Adicionar ou excluir tabelas e colunas nos Logs do Azure Monitor

As regras de coleta de dados permitem filtrar e transformar dados de log antes de enviar os dados para uma tabela do Azure ou uma tabela personalizada. Este artigo explica como criar tabelas personalizadas e adicionar colunas personalizadas a tabelas no espaço de trabalho do Log Analytics.

Importante

Sempre que você atualizar um esquema de tabela, certifique-se de atualizar todas as regras de coleta de dados que enviam dados para a tabela. O esquema de tabela que você define em sua regra de coleta de dados determina como o Azure Monitor transmite dados para a tabela de destino. O Azure Monitor não atualiza as regras de coleta de dados automaticamente quando você faz alterações no esquema da tabela.

Pré-requisitos

Para criar uma tabela personalizada, precisará de:

• Um espaço de trabalho do Log Analytics onde você tem pelo menos direitos de colaborador.

• Um ponto de extremidade de coleta de dados (DCE).

• Um arquivo JSON com pelo menos um registro de exemplo para sua tabela personalizada. Isso será semelhante ao seguinte:

  [
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    }
  ]
  

  Todas as tabelas em um espaço de trabalho do Log Analytics devem ter uma coluna chamada TimeGenerated. Se os dados da amostra tiverem uma coluna chamada TimeGenerated, esse valor será usado para identificar o tempo de ingestão do registro. Caso contrário, uma TimeGenerated coluna será adicionada à transformação no DCR da tabela. Para obter informações sobre o formato, consulte Formatos TimeGeneratedde data/hora suportados.

Criar uma tabela personalizada

As tabelas do Azure têm esquemas predefinidos. Para armazenar dados de log em um esquema diferente, use regras de coleta de dados para definir como coletar, transformar e enviar os dados para uma tabela personalizada em seu espaço de trabalho do Log Analytics.

Importante

As tabelas personalizadas têm um sufixo de _CL, por exemplo, tablename_CL. O portal do Azure adiciona o sufixo _CL ao nome da tabela automaticamente. Ao criar uma tabela personalizada usando um método diferente, você mesmo precisa adicionar o sufixo _CL . Os tablename_CL nas propriedades DataFlows Streams em suas regras de coleta de dados devem corresponder ao nome do tablename_CL no espaço de trabalho do Log Analytics.

Nota

Para obter informações sobre como criar uma tabela personalizada para logs que você ingere com o agente preterido do Log Analytics, também conhecido como MMA ou OMS, consulte Coletar logs de texto com o agente do Log Analytics.

Portal

Para criar uma tabela personalizada no portal do Azure:

1. No menu Espaços de trabalho do Log Analytics, selecione Tabelas.

   

2. Selecione Criar e, em seguida, Novo log personalizado (baseado em DCR).

   

3. Especifique um nome e, opcionalmente, uma descrição para a tabela. Você não precisa adicionar o sufixo _CL ao nome da tabela personalizada - isso é adicionado automaticamente ao nome especificado no portal.

4. Selecione uma regra de coleta de dados existente na lista suspensa Regra de coleta de dados ou selecione Criar uma nova regra de coleta de dados e especifique a Assinatura, o grupo de recursos e o Nome para a nova regra de coleta de dados.

   

5. Selecione um ponto de extremidade de coleta de dados e selecione Avançar.

   

6. Selecione Procurar arquivos e localize o arquivo JSON com os dados de exemplo da nova tabela.

   

   Se os dados de exemplo não incluírem uma TimeGenerated coluna, você receberá uma mensagem informando que uma transformação está sendo criada com essa coluna.

7. Se você quiser transformar os dados de log antes da ingestão em sua tabela:

   1. Selecione Editor de transformação.

      O editor de transformação permite criar uma transformação para o fluxo de dados de entrada. Esta é uma consulta KQL que é executada em cada registro de entrada. Os Logs do Azure Monitor armazenam os resultados da consulta na tabela de destino.

      

   2. Selecione Executar para visualizar os resultados.

      

8. Selecione Aplicar para salvar a transformação e exibir o esquema da tabela que está prestes a ser criada. Selecione Avançar para continuar.

   

9. Verifique os detalhes finais e selecione Criar para salvar o log personalizado.

   

API

Para criar uma tabela personalizada, chame a API Tabelas - Criar ou Atualizar.

CLI

Para criar uma tabela personalizada, execute o comando az monitor log-analytics workspace table create .

PowerShell

Use a API Tables - Update PATCH para criar uma tabela personalizada com o código do PowerShell abaixo. Esse código cria uma tabela chamada MyTable_CL com duas colunas. Modifique esse esquema para coletar uma tabela diferente.

1. Selecione o botão Cloud Shell no portal do Azure e verifique se o ambiente está definido como PowerShell.

   

2. Copie o seguinte código do PowerShell e substitua o parâmetro Path pelos valores apropriados para seu espaço de trabalho no Invoke-AzRestMethod comando. Cole no prompt do Cloud Shell para executá-lo.

   $tableParams = @'
   {
       "properties": {
           "schema": {
               "name": "MyTable_CL",
               "columns": [
                   {
                       "name": "TimeGenerated",
                       "type": "DateTime"
                   }, 
                   {
                       "name": "RawData",
                       "type": "String"
                   }
               ]
           }
       }
   }
   '@
   
   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/MyTable_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
   

Eliminar uma tabela

Há vários tipos de tabelas nos Logs do Azure Monitor. Você pode excluir qualquer tabela que não seja uma tabela do Azure, mas o que acontece com os dados quando você exclui a tabela é diferente para cada tipo de tabela.

Para obter mais informações, consulte O que acontece com os dados quando você exclui uma tabela em um espaço de trabalho do Log Analytics.

Portal

Para excluir uma tabela do portal do Azure:

1. No menu do espaço de trabalho do Log Analytics, selecione Tabelas.

2. Procure as tabelas que pretende eliminar pelo nome ou selecione Resultados da pesquisa no campo Tipo .

   

3. Selecione a tabela que deseja excluir, selecione as reticências ( ... ) à direita da tabela, selecione Excluir e confirme a exclusão digitando sim.

   

API

Para excluir uma tabela, chame a API Tabelas - Excluir.

CLI

Para excluir uma tabela, execute o comando az monitor log-analytics workspace table delete .

PowerShell

Para excluir uma tabela usando o PowerShell:

1. Selecione o botão Cloud Shell no portal do Azure e verifique se o ambiente está definido como PowerShell.

   

2. Copie o seguinte código do PowerShell e substitua o parâmetro Path pelos valores apropriados para seu espaço de trabalho no Invoke-AzRestMethod comando. Cole no prompt do Cloud Shell para executá-lo.

   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/NewCustom_CL?api-version=2021-12-01-preview" -Method DELETE
   

Adicionar ou excluir uma coluna personalizada

Você pode modificar o esquema de tabelas personalizadas e adicionar colunas personalizadas ou excluir colunas de uma tabela padrão.

Nota

Os nomes das colunas devem começar com uma letra e podem consistir em até 45 caracteres alfanuméricos e sublinhados (_). _ResourceId, id, , _ResourceId, _SubscriptionId, TypeTenantId, , UniqueIde Title são nomes de colunas reservados.

Portal

Para adicionar uma coluna personalizada a uma tabela no espaço de trabalho do Log Analytics ou excluir uma coluna:

1. No menu Espaços de trabalho do Log Analytics, selecione Tabelas.

2. Selecione as reticências ( ... ) à direita da tabela que deseja editar e selecione Editar esquema. Isso abre a tela do Editor de Esquema.

3. Role para baixo até a seção Colunas personalizadas da tela Editor de esquema.

   

4. Para adicionar uma nova coluna:

   1. Selecione Adicionar uma coluna.
   2. Defina o nome e a descrição da coluna (opcional) e selecione o tipo de valor esperado na lista suspensa Tipo .
   3. Selecione Salvar para salvar a nova coluna.

5. Para excluir uma coluna, selecione o ícone Excluir à esquerda da coluna que deseja excluir.

API

Para adicionar ou excluir uma coluna personalizada, chame a API Tabelas - Criar ou Atualizar.

CLI

Para adicionar ou excluir uma coluna personalizada, execute o comando az monitor log-analytics workspace table update .

PowerShell

Para adicionar uma nova coluna a uma tabela do Azure ou personalizada, execute:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "<TableName>",
            "columns": [
                {
                    "name": ""<ColumnName>",
                    "description": "First custom column",
                    "type": "string",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/<TableName>?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

A PUT chamada retorna as propriedades atualizadas da tabela, que devem incluir a coluna recém-adicionada.

Exemplo

Execute este comando para adicionar uma coluna personalizada, chamada Custom1_CF, à tabela do Azure Heartbeat :

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom1_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Agora, para excluir a coluna recém-adicionada e adicionar outra em vez disso, execute:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom2_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Para excluir todas as colunas personalizadas da tabela, execute:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Próximos passos

Saiba mais sobre:

• Coletando logs com a API de ingestão de logs
• Coletando logs com o Azure Monitor Agent
• Regras de recolha de dados