Tabellen en kolommen toevoegen of verwijderen in Azure Monitor-logboeken

Met regels voor gegevensverzameling kunt u logboekgegevens filteren en transformeren voordat u de gegevens naar een Azure-tabel of een aangepaste tabel verzendt. In dit artikel wordt uitgelegd hoe u aangepaste tabellen maakt en aangepaste kolommen toevoegt aan tabellen in uw Log Analytics-werkruimte.

Belangrijk

Wanneer u een tabelschema bijwerkt, moet u alle regels voor gegevensverzameling bijwerken die gegevens naar de tabel verzenden. Het tabelschema dat u in de regel voor gegevensverzameling definieert, bepaalt hoe Azure Monitor gegevens naar de doeltabel streamt. Azure Monitor werkt regels voor gegevensverzameling niet automatisch bij wanneer u wijzigingen in het tabelschema aanbrengt.

Vereisten

Als u een aangepaste tabel wilt maken, hebt u het volgende nodig:

• Een Log Analytics-werkruimte met ten minste inzenderrechten.

• Een eindpunt voor gegevensverzameling (DCE).

• Een JSON-bestand met ten minste één voorbeeldrecord voor uw aangepaste tabel. Dit ziet er ongeveer als volgt uit:

  [
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    }
  ]
  

  Alle tabellen in een Log Analytics-werkruimte moeten een kolom met de naam TimeGeneratedhebben. Als uw voorbeeldgegevens een kolom met de naam TimeGeneratedhebben, wordt deze waarde gebruikt om de opnametijd van de record te identificeren. Zo niet, dan wordt er een TimeGenerated kolom toegevoegd aan de transformatie in uw DCR voor de tabel. Zie ondersteunde datum/tijd-indelingen voor informatie over de TimeGenerated indeling.

Een aangepast tabel maken

Azure-tabellen hebben vooraf gedefinieerde schema's. Als u logboekgegevens in een ander schema wilt opslaan, gebruikt u regels voor gegevensverzameling om te definiëren hoe u de gegevens verzamelt, transformeert en verzendt naar een aangepaste tabel in uw Log Analytics-werkruimte.

Belangrijk

Aangepaste tabellen hebben een achtervoegsel van _CL, bijvoorbeeld tablename_CL. Azure Portal voegt het achtervoegsel _CL automatisch toe aan de tabelnaam. Wanneer u een aangepaste tabel maakt met een andere methode, moet u het _CL achtervoegsel zelf toevoegen. De tablename_CL in de eigenschappen gegevensstromen in uw regels voor gegevensverzameling moeten overeenkomen met de tablename_CL naam in de Log Analytics-werkruimte.

Notitie

Zie Tekstlogboeken verzamelen met de Log Analytics-agent voor informatie over het maken van een aangepaste tabel voor logboeken die u opneemt met de afgeschafte Log Analytics-agent, ook wel bekend als MMA of OMS.

Portal

Een aangepaste tabel maken in Azure Portal:

1. Selecteer Tabellen in het menu Log Analytics-werkruimten.

   

2. Selecteer Maken en vervolgens Nieuw aangepast logboek (op basis van DCR).

   

3. Geef een naam op en eventueel een beschrijving voor de tabel. U hoeft het _CL achtervoegsel niet toe te voegen aan de naam van de aangepaste tabel. Dit wordt automatisch toegevoegd aan de naam die u in de portal opgeeft.

4. Selecteer een bestaande regel voor gegevensverzameling in de vervolgkeuzelijst Gegevensverzamelingsregel of selecteer Een nieuwe regel voor gegevensverzameling maken en geef het abonnement, de resourcegroep en de naam op voor de nieuwe regel voor gegevensverzameling.

   

5. Selecteer een eindpunt voor gegevensverzameling en selecteer Volgende.

   

6. Selecteer Bladeren naar bestanden en zoek het JSON-bestand met de voorbeeldgegevens voor de nieuwe tabel.

   

   Als uw voorbeeldgegevens geen kolom bevatten TimeGenerated , ontvangt u een bericht dat er een transformatie met deze kolom wordt gemaakt.

7. Als u logboekgegevens wilt transformeren voordat u gegevens in uw tabel opneemt :

   1. Selecteer Transformatie-editor.

      Met de transformatieeditor kunt u een transformatie maken voor de binnenkomende gegevensstroom. Dit is een KQL-query die wordt uitgevoerd op elke binnenkomende record. In Azure Monitor-logboeken worden de resultaten van de query opgeslagen in de doeltabel.

      

   2. Selecteer Uitvoeren om de resultaten weer te geven.

      

8. Selecteer Toepassen om de transformatie op te slaan en het schema weer te geven van de tabel die binnenkort wordt gemaakt. Selecteer Volgende om door te gaan.

   

9. Controleer de laatste details en selecteer Maken om het aangepaste logboek op te slaan.

   

API

Als u een aangepaste tabel wilt maken, roept u de Tabellen - API maken of bijwerken aan.

CLI

Als u een aangepaste tabel wilt maken, voert u de opdracht az monitor log-analytics workspace table create uit.

Powershell

Gebruik de tabellen - PATCH-API bijwerken om een aangepaste tabel te maken met de onderstaande PowerShell-code. Met deze code maakt u een tabel met de naam MyTable_CL met twee kolommen. Wijzig dit schema om een andere tabel te verzamelen.

1. Selecteer de knop Cloud Shell in Azure Portal en zorg ervoor dat de omgeving is ingesteld op PowerShell.

   

2. Kopieer de volgende PowerShell-code en vervang de padparameter door de juiste waarden voor uw werkruimte in de Invoke-AzRestMethod opdracht. Plak deze in de Cloud Shell-prompt om deze uit te voeren.

   $tableParams = @'
   {
       "properties": {
           "schema": {
               "name": "MyTable_CL",
               "columns": [
                   {
                       "name": "TimeGenerated",
                       "type": "DateTime"
                   }, 
                   {
                       "name": "RawData",
                       "type": "String"
                   }
               ]
           }
       }
   }
   '@
   
   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/MyTable_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
   

Een tabel verwijderen

Er zijn verschillende typen tabellen in Azure Monitor-logboeken. U kunt elke tabel verwijderen die geen Azure-tabel is, maar wat er gebeurt met de gegevens wanneer u de tabel verwijdert, verschilt voor elk type tabel.

Zie Wat gebeurt er met gegevens wanneer u een tabel in een Log Analytics-werkruimte verwijdert voor meer informatie.

Portal

Ga als volgt te werk om een tabel te verwijderen uit Azure Portal:

1. Selecteer Tabellen in het menu van de Log Analytics-werkruimte.

2. Zoek naar de tabellen die u wilt verwijderen op naam of door zoekresultaten in het veld Type te selecteren.

   

3. Selecteer de tabel die u wilt verwijderen, selecteer het beletselteken (... ) rechts van de tabel, selecteer Verwijderen en bevestig de verwijdering door ja te typen.

   

API

Als u een tabel wilt verwijderen, roept u de Table - Delete-API aan.

CLI

Als u een tabel wilt verwijderen, voert u de opdracht az monitor log-analytics workspace table delete uit.

Powershell

Een tabel verwijderen met behulp van PowerShell:

1. Selecteer de knop Cloud Shell in Azure Portal en zorg ervoor dat de omgeving is ingesteld op PowerShell.

   

2. Kopieer de volgende PowerShell-code en vervang de padparameter door de juiste waarden voor uw werkruimte in de Invoke-AzRestMethod opdracht. Plak deze in de Cloud Shell-prompt om deze uit te voeren.

   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/NewCustom_CL?api-version=2021-12-01-preview" -Method DELETE
   

Een aangepaste kolom toevoegen of verwijderen

U kunt het schema van aangepaste tabellen wijzigen en aangepaste kolommen toevoegen aan of verwijderen uit een standaardtabel.

Notitie

Kolomnamen moeten beginnen met een letter en kunnen bestaan uit maximaal 45 alfanumerieke tekens en onderstrepingstekens (_). _ResourceId, , _ResourceIdid, _SubscriptionId, , TenantId, , Typeen TitleUniqueIdzijn gereserveerde kolomnamen.

Portal

Als u een aangepaste kolom wilt toevoegen aan een tabel in uw Log Analytics-werkruimte of een kolom wilt verwijderen:

1. Selecteer Tabellen in het menu Log Analytics-werkruimten.

2. Selecteer het beletselteken ( ... ) rechts van de tabel die u wilt bewerken en selecteer Schema bewerken. Hiermee opent u het scherm Schema-editor .

3. Schuif omlaag naar de sectie Aangepaste kolommen van het scherm Schema-editor .

   

4. Een nieuwe kolom toevoegen:

   1. Selecteer Een kolom toevoegen.
   2. Stel de kolomnaam en beschrijving in (optioneel) en selecteer het verwachte waardetype in de vervolgkeuzelijst Type .
   3. Selecteer Opslaan om de nieuwe kolom op te slaan.

5. Als u een kolom wilt verwijderen, selecteert u het pictogram Verwijderen links van de kolom die u wilt verwijderen.

API

Als u een aangepaste kolom wilt toevoegen of verwijderen, roept u de Tabellen - API maken of bijwerken aan.

CLI

Als u een aangepaste kolom wilt toevoegen of verwijderen, voert u de opdracht az monitor log-analytics workspace table update uit.

Powershell

Als u een nieuwe kolom wilt toevoegen aan een Azure- of aangepaste tabel, voert u het volgende uit:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "<TableName>",
            "columns": [
                {
                    "name": ""<ColumnName>",
                    "description": "First custom column",
                    "type": "string",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/<TableName>?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

De PUT aanroep retourneert de bijgewerkte tabeleigenschappen, die de zojuist toegevoegde kolom moeten bevatten.

Voorbeeld

Voer deze opdracht uit om een aangepaste kolom met de naam Custom1_CF, toe te voegen aan de Azure-tabel Heartbeat :

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom1_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Als u nu de zojuist toegevoegde kolom wilt verwijderen en in plaats daarvan nog een kolom wilt toevoegen, voert u het volgende uit:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom2_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Als u alle aangepaste kolommen in de tabel wilt verwijderen, voert u het volgende uit:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Volgende stappen

Meer informatie over:

• Logboeken verzamelen met de API voor logboekopname
• Logboeken verzamelen met Azure Monitor-agent
• Regels voor gegevensverzameling