Ajouter ou supprimer des tables et des colonnes dans Azure Monitor Logs

Article
04/12/2024

Les règles de collecte de données vous permettent de filtrer et de transformer les données de journal avant d’envoyer les données à une table Azure ou à une table personnalisée. Cet article explique comment créer des tables personnalisées et comment ajouter des colonnes personnalisées à des tables de votre espace de travail Log Analytics.

Important

Chaque fois que vous mettez à jour un schéma de table, veillez à mettre à jour toutes les règles de collecte de données qui envoient des données à la table. Le schéma de table que vous définissez dans votre règle de collecte de données détermine la manière dont Azure Monitor diffuse les données vers la table de destination. Azure Monitor ne met pas à jour automatiquement les règles de collecte de données lorsque vous apportez des modifications au schéma de table.

Prérequis

Voici ce dont vous avez besoin pour créer une table personnalisée :

Un espace de travail Log Analytics dans lequel vous avez au moins des droits de contributeur.
Un point de terminaison de collecte de données (DCE).
Fichier JSON avec au moins un enregistrement d’échantillon pour votre table personnalisée. Cela ressemblera à la requête suivante :
```
[
  {
    "TimeGenerated": "supported_datetime_format",
    "<column_name_1>": "<column_name_1_value>",
    "<column_name_2>": "<column_name_2_value>"
  },
  {
    "TimeGenerated": "supported_datetime_format",
    "<column_name_1>": "<column_name_1_value>",
    "<column_name_2>": "<column_name_2_value>"
  },
  {
    "TimeGenerated": "supported_datetime_format",
    "<column_name_1>": "<column_name_1_value>",
    "<column_name_2>": "<column_name_2_value>"
  }
]
```
Toutes les tables d’un espace de travail Log Analytics doivent avoir une colonne nommée TimeGenerated. Si votre exemple de données a une colonne nommée TimeGenerated, cette valeur sera utilisée pour identifier l’heure d’ingestion de l’enregistrement. Si ce n’est pas le cas, une colonne TimeGenerated est ajoutée à la transformation dans votre DCR pour la table. Pour plus d’informations sur le format TimeGenerated, consultez les formats datetime pris en charge.

Créer une table personnalisée

Les tables Azure ont des schémas prédéfinis. Pour stocker des données de journal dans un autre schéma, utilisez des règles de collecte de données pour définir comment collecter, transformer et envoyer les données à une table personnalisée dans votre espace de travail Log Analytics.

Important

Les tables personnalisées ont un suffixe de _CL ; par exemple, tablename_CL. Le portail Azure ajoute automatiquement le suffixe _CL au nom de la table. Lorsque vous créez une table personnalisée à l’aide d’une autre méthode, vous devez ajouter vous-même le suffixe _CL. Le tablename_CL dans les propriétés DataFlows Streams de vos règles de collecte de données doit correspondre au nom tablename_CL dans l’espace de travail Log Analytics.

Remarque

Pour plus d’informations sur la création d’une table personnalisée pour les journaux que vous ingérez avec l’agent Log Analytics déprécié, également appelé MMA ou OMS, consultez Collecter des journaux texte avec l’agent Log Analytics.

Pour créer une table personnalisée dans le portail Azure :

Dans le menu Espaces de travail Log Analytics, sélectionnez Tables.
Sélectionnez Créer, puis Nouveau journal personnalisé (basé sur une règle DCR).
Indiquez un nom et, éventuellement, une description pour la nouvelle table. Vous n’avez pas besoin d’ajouter le suffixe _CL au nom de la table personnalisée. Il est ajouté automatiquement au nom que vous spécifiez dans le portail.
Sélectionnez une règle de collecte de données existante dans la liste déroulante Règle de collecte de données, ou sélectionnez Créer une règle de collecte de données et spécifiez l’abonnement, le groupe de ressources et le nom pour la nouvelle règle de collecte de données.
Sélectionnez un point de terminaison de collecte de données, puis sélectionnez Suivant.
Sélectionnez Rechercher des fichiers et recherchez le fichier JSON avec les exemples de données de votre nouvelle table.

Si vos exemples de données n’incluent pas de colonne TimeGenerated, vous recevrez un message indiquant qu’une transformation est en cours de création avec cette colonne.
Si vous souhaitez transformer des données de journal avant l’ingestion dans votre table :
1. Sélectionnez Éditeur de transformation.
  
  L’éditeur de transformation vous permet de créer une transformation pour le flux de données entrant. Il s’agit d’une requête KQL qui s’exécute sur chaque enregistrement entrant. Azure Monitor Logs stocke les résultats de la requête dans la table de destination.
2. Sélectionnez Exécuter pour afficher les résultats.
Sélectionnez Appliquer pour enregistrer la transformation et afficher le schéma de la table qui va être créée. Sélectionnez Suivant pour continuer.
Vérifiez les détails finaux, puis sélectionnez Créer pour enregistrer le journal personnalisé.

Utilisez l’API PATCH Tables - Mise à jour pour créer une table personnalisée avec le code PowerShell ci-dessous. Ce code crée une table appelée MyTable_CL qui comporte deux colonnes. Modifiez ce schéma pour collecter une autre table.

Sélectionnez le bouton Cloud Shell dans le portail Azure et vérifiez que l’environnement est défini sur PowerShell.

Copiez le code PowerShell suivant et remplacez le paramètre Chemin d’accès par les valeurs appropriées pour votre espace de travail dans la commande Invoke-AzRestMethod. Collez-le dans l’invite Cloud Shell pour l’exécuter.

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "MyTable_CL",
            "columns": [
                {
                    "name": "TimeGenerated",
                    "type": "DateTime"
                }, 
                {
                    "name": "RawData",
                    "type": "String"
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/MyTable_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Suppression d’une table

Il existe plusieurs types de tables dans les journaux Azure Monitor. Vous pouvez supprimer n’importe quelle table qui n’est pas une table Azure, mais l’impact sur les données lorsque vous supprimez la table est différent pour chaque type de table.

Pour plus d’informations, consultez Que se passe-t-il pour les données lorsque vous supprimez une table dans un espace de travail Log Analytics.

Pour supprimer une table du portail Azure :

Dans le menu Espace de travail Log Analytics, sélectionnez Tables.
Recherchez les tables à supprimer en fonction de leur nom, ou en sélectionnant Résultats de la recherche dans le champ Type.
Sélectionnez la table à supprimer, sélectionnez les points de suspension (...) à droite de la table, sélectionnez Supprimer, puis confirmez la suppression en tapant oui.

Pour supprimer une table en utilisant PowerShell :

Sélectionnez le bouton Cloud Shell dans le portail Azure et vérifiez que l’environnement est défini sur PowerShell.
Copiez le code PowerShell suivant et remplacez le paramètre Chemin d’accès par les valeurs appropriées pour votre espace de travail dans la commande Invoke-AzRestMethod. Collez-le dans l’invite Cloud Shell pour l’exécuter.
```
Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/NewCustom_CL?api-version=2021-12-01-preview" -Method DELETE
```

Ajouter ou supprimer une colonne personnalisée

Vous pouvez modifier le schéma des tables personnalisées et ajouter ou supprimer des colonnes personnalisées dans une table standard.

Notes

Les noms de colonnes doivent commencer par une lettre et peuvent comporter jusqu’à 45 caractères alphanumériques et traits de soulignement (_). _ResourceId, , id, _SubscriptionId_ResourceId, TenantId, Type, , UniqueId, et Title sont des noms de colonnes réservés.

Pour ajouter une colonne personnalisée à une table dans votre espace de travail Log Analytics ou supprimer une colonne :

Dans le menu Espaces de travail Log Analytics, sélectionnez Tables.
Sélectionnez les points de suspension (...) à droite de la table que vous souhaitez modifier, puis sélectionnez Modifier le schéma. L’écran Éditeur de schéma s’ouvre alors.
Faites défiler l’écran vers le bas jusqu’à la section Colonnes personnalisées de l’écran Éditeur de schéma.
Pour ajouter une nouvelle colonne :
1. Sélectionnez Ajouter une colonne.
2. Définissez le nom et la description (facultative) de la colonne, puis sélectionnez le type de valeur attendu dans la liste déroulante Type.
3. Sélectionnez Enregistrer pour enregistrer la nouvelle colonne.
Pour supprimer une colonne, sélectionnez l’icône Supprimer à gauche de la colonne que vous souhaitez supprimer.

Pour ajouter une nouvelle colonne à une table Azure ou personnalisée, exécutez :

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "<TableName>",
            "columns": [
                {
                    "name": ""<ColumnName>",
                    "description": "First custom column",
                    "type": "string",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/<TableName>?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

L’appel PUT retourne les propriétés de la table mise à jour, qui doivent inclure la colonne nouvellement ajoutée.

Exemple

Exécutez cette commande pour ajouter une colonne personnalisée, appelée Custom1_CF, à la table Azure Heartbeat :

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom1_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Maintenant, pour supprimer la colonne nouvellement ajoutée et en ajouter une autre à la place, exécutez :

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom2_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Pour supprimer toutes les colonnes personnalisées de la table, exécutez :

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Étapes suivantes

Pour en savoir plus :