Compartilhar via

Criar campos personalizados em um workspace do Log Analytics no Azure Monitor (pré-visualização)

  • Artigo

Importante

A criação de novos campos personalizados será desabilitada a partir de 31 de março de 2023. A funcionalidade de campos personalizados será preterida e os campos personalizados existentes deixarão de funcionar até 31 de março de 2026. Você deve migrar para transformações de tempo de ingestão para continuar analisando seus registros de log.

Atualmente, quando você adiciona um novo campo personalizado, pode levar até 7 dias para que os dados sejam exibidos.

O recurso Campos Personalizados do Azure Monitor permite que você estenda os registros existentes no workspace do Log Analytics adicionando seus próprios campos pesquisáveis. Os campos personalizados são populados automaticamente por meio dos dados extraídos de outras propriedades no mesmo registro.

O diagrama mostra um registro original associado a um registro modificado em um workspace do Log Analytics com pares de valor de propriedade adicionados à propriedade original no registro modificado.

O registro de exemplo abaixo tem dados úteis na descrição do evento. A extração desses dados em propriedades separadas os torna disponíveis para ações como a classificação e a filtragem.

Captura de tela do exemplo de extração.

Observação

Na versão prévia, há uma limitação de 500 campos personalizados no workspace. Esse limite será expandido quando essa funcionalidade atingir a disponibilidade geral.

Criando um campo personalizado

Quando você cria um campo personalizado, o Log Analytics deve compreender quais dados deseja usar para popular seu valor. Ele usa uma tecnologia da Microsoft Research chamada FlashExtract para identificar rapidamente esses dados. Em vez de exigir que você forneça instruções explícitas, o Azure Monitor aprende os dados que você deseja extrair dos exemplos que você fornece.

As seções a seguir fornecem o procedimento para criar um campo personalizado. Para conferir orientações sobre uma extração de exemplo, acesse Orientações para o exemplo.

Observação

O campo personalizado é populado conforme os registros correspondentes aos critérios especificados são adicionados ao workspace do Log Analytics, de modo que só serão exibidos nos registros coletados depois que o campo personalizado for criado. O campo personalizado não será adicionado aos registros que já estão no armazenamento de dados quando ele for criado.

Etapa 1: identificar registros que terão o campo personalizado

A primeira etapa é identificar os registros que terão o campo personalizado. Comece com uma consulta de log padrão e selecione um registro para atuar como o modelo que servirá para o aprendizado do Azure Monitor. Ao especificar a extração de dados para um campo personalizado, o Field Extraction Wizard é aberto para que seja possível validar e refinar os critérios.

  1. Acesse Logs e use uma consulta para recuperar os registros que terão o campo personalizado.
  2. Selecione um registro que o Log Analytics usará para atuar como um modelo para extrair dados para popular o campo personalizado. Você identificará os dados que serão extraídos do registro e o Log Analytics usará essas informações para determinar a lógica para o preenchimento do campo personalizado de todos os registros semelhantes.
  3. Clique com o botão direito do mouse no registro e selecione Extrair campos dele.
  4. O Field Extraction Wizard (Assistente de Extração de Campo) é aberto e o registro selecionado é exibido na coluna Main Example (Exemplo Principal) . O campo personalizado será definido para os registros com os mesmos valores nas propriedades selecionadas.
  5. Se a seleção não estiver exatamente como você deseja, selecione campos adicionais para restringir os critérios. Para alterar os valores de campo para os critérios, você deve cancelar e selecionar um registro diferente que corresponde aos critérios desejados.

Etapa 2: realizar a extração inicial

Depois de identificar os registros que terão o campo personalizado, identifique os dados que serão extraídos. O Log Analytics usará essas informações para identificar padrões semelhantes em registros parecidos. Na etapa 3, será possível validar os resultados e fornecer mais detalhes para uso nas análises do Log Analytics.

  1. Realce o texto no registro de exemplo que você deseja para popular o campo personalizado. Em seguida, será exibida uma caixa de diálogo para que você forneça um nome e um tipo para o campo e realize a extração inicial. Os caracteres _CF serão acrescentados automaticamente.
  2. Clique em Extrair para executar uma análise dos registros coletados.
  3. As seções Resumo e Resultados da Pesquisa exibem os resultados de extração para que você possa inspecionar sua precisão. Resumo exibe os critérios usados para identificar registros e uma contagem de cada um dos valores de dados identificados. Resultados da Pesquisa fornece uma lista detalhada dos registros que correspondem aos critérios.

Etapa 3: Verifique a precisão da extração e crie um campo personalizado

Após você ter executado a extração inicial, o Log Analytics exibirá seus resultados com base nos dados que já foram coletados. Se os resultados parecerem precisos, será possível criar o campo personalizado diretamente. Caso contrário, refine os resultados para que o Log Analytics possa melhorar a lógica.

  1. Se quaisquer valores na extração inicial não estiverem corretos, clique no ícone Editar ao lado de um registro impreciso e selecione Modificar esse realce para modificar a seleção.
  2. A entrada é copiada para a seção Exemplos adicionais sob o Exemplo Principal. Você pode ajustar o realce aqui para ajudar o Log Analytics a entender a seleção que ele deveria ter feito.
  3. Clique em Extrair para usar essas novas informações para avaliar todos os registros existentes. Os resultados podem ser modificados para registros diferentes daqueles que você acabou de modificar com base nessa nova inteligência.
  4. Continue a adicionar correções até que todos os registros na extração identifiquem corretamente os dados para popular o novo campo personalizado.
  5. Clique em Salvar extração quando tudo estiver correto com os resultados. O campo personalizado agora está definido, mas ele não será adicionado a nenhum registro ainda.
  6. Aguarde até que novos registros correspondentes aos critérios especificados sejam coletados e, em seguida, execute novamente a pesquisa de log. Os novos registros devem ter o campo personalizado.
  7. Use o campo personalizado como qualquer outra propriedade de registro. Você pode usá-lo para agregar e agrupar dados e até mesmo usá-lo para gerar novas percepções.

Removendo um campo personalizado

Há duas maneiras de remover um campo personalizado. Ao exibir a lista completa, a primeira opção para cada campo é Remover, conforme descrito na Etapa 2: realizar a extração inicial. O outro método é recuperar um registro e clicar no botão à esquerda do campo. O menu terá uma opção para remover o campo personalizado.

Passo a passo de exemplo

A seção a seguir explica passo a passo um exemplo completo de criação de campo personalizado. Este exemplo extrai o nome do serviço em eventos do Windows que indicam um serviço alterando o estado. Isso depende de eventos criados pelo Gerenciador de Controle de Serviço durante a inicialização do sistema em computadores com Windows. Se você deseja acompanhar este exemplo, deve estar coletando eventos de informações para o log do sistema.

Inserimos a seguinte consulta para retornar todos os eventos do Gerenciador de Controle de Serviço que têm uma ID de Evento de 7036, que é o evento que indica um serviço iniciando ou parando.

Captura de tela que mostra uma consulta para uma origem e ID do evento.

Em seguida, clicamos com o botão direito do mouse em qualquer registro com a ID de evento 7036 e selecionamos Extrair campos de 'Evento'.

Captura de tela mostrando as opções Copiar e Extrair campos, que estão disponíveis quando você clica com o botão direito do mouse em um registro na lista de resultados.

O Assistente de Extração de Campo é aberto com os campos EventLog e EventID selecionados na coluna Exemplo Principal. Isso indica que o campo personalizado será definido para eventos do log do sistema com uma ID de evento de 7036. Isso é suficiente para que não precisemos selecionar nenhum outro campo.

Captura de tela do exemplo principal.

Realçamos o nome do serviço na propriedade RenderedDescription e usamos Service para identificar o nome do serviço. O campo personalizado será chamado Service_CF. O tipo de campo, nesse caso, é uma cadeia de caracteres, portanto, podemos deixar isso inalterado.

Captura de tela do Título do Campo.

Vemos que o nome do serviço é identificado corretamente para alguns registros, mas não para outros. Os Resultados da Pesquisa mostram que parte do nome do Adaptador de Desempenho WMI não foi selecionada. O Resumo mostra que um registro identificou o instalador de módulos em vez do instalador de módulos do Windows.

Captura de tela mostrando partes do nome do serviço realçadas no painel de resultados da pesquisa e um nome de serviço incorreto realçado no resumo.

Começamos com o registro Adaptador de Desempenho WMI . Clicamos em seu ícone de edição e em Modify this highlight(Modificar esse realce).

Captura de tela do realce de modificação.

Aumentaremos o realce para incluir a palavra WMI e, em seguida, executamos a extração novamente.

Captura de tela de exemplo adicional.

Observe que as entradas do Adaptador de Desempenho WMI foram corrigidas e o Log Analytics também usou essas informações para corrigir os registros do Instalador de Módulos do Windows.

Captura de tela mostrando partes do nome do serviço realçadas no painel de resultados da pesquisa e os nomes de serviço corretos realçados no resumo.

É possível executar uma consulta para verificar se Service_CF foi criado, mas ainda não foi adicionado a nenhum registro. Isso ocorre porque o campo personalizado não funciona com registros existentes, portanto, precisamos aguardar a coleta de novos registros.

Captura de tela da contagem inicial.

Depois de algum tempo, novos eventos são coletados e é possível observar que o campo Service_CF agora é adicionado aos recursos que correspondem aos critérios.

Resultados finais

Agora podemos usar o campo personalizado como qualquer outra propriedade de registro. Para ilustrar isso, criamos uma consulta que agrupa pelo novo campo Service_CF para inspecionar quais serviços são os mais ativos.

Captura de tela do grupo por consulta.

Próximas etapas