Criar campos personalizados em um workspace do Log Analytics no Azure Monitor (pré-visualização)

Importante

A criação de novos campos personalizados será desabilitada a partir de 31 de março de 2023. A funcionalidade de campos personalizados será preterida e os campos personalizados existentes deixarão de funcionar até 31 de março de 2026. Você deve migrar para transformações de tempo de ingestão para continuar analisando seus registros de log.

Atualmente, quando você adiciona um novo campo personalizado, pode levar até 7 dias para que os dados sejam exibidos.

O recurso Campos Personalizados do Azure Monitor permite que você estenda os registros existentes no workspace do Log Analytics adicionando seus próprios campos pesquisáveis. Os campos personalizados são populados automaticamente por meio dos dados extraídos de outras propriedades no mesmo registro.

Por exemplo, o registro de exemplo abaixo tem dados úteis escondidos na descrição do evento. A extração desses dados em propriedades separadas os torna disponíveis para ações como a classificação e a filtragem.

Observação

Na versão prévia você está limitado a 500 campos personalizados em seu workspace. Esse limite será expandido quando essa funcionalidade atingir a disponibilidade geral.

Criando um campo personalizado

Quando você cria um campo personalizado, o Log Analytics deve compreender quais dados deseja usar para popular seu valor. Ele usa uma tecnologia da Microsoft Research chamada FlashExtract para identificar rapidamente esses dados. Em vez de exigir que você forneça instruções explícitas, o Azure Monitor aprende os dados que você deseja extrair dos exemplos que você fornece.

As seções a seguir fornecem o procedimento para criar um campo personalizado. Na parte inferior deste artigo há um passo a passo de uma extração de exemplo.

Observação

O campo personalizado é populado conforme os registros correspondentes aos critérios especificados são adicionados ao workspace do Log Analytics, de modo que só serão exibidos nos registros coletados depois que o campo personalizado for criado. O campo personalizado não será adicionado aos registros que já estão no armazenamento de dados quando ele for criado.

Etapa 1: Identifique os registros que terão o campo personalizado

A primeira etapa é identificar os registros que obterão o campo personalizado. Você inicia com uma consulta de log padrão e, em seguida, seleciona um registro para atuar como o modelo que o Azure Monitor aprenderá. Quando você especifica que extrairá dados em um campo personalizado, o Field Extraction Wizard (Assistente de Extração de Campo) é aberto, no qual você valida e refina os critérios.

1. Vá em Logs e use uma consulta para recuperar os registros que terão o campo personalizado.
2. Selecione um registro que o Log Analytics usará para atuar como um modelo para extrair dados para popular o campo personalizado. Você identificará os dados que deseja extrair desse registro e o Log Analytics usará essas informações para determinar a lógica para popular o campo personalizado para todos os registros semelhantes.
3. Clique com o botão direito do mouse no registro e selecione Extrair campos dele.
4. O Field Extraction Wizard (Assistente de Extração de Campo) é aberto e o registro selecionado é exibido na coluna Main Example (Exemplo Principal) . O campo personalizado será definido para os registros com os mesmos valores nas propriedades selecionadas.
5. Se a seleção não for exatamente o que você deseja, selecione campos adicionais para restringir os critérios. Para alterar os valores de campo para os critérios, você deve cancelar e selecionar um registro diferente que corresponde aos critérios desejados.

Etapa 2: Execute a extração inicial.

Depois de identificar os registros que terão o campo personalizado, você identifica os dados que deseja extrair. O Log Analytics usará essas informações para identificar padrões semelhantes em registros semelhantes. Na próxima etapa, você poderá validar os resultados e fornecer mais detalhes para o Log Analytics usar em suas análises.

1. Realce o texto no registro de exemplo que você deseja para popular o campo personalizado. Em seguida, você verá uma caixa de diálogo para fornecer um nome para o tipo de campo e para realizar a extração inicial. Os caracteres _CF serão acrescentados automaticamente.
2. Clique em Extrair para executar uma análise dos registros coletados.
3. As seções Resumo e Resultados da Pesquisa exibem os resultados de extração para que você possa inspecionar sua precisão. Resumo exibe os critérios usados para identificar registros e uma contagem de cada um dos valores de dados identificados. Resultados da Pesquisa fornece uma lista detalhada dos registros que correspondem aos critérios.

Etapa 3: Verifique a precisão da extração e crie um campo personalizado

Após você ter executado a extração inicial, o Log Analytics exibirá seus resultados com base nos dados que já foram coletados. Se os resultados parecerem precisos, você poderá criar o campo personalizado sem trabalho adicional. Caso contrário, você pode refinar os resultados para que o Log Analytics possa melhorar sua lógica.

1. Se quaisquer valores na extração inicial não estiverem corretos, clique no ícone Editar ao lado de um registro impreciso e selecione Modificar esse realce para modificar a seleção.
2. A entrada é copiada para a seção Exemplos adicionais sob o Exemplo Principal. Você pode ajustar o realce aqui para ajudar o Log Analytics a entender a seleção que ele deveria ter feito.
3. Clique em Extrair para usar essas novas informações para avaliar todos os registros existentes. Os resultados podem ser modificados para registros diferentes daqueles que você acabou de modificar com base nessa nova inteligência.
4. Continue a adicionar correções até que todos os registros na extração identifiquem corretamente os dados para popular o novo campo personalizado.
5. Clique em Save Extract (Salvar Extração) quando estiver satisfeito com os resultados. O campo personalizado agora está definido, mas ele não será adicionado a nenhum registro ainda.
6. Aguarde até que novos registros correspondentes aos critérios especificados sejam coletados e, em seguida, execute novamente a pesquisa de log. Os novos registros devem ter o campo personalizado.
7. Use o campo personalizado como qualquer outra propriedade de registro. Você pode usá-lo para agregar e agrupar dados e até mesmo usá-lo para gerar novas percepções.

Removendo um campo personalizado

Há duas maneiras de remover um campo personalizado. O primeiro é a opção Remover para cada campo ao exibir a lista completa conforme descrito acima. O outro método é recuperar um registro e clicar no botão à esquerda do campo. O menu terá uma opção para remover o campo personalizado.

Passo a passo de exemplo

A seção a seguir explica passo a passo um exemplo completo de criação de campo personalizado. Este exemplo extrai o nome do serviço em eventos do Windows que indicam um serviço alterando o estado. Isso depende de eventos criados pelo Gerenciador de Controle de Serviço durante a inicialização do sistema em computadores com Windows. Se você deseja acompanhar este exemplo, deve estar coletando eventos de informações para o log do sistema.

Inserimos a seguinte consulta para retornar todos os eventos do Gerenciador de Controle de Serviço que têm uma ID de Evento de 7036, que é o evento que indica um serviço iniciando ou parando.

Em seguida, clicamos com o botão direito do mouse em qualquer registro com a ID de evento 7036 e selecionamos Extrair campos de 'Evento'.

O Assistente de Extração de Campo é aberto com os campos EventLog e EventID selecionados na coluna Exemplo Principal. Isso indica que o campo personalizado será definido para eventos do log do sistema com uma ID de evento de 7036. Isso é suficiente para que não precisemos selecionar nenhum outro campo.

Realçamos o nome do serviço na propriedade RenderedDescription e usamos Service para identificar o nome do serviço. O campo personalizado será chamado Service_CF. O tipo de campo, nesse caso, é uma cadeia de caracteres, portanto, podemos deixar isso inalterado.

Vemos que o nome do serviço é identificado corretamente para alguns registros, mas não para outros. Os Resultados da Pesquisa mostram que parte do nome do Adaptador de Desempenho WMI não foi selecionada. O Resumo mostra que um registro identificou o instalador de módulos em vez do instalador de módulos do Windows.

Começamos com o registro Adaptador de Desempenho WMI . Clicamos em seu ícone de edição e em Modify this highlight(Modificar esse realce).

Aumentaremos o realce para incluir a palavra WMI e, em seguida, executamos a extração novamente.

Podemos ver que as entradas para Adaptador de Desempenho WMI foram corrigidas e o Log Analytics também usou essa informação para corrigir os registros para Instalador de Módulo do Windows.

Podemos ver que Service_CF foi criado, mas ainda não foi adicionado a nenhum registro. Isso ocorre porque o campo personalizado não funciona com registros existentes, portanto, precisamos aguardar a coleta de novos registros.

Depois de passar algum tempo para que novos eventos sejam coletados, podemos ver que o campo Service_CF agora está sendo adicionado a recursos que correspondem aos nossos critérios.

Agora podemos usar o campo personalizado como qualquer outra propriedade de registro. Para ilustrar isso, criamos uma consulta que agrupa pelo novo campo Service_CF para inspecionar quais serviços são os mais ativos.

Próximas etapas

• Saiba mais sobre pesquisas de log para criar consultas usando campos personalizados para os critérios.
• Monitorar arquivos de log personalizados que você analisa usando campos personalizados.