Adicionar ou excluir tabelas e colunas nos Logs do Azure Monitor

As regras de coleta de dados permitem filtrar e transformar os dados de log antes de enviar os dados para uma tabela do Azure ou uma tabela personalizada. Este artigo explica como criar tabelas personalizadas e adicionar colunas personalizadas a tabelas no workspace do Log Analytics.

Importante

Sempre que você atualizar um esquema de tabela, certifique-se de atualizar as regras de coleta de dados que enviam dados para a tabela. O esquema de tabela que você define na regra de coleta de dados determina como o Azure Monitor transmite dados para a tabela de destino. O Azure Monitor não atualiza as regras de coleta de dados automaticamente quando você faz alterações de esquema de tabela.

Pré-requisitos

Para criar uma tabela personalizada, você precisa de:

• Um workspace do Log Analytics em que você tenha, no mínimo, direitos de colaborador.

• Um DCE (ponto de extremidade de coleta de dados).

• Um arquivo JSON com pelo menos um registro de amostra para sua tabela personalizada. O resultado será semelhante ao seguinte:

  [
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    }
  ]
  

  Todos as tabelas em um workspace do Log Analytics deve ter uma tabela chamada TimeGenerated. Se seus dados de amostra tiverem uma coluna chamada TimeGenerated, então esse valor será usado para identificar a hora do ingestão do registro. Caso contrário, uma coluna TimeGenerated será adicionada à transformação em seu DCR para a tabela. Para obter informações sobre o formato TimeGenerated, confira Formatos de datetime com suporte.

Criar uma tabela personalizada

As tabelas do Azure têm esquemas predefinidos. Para armazenar os dados de log em outro esquema, use regras de coleta de dados para definir como coletar, transformar e enviar os dados para uma tabela personalizada no workspace do Log Analytics. Para criar uma tabela personalizada com o plano Auxiliar, confira Configurar uma tabela com o plano Auxiliar (Versão Prévia).

Importante

As tabelas personalizadas têm o sufixo _CL; por exemplo, tablename_CL. O portal do Azure adiciona automaticamente o sufixo _CL ao nome da tabela. Ao criar uma tabela personalizada usando um método diferente, você precisa adicionar o sufixo _CL por conta própria. O tablename_CL nas propriedades Fluxos de DataFlows do em suas regras de coleta de dados deve corresponder ao nome tablename_CL no workspace do Log Analytics.

Aviso

Os nomes de tabela são usados para fins de cobrança, portanto, eles não devem conter informações confidenciais.

Portal

Para criar uma imagem personalizada usando o portal do Azure:

1. No menu Workspaces do Log Analytics, selecione Tabelas.

   

2. Selecione Criar e Novo log personalizado (baseado em DCR).

   

3. Especifique um nome e, opcionalmente, uma descrição para a tabela. Você não precisa adicionar o sufixo _CL ao nome da tabela personalizada. Isso é adicionado automaticamente ao nome especificado no portal.

4. Selecione uma regra de coleta de dados existente na lista suspensa Regra de coleta de dados ou escolha Criar uma regra de coleta de dados e especifique a Assinatura, o Grupo de recursos e o Nome para a nova regra de coleta de dados.

   

5. Selecione um ponto de extremidade de coleta de dados e escolha Avançar.

   

6. Selecione Procurar arquivos e localize o arquivo JSON com os dados de amostra para sua nova tabela.

   

   Se seus dados de amostra não incluírem uma coluna TimeGenerated, então você receberá uma mensagem informando que uma transformação está sendo criada com essa coluna.

7. Caso você deseje transformar os dados de log antes da ingestão na tabela:

   1. Selecione Editor de transformação.

      O editor de transformação permite criar uma transformação para o fluxo de dados de entrada. Essa é uma consulta KQL que é executada para cada registro de entrada. Os Logs do Azure Monitor armazenam os resultados da consulta na tabela de destino.

      

   2. Selecione Executar para ver os resultados.

      

8. Escolha Aplicar para salvar a transformação e ver o esquema da tabela que está prestes a ser criada. Selecione Avançar para continuar.

   

9. Verifique os detalhes finais e clique em Criar para salvar o log personalizado.

   

API

Para criar uma tabela personalizada, chame a API Tabelas – Criar ou Atualizar.

CLI

Para criar uma tabela personalizada, execute o comando az monitor log-analytics workspace table create.

PowerShell

Use Tables – Update PATCH API para criar uma tabela personalizada com o código do PowerShell abaixo. Esse código cria uma tabela chamada MyTable_CL com duas colunas. Modifique esse esquema para coletar uma tabela diferente.

1. Selecione o botão Cloud Shell no portal do Azure e verifique se o ambiente está definido como PowerShell.

   

2. Copie o seguinte código do PowerShell e substitua o parâmetro Path pelos valores apropriados para seu workspace no comando Invoke-AzRestMethod. Cole o código no prompt do Cloud Shell para executá-lo.

   $tableParams = @'
   {
       "properties": {
           "schema": {
               "name": "MyTable_CL",
               "columns": [
                   {
                       "name": "TimeGenerated",
                       "type": "DateTime"
                   }, 
                   {
                       "name": "RawData",
                       "type": "String"
                   }
               ]
           }
       }
   }
   '@
   
   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/MyTable_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
   

Excluir uma tabela

Há vários tipos de tabelas nos Logs do Azure Monitor. Você pode excluir qualquer tabela que não seja uma tabela do Azure, mas o que acontece com os dados quando você exclui a tabela é diferente para cada tipo de tabela.

Para obter mais informações, consulte O que acontece com os dados quando você exclui uma tabela em um workspace do Log Analytics.

Portal

Para excluir uma tabela do portal do Azure:

1. No menu do workspace do Log Analytics, selecione Tabelas.

2. Pesquise as tabelas que você deseja excluir pelo nome ou selecionando os Resultados da pesquisa no campo Tipo.

   

3. Selecione a tabela que deseja excluir, escolha as reticências (…) à direita da tabela, selecione Excluir e confirme a exclusão digitando sim.

   

API

Para excluir uma tabela, chame a API Tabelas – Excluir.

CLI

Para excluir uma tabela, execute o comando az monitor log-analytics workspace table delete.

PowerShell

Para excluir uma tabela usando o PowerShell:

1. Selecione o botão Cloud Shell no portal do Azure e verifique se o ambiente está definido como PowerShell.

   

2. Copie o seguinte código do PowerShell e substitua o parâmetro Path pelos valores apropriados para seu workspace no comando Invoke-AzRestMethod. Cole o código no prompt do Cloud Shell para executá-lo.

   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/NewCustom_CL?api-version=2021-12-01-preview" -Method DELETE
   

Adicionar ou excluir uma coluna personalizada

Você pode modificar o esquema de tabelas personalizadas e adicionar colunas personalizadas ou excluir colunas de uma tabela padrão.

Observação

Os nomes de coluna devem começar com uma letra e podem consistir de até 45 caracteres alfanuméricos e sublinhados (_). _ResourceId, id, _ResourceId, _SubscriptionId, TenantId, Type, UniqueId e Title são nomes de coluna reservados.

Portal

Para adicionar uma coluna personalizada a uma tabela no workspace do Log Analytics ou excluir uma coluna:

1. No menu Workspaces do Log Analytics, selecione Tabelas.

2. Selecione as reticências (…) à direita da tabela que deseja editar e escolha Editar esquema. Isso abrirá a tela Editor de Esquema.

3. Role a página para baixo até a seção Colunas Personalizadas da tela Editor de Esquema.

   

4. Para adicionar uma nova coluna:

   1. Selecione Adicionar uma coluna.
   2. Defina o nome e a descrição da coluna (opcional) e selecione o tipo de valor esperado na lista suspensa Tipo.
   3. Selecione Salvar para salvar a nova coluna.

5. Para excluir uma coluna, selecione o ícone Excluir à esquerda da coluna que deseja excluir.

API

Para adicionar ou excluir uma coluna personalizada, chame a API Tabelas – Criar ou Atualizar.

CLI

Para adicionar ou excluir uma coluna personalizada, execute o comando az monitor log-analytics workspace table update.

PowerShell

Para adicionar uma nova coluna a uma tabela personalizada ou do Azure, execute:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "<TableName>",
            "columns": [
                {
                    "name": ""<ColumnName>",
                    "description": "First custom column",
                    "type": "string",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/<TableName>?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

A chamada PUT retorna as propriedades atualizadas da tabela, que devem incluir a coluna recém-adicionada.

Exemplo

Execute este comando para adicionar uma coluna personalizada, chamada Custom1_CF, à tabela do Heartbeat do Azure:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom1_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Agora, para excluir a coluna recém-adicionada e adicionar outra, execute:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom2_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Para excluir todas as colunas personalizadas na tabela, execute:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Próximas etapas

Saiba mais sobre:

• Como coletar logs com a API de Ingestão de Logs
• Como coletar logs com o Agente do Azure Monitor
• Regras de coleta de dados