Aangepaste velden maken in een Log Analytics-werkruimte in Azure Monitor (preview)

Belangrijk

Het maken van nieuwe aangepaste velden wordt vanaf 31 maart 2023 uitgeschakeld. De functionaliteit van aangepaste velden wordt afgeschaft en bestaande aangepaste velden werken uiterlijk 31 maart 2026 niet meer. U moet migreren naar opname-tijdtransformaties om uw logboekrecords te blijven parseren.

Wanneer u momenteel een nieuw aangepast veld toevoegt, kan het tot 7 dagen duren voordat gegevens worden weergegeven.

Met de functie Aangepaste velden van Azure Monitor kunt u bestaande records in uw Log Analytics-werkruimte uitbreiden door uw eigen doorzoekbare velden toe te voegen. Aangepaste velden worden automatisch ingevuld uit gegevens die zijn geëxtraheerd uit andere eigenschappen in dezelfde record.

De onderstaande voorbeeldrecord bevat bijvoorbeeld nuttige gegevens die zijn begraven in de beschrijving van de gebeurtenis. Door deze gegevens uit te pakken in een afzonderlijke eigenschap, worden deze beschikbaar voor acties zoals sorteren en filteren.

Notitie

In de preview-versie bent u beperkt tot 500 aangepaste velden in uw werkruimte. Deze limiet wordt uitgebreid wanneer deze functie algemene beschikbaarheid bereikt.

Een aangepast veld maken

Wanneer u een aangepast veld maakt, moet Log Analytics weten welke gegevens moeten worden gebruikt om de waarde ervan te vullen. Het maakt gebruik van een technologie van Microsoft Research genaamd FlashExtract om deze gegevens snel te identificeren. In plaats van dat u expliciete instructies moet opgeven, leert Azure Monitor meer over de gegevens die u wilt extraheren uit voorbeelden die u opgeeft.

De volgende secties bevatten de procedure voor het maken van een aangepast veld. Onderaan dit artikel vindt u een overzicht van een voorbeeldextractie.

Notitie

Het aangepaste veld wordt ingevuld als records die overeenkomen met de opgegeven criteria worden toegevoegd aan de Log Analytics-werkruimte, zodat het alleen wordt weergegeven op records die worden verzameld nadat het aangepaste veld is gemaakt. Het aangepaste veld wordt niet toegevoegd aan records die zich al in het gegevensarchief bevinden wanneer het wordt gemaakt.

Stap 1: Records identificeren die het aangepaste veld hebben

De eerste stap is het identificeren van de records die het aangepaste veld ophalen. U begint met een standaardlogboekquery en selecteert vervolgens een record om te fungeren als het model waaruit Azure Monitor leert. Wanneer u opgeeft dat u gegevens gaat extraheren in een aangepast veld, wordt de wizard Veldextractie geopend waar u de criteria valideert en verfijnt.

1. Ga naar Logboeken en gebruik een query om de records op te halen die het aangepaste veld bevatten.
2. Selecteer een record die door Log Analytics wordt gebruikt om te fungeren als model voor het extraheren van gegevens om het aangepaste veld te vullen. U identificeert de gegevens die u uit deze record wilt extraheren en Log Analytics gebruikt deze informatie om de logica te bepalen voor het vullen van het aangepaste veld voor alle vergelijkbare records.
3. Klik met de rechtermuisknop op de record en selecteer Velden extraheren uit.
4. De wizard Veldextractie wordt geopend en de geselecteerde record wordt weergegeven in de kolom Hoofdvoorbeeld . Het aangepaste veld wordt gedefinieerd voor die records met dezelfde waarden in de eigenschappen die zijn geselecteerd.
5. Als de selectie niet precies is wat u wilt, selecteert u extra velden om de criteria te beperken. Als u de veldwaarden voor de criteria wilt wijzigen, moet u annuleren en een andere record selecteren die overeenkomt met de gewenste criteria.

Stap 2: Voer het eerste extract uit.

Zodra u de records hebt geïdentificeerd die het aangepaste veld bevatten, identificeert u de gegevens die u wilt extraheren. Log Analytics gebruikt deze informatie om vergelijkbare patronen in vergelijkbare records te identificeren. In de stap hierna kunt u de resultaten valideren en meer details opgeven voor Log Analytics voor gebruik in de analyse.

1. Markeer de tekst in de voorbeeldrecord die u wilt vullen met het aangepaste veld. Vervolgens krijgt u een dialoogvenster te zien om een naam en gegevenstype voor het veld op te geven en het eerste extract uit te voeren. De tekens _CF worden automatisch toegevoegd.
2. Klik op Uitpakken om een analyse van verzamelde records uit te voeren.
3. In de secties Samenvatting en Zoekresultaten worden de resultaten van het extract weergegeven, zodat u de nauwkeurigheid ervan kunt controleren. Samenvatting geeft de criteria weer die worden gebruikt voor het identificeren van records en een telling voor elk van de geïdentificeerde gegevenswaarden. Zoekresultaten bieden een gedetailleerde lijst met records die overeenkomen met de criteria.

Stap 3: De nauwkeurigheid van het extraheren en maken van een aangepast veld controleren

Zodra u het eerste extract hebt uitgevoerd, worden de resultaten weergegeven op basis van gegevens die al zijn verzameld. Als de resultaten nauwkeurig lijken, kunt u het aangepaste veld zonder verdere werkzaamheden maken. Zo niet, dan kunt u de resultaten verfijnen zodat Log Analytics de logica ervan kan verbeteren.

1. Als waarden in het eerste extract niet juist zijn, klikt u op het pictogram Bewerken naast een onjuiste record en selecteert u Deze markering wijzigen om de selectie te wijzigen.
2. De vermelding wordt gekopieerd naar de sectie Aanvullende voorbeelden onder het hoofdvoorbeeld. U kunt de markering hier aanpassen om Log Analytics inzicht te geven in de selectie die moet zijn gemaakt.
3. Klik op Extraheren om deze nieuwe informatie te gebruiken om alle bestaande records te evalueren. De resultaten kunnen worden gewijzigd voor andere records dan de records die u zojuist hebt gewijzigd op basis van deze nieuwe intelligentie.
4. Blijf correcties toevoegen totdat alle records in het extract de gegevens correct identificeren om het nieuwe aangepaste veld te vullen.
5. Klik op Extract opslaan wanneer u tevreden bent met de resultaten. Het aangepaste veld is nu gedefinieerd, maar wordt nog niet toegevoegd aan records.
6. Wacht tot nieuwe records overeenkomen met de opgegeven criteria die zijn verzameld en voer de zoekopdracht in het logboek opnieuw uit. Nieuwe records moeten het aangepaste veld hebben.
7. Gebruik het aangepaste veld zoals elke andere recordeigenschap. U kunt deze gebruiken om gegevens samen te voegen en te groeperen en zelfs te gebruiken om nieuwe inzichten te produceren.

Een aangepast veld verwijderen

Er zijn twee manieren om een aangepast veld te verwijderen. De eerste is de optie Verwijderen voor elk veld bij het weergeven van de volledige lijst, zoals hierboven beschreven. De andere methode is om een record op te halen en links van het veld op de knop te klikken. Het menu heeft een optie om het aangepaste veld te verwijderen.

Walkthrough voor voorbeeld

In de volgende sectie wordt een volledig voorbeeld van het maken van een aangepast veld beschreven. In dit voorbeeld wordt de servicenaam geëxtraheerd in Windows-gebeurtenissen die wijzen op een gewijzigde status van een service. Dit is afhankelijk van gebeurtenissen die door Service Control Manager zijn gemaakt tijdens het opstarten van het systeem op Windows-computers. Als u dit voorbeeld wilt volgen, moet u informatie-gebeurtenissen verzamelen voor het systeemlogboek.

We voeren de volgende query in om alle gebeurtenissen van Service Control Manager te retourneren die een gebeurtenis-id van 7036 hebben. Dit is de gebeurtenis die aangeeft dat een service wordt gestart of gestopt.

Vervolgens klikt u met de rechtermuisknop op een record met gebeurtenis-id 7036 en selecteert u Velden extraheren uit 'Gebeurtenis'.

De wizard Veldextractie wordt geopend met de velden EventLog en EventID geselecteerd in de kolom Hoofdvoorbeeld . Dit geeft aan dat het aangepaste veld wordt gedefinieerd voor gebeurtenissen uit het systeemlogboek met een gebeurtenis-id van 7036. Dit is voldoende, zodat we geen andere velden hoeven te selecteren.

We markeren de naam van de service in de eigenschap RenderedDescription en gebruiken Service om de servicenaam te identificeren. Het aangepaste veld wordt Service_CF genoemd. Het veldtype in dit geval is een tekenreeks, zodat we dat ongewijzigd kunnen laten.

We zien dat de servicenaam correct is geïdentificeerd voor sommige records, maar niet voor andere records. In de zoekresultaten ziet u dat een deel van de naam voor de WMI-prestatieadapter niet is geselecteerd. In de samenvatting ziet u dat één record modules installer heeft geïdentificeerd in plaats van Windows Modules Installer.

We beginnen met de WMI Performance Adapter-record . We klikken op het bewerkingspictogram en vervolgens op deze markering wijzigen.

We verhogen de markering om het woord WMI op te nemen en voer vervolgens het extract opnieuw uit.

We kunnen zien dat de vermeldingen voor de WMI-prestatieadapter zijn gecorrigeerd, en Log Analytics heeft die informatie ook gebruikt om de records voor Windows Module Installer te corrigeren.

We kunnen nu een query uitvoeren die controleert of Service_CF is gemaakt, maar nog niet is toegevoegd aan records. Dat komt doordat het aangepaste veld niet werkt voor bestaande records, dus we moeten wachten totdat nieuwe records worden verzameld.

Nadat enige tijd is verstreken zodat er nieuwe gebeurtenissen worden verzameld, kunnen we zien dat het Service_CF veld nu wordt toegevoegd aan records die voldoen aan onze criteria.

We kunnen nu het aangepaste veld gebruiken, net als elke andere recordeigenschap. Ter illustratie maken we een query die wordt gegroepeerd op het nieuwe Service_CF veld om te controleren welke services het meest actief zijn.

Volgende stappen

• Meer informatie over logboekquery's voor het bouwen van query's met behulp van aangepaste velden voor criteria.
• Bewaak aangepaste logboekbestanden die u parseert met behulp van aangepaste velden.