Bagikan melalui

Membuat kolom kustom di ruang kerja Log Analytics pada Azure Monitor (Pratinjau)

Penting

Pembuatan bidang kustom baru akan dinonaktifkan mulai 31 Maret 2023. Fungsionalitas bidang kustom tidak akan digunakan lagi, dan bidang kustom yang ada akan berhenti berfungsi pada 31 Maret 2026. Anda harus bermigrasi ke transformasi waktu penyerapan untuk terus mengurai catatan log Anda.

Saat ini, saat Anda menambahkan bidang kustom baru, mungkin perlu waktu hingga 7 hari sebelum data mulai muncul.

Fitur Bidang Kustom Azure Monitor memungkinkan Anda memperluas rekaman yang ada di ruang kerja Analitik Log dengan menambahkan bidang yang dapat dicari Sendiri. Bidang kustom secara otomatis diisi dari data yang diekstrak dari properti lain dalam rekaman yang sama.

Diagram memperlihatkan rekaman asli yang terkait dengan rekaman yang dimodifikasi di ruang kerja Analitik Log dengan pasangan nilai properti ditambahkan ke properti asli dalam rekaman yang dimodifikasi.

Misalnya, rekaman sampel berikut memiliki data yang berguna yang terkubur dalam deskripsi peristiwa. Mengekstrak data ini ke dalam properti terpisah membuatnya tersedia untuk tindakan seperti pengurutan dan pemfilteran.

Cuplikan layar ekstrak sampel.

Nota

Di Pratinjau, Anda dibatasi hingga 500 bidang kustom di ruang kerja Anda. Batas ini akan diperluas ketika fitur ini mencapai ketersediaan umum.

Membuat bidang kustom

Saat Anda membuat bidang kustom, Analitik Log harus memahami data mana yang akan digunakan untuk mengisi nilainya. Ini menggunakan teknologi dari Microsoft Research yang disebut FlashExtract untuk mengidentifikasi data ini dengan cepat. Daripada mengharuskan Anda memberikan instruksi eksplisit, Azure Monitor mempelajari tentang data yang ingin Anda ekstrak dari contoh yang Anda berikan.

Bagian berikut ini menyediakan prosedur untuk membuat bidang kustom. Untuk melihat panduan ekstraksi sampel, buka Panduan sampel.

Nota

Bidang kustom diisi sebagai rekaman yang cocok dengan kriteria yang ditentukan ditambahkan ke ruang kerja Analitik Log, sehingga hanya akan muncul pada rekaman yang dikumpulkan setelah bidang kustom dibuat. Bidang kustom tidak akan ditambahkan ke rekaman yang sudah ada di penyimpanan data saat dibuat.

Langkah 1: Identifikasi rekaman yang memiliki bidang kustom

Langkah pertama adalah mengidentifikasi rekaman yang mendapatkan bidang kustom. Anda mulai dengan kueri log standar lalu memilih rekaman untuk bertindak sebagai model yang dipelajari Azure Monitor. Saat Anda menentukan bahwa Anda akan mengekstrak data ke dalam bidang khusus, Asisten Ekstraksi Bidang akan dibuka di mana Anda dapat memvalidasi dan menyempurnakan kriteria tersebut.

  1. Buka Log dan gunakan kueri untuk mengambil rekaman yang memiliki bidang kustom.
  2. Pilih rekaman yang akan digunakan Log Analytics untuk bertindak sebagai model untuk mengekstrak data untuk mengisi bidang kustom. Anda akan mengidentifikasi data yang ingin Anda ekstrak dari rekaman ini, dan Analitik Log akan menggunakan informasi ini untuk menentukan logika mengisi bidang kustom untuk semua rekaman serupa.
  3. Klik kanan pada catatan, lalu pilih Ekstrak bidang dari.
  4. Wizard Ekstraksi Bidang telah dibuka, dan rekaman yang Anda pilih terlihat di kolom Contoh Utama. Bidang kustom akan ditentukan untuk rekaman tersebut dengan nilai yang sama dalam properti yang dipilih.
  5. Jika pilihan tidak persis seperti yang Anda inginkan, pilih bidang lainnya untuk mempersempit kriteria. Untuk mengubah nilai bidang untuk kriteria, Anda harus membatalkan dan memilih rekaman lain yang cocok dengan kriteria yang Anda inginkan.

Langkah 2: Lakukan ekstrak awal

Setelah mengidentifikasi rekaman yang mendapatkan bidang kustom, Anda mengidentifikasi data yang ingin Anda ekstrak. Analitik Log menggunakan informasi ini untuk mengidentifikasi pola serupa dalam rekaman serupa. Di Langkah 3, Anda akan dapat memvalidasi hasilnya dan memberikan detail lebih lanjut agar Log Analytics dapat digunakan dalam analisisnya.

  1. Sorot teks dalam rekaman sampel yang ingin Anda isi bidang kustomnya. Anda kemudian akan disajikan dengan kotak dialog untuk menyediakan nama dan jenis data untuk bidang dan untuk melakukan ekstrak awal. Karakter _CF akan ditambahkan secara otomatis.
  2. Klik Ekstrak untuk melakukan analisis rekaman yang dikumpulkan.
  3. Bagian Ringkasan dan Hasil Pencarian menampilkan hasil ekstrak sehingga Anda dapat memeriksa akurasinya. Ringkasan menampilkan kriteria yang digunakan untuk mengidentifikasi rekaman dan hitungan untuk setiap nilai data yang diidentifikasi. Hasil Pencarian menyediakan daftar rekaman terperinci yang cocok dengan kriteria.

Langkah 3: Verifikasi akurasi ekstrak dan buat bidang kustom

Setelah Anda melakukan ekstrak awal, Log Analytics akan menampilkan hasilnya berdasarkan data yang telah dikumpulkan. Jika hasilnya terlihat akurat, Anda dapat membuat bidang kustom tanpa pekerjaan lebih lanjut. Jika tidak, Anda dapat menyempurnakan hasilnya sehingga Log Analytics dapat meningkatkan logikanya.

  1. Jika ada nilai dalam ekstrak awal yang tidak benar, klik ikon Edit di samping rekaman yang tidak akurat dan pilih Ubah sorotan ini untuk mengubah pilihan.
  2. Entri disalin ke bagian Contoh tambahan di bawah Contoh Utama. Anda dapat menyesuaikan sorotan di sini untuk membantu Log Analytics memahami pilihan yang seharusnya dibuat.
  3. Klik Ekstrak untuk menggunakan informasi baru ini untuk mengevaluasi semua rekaman yang ada. Hasilnya dapat dimodifikasi untuk catatan selain yang baru saja Anda ubah berdasarkan informasi baru ini.
  4. Terus tambahkan koreksi hingga semua rekaman dalam ekstrak mengidentifikasi data dengan benar untuk mengisi bidang kustom baru.
  5. Klik Simpan Ekstrak saat Anda puas dengan hasilnya. Bidang kustom sekarang ditentukan, tetapi belum akan ditambahkan ke rekaman apa pun.
  6. Tunggu rekaman baru yang cocok dengan kriteria yang ditentukan untuk dikumpulkan lalu jalankan pencarian log lagi. Rekaman baru harus memiliki kolom kustom.
  7. Gunakan bidang kustom seperti properti rekaman lainnya. Anda dapat menggunakannya untuk menggabungkan dan mengelompokkan data dan bahkan menggunakannya untuk menghasilkan wawasan baru.

Menghapus bidang kustom

Ada dua cara untuk menghapus bidang kustom. Yang pertama adalah opsi Hapus untuk setiap bidang saat menampilkan daftar lengkap seperti yang dijelaskan di Langkah 2: Lakukan ekstrak awal. Metode lainnya adalah mengambil rekaman dan mengklik tombol di sebelah kiri bidang. Menu memiliki opsi untuk menghapus bidang kustom.

Panduan langkah demi langkah sampel

Bagian berikut ini menjelaskan sebuah contoh lengkap pembuatan kolom kustom. Contoh ini mengekstrak nama layanan dalam peristiwa Windows yang menunjukkan status perubahan layanan. Ini bergantung pada peristiwa yang dibuat oleh Service Control Manager selama startup sistem pada komputer Windows. Jika Anda ingin mengikuti contoh ini, Anda harus mengumpulkan peristiwa Informasi untuk log Sistem.

Kami memasukkan kueri berikut untuk mengembalikan semua peristiwa dari Service Control Manager yang memiliki ID Peristiwa 7036 yang merupakan peristiwa yang menunjukkan layanan dimulai atau dihentikan.

Cuplikan layar memperlihatkan kueri untuk sumber peristiwa dan ID.

Kami kemudian mengklik kanan pada rekaman apa pun dengan ID kejadian 7036 dan memilih Ekstrak kolom dari 'Event'.

Cuplikan layar memperlihatkan opsi Salin dan Ekstrak bidang, yang tersedia saat Anda mengklik kanan rekaman dari daftar hasil.

Wizard Ekstraksi Bidang dibuka dengan bidang EventLog dan EventID yang dipilih di kolom Contoh Utama. Ini menunjukkan bahwa bidang kustom akan ditentukan untuk peristiwa dari log Sistem dengan ID peristiwa 7036. Ini cukup sehingga kita tidak perlu memilih bidang lain.

Cuplikan layar contoh utama.

Kami menyoroti nama layanan di properti RenderedDescription dan menggunakan Layanan untuk mengidentifikasi nama layanan. Bidang kustom akan disebut Service_CF. Jenis bidang dalam kasus ini adalah string, sehingga kita dapat membiarkannya tidak berubah.

Cuplikan layar Judul Bidang.

Kami melihat bahwa nama layanan diidentifikasi dengan benar untuk beberapa catatan tetapi tidak untuk yang lain. Hasil Pencarian menunjukkan bahwa bagian dari nama untuk Adaptor Performa WMI tidak dipilih. Ringkasan menunjukkan bahwa satu catatan mengidentifikasi penginstal Modul, bukannya Penginstal Modul Windows.

Cuplikan layar memperlihatkan bagian nama layanan yang disorot di panel Hasil Pencarian dan satu nama layanan yang salah disorot dalam Ringkasan.

Kita mulai dengan catatan Adaptor Performa WMI . Kami mengklik ikon editnya lalu Mengubah sorotan ini.

Cuplikan layar sorotan yang telah dimodifikasi.

Kami meningkatkan sorotan untuk menyertakan kata WMI dan kemudian menjalankan kembali ekstrak.

Cuplikan layar contoh tambahan.

Kita dapat melihat bahwa entri untuk Adaptor Performa WMI dikoreksi, dan Analitik Log juga menggunakan informasi tersebut untuk memperbaiki rekaman untuk Penginstal Modul Windows.

Cuplikan layar memperlihatkan nama layanan lengkap yang disorot di panel Hasil Pencarian dan nama layanan yang benar disorot dalam Ringkasan.

Kita sekarang dapat menjalankan kueri yang memverifikasi Service_CF dibuat tetapi belum ditambahkan ke rekaman apa pun. Itu karena bidang kustom tidak berfungsi terhadap rekaman yang ada sehingga kita perlu menunggu rekaman baru dikumpulkan.

Cuplikan layar jumlah awal.

Setelah beberapa waktu, peristiwa baru dikumpulkan dan kita dapat melihat bidang Service_CF ditambahkan ke rekaman yang sesuai dengan kriteria kita.

Hasil akhir

Kita sekarang dapat menggunakan bidang kustom seperti properti rekaman lainnya. Untuk mengilustrasikan hal ini, kami membuat kueri yang dikelompokkan menurut bidang Service_CF baru untuk memeriksa layanan mana yang paling aktif.

Cuplikan layar pengelompokan berdasarkan kueri.

Langkah selanjutnya

  • Pelajari tentang kueri log untuk membuat kueri menggunakan bidang kustom untuk kriteria.
  • Pantau file log kustom yang Anda uraikan menggunakan bidang kustom.
  • Last updated on