Creare campi personalizzati in un'area di lavoro Log Analytics in Monitoraggio di Azure (anteprima)

  • Articolo

Importante

La creazione di nuovi campi personalizzati verrà disabilitata a partire dal 31 marzo 2023. Le funzionalità dei campi personalizzati saranno deprecate e i campi personalizzati esistenti smetteranno di funzionare entro il 31 marzo 2026. È consigliabile eseguire la migrazione alle trasformazioni in fase di inserimento per continuare ad analizzare i record di log.

Attualmente, quando si aggiunge un nuovo campo personalizzato, potrebbero essere necessari fino a 7 giorni prima che i dati inizino a essere visualizzati.

La funzionalità Campi personalizzati di Monitoraggio di Azure consente di estendere i record esistenti nell'area di lavoro Log Analytics aggiungendo campi ricercabili personalizzati. I campi personalizzati vengono popolati automaticamente con dati estratti da altre proprietà nello stesso record.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Il record di esempio riportato di seguito contiene dati utili nascosti nella descrizione dell'evento. L'estrazione di questi dati in una proprietà separata lo rende disponibile per azioni quali l'ordinamento e il filtro.

Screenshot of sample extract.

Nota

Nell'anteprima sono limitati a 500 campi personalizzati nell'area di lavoro. Tale limite verrà esteso con il passaggio della funzionalità alla disponibilità generale.

Creazione di un campo personalizzato

Quando si crea un campo personalizzato, è necessario specificare a Log Analytics quali dati usare per popolare il relativo valore. Per identificare rapidamente i dati viene usata la tecnologia FlashExtract di Microsoft Research. Invece di richiedere istruzioni esplicite, Monitoraggio di Azure apprende i dati da estrarre da esempi forniti.

Le sezioni seguenti illustrano la procedura per la creazione di un campo personalizzato. Alla fine di questo articolo è disponibile una procedura dettagliata per l'estrazione di un campione.

Nota

Il campo personalizzato viene popolato come record corrispondenti ai criteri specificati vengono aggiunti all'area di lavoro Log Analytics, quindi verrà visualizzato solo sui record raccolti dopo la creazione del campo personalizzato. Il campo personalizzato non viene aggiunto ai record già presenti nell'archivio al momento della creazione.

Passaggio 1: Identificare i record che avranno il campo personalizzato

Il primo passaggio consiste nell'identificare i record che conterranno il campo personalizzato. Si inizia con una query di log standard e quindi si seleziona un record da usare come modello da cui Verrà appreso Monitoraggio di Azure. Quando si specifica l'intenzione di estrarre i dati in un campo personalizzato, viene aperta l' estrazione guidata campi che permette di convalidare e affinare i criteri.

  1. Passare a Log e usare una query per recuperare i record che avranno il campo personalizzato.
  2. Selezionare un record che Log Analytics possa usare come modello per l'estrazione dei dati con cui popolare il campo personalizzato. Identificare i dati da estrarre da questo record. Log Analytics userà queste informazioni per determinare la logica in base alla quale popolare il campo personalizzato per tutti i record simili.
  3. Fare clic con il pulsante destro del mouse sul record e selezionare Estrai campi da.
  4. Viene aperta l'estrazione guidata campi e il record selezionato viene visualizzato nella colonna Esempio principale. Viene definito il campo personalizzato per i record con gli stessi valori delle proprietà selezionate.
  5. Se la selezione non corrisponde esattamente al previsto, selezionare campi aggiuntivi per limitare i criteri. Per modificare i valori dei campi per i criteri, è necessario annullare e selezionare un altro record corrispondente ai criteri scelti.

Passaggio 2: Eseguire l'estrazione iniziale.

Dopo aver identificato i record che conterranno il campo personalizzato, occorre identificare i dati da estrarre. Log Analytics usa queste informazioni per identificare schemi analoghi in record simili. Nel passaggio successivo sarà possibile convalidare i risultati e fornire altri dettagli che Log Analytics potrà usare nell'analisi.

  1. Nel record di esempio evidenziare il testo con cui popolare il campo personalizzato. Verrà visualizzata una finestra di dialogo per specificare un nome e un tipo di dati per il campo e per eseguire l'estrazione iniziale. I caratteri _CF verranno aggiunti automaticamente.
  2. Fare clic su Extract per eseguire un'analisi dei record raccolti.
  3. Le sezioni Riepilogo e Risultati della ricerca visualizzano i risultati dell'estrazione e consentono di verificarne l'accuratezza. Summary visualizza i criteri usati per identificare i record e un conteggio per ciascuno dei valori di dati identificati. Search Results contiene un elenco dettagliato dei record corrispondenti ai criteri.

Passaggio 3: Verificare l'accuratezza dell'estrazione e creare un campo personalizzato

Dopo aver eseguito l'estrazione iniziale, Log Analytics ne visualizza i risultati in base ai dati già raccolti. Se i risultati sono accurati è possibile creare direttamente il campo personalizzato. In caso contrario, è possibile limitare i risultati per permettere a Log Analytics di migliorare la logica.

  1. Se i valori dell'estrazione iniziale non sono corretti, fare clic sull'icona di modifica accanto a un record non corretto e selezionare Modifica questa evidenziazione per modificare la selezione.
  2. La voce viene copiata nella sezione Esempi aggiuntivi sotto Esempio principale. È possibile regolare l'evidenziazione per permettere a Log Analytics di comprendere cosa avrebbe dovuto selezionare.
  3. Fare clic su Extract per usare le nuove informazioni per valutare tutti i record esistenti. È possibile modificare i risultati per i record diversi da quello appena modificato in base alle nuove informazioni.
  4. Continuare ad aggiungere correzioni fino a quando tutti i record nell'estrazione non identificano correttamente i dati con cui popolare il nuovo campo personalizzato.
  5. Quando il risultato è soddisfacente, fare clic su Save extract . Il campo personalizzato è ora definito, ma non viene ancora aggiunto ai record.
  6. Attendere che vengano raccolti nuovi record corrispondenti ai criteri specificati ed eseguire nuovamente la ricerca nei log. I nuovi record ora includono il campo personalizzato.
  7. Il campo personalizzato può essere usato come le altre proprietà del record, ad esempio per aggregare e raggruppare dati, ma anche per produrre nuove informazioni dettagliate.

Rimozione di un campo personalizzato

Per rimuovere un campo personalizzato è possibile procedere in due modi. Il primo consiste nel selezionare l'opzione Remove per ogni campo quando si visualizza l'elenco completo, come descritto in precedenza. Il secondo metodo consiste nel recuperare un record e fare clic sul pulsante a sinistra del campo. Sarà disponibile un'opzione di menu per rimuovere il campo personalizzato.

Procedura dettagliata di esempio

La sezione seguente descrive un esempio completo di creazione di un campo personalizzato. L'esempio estrae il nome del servizio dagli eventi Windows che indicano la modifica dello stato di un servizio. Questo si basa su eventi creati da Service Control Manager durante l'avvio del sistema nei computer Windows. Per seguire questo esempio, è necessario eseguire la raccolta di eventi informativi per il registro di sistema.

Immettere la query seguente per restituire tutti gli eventi di Gestione controllo servizi con ID evento 7036, ovvero l'evento che indica l'avvio o l'arresto di un servizio.

Screenshot showing a query for an event source and ID.

Fare quindi clic con il pulsante destro del mouse su qualsiasi record con ID evento 7036 e selezionare Estrai campi da 'Event'.

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

Viene visualizzata la Creazione guidata estrazione campi con i campi EventLog e EventID selezionati nella colonna Esempio principale. Questo indica che il campo personalizzato verrà definito per gli eventi del registro di sistema con ID evento 7036. Ciò è sufficiente e non è necessario selezionare altri campi.

Screenshot of main example.

Evidenziare il nome del servizio nella proprietà RenderedDescription e usare Service per identificare il nome del servizio. Il campo personalizzato sarà denominato Service_CF. Il tipo di campo in questo caso è una stringa, quindi è possibile lasciare invariato.

Screenshot of Field Title.

Si noti che il nome del servizio viene identificato in modo corretto per alcuni record ma non per altri. I risultati della ricerca mostrano che parte del nome di Scheda delle prestazioni WMI non è stato selezionato. Il riepilogo mostra che un record ha identificato Il programma di installazione dei moduli anziché Windows Modules Installer.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

Iniziare dal record della scheda delle prestazioni WMI . Fare clic sulla relativa icona di modifica e quindi su Modify this highlight.

Screenshot of modify highlight.

Espandere l'evidenziazione per includere la parola WMI e quindi eseguire di nuovo l'estrazione.

Screenshot of additional example.

Ora le voci relative a Scheda delle prestazioni WMI risultano corrette e Log Analytics ha anche usato tali informazioni per correggere i record relativi a Programma di installazione dei moduli di Windows.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

È ora possibile eseguire una query che verifica Service_CF viene creata ma non è ancora stata aggiunta ad alcun record. Questo perché il campo personalizzato non funziona con i record esistenti, quindi è necessario attendere che vengano raccolti nuovi record.

Screenshot of initial count.

Dopo un periodo di tempo in cui vengono raccolti nuovi eventi, il campo Service_CF viene ora aggiunto ai record che corrispondono ai criteri specificati.

Final results

Ora il campo personalizzato può essere usato come le altre proprietà del record. Per illustrare questo concetto, viene creata una query che raggruppa in base al nuovo campo Service_CF per verificare quali sono i servizi più attivi.

Screenshot of group by query.

Passaggi successivi

  • Informazioni sulle query di log per compilare query usando campi personalizzati per i criteri.
  • Monitorare i file di log personalizzati analizzati usando campi personalizzati.