado

Una vez realizada la extracción inicial, Log Analytics mostrará los resultados en función de los datos que ya se han recopilado. Si los resultados son precisos, puede crear el campo personalizado sin ningún trabajo adicional. Si no es así, puede ajustar los resultados para que Log Analytics pueda mejorar su lógica.

  1. Si alguno de los valores de la extracción inicial no es correcto, haga clic en el icono Editar que encontrará junto al registro incorrecto y seleccione Modificar este resaltado para poder realizar los cambios.
  2. La entrada se copia en la sección Ejemplos adicionales, bajo Ejemplo principal. En esta sección, puede ajustar el texto resaltado para ayudar a Log Analytics a entender qué selección debería haber hecho.
  3. Haga clic en Extract (Extraer) si desea utilizar esta nueva información para evaluar todos los registros existentes. Los resultados pueden modificarse en función de esta nueva información para otros registros distintos del que acaba de modificar.
  4. Continúe con las correcciones hasta que todos los registros de la extracción identifiquen correctamente los datos que van a incluirse en el nuevo campo personalizado.
  5. Haga clic en Guardar extracción cuando esté satisfecho con los resultados. Ahora, el campo personalizado está definido, pero aún no se ha agregado a ningún registro.
  6. Espere a que se recopilen los registros nuevos que cumplan los criterios y vuelva a ejecutar la búsqueda de registros. Los nuevos registros deberían incluir el campo personalizado.
  7. Utilice el campo personalizado como cualquier otra propiedad del registro. Puede usarlo para agregar y agrupar datos, e incluso para generar nueva información.

Eliminación de un campo personalizado

Existen dos formas de quitar un campo personalizado. La primera es la opción Quitar para cada campo al ver la lista completa, tal como se describe en el Paso 2: Realizar la extracción inicial. El otro método consiste en recuperar un registro y hacer clic en el botón situado a la izquierda del campo. El menú tiene una opción para quitar el campo personalizado.

Tutorial de ejemplo

La siguiente sección contiene un ejemplo completo que le guiará por el proceso de creación de un campo personalizado. En este ejemplo, se extrae el nombre de servicio de los eventos de Windows que indican un cambio de estado en el servicio. En este ejemplo, se utilizan eventos creados por el Administrador de control de servicios durante el inicio del sistema en equipos Windows. Si desea seguir este ejemplo, debe recopilar eventos de información del registro del sistema.

En primer lugar, escribimos la siguiente consulta para que devuelva todos los eventos del Administrador de control de servicios que tengan el identificador 7036, que es el evento que indica el inicio o la detención de un servicio.

Captura de pantalla que muestra una consulta para un origen y un identificador.

A continuación, hacemos clic con el botón derecho en cualquier registro con el identificador de evento 7036 y seleccionamos Extraer campos de "Evento".

Captura de pantalla que muestra las opciones Copiar y extraer campos, que están disponibles al hacer clic con el botón derecho en un registro de la lista de resultados.

Se abre el Asistente para extraer campos, con los campos EventLog y EventID seleccionados en la columna Ejemplo principal. Esto indica que el campo personalizado se va a definir para los eventos del registro del sistema que tengan el identificador 7036. Como es suficiente, no es necesario seleccionar ningún otro campo.

Recorte de pantalla del ejemplo principal.

Ahora, resaltamos el nombre del servicio en la propiedad RenderedDescription y utilizamos Servicio para identificar el nombre del servicio. El campo personalizado se llamará Service_CF. En este caso, el tipo de campo es una cadena, por lo que se puede dejar sin cambios.

Recorte de pantalla del título del campo.

Como podemos ver, el nombre del servicio se identifica correctamente en algunos registros, pero no en otros. En Resultados de búsqueda, vemos que parte del nombre del Adaptador de rendimiento de WMI no aparece seleccionado. El campo Resumen indica que un registro ha identificado Instalador de Módulos en lugar de Instalador de Módulos de Windows.

Captura de pantalla que muestra partes del nombre del servicio resaltadas en el panel Search Results (Resultados de la búsqueda) y un nombre de servicio incorrecto resaltado en el resumen.

Vamos a comenzar con el registro WMI Performance Adapter (Adaptador de rendimiento de WMI). Hacemos clic en el icono de edición y luego en Modify this highlight(Modificar texto resaltado).

Recorte de pantalla de la modificación del elemento resaltado.

Ampliamos la selección para que incluya la palabra WMI y ejecutamos de nuevo la extracción.

Recorte de pantalla del ejemplo adicional.

Podemos ver que las entradas de Adaptador de rendimiento WMI están corregidas y Log Analytics también usó esa información para corregir los registros de Windows Module Installer.

Captura de pantalla que muestra el nombre completo del servicio resaltado en el panel Search Results (Resultados de la búsqueda) y los nombres de servicio correctos resaltados en el resumen.

Ahora podemos ejecutar una consulta que compruebe que Service_CF se ha creado, pero aún no se ha agregado a ningún registro. Eso es porque el campo personalizado no funciona con los registros existentes, así que tenemos que esperar hasta que se recopilen registros nuevos.

Recorte de pantalla del recuento inicial.

Después de algún tiempo, se recopilan nuevos eventos y podemos ver que el campo Service_CF se agrega a los registros que coinciden con nuestros criterios.

Resultados finales

Ahora, podemos usar el campo personalizado como cualquier otra propiedad del registro. Para comprobarlo, creamos una consulta que agrupe los datos en función del nuevo campo Service_CF y que analice qué servicios son los más activos.

Recorte de pantalla de la agrupación por consulta.

Pasos siguientes