Condividi tramite

Creare campi personalizzati in un'area di lavoro Log Analytics in Azure Monitor (Anteprima)

Importante

La creazione di nuovi campi personalizzati verrà disabilitata a partire dal 31 marzo 2023. Le funzionalità dei campi personalizzati saranno deprecate e i campi personalizzati esistenti smetteranno di funzionare entro il 31 marzo 2026. È consigliabile eseguire la migrazione alle trasformazioni in fase di inserimento per continuare ad analizzare i record di log.

Attualmente, quando si aggiunge un nuovo campo personalizzato, potrebbero essere necessari fino a 7 giorni prima che i dati inizino a essere visualizzati.

La funzionalità Campi personalizzati di Monitoraggio di Azure consente di estendere i record esistenti nell'area di lavoro Log Analytics aggiungendo campi ricercabili personalizzati. I campi personalizzati vengono popolati automaticamente dai dati estratti da altre proprietà nello stesso record.

Il diagramma mostra un record originale associato a un record modificato in un'area di lavoro Log Analytics con coppie di valori di proprietà aggiunte alla proprietà originale nel record modificato.

Ad esempio, il record di esempio seguente contiene dati utili sepolti nella descrizione dell'evento. L'estrazione di questi dati in una proprietà separata lo rende disponibile per azioni quali l'ordinamento e il filtro.

Screenshot dell'estrazione di esempio.

Annotazioni

Nell'anteprima sono limitati a 500 campi personalizzati nell'area di lavoro. Questo limite verrà espanso quando questa funzionalità raggiunge la disponibilità generale.

Creazione di un campo personalizzato

Quando si crea un campo personalizzato, Log Analytics deve comprendere quali dati usare per popolare il relativo valore. Usa una tecnologia di Microsoft Research denominata FlashExtract per identificare rapidamente questi dati. Invece di richiedere istruzioni esplicite, Azure Monitor impara dai dati che desideri estrarre esaminando gli esempi che fornisci.

Nelle sezioni seguenti viene illustrata la procedura per la creazione di un campo personalizzato. Per visualizzare una procedura dettagliata di estrazione di esempio, vedere Procedura dettagliata di esempio.

Annotazioni

Il campo personalizzato viene popolato come record corrispondenti ai criteri specificati vengono aggiunti all'area di lavoro Log Analytics, quindi verrà visualizzato solo sui record raccolti dopo la creazione del campo personalizzato. Il campo personalizzato non verrà aggiunto ai record già presenti nell'archivio dati al momento della creazione.

Passaggio 1: Identificare i record che ottengono il campo personalizzato

Il primo passaggio consiste nell'identificare i record che ottengono il campo personalizzato. Si inizia con una query di log standard e quindi si seleziona un record da usare come modello da cui Monitoraggio di Azure apprende. Quando si specifica che si stanno per estrarre dati in un campo personalizzato, viene aperto il Field Extraction Wizard, dove si convalidano e affinano i criteri.

  1. Passare a Log e usare una query per recuperare i record che ottengono il campo personalizzato.
  2. Selezionare un record che Log Analytics userà per fungere da modello per estrarre i dati per popolare il campo personalizzato. Verranno identificati i dati da estrarre da questo record e Log Analytics userà queste informazioni per determinare la logica per popolare il campo personalizzato per tutti i record simili.
  3. Fare clic con il pulsante destro del mouse sul record e selezionare Estrai campi da.
  4. La Procedura guidata di estrazione campi viene aperta e il record selezionato viene visualizzato nella colonna Esempio principale. Il campo personalizzato verrà definito per i record con gli stessi valori nelle proprietà selezionate.
  5. Se la selezione non è esattamente quella desiderata, selezionare altri campi per restringere i criteri. Per modificare i valori dei campi per i criteri, è necessario annullare e selezionare un record diverso corrispondente ai criteri desiderati.

Passaggio 2: Eseguire l'estrazione iniziale

Dopo aver identificato i record che ottengono il campo personalizzato, si identificano i dati da estrarre. Log Analytics usa queste informazioni per identificare modelli simili in record simili. Nel passaggio 3 sarà possibile convalidare i risultati e fornire altri dettagli per l'uso di Log Analytics nell'analisi.

  1. Evidenzia il testo nel record di esempio che si desidera riempire nel campo personalizzato. Verrà visualizzata una finestra di dialogo per specificare un nome e un tipo di dati per il campo e per eseguire l'estrazione iniziale. I caratteri _CF verranno aggiunti automaticamente.
  2. Fare clic su Estrai per eseguire un'analisi dei record raccolti.
  3. Le sezioni Riepilogo e Risultati ricerca visualizzano i risultati dell'estrazione in modo da poterne esaminare l'accuratezza. Riepilogo visualizza i criteri usati per identificare i record e un conteggio per ognuno dei valori di dati identificati. I risultati della ricerca forniscono un elenco dettagliato di record corrispondenti ai criteri.

Passaggio 3: Verificare l'accuratezza dell'estrazione e creare un campo personalizzato

Dopo aver eseguito l'estrazione iniziale, Log Analytics visualizzerà i risultati in base ai dati già raccolti. Se i risultati hanno un aspetto accurato, è possibile creare il campo personalizzato senza ulteriori operazioni. In caso contrario, è possibile perfezionare i risultati in modo che Log Analytics possa migliorarne la logica.

  1. Se i valori nell'estratto iniziale non sono corretti, fare clic sull'icona Modifica accanto a un record impreciso e selezionare Modifica questa evidenziazione per modificare la selezione.
  2. La voce viene copiata nella sezione Esempi aggiuntivi sotto l'esempio principale. È possibile modificare l'evidenziazione qui per consentire a Log Analytics di comprendere la selezione che dovrebbe essere stata effettuata.
  3. Fare clic su Estrai per utilizzare queste nuove informazioni per valutare tutti i record esistenti. I risultati possono essere modificati per i record diversi da quello appena modificato in base a questa nuova intelligenza.
  4. Continuare ad aggiungere correzioni fino a quando tutti i record nell'estratto identificano correttamente i dati per popolare il nuovo campo personalizzato.
  5. Fare clic su Salva estrazione quando si è soddisfatti dei risultati. Il campo personalizzato è ora definito, ma non verrà ancora aggiunto ad alcun record.
  6. Attendere che nuovi record corrispondenti ai criteri specificati vengano raccolti e quindi eseguire di nuovo la ricerca log. I nuovi record devono avere il campo personalizzato.
  7. Utilizzare il campo personalizzato come qualsiasi altra proprietà di un record. È possibile usarlo per aggregare e raggruppare i dati e usarli anche per produrre nuove informazioni dettagliate.

Rimozione di un campo personalizzato

Esistono due modi per rimuovere un campo personalizzato. La prima è l'opzione Rimuovi per ogni campo quando si visualizza l'elenco completo come descritto nel passaggio 2: Eseguire l'estrazione iniziale. L'altro metodo consiste nel recuperare un record e fare clic sul pulsante a sinistra del campo. Il menu include un'opzione per rimuovere il campo personalizzato.

Procedura dettagliata di esempio

La sezione seguente illustra un esempio completo di creazione di un campo personalizzato. In questo esempio viene estratto il nome del servizio negli eventi di Windows che indicano uno stato di modifica del servizio. Questo si basa su eventi creati da Service Control Manager durante l'avvio del sistema nei computer Windows. Se si vuole seguire questo esempio, è necessario raccogliere eventi di informazioni per il log di sistema.

Si immette la query seguente per restituire tutti gli eventi di Service Control Manager con ID evento 7036, ovvero l'evento che indica l'avvio o l'arresto di un servizio.

Screenshot che mostra una query per un'origine dell'evento e un ID.

Fare quindi clic con il pulsante destro del mouse su qualsiasi record con ID evento 7036 e selezionare Estrai campi da 'Event'.

Screenshot che mostra le opzioni Copia ed estrai campi, disponibili quando si fa clic con il pulsante destro del mouse su un record dall'elenco dei risultati.

La Creazione guidata per l'estrazione dei campi si apre con i campi EventLog e EventID selezionati nella colonna Esempio principale. Ciò indica che il campo personalizzato verrà definito per gli eventi del registro di sistema con UN ID evento 7036. Questo è sufficiente, quindi non è necessario selezionare altri campi.

Screenshot dell'esempio principale.

Il nome del servizio viene evidenziato nella proprietà RenderedDescription e viene usato Service per identificare il nome del servizio. Il campo personalizzato verrà chiamato Service_CF. Il tipo di campo in questo caso è una stringa, quindi è possibile lasciare invariato.

Screenshot del titolo del campo.

Si noterà che il nome del servizio viene identificato correttamente per alcuni record, ma non per altri. I risultati della ricerca mostrano che parte del nome per l'adattatore delle prestazioni WMI non è stata selezionata. Il riepilogo mostra che un record ha identificato Il programma di installazione dei moduli anziché Windows Modules Installer.

Screenshot che mostra parti del nome del servizio evidenziate nel riquadro Risultati ricerca e un nome di servizio non corretto evidenziato nel riepilogo.

Iniziamo con il record WMI Performance Adapter. Fare clic sull'icona di modifica e quindi su Modifica questa evidenziazione.

Screenshot della modifica evidenziata.

Aumentiamo l'evidenziazione per includere la parola WMI e poi rieseguire l'estrazione.

Lo screenshot dell'esempio aggiuntivo.

È possibile notare che le voci per l'Adattatore delle prestazioni WMI sono state corrette e Log Analytics ha utilizzato tali informazioni anche per correggere i record per Windows Module Installer.

Screenshot che mostra il nome completo del servizio evidenziato nel riquadro Risultati ricerca e i nomi di servizio corretti evidenziati nel riepilogo.

È ora possibile eseguire una query che verifica Service_CF è stata creata ma non è ancora stata aggiunta a nessun record. Questo perché il campo personalizzato non funziona con i record esistenti, quindi è necessario attendere che vengano raccolti nuovi record.

Screenshot del conteggio iniziale.

Dopo un certo periodo di tempo, vengono raccolti nuovi eventi ed è possibile visualizzare il campo Service_CF aggiunto ai record che soddisfano i criteri.

Risultati finali

È ora possibile usare il campo personalizzato come qualsiasi altra proprietà del record. Per illustrare questo problema, viene creata una query che raggruppa in base al nuovo campo Service_CF per controllare quali servizi sono i più attivi.

Screenshot del gruppo per query.

Passaggi successivi

  • Last updated on