Zelfstudie: Aangepaste velden in Log Analytics-werkruimte vervangen door aangepaste kolommen op basis van KQL
Aangepaste velden zijn een functie van Azure Monitor waarmee u gegevens uit een afzonderlijke kolom uit een andere tekstkolom van dezelfde tabel kunt extraheren. Het maken van nieuwe aangepaste velden wordt vanaf 31 maart 2023 uitgeschakeld. De functionaliteit voor aangepaste velden wordt afgeschaft en bestaande aangepaste velden werken niet meer op 31 maart 2026.
Er zijn verschillende voordelen voor het gebruik van op DCR gebaseerde opnametijdtransformaties om hetzelfde resultaat te bereiken:
- U kunt een volledige set tekenreeksfuncties toepassen om uw aangepaste kolommen vorm te geven.
- U kunt meerdere bewerkingen toepassen op dezelfde gegevens. Pak bijvoorbeeld een deel van een waarde uit een afzonderlijke kolom en verwijder de oorspronkelijke kolom.
- U kunt opnametijdtransformaties in uw ARM-sjablonen gebruiken om aangepaste kolommen op schaal te implementeren.
Met de introductie van regels voor gegevensverzameling (DCR) zijn transformaties op basis van KQL de standaardmethode voor het aanpassen van tabellen, waarbij verouderde aangepaste velden worden vervangen.
In deze zelfstudie leert u het volgende:
- Aangepaste velden zoeken waarvoor vervanging is vereist
- Inzicht in de inhoud van de aangepaste velden
- Opnametijdtransformatie instellen om aangepaste velden in de tabel te vervangen
Vereisten
- Log Analytics-werkruimte met een tabel met aangepaste velden
- Voldoende accountbevoegdheden voor het maken en wijzigen van regels voor gegevensverzameling (DCR)
Aangepaste velden zoeken voor vervanging
Begin met het zoeken naar aangepaste velden die u wilt vervangen. Als u de aangepaste velden die u wilt vervangen al kent, gaat u verder met de volgende stap.
Navigeer naar de Log Analytics-werkruimte waar de tabel met aangepaste velden zich bevindt.
Selecteer Tabellen in het zijmenu. Selecteer Tabel beheren in het contextmenu voor de tabel.
Houd er rekening mee dat eventuele regels voor gegevensverzameling (DCR's) zijn gekoppeld aan een bepaalde tabel.
- Als eventuele DCR's aanwezig zijn in de bijbehorende sectie, betekent dit dat bestaande aangepaste velden al zijn geïmplementeerd binnen deze DCR's of dat deze zijn afgelaten bij het maken van DCR. In de volgende stap van deze zelfstudie gaat u de inhoud van aangepaste velden bekijken en bepalen of er meer updates voor DCR's nodig zijn.
- Als er geen regels voor gegevensverzameling zijn gekoppeld aan de tabel, worden alle kolommen in de opgegeven tabel met namen die eindigen op '_CF' aangepaste velden onderworpen aan vervanging.
Sluit het dialoogvenster Tabeleigenschappen en selecteer Schema bewerken in het contextmenu van de tabel. Schuif naar de onderkant van de pagina waar aangepaste kolommen worden weergegeven. Deze kolommen eindigen op _CF.
Noteer de namen van deze kolommen, omdat u de inhoud ervan in de volgende stap gaat bepalen.
Inzicht in inhoud van aangepast veld
Omdat er geen manier is om de definitie van het aangepaste veld rechtstreeks te onderzoeken, moet u een query uitvoeren op de tabel om de formule van het aangepaste veld te bepalen.
Selecteer Logboeken in het zijmenu en voer een query uit om een voorbeeld van gegevens uit de tabel op te halen.
Zoek de kolommen die in de vorige stap zijn genoteerd en bekijk hun inhoud.
- Als de kolom niet leeg is en er DCR's zijn gekoppeld aan de tabel, is aangepaste veldlogica al geïmplementeerd met transformatie. Er is geen actie vereist
- Als de kolom leeg is (of niet aanwezig is in queryresultaten) en er DCR's zijn gekoppeld aan de tabel, is de logica van het aangepaste veld niet geïmplementeerd met de DCR. Voeg een transformatie toe aan de gegevensstroom in de bestaande DCR.
- Als de kolom niet leeg is en er geen DCR's zijn gekoppeld aan de tabel, moet de logica van het aangepaste veld worden geïmplementeerd als een transformatie in de DCR van de werkruimte.
Bekijk de inhoud van het aangepaste veld en bepaal de logica hoe het wordt berekend. Aangepaste velden berekenen meestal subtekenreeksen van andere kolommen in dezelfde tabel. Bepaal uit welke kolom de gegevens afkomstig zijn en het gedeelte van de tekenreeks die wordt geëxtraheerd.
Transformatie maken
U bent nu klaar om het vereiste KQL-fragment te maken en toe te voegen aan een DCR. Deze logica wordt toegepast op elke record terwijl deze wordt opgenomen in de werkruimte.
Wijzig de query voor de tabel met behulp van KQL om de logica van het aangepaste veld te repliceren. Als u meerdere aangepaste velden hebt om te vervangen, kunt u de berekeningslogica combineren tot één instructie.
- Gebruik de parse-operator voor het zoeken op basis van patronen van een subtekenreeks binnen een tekenreeks.
- Gebruik de functie extract() voor zoeken in subtekenreeksen op basis van regex.
- Tekenreeksfuncties als split(), subtekenreeks()en vele andere functies kunnen ook nuttig zijn.
Bepaal waar de nieuwe KQL-definitie van de aangepaste kolom moet worden geplaatst.
- Voor logboeken die worden verzameld met behulp van Azure Monitor Agent (AMA) bewerkt u de DCR-verzamelingsgegevens voor de tabel, waarbij u een transformatie toevoegt. Zie voor een voorbeeld best practices en voorbeelden voor transformaties in Azure Monitor. De transformatiequery wordt gedefinieerd in het
transformKqlelement. - Voor resourcelogboeken die worden verzameld met diagnostische instellingen, voegt u de transformatie toe aan de standaard-DCR van de werkruimte. De tabel moet transformaties ondersteunen.
- Voor logboeken die worden verzameld met behulp van Azure Monitor Agent (AMA) bewerkt u de DCR-verzamelingsgegevens voor de tabel, waarbij u een transformatie toevoegt. Zie voor een voorbeeld best practices en voorbeelden voor transformaties in Azure Monitor. De transformatiequery wordt gedefinieerd in het
Veelgestelde vragen
Hoe kan ik aangepaste velden migreren voor een tekstlogboek dat is verzameld met verouderde MMA (Log Analytics Agent)?
Overweeg om te migreren naar Azure Monitor Agent (AMA). Log Analytics-agent nadert het einde van de ondersteuning en u moet migreren naar Azure Monitor Agent (AMA). Tekstlogboeken die met AMA worden verzameld, gebruiken logboekparseringslogica die is gedefinieerd in de vorm van KQL-transformaties vanaf het begin. Aangepaste velden zijn niet vereist en worden niet ondersteund in tekstlogboeken die zijn verzameld door de Azure Monitor-agent.
Is migratie van aangepaste velden verplicht naar KQL?
Nee, u hoeft uw aangepaste velden alleen te migreren als u de aangepaste kolommen toch wilt vullen. Als u uw aangepaste velden niet migreert, worden de bijbehorende kolommen niet meer ingevuld wanneer de ondersteuning van aangepaste velden wordt beëindigd. Gegevens die al in de tabel zijn verwerkt en opgeslagen, worden niet beïnvloed en blijven bruikbaar.
Verlies ik mijn bestaande gegevens in overeenkomende kolommen als ik mijn aangepaste velden niet op tijd migreert?
Nee, aangepaste velden worden berekend op het moment van gegevensopname. Als u de velddefinitie verwijdert of niet op tijd migreert, heeft dit geen invloed op gegevens die eerder zijn opgenomen.