Share via

Oktatóanyag: Szövegnaplók átalakítása az Azure Monitor-naplók betöltése során

  • Cikk

A betöltési idő átalakításával szűrheti vagy módosíthatja a bejövő adatokat, mielőtt azokat egy Log Analytics-munkaterületen tárolaná. Ez a cikk bemutatja, hogyan írhat olyan KQL-lekérdezést, amely átalakítja a szöveges napló adatait, és hogyan adja hozzá az átalakítást egy adatgyűjtési szabályhoz.

Az itt ismertetett eljárás feltételezi, hogy már betöltött néhány adatot egy szövegfájlból, ahogyan azt az Azure Monitor-ügynökkel végzett szöveges naplók összegyűjtése című cikk ismerteti. Ebben az oktatóanyagban a következőket fogja elkönyvelni:

  1. KQL-lekérdezés írása a betöltött adatok átalakításához.
  2. Módosítsa a céltábla sémáját.
  3. Adja hozzá az átalakítást az adatgyűjtési szabályhoz.
  4. Ellenőrizze, hogy az átalakítás megfelelően működik-e.

Előfeltételek

Az eljárás elvégzéséhez a következőkre van szüksége:

  • Log Analytics-munkaterület, ahol legalább közreműködői jogosultságokkal rendelkezik.
  • Adatgyűjtési szabály, adatgyűjtési végpont és egyéni tábla, az Azure Monitor-ügynökkel végzett szöveges naplók összegyűjtése című szakaszban leírtak szerint.
  • Virtuálisgép-, virtuálisgép-méretezési csoport vagy Arc-kompatibilis helyszíni kiszolgáló, amely naplókat ír egy szövegfájlba. Szövegfájlra vonatkozó követelmények:
    • Tárolja annak a gépnek a helyi meghajtóján, amelyen az Azure Monitor Agent fut.
    • Vonalvégzéssel határos.
    • ASCII vagy UTF-8 kódolást használjon. Más formátumok, például az UTF-16 nem támogatottak.
    • Ne engedélyezze a körkörös naplózást, a naplóforgatást, ahol a fájl új bejegyzésekkel van felülírva, vagy ne nevezze át a fájl áthelyezésének helyét, és ne nyisson meg egy azonos nevű új fájlt.

KQL-lekérdezés írása a betöltött adatok átalakításához

  1. Az adatok megtekintése a cél egyéni táblában a Log Analyticsben:

    1. Az Azure Portalon válassza ki a Log Analytics-munkaterületek> logjait>.
    2. Futtasson egy egyszerű lekérdezést az egyéni naplók táblájában a táblaadatok megtekintéséhez.

  2. A lekérdezési ablakban olyan lekérdezést írhat és tesztelhet, amely átalakítja a tábla nyers adatait.

    Az átalakításokat támogató KQL-operátorokkal kapcsolatos információkért lásd az Átalakítás struktúrája az Azure Monitorban című témakört.

    Feljegyzés

    Az átalakítások csak a TimeGenerated és a RawData oszlopokkal alkalmazhatók. A rendszer az átalakítás után automatikusan hozzáad más oszlopokat a táblához, és az átalakításkor nem érhető el. A _ResourceId oszlop nem használható az átalakítás során.

    Példa

    A minta alapszintű KQL-operátorokkal elemzi az RawData oszlopban lévő adatokat három új oszlopba, az úgynevezett Time Ingested, RecordNumberés RandomContent:

    • Az extend operátor új oszlopokat ad hozzá.
    • Az project operátor úgy formázja a kimenetet, hogy megfeleljen a céltábla sémájának oszlopainak:
    MyTable_CL
| extend d=todynamic(RawData)  
| project TimeGenerated,TimeIngested=tostring(d.Time), 
RecordNumber=tostring(d.RecordNumber), 
RandomContent=tostring(d.RandomContent), 
RawData

    Feljegyzés

    A táblaadatok ily módon történő lekérdezése valójában nem módosítja a táblában lévő adatokat. Az Azure Monitor az adatbetöltési folyamatban alkalmazza az átalakítást, miután hozzáadta az átalakítási lekérdezést az adatgyűjtési szabályhoz.

  3. Formázza a lekérdezést egyetlen sorba, és cserélje le a tábla nevét a lekérdezés első sorában a szóra source.

    Példa:

    source | extend d=todynamic(RawData) | project TimeGenerated,TimeIngested=tostring(d.Time),RecordNumber=tostring(d.RecordNumber), RandomContent=tostring(d.RandomContent), RawData

  4. Másolja ki a formázott lekérdezést, hogy beilleszthesse az adatgyűjtési szabály konfigurációjába.

Módosítsa az egyéni táblát úgy, hogy az új oszlopokat is tartalmazza

Adjon hozzá vagy töröljön oszlopokat az egyéni táblában az átalakítási lekérdezés alapján.

A fenti átalakítási példa lekérdezés három új típusú stringoszlopot ad hozzá:

  • TimeIngested
  • RecordNumber
  • RandomContent

Az átalakítás támogatásához adja hozzá ezt a három új oszlopot az egyéni táblához.

Képernyőkép a Sémaszerkesztő panelről, amelyen a TimeIngested, a RecordNumber és a RandomContent oszlop van definiálva.

Az átalakítás alkalmazása az adatgyűjtési szabályra

  1. A Figyelés menüben válassza az adatgyűjtési szabály adatgyűjtési szabályait>.

  2. > Válassza ki az adatforrás adatforrásait.

  3. Illessze be a formázott átalakítási lekérdezést az Adatforrás hozzáadása képernyő Adatforrás lapJának Átalakítás mezőjébe.

  4. Válassza a Mentés lehetőséget.

    Képernyőkép az Adatforrások hozzáadása panelről az Átalakítás mező kiemelésével.

Ellenőrizze, hogy az átalakítás működik-e

Tekintse meg a cél egyéni táblában lévő adatokat, és ellenőrizze, hogy az adatok megfelelően lettek-e betöltve a módosított táblába:

  1. Az Azure Portalon válassza ki a Log Analytics-munkaterületek> logjait>.
  2. Futtasson egy egyszerű lekérdezést az egyéni naplók táblájában a táblaadatok megtekintéséhez.

Következő lépések

További információk: