Share via

Zelfstudie: Tekstlogboeken transformeren tijdens opname in Azure Monitor-logboeken

  • Artikel

Met opname-tijdtransformaties kunt u binnenkomende gegevens filteren of wijzigen voordat deze worden opgeslagen in een Log Analytics-werkruimte. In dit artikel wordt uitgelegd hoe u een KQL-query schrijft waarmee tekstlogboekgegevens worden getransformeerd en hoe u de transformatie toevoegt aan een regel voor gegevensverzameling.

In de procedure die hier wordt beschreven, wordt ervan uitgegaan dat u al gegevens uit een tekstbestand hebt opgenomen, zoals beschreven in Tekstlogboeken verzamelen met Azure Monitor Agent. In deze zelfstudie gaat u:

  1. Schrijf een KQL-query om opgenomen gegevens te transformeren.
  2. Wijzig het doeltabelschema.
  3. Voeg de transformatie toe aan de regel voor het verzamelen van gegevens.
  4. Controleer of de transformatie correct werkt.

Vereisten

U hebt het volgende nodig om deze procedure te voltooien:

  • Log Analytics-werkruimte met ten minste inzenderrechten.
  • Regel voor gegevensverzameling, eindpunt voor gegevensverzameling en aangepaste tabel, zoals beschreven in Tekstlogboeken verzamelen met Azure Monitor Agent.
  • Een VM, virtuele-machineschaalset of on-premises server met Arc die logboeken naar een tekstbestand schrijft. Vereisten voor tekstbestanden:
    • Sla deze op het lokale station op van de computer waarop Azure Monitor Agent wordt uitgevoerd.
    • Delineeren met een einde van de regel.
    • AsCII of UTF-8-codering gebruiken. Andere indelingen, zoals UTF-16, worden niet ondersteund.
    • Sta geen circulaire logboekregistratie toe, logboekrotatie waarbij het bestand wordt overschreven met nieuwe vermeldingen of wijzig de naam van een bestand waar een bestand wordt verplaatst en een nieuw bestand met dezelfde naam wordt geopend.

Een KQL-query schrijven om opgenomen gegevens te transformeren

  1. Bekijk de gegevens in de aangepaste doeltabel in Log Analytics:

    1. Selecteer in Azure Portal Log Analytics-werkruimten> voor uw Log Analytics-werkruimtelogboeken>.
    2. Voer een eenvoudige query uit op de tabel aangepaste logboeken om tabelgegevens weer te geven.

  2. Gebruik het queryvenster om een query te schrijven en te testen waarmee de onbewerkte gegevens in uw tabel worden getransformeerd.

    Zie Structuur van transformaties in Azure Monitor voor informatie over de KQL-operators die ondersteuning bieden voor transformaties.

    Notitie

    De enige kolommen waarop transformaties kunnen worden toegepast, zijn TimeGenerated en RawData. Andere kolommen worden automatisch toegevoegd aan de tabel na de transformatie en zijn niet beschikbaar op het moment van transformatie. De kolom _ResourceId kan niet worden gebruikt in de transformatie.

    Voorbeeld

    In het voorbeeld worden eenvoudige KQL-operators gebruikt om de gegevens in de RawData kolom te parseren in drie nieuwe kolommen, aangeroepenTime Ingested, RecordNumberenRandomContent:

    • De extend operator voegt nieuwe kolommen toe.
    • De project operator formatteert de uitvoer zodat deze overeenkomt met de kolommen van het doeltabelschema:
    MyTable_CL
| extend d=todynamic(RawData)  
| project TimeGenerated,TimeIngested=tostring(d.Time), 
RecordNumber=tostring(d.RecordNumber), 
RandomContent=tostring(d.RandomContent), 
RawData

    Notitie

    Als u op deze manier query's uitvoert op tabelgegevens, worden de gegevens in de tabel niet daadwerkelijk gewijzigd. Azure Monitor past de transformatie toe in de pijplijn voor gegevensopname nadat u uw transformatiequery hebt toegevoegd aan de regel voor gegevensverzameling.

  3. Maak de query op in één regel en vervang de tabelnaam in de eerste regel van de query door het woord source.

    Voorbeeld:

    source | extend d=todynamic(RawData) | project TimeGenerated,TimeIngested=tostring(d.Time),RecordNumber=tostring(d.RecordNumber), RandomContent=tostring(d.RandomContent), RawData

  4. Kopieer de opgemaakte query zodat u deze kunt plakken in de configuratie van de regel voor gegevensverzameling.

De aangepaste tabel wijzigen zodat de nieuwe kolommen worden opgenomen

Voeg kolommen toe aan of verwijder deze in uw aangepaste tabel op basis van uw transformatiequery.

Met de bovenstaande voorbeeldtransformatiequery worden drie nieuwe kolommen van het type stringtoegevoegd:

  • TimeIngested
  • RecordNumber
  • RandomContent

Ter ondersteuning van deze transformatie voegt u deze drie nieuwe kolommen toe aan uw aangepaste tabel.

Schermopname van het deelvenster Schema-editor met de kolommen TimeIngested, RecordNumber en RandomContent die worden gedefinieerd.

De transformatie toepassen op uw gegevensverzamelingsregel

  1. Selecteer in het menu Bewaken de regel voor gegevensverzamelingsregels> voor gegevensverzameling.

  2. Selecteer Gegevensbronnen> in uw gegevensbron.

  3. Plak de opgemaakte transformatiequery in het veld Transformeren op het tabblad Gegevensbron van het scherm Gegevensbron toevoegen.

  4. Selecteer Opslaan.

    Schermopname van het deelvenster Gegevensbronnen toevoegen met het veld Transformeren gemarkeerd.

Controleer of de transformatie werkt

Bekijk de gegevens in de aangepaste doeltabel en controleer of de gegevens correct worden opgenomen in de gewijzigde tabel:

  1. Selecteer in Azure Portal Log Analytics-werkruimten> voor uw Log Analytics-werkruimtelogboeken>.
  2. Voer een eenvoudige query uit op de tabel aangepaste logboeken om tabelgegevens weer te geven.

Volgende stappen

Meer informatie over: