Udostępnij za pośrednictwem

Tworzenie pól niestandardowych w obszarze roboczym usługi Log Analytics w usłudze Azure Monitor (wersja zapoznawcza)

  • Artykuł

Ważne

Tworzenie nowych pól niestandardowych zostanie wyłączone od 31 marca 2023 r. Funkcje pól niestandardowych będą przestarzałe, a istniejące pola niestandardowe przestaną działać do 31 marca 2026 r. Należy przeprowadzić migrację do przekształceń czasu pozyskiwania, aby zachować analizowanie rekordów dziennika.

Obecnie dodanie nowego pola niestandardowego może potrwać do 7 dni przed pojawieniem się danych.

Funkcja Pola niestandardowe usługi Azure Monitor umożliwia rozszerzenie istniejących rekordów w obszarze roboczym usługi Log Analytics przez dodanie własnych pól z możliwością wyszukiwania. Pola niestandardowe są automatycznie wypełniane na podstawie danych wyodrębnionych z innych właściwości w tym samym rekordzie.

Diagram przedstawia oryginalny rekord skojarzony z zmodyfikowanym rekordem w obszarze roboczym usługi Log Analytics z parami wartości właściwości dodanymi do oryginalnej właściwości w zmodyfikowanym rekordzie.

Na przykład poniższy przykładowy rekord zawiera przydatne dane pochowane w opisie zdarzenia. Wyodrębnianie tych danych do oddzielnej właściwości udostępnia je dla takich akcji, jak sortowanie i filtrowanie.

Zrzut ekranu przedstawiający wyodrębnianie przykładu.

Uwaga

W wersji zapoznawczej w obszarze roboczym jest ograniczonych do 500 pól niestandardowych. Ten limit zostanie rozszerzony, gdy ta funkcja osiągnie ogólną dostępność.

Tworzenie pola niestandardowego

Podczas tworzenia pola niestandardowego usługa Log Analytics musi zrozumieć, które dane mają być używane do wypełniania jej wartości. Korzysta z technologii firmy Microsoft o nazwie FlashExtract, aby szybko zidentyfikować te dane. Zamiast wymagać podania jawnych instrukcji, usługa Azure Monitor pozna dane, które chcesz wyodrębnić z podanych przykładów.

W poniższych sekcjach przedstawiono procedurę tworzenia pola niestandardowego. Aby zapoznać się z przewodnikiem wyodrębniania próbek, przejdź do przewodnika po przykładzie.

Uwaga

Pole niestandardowe jest wypełniane jako rekordy zgodne z określonymi kryteriami są dodawane do obszaru roboczego usługi Log Analytics, dlatego będą wyświetlane tylko w rekordach zebranych po utworzeniu pola niestandardowego. Pole niestandardowe nie zostanie dodane do rekordów, które znajdują się już w magazynie danych podczas jego tworzenia.

Krok 1. Identyfikowanie rekordów, które pobierają pole niestandardowe

Pierwszym krokiem jest zidentyfikowanie rekordów, które pobierają pole niestandardowe. Zaczynasz od standardowego zapytania dziennika, a następnie wybierasz rekord, który będzie działać jako model, z którego usługa Azure Monitor uczy się. Po określeniu, że dane będą wyodrębniane do pola niestandardowego, zostanie otwarty Kreator wyodrębniania pól, w którym można zweryfikować i uściślić kryteria.

  1. Przejdź do obszaru Dzienniki i użyj zapytania, aby pobrać rekordy , które pobierają pole niestandardowe.
  2. Wybierz rekord, który będzie używany przez usługę Log Analytics do działania jako model wyodrębniania danych w celu wypełnienia pola niestandardowego. Zidentyfikujesz dane, które mają zostać wyodrębnione z tego rekordu, a usługa Log Analytics użyje tych informacji, aby określić logikę wypełniania pola niestandardowego dla wszystkich podobnych rekordów.
  3. Kliknij prawym przyciskiem myszy rekord i wybierz polecenie Wyodrębnij pola z.
  4. Zostanie otwarty Kreator wyodrębniania pól, a wybrany rekord zostanie wyświetlony w kolumnie Główny przykład . Pole niestandardowe zostanie zdefiniowane dla tych rekordów z tymi samymi wartościami we wybranych właściwościach.
  5. Jeśli zaznaczenie nie jest dokładnie tym, co chcesz, wybierz więcej pól, aby zawęzić kryteria. Aby zmienić wartości pól kryteriów, należy anulować i wybrać inny rekord pasujący do żądanych kryteriów.

Krok 2. Wykonywanie początkowego wyodrębniania

Po zidentyfikowaniu rekordów, które pobierają pole niestandardowe, należy zidentyfikować dane, które chcesz wyodrębnić. Usługa Log Analytics używa tych informacji do identyfikowania podobnych wzorców w podobnych rekordach. W kroku 3 będzie można zweryfikować wyniki i podać dalsze szczegóły dotyczące usługi Log Analytics do użycia w analizie.

  1. Wyróżnij tekst w przykładowym rekordzie, który chcesz wypełnić pole niestandardowe. Następnie zostanie wyświetlone okno dialogowe zawierające nazwę i typ danych dla pola oraz wykonanie początkowego wyodrębnienia. Znaki _CF zostaną automatycznie dołączone.
  2. Kliknij przycisk Wyodrębnij , aby przeprowadzić analizę zebranych rekordów.
  3. W sekcjach Podsumowanie i Wyniki wyszukiwania są wyświetlane wyniki wyodrębniania, aby można było sprawdzić jego dokładność. Podsumowanie zawiera kryteria używane do identyfikowania rekordów i liczby zidentyfikowanych wartości danych. Wyniki wyszukiwania zawierają szczegółową listę rekordów spełniających kryteria.

Krok 3. Weryfikowanie dokładności wyodrębniania i tworzenia pola niestandardowego

Po wykonaniu początkowego wyodrębnienia usługa Log Analytics wyświetli wyniki na podstawie danych, które zostały już zebrane. Jeśli wyniki wyglądają dokładnie, możesz utworzyć pole niestandardowe bez dalszej pracy. Jeśli nie, możesz udoskonalić wyniki, aby usługa Log Analytics mogła poprawić jego logikę.

  1. Jeśli jakiekolwiek wartości w początkowym wyodrębnieniu nie są poprawne, kliknij ikonę Edytuj obok niedokładnego rekordu i wybierz polecenie Modyfikuj to wyróżnienie, aby zmodyfikować zaznaczenie.
  2. Wpis jest kopiowany do sekcji Dodatkowe przykłady poniżej głównego przykładu. Możesz dostosować wyróżnienie tutaj, aby ułatwić usłudze Log Analytics zrozumienie dokonanego wyboru.
  3. Kliknij przycisk Wyodrębnij , aby użyć tych nowych informacji, aby ocenić wszystkie istniejące rekordy. Wyniki mogą być modyfikowane dla rekordów innych niż te, które zostały właśnie zmodyfikowane na podstawie tej nowej analizy.
  4. Kontynuuj dodawanie poprawek, dopóki wszystkie rekordy w wyodrębnieniu poprawnie zidentyfikuj dane w celu wypełnienia nowego pola niestandardowego.
  5. Kliknij pozycję Zapisz wyodrębnij , gdy wyniki są zadowalające. Pole niestandardowe jest teraz zdefiniowane, ale nie zostanie jeszcze dodane do żadnych rekordów.
  6. Poczekaj na zebranie nowych rekordów pasujących do określonych kryteriów, a następnie ponownie uruchom wyszukiwanie w dzienniku. Nowe rekordy powinny mieć pole niestandardowe.
  7. Użyj pola niestandardowego, takiego jak każda inna właściwość rekordu. Można ich używać do agregowania i grupowania danych, a nawet używania ich do tworzenia nowych szczegółowych informacji.

Usuwanie pola niestandardowego

Istnieją dwa sposoby usuwania pola niestandardowego. Pierwsza to opcja Usuń dla każdego pola podczas wyświetlania pełnej listy zgodnie z opisem w kroku 2: Wykonywanie wyodrębniania początkowego. Drugą metodą jest pobranie rekordu i kliknięcie przycisku po lewej stronie pola. Menu ma opcję usunięcia pola niestandardowego.

Przewodnik po przykładzie

W poniższej sekcji przedstawiono kompletny przykład tworzenia pola niestandardowego. W tym przykładzie wyodrębnia nazwę usługi w zdarzeniach systemu Windows, które wskazują stan zmiany usługi. Jest to zależne od zdarzeń utworzonych przez program Service Control Manager podczas uruchamiania systemu na komputerach z systemem Windows. Jeśli chcesz postępować zgodnie z tym przykładem, musisz zbierać zdarzenia informacji dla dziennika systemu.

Wprowadzamy następujące zapytanie, aby zwrócić wszystkie zdarzenia z programu Service Control Manager, które mają identyfikator zdarzenia 7036, czyli zdarzenie wskazujące uruchomienie lub zatrzymanie usługi.

Zrzut ekranu przedstawiający zapytanie dotyczące źródła zdarzeń i identyfikatora.

Następnie klikamy prawym przyciskiem myszy dowolny rekord o identyfikatorze zdarzenia 7036 i wybieramy polecenie Wyodrębnij pola z zdarzenia.

Zrzut ekranu przedstawiający opcje Kopiuj i Wyodrębnij pola, które są dostępne po kliknięciu rekordu prawym przyciskiem myszy z listy wyników.

Zostanie otwarty Kreator wyodrębniania pól z polami EventLog i EventID wybranymi w kolumnie Przykład główny . Oznacza to, że pole niestandardowe zostanie zdefiniowane dla zdarzeń z dziennika systemowego o identyfikatorze zdarzenia 7036. Jest to wystarczające, więc nie musimy wybierać żadnych innych pól.

Zrzut ekranu przedstawiający główny przykład.

Wyróżniamy nazwę usługi we właściwości RenderedDescription i używamy usługi do identyfikowania nazwy usługi. Pole niestandardowe będzie nazywane Service_CF. Typ pola w tym przypadku jest ciągiem, więc możemy pozostawić to bez zmian.

Zrzut ekranu przedstawiający tytuł pola.

Widzimy, że nazwa usługi jest prawidłowo identyfikowana dla niektórych rekordów, ale nie dla innych. Wyniki wyszukiwania pokazują, że część nazwy karty wydajności usługi WMI nie została wybrana. Podsumowanie pokazuje, że jeden rekord zidentyfikował Instalator modułów zamiast Instalatora modułów systemu Windows.

Zrzut ekranu przedstawiający fragmenty nazwy usługi wyróżnione w okienku Wyniki wyszukiwania i jedną nieprawidłową nazwę usługi wyróżnioną w podsumowaniu.

Zaczynamy od rekordu adaptera wydajności usługi WMI. Klikamy ikonę edycji, a następnie modyfikujemy to wyróżnienie.

Zrzut ekranu przedstawiający modyfikowanie wyróżnienia.

Zwiększamy wyróżnienie, aby uwzględnić słowo WMI , a następnie ponownie uruchomimy wyodrębnienie.

Zrzut ekranu przedstawiający dodatkowy przykład.

Widzimy, że wpisy adaptera wydajności usługi WMI zostały poprawione, a usługa Log Analytics również użyła tych informacji, aby poprawić rekordy instalatora modułu systemu Windows.

Zrzut ekranu przedstawiający pełną nazwę usługi wyróżnioną w okienku Wyniki wyszukiwania i poprawne nazwy usług wyróżnione w podsumowaniu.

Teraz możemy uruchomić zapytanie, które weryfikuje , Service_CF jest tworzone, ale nie zostało jeszcze dodane do żadnych rekordów. Dzieje się tak, ponieważ pole niestandardowe nie działa względem istniejących rekordów, dlatego musimy poczekać na zebranie nowych rekordów.

Zrzut ekranu przedstawiający liczbę początkową.

Po pewnym czasie zbierane są nowe zdarzenia i możemy zobaczyć pole Service_CF dodawane do rekordów, które spełniają nasze kryteria.

Wyniki końcowe

Teraz możemy użyć pola niestandardowego, takiego jak dowolna inna właściwość rekordu. Aby to zilustrować, tworzymy zapytanie, które grupuje według nowego pola Service_CF , aby sprawdzić, które usługi są najbardziej aktywne.

Zrzut ekranu przedstawiający grupowanie według zapytania.

Następne kroki