Oktatóanyag: Átalakítás hozzáadása munkaterületi adatgyűjtési szabályhoz az Azure Portal használatával

Ez az oktatóanyag végigvezeti egy mintaátalakítás konfigurációján egy munkaterületi adatgyűjtési szabályban (DCR) az Azure Portal használatával. Az Azure Monitor átalakításaival szűrheti vagy módosíthatja a bejövő adatokat, mielőtt elküldené őket a célhelyre. A munkaterület-átalakítások támogatják az Azure Monitor adatbetöltési folyamatát még nem használó munkafolyamatok betöltési idejének átalakítását.

A munkaterület-átalakítások a munkaterület egyetlen DCR-jében vannak tárolva, amelyet munkaterületi DCR-nek neveznek. Minden átalakítás egy adott táblához van társítva. Az átalakítás minden olyan munkafolyamatból, amely nem DCR-t használ, alkalmazza az átalakítást a táblába küldött összes adatra.

Megjegyzés:

Ez az oktatóanyag az Azure Portal használatával konfigurál egy munkaterület-átalakítást. Az Azure Resource Manager-sablonokat és a REST API-t használó oktatóanyagot a következő oktatóanyagban tekintheti meg: Átalakítás hozzáadása a munkaterület adatgyűjtési szabályában az Azure Monitorhoz Resource Manager-sablonok használatával.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Munkaterület-átalakítás konfigurálása egy Log Analytics-munkaterület tábláihoz.
  • Napló lekérdezés írása munkaterület-átalakításhoz.

Előfeltételek

Az oktatóanyag elvégzéséhez a következőkre lesz szüksége:

Az oktatóanyag áttekintése

Ebben az oktatóanyagban bizonyos rekordok szűrésével csökkentheti a LAQueryLogs tábla tárolási követelményeit. Az oszlop tartalmát is eltávolítja, miközben elemzi az oszlopadatokat, hogy egy adatrészletet egy egyéni oszlopban tároljon. A LAQueryLogs tábla akkor jön létre, ha engedélyezi a napló lekérdezésének naplózását egy munkaterületen. Ugyanezzel az alapfolyamattal hozhat létre átalakítást a Log Analytics-munkaterületek bármely támogatott táblája számára.

Ez az oktatóanyag az Azure Portalt használja, amely egy varázslóval végigvezeti a betöltési idejű átalakítás létrehozásának folyamatán. A lépések elvégzése után megjelenik a varázsló:

  • Frissítések a táblasémát a lekérdezés többi oszlopával.
  • Létrehoz egy WorkspaceTransforms DCR-t, és csatolja a munkaterülethez, ha egy alapértelmezett DCR még nincs csatolva a munkaterülethez.
  • Betöltési idejű átalakítást hoz létre, és hozzáadja a DCR-hez.

Lekérdezési naplózási naplók engedélyezése

Engedélyeznie kell a lekérdezések naplózását a munkaterületen ahhoz, hogy létrehozhassa azt a LAQueryLogs táblát, amellyel dolgozni fog. Ez a lépés nem szükséges minden betöltési idő átalakításhoz. Csak azokat a mintaadatokat kell létrehoznia, amelyekkel dolgozni fogunk.

  1. Az Azure Portal Log Analytics-munkaterületek menüjében válassza a Diagnosztikai beállítások diagnosztikai beállítás>hozzáadása lehetőséget.

    Screenshot that shows diagnostic settings.

  2. Adja meg a diagnosztikai beállítás nevét. Jelölje ki a munkaterületet, hogy a naplózási adatok ugyanabban a munkaterületen tárolódnak. Válassza a Naplózás kategóriát, majd a Mentés gombra kattintva mentse a diagnosztikai beállítást, és zárja be a Diagnosztikai beállítás lapot.

    Screenshot that shows the new diagnostic setting.

  3. Válassza a Naplók lehetőséget, majd futtasson néhány lekérdezést, hogy feltöltsön LAQueryLogs néhány adatot. Ezeknek a lekérdezéseknek nem kell visszaadnia az auditnaplóhoz hozzáadandó adatokat.

    Screenshot that shows sample log queries.

Átalakítás hozzáadása a táblához

A tábla létrehozása után létrehozhatja az átalakítást.

  1. Az Azure Portal Log Analytics-munkaterületek menüjében válassza a Táblák lehetőséget. Keresse meg a táblát, és válassza az LAQueryLogs Átalakítás létrehozása lehetőséget.

    Screenshot that shows creating a new transformation.

  2. Mivel ez az átalakítás az első a munkaterületen, létre kell hoznia egy munkaterület-átalakítási DCR-t. Ha más táblákhoz hoz létre átalakításokat ugyanabban a munkaterületen, azokat ugyanabban a DCR-ben tárolja a rendszer. Válassza az Új adatgyűjtési szabály létrehozása lehetőséget. Az előfizetés és az erőforráscsoport már ki lesz töltve a munkaterülethez. Adja meg a DCR nevét, és válassza a Kész lehetőséget.

    Screenshot that shows creating a new data collection rule.

  3. Kattintson a Tovább gombra a mintaadatok táblázatból való megtekintéséhez. Az átalakítás definiálása során az eredmény a mintaadatokra lesz alkalmazva. Ezért a tényleges adatokra való alkalmazás előtt kiértékelheti az eredményeket. Az átalakítás definiálásához válassza az Átalakítás szerkesztőt .

    Screenshot that shows sample data from the log table.

  4. Az átalakítási szerkesztőben láthatja azt az átalakítást, amely az adatokra a táblázatba való betöltés előtt lesz alkalmazva. A bejövő adatokat egy virtuális sourcetábla jelöli, amelynek oszlopkészlete megegyezik a céltáblával. Az átalakítás kezdetben egy egyszerű lekérdezést tartalmaz, amely módosítás nélkül adja vissza a source táblát.

  5. Módosítsa a lekérdezést a következő példára:

    source
    | where QueryText !contains 'LAQueryLogs'
    | extend Context = parse_json(RequestContext)
    | extend Workspace_CF = tostring(Context['workspaces'][0])
    | project-away RequestContext, Context
    

    A módosítás a következő módosításokat hajtja végre:

    • A tábla lekérdezéséhez kapcsolódó sorokat a LAQueryLogs rendszer elvetette, hogy helyet takarítson meg, mert ezek a naplóbejegyzések nem hasznosak.
    • A lekérdezett munkaterület nevének oszlopa lett hozzáadva.
    • A rendszer eltávolította az RequestContext oszlopból származó adatokat, hogy helyet takarítson meg.

    Megjegyzés:

    Az Azure Portal használatával az átalakítás kimenete szükség esetén a táblaséma módosítását fogja kezdeményezni. Az oszlopok hozzáadva lesznek az átalakítási kimenethez, ha még nem léteznek. Győződjön meg arról, hogy a kimenet nem tartalmaz olyan oszlopokat, amelyeket nem szeretne hozzáadni a táblához. Ha a kimenet nem tartalmaz olyan oszlopokat, amelyek már szerepelnek a táblában, ezek az oszlopok nem lesznek eltávolítva, de az adatok nem lesznek hozzáadva.

    A beépített táblához hozzáadott egyéni oszlopoknak a következővel _CFkell végződniük: . Az egyéni táblához hozzáadott oszlopoknak nem kell ezt az utótagot megadniuk. Az egyéni táblák neve végződik a következővel _CL: .

  6. Másolja a lekérdezést az átalakítási szerkesztőbe, és válassza a Futtatás lehetőséget a mintaadatok eredményeinek megtekintéséhez. Ellenőrizheti, hogy az új Workspace_CF oszlop szerepel-e a lekérdezésben.

    Screenshot that shows the transformation editor.

  7. Az átalakítás mentéséhez kattintson az Alkalmaz gombra, majd a Tovább gombra a konfiguráció áttekintéséhez. A Létrehozás gombra kattintva frissítheti a DCR-t az új átalakítással.

    Screenshot that shows saving the transformation.

Az átalakítás tesztelése

Az átalakítás érvénybe lépése körülbelül 30 percet vesz igénybe, majd egy lekérdezés táblán való futtatásával teszteli azt. Csak az átalakítás alkalmazása után a táblába küldött adatok lesznek hatással.

Ebben az oktatóanyagban futtasson néhány minta lekérdezést, hogy adatokat küldjön a LAQueryLogs táblába. Adjon hozzá néhány lekérdezést LAQueryLogs , hogy ellenőrizze, hogy az átalakítás szűri-e ezeket a rekordokat. Most a kimenet az új Workspace_CF oszlopot tartalmazza, és nincsenek rekordok a következőhöz LAQueryLogs: .

Hibaelhárítás

Ez a szakasz a különböző hibaüzeneteket ismerteti, és ismerteti, hogyan javíthatja ki őket.

Az IntelliSense a Log Analyticsben nem ismeri fel a tábla új oszlopait

Az IntelliSense-t meghajtó gyorsítótár frissítése akár 24 órát is igénybe vehet.

Nem működik az átalakítás dinamikus oszlopon

Egy ismert probléma jelenleg a dinamikus oszlopokat érinti. Az ideiglenes áthidaló megoldás a dinamikus oszlopadatok explicit elemzése, parse_json() mielőtt bármilyen műveletet végrehajtanak rajtuk.

Következő lépések