Criar campos personalizados em um espaço de trabalho do Log Analytics no Azure Monitor (Visualização)

  • Artigo

Importante

A criação de novos campos personalizados será desativada a partir de 31 de março de 2023. A funcionalidade de campos personalizados será preterida e os campos personalizados existentes deixarão de funcionar em 31 de março de 2026. Você deve migrar para transformações de tempo de ingestão para continuar analisando seus registros de log.

Atualmente, quando você adiciona um novo campo personalizado, pode levar até 7 dias antes que os dados comecem a aparecer.

O recurso Campos Personalizados do Azure Monitor permite que você estenda os registros existentes em seu espaço de trabalho do Log Analytics adicionando seus próprios campos pesquisáveis. Os campos personalizados são preenchidos automaticamente a partir de dados extraídos de outras propriedades no mesmo registo.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Por exemplo, o registro de exemplo abaixo tem dados úteis enterrados na descrição do evento. A extração desses dados em uma propriedade separada os torna disponíveis para ações como classificação e filtragem.

Screenshot of sample extract.

Nota

Na Pré-visualização, está limitado a 500 campos personalizados na sua área de trabalho. Este limite será expandido quando esta funcionalidade atingir a disponibilidade geral.

Criando um campo personalizado

Quando você cria um campo personalizado, o Log Analytics deve entender quais dados usar para preencher seu valor. Ele usa uma tecnologia da Microsoft Research chamada FlashExtract para identificar rapidamente esses dados. Em vez de exigir que você forneça instruções explícitas, o Azure Monitor aprende sobre os dados que você deseja extrair dos exemplos fornecidos.

As seções a seguir fornecem o procedimento para criar um campo personalizado. Na parte inferior deste artigo está um passo a passo de uma extração de amostra.

Nota

O campo personalizado é preenchido à medida que os registros correspondentes aos critérios especificados são adicionados ao espaço de trabalho do Log Analytics, portanto, ele só aparecerá nos registros coletados após a criação do campo personalizado. O campo personalizado não será adicionado a registros que já estão no armazenamento de dados quando ele é criado.

Etapa 1: identificar os registros que terão o campo personalizado

O primeiro passo é identificar os registros que receberão o campo personalizado. Você começa com uma consulta de log padrão e, em seguida, seleciona um registro para atuar como o modelo com o qual o Azure Monitor aprenderá. Quando você especifica que vai extrair dados em um campo personalizado, o Assistente de Extração de Campo é aberto onde você valida e refina os critérios.

  1. Vá para Logs e use uma consulta para recuperar os registros que terão o campo personalizado.
  2. Selecione um registro que o Log Analytics usará para atuar como um modelo para extrair dados para preencher o campo personalizado. Você identificará os dados que deseja extrair desse registro e o Log Analytics usará essas informações para determinar a lógica para preencher o campo personalizado para todos os registros semelhantes.
  3. Clique com o botão direito do mouse no registro e selecione Extrair campos de.
  4. O Assistente de Extração de Campo é aberto e o registro selecionado é exibido na coluna Exemplo Principal . O campo personalizado será definido para os registros com os mesmos valores nas propriedades selecionadas.
  5. Se a seleção não for exatamente a desejada, selecione campos adicionais para restringir os critérios. Para alterar os valores de campo para os critérios, você deve cancelar e selecionar um registro diferente correspondente aos critérios desejados.

Passo 2: Execute a extração inicial.

Depois de identificar os registros que terão o campo personalizado, você identifica os dados que deseja extrair. O Log Analytics usará essas informações para identificar padrões semelhantes em registros semelhantes. Na etapa seguinte, você poderá validar os resultados e fornecer mais detalhes para o Log Analytics usar em sua análise.

  1. Realce o texto no registro de exemplo que você deseja preencher o campo personalizado. Em seguida, será apresentada uma caixa de diálogo para fornecer um nome e um tipo de dados para o campo e para executar a extração inicial. Os caracteres _CF serão automaticamente acrescentados.
  2. Clique em Extrair para executar uma análise dos registros coletados.
  3. As seções Resumo e Resultados da Pesquisa exibem os resultados da extração para que você possa inspecionar sua precisão. Resumo exibe os critérios usados para identificar registros e uma contagem para cada um dos valores de dados identificados. Os Resultados da Pesquisa fornecem uma lista detalhada dos registos que correspondem aos critérios.

Etapa 3: Verificar a precisão da extração e criar campo personalizado

Depois de executar a extração inicial, o Log Analytics exibirá seus resultados com base nos dados que já foram coletados. Se os resultados parecerem precisos, então você pode criar o campo personalizado sem mais trabalho. Caso contrário, você pode refinar os resultados para que o Log Analytics possa melhorar sua lógica.

  1. Se algum valor na extração inicial não estiver correto, clique no ícone Editar ao lado de um registro impreciso e selecione Modificar este realce para modificar a seleção.
  2. A entrada é copiada para a seção Exemplos adicionais abaixo do Exemplo principal. Você pode ajustar o destaque aqui para ajudar o Log Analytics a entender a seleção que deveria ter feito.
  3. Clique em Extrair para usar essas novas informações para avaliar todos os registros existentes. Os resultados podem ser modificados para registros diferentes daquele que você acabou de modificar com base nessa nova inteligência.
  4. Continue a adicionar correções até que todos os registros na extração identifiquem corretamente os dados para preencher o novo campo personalizado.
  5. Clique em Salvar extração quando estiver satisfeito com os resultados. O campo personalizado agora está definido, mas ainda não será adicionado a nenhum registro.
  6. Aguarde até que novos registros que correspondam aos critérios especificados sejam coletados e, em seguida, execute a pesquisa de log novamente. Os novos registos devem ter o campo personalizado.
  7. Use o campo personalizado como qualquer outra propriedade de registro. Você pode usá-lo para agregar e agrupar dados e até mesmo usá-lo para produzir novos insights.

Remover um campo personalizado

Há duas maneiras de remover um campo personalizado. A primeira é a opção Remover para cada campo ao visualizar a lista completa, conforme descrito acima. O outro método é recuperar um registro e clicar no botão à esquerda do campo. O menu terá uma opção para remover o campo personalizado.

Instruções de exemplo

A seção a seguir apresenta um exemplo completo de criação de um campo personalizado. Este exemplo extrai o nome do serviço em eventos do Windows que indicam um serviço alterando o estado. Isso depende de eventos criados pelo Service Control Manager durante a inicialização do sistema em computadores Windows. Se quiser seguir este exemplo, você deve estar coletando eventos de informações para o log do sistema.

Inserimos a consulta a seguir para retornar todos os eventos do Gerenciador de Controle de Serviço que tenham uma ID de Evento de 7036, que é o evento que indica um serviço iniciando ou parando.

Screenshot showing a query for an event source and ID.

Em seguida, clicamos com o botão direito do mouse em qualquer registro com ID de evento 7036 e selecionamos Extrair campos de 'Evento'.

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

O Assistente de Extração de Campo é aberto com os campos EventLog e EventID selecionados na coluna Exemplo Principal . Isso indica que o campo personalizado será definido para eventos do log do sistema com uma ID de evento de 7036. Isso é suficiente para que não precisemos selecionar outros campos.

Screenshot of main example.

Destacamos o nome do serviço na propriedade RenderedDescription e usamos Service para identificar o nome do serviço. O campo personalizado será chamado Service_CF. O tipo de campo, neste caso, é uma cadeia de caracteres, então podemos deixá-la inalterada.

Screenshot of Field Title.

Vemos que o nome do serviço é identificado corretamente para alguns registros, mas não para outros. Os Resultados da Pesquisa mostram que parte do nome do Adaptador de Desempenho WMI não foi selecionada. O Resumo mostra que um registro identificou o Instalador de Módulos em vez do Instalador de Módulos do Windows.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

Começamos com o registro WMI Performance Adapter . Clicamos no ícone de edição e, em seguida, em Modificar este realce.

Screenshot of modify highlight.

Aumentamos o destaque para incluir a palavra WMI e, em seguida, executamos novamente a extração.

Screenshot of additional example.

Podemos ver que as entradas para o WMI Performance Adapter foram corrigidas, e o Log Analytics também usou essas informações para corrigir os registros do Windows Module Installer.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Agora podemos executar uma consulta que verifica Service_CF foi criada, mas ainda não foi adicionada a nenhum registro. Isso ocorre porque o campo personalizado não funciona em relação aos registros existentes, então precisamos esperar que novos registros sejam coletados.

Screenshot of initial count.

Depois de algum tempo para que novos eventos sejam coletados, podemos ver que o campo Service_CF está sendo adicionado aos registros que correspondem aos nossos critérios.

Final results

Agora podemos usar o campo personalizado como qualquer outra propriedade de registro. Para ilustrar isso, criamos uma consulta que agrupa pelo novo campo Service_CF para inspecionar quais serviços são os mais ativos.

Screenshot of group by query.

Próximos passos

  • Saiba mais sobre consultas de log para criar consultas usando campos personalizados para critérios.
  • Monitore arquivos de log personalizados que você analisa usando campos personalizados.