Создание настраиваемых полей в рабочей области Log Analytics в Azure Monitor (предварительная версия)

  • Статья

Важно!

Создание новых настраиваемых полей будет отключено с 31 марта 2023 г. Функции пользовательских полей будут устаревшими, а существующие настраиваемые поля перестают работать к 31 марта 2026 г. Чтобы сохранить анализ записей журнала, необходимо выполнить миграцию на преобразования во время приема.

В настоящее время при добавлении нового настраиваемого поля может потребоваться до 7 дней до начала появления данных.

Возможность Настраиваемые поля, предоставляемая службой Azure Monitor, позволяет расширить существующие записи в рабочей области Log Analytics путем добавления собственных полей с поддержкой поиска. Настраиваемые поля автоматически заполняются на основе данных, извлеченных из других свойств в той же записи.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Так, в примере записи ниже полезные данные содержатся в описании события. Если извлечь эти данные в отдельные свойства, они станут доступными для сортировки и фильтрации.

Screenshot of sample extract.

Примечание.

В предварительной версии этой функции поддерживаются только 500 настраиваемых полей в рабочей области. С выходом общедоступной версии это число увеличится.

Создание настраиваемого поля

При создании настраиваемого поля в Log Analytics нужно обозначить данные, которые будут использоваться для его заполнения. Для быстрого выявления этих данных в службе используется метод под названием FlashExtract, разработанный в Microsoft Research. Вместо запрашивания явных инструкций Azure Monitor определяет данные, которые нужно извлечь, на основе предоставленных примеров.

В следующих разделах описаны шаги по созданию настраиваемого поля. В конце этой статьи приведено пошаговое руководство по извлечению данных.

Примечание.

Настраиваемое поле заполняется, когда в рабочую область Log Analytics добавляются записи, соответствующие заданным условиям, поэтому это поле отображается только в тех записях, которые были собраны после его создания. Настраиваемое поле не будет добавлено в записи, которые при его создании уже находились в хранилище данных.

Шаг 1. Определение записей, которые будут иметь настраиваемое поле

Прежде всего нужно определить записи, которые будут содержать настраиваемое поле. Используйте стандартный запрос журнала, чтобы выбрать запись, которая будет выступать в качестве модели для обучения Azure Monitor. После выбора параметра извлечения данных в настраиваемое поле откроется мастер извлечения полей , где нужно проверить и уточнить условия.

  1. Выберите функцию Журналы и введите запрос на получение записей, который будет содержать настраиваемое поле.
  2. Выберите запись, которую Log Analytics будет использовать в качестве модели для извлечения данных, нужных для заполнения поля. Обозначьте данные, которые нужно извлечь из этой записи. Log Analytics будет использовать эту информацию, чтобы определить логику заполнения настраиваемого поля для всех подобных записей.
  3. Щелкните запись правой кнопкой мыши и выберите Извлечь поля из.
  4. После этого откроется мастер извлечения полей и выбранная запись будет отображаться в столбце Основной пример. Настраиваемое поле будет определено для записей, значения в свойствах которых соответствуют выбранным.
  5. Если полученный результат вам не подходит, уточните условия, выбрав дополнительные поля. Чтобы изменить значения полей для условий, отмените выбор записи и выберите другую запись, соответствующую необходимым условиям.

Шаг 2. Выполнение начального извлечения.

После определения записей, которые будут иметь настраиваемое поле, необходимо указать данные, которые требуется извлечь. На основе этих данных Log Analytics определит аналогичные шаблоны в схожих записях. После этого вы сможете проверить результаты и указать дополнительные сведения, которые Log Analytics будет использовать при анализе.

  1. Выделите текст в примере записи, для которой требуется заполнить настраиваемое поле. Затем появится диалоговое окно, в котором нужно указать имя и тип данных для поля, а затем запустить выполнение начального извлечения. К имени поля будет автоматически добавлено _CF.
  2. Нажмите кнопку Извлечь , чтобы запустить анализ собранных записей.
  3. В разделах Сводка и Результаты поиска отобразятся результаты извлечения. Таким образом вы сможете проверить правильность извлечения. В разделе Сводка содержатся условия, используемые для поиска записей, и количество всех определенных значений данных. В разделе Результаты поиска приведен подробный список записей, соответствующих условиям.

Шаг 3. Проверка точности извлечения и создания настраиваемого поля

После выполнения начального извлечения в Log Analytics отобразятся результаты на основе предварительно собранных данных. Если эти результаты правильные, можно сразу перейти к созданию настраиваемого поля. В противном случае нужно уточнить результаты, чтобы улучшить логику Log Analytics.

  1. Если какие-либо значения, определенные в ходе начального извлечения, неверны, щелкните значок Изменить рядом с неправильной записью и выберите команду Изменить этот выделенный элемент.
  2. Эта запись скопируется в раздел Дополнительные примеры под столбцом Основной пример. Здесь можно выделить необходимую часть данных, чтобы указать Log Analytics на правильный выбор.
  3. Нажмите кнопку Извлечь , чтобы использовать эту информацию для оценки всех существующих записей. Для других записей могут быть изменены результаты на основе этих новых сведений.
  4. Вносите исправления до тех пор, пока во всех записях в извлечении не будут правильно определены данные для заполнения нового настраиваемого поля.
  5. Добившись удовлетворительных результатов, нажмите кнопку Save Extract (Сохранить извлечение). Теперь настраиваемое поле определено, но оно еще не добавлено к записям.
  6. Подождите, пока не будут собраны новые записи, соответствующие указанным условиям, и выполните поиск по журналу снова. После этого новые записи будут содержать настраиваемое поле.
  7. Используйте настраиваемое поле, как и другие свойства записи. Его можно применять для объединения и группирования данных, а также для создания новых сведений для анализа.

Удаление настраиваемого поля

Настраиваемое поле можно удалить двумя способами. Первый способ — использовать параметр Удалить для каждого поля при просмотре полного списка (процедура его открытия описана выше). Второй способ — извлечь запись , нажать кнопку слева от поля и в открывшемся меню выбрать пункт удаления настраиваемого поля.

Пример пошагового руководства

В этом разделе описывается полная процедура создания настраиваемого поля. В этом примере извлекается имя службы в событиях Windows, которые указывают на изменение состояния службы. При этом используются события, созданные диспетчером служб во время запуска системы на компьютерах Windows. Если вы хотите выполнить этот пример, необходимо, чтобы на компьютере был включен сбор информационных событий в системном журнале.

Мы введем запрос, как на снимке экрана ниже, для возврата всех событий, созданных диспетчером служб, с идентификатором 7036, т. е. событий запуска или остановки службы.

Screenshot showing a query for an event source and ID.

Затем щелкните правой кнопкой мыши любую запись с идентификатором события 7036 и выберите Извлечь поля из "Event".

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

После этого откроется мастер извлечения полей с выбранными полями EventLog и EventID в столбце Основной пример. Это означает, что настраиваемое поле будет определено для событий системного журнала с идентификатором 7036. Этих полей достаточно. Нам больше не нужно ничего выбирать.

Screenshot of main example.

Мы выделим имя службы в свойстве RenderedDescription и назначим службе имя Service. Настраиваемое поле будет называться Service_CF. В данном случае типом поля является строка, поэтому мы можем оставить это поле без изменений.

Screenshot of Field Title.

После извлечения мы увидим, что имя службы определено правильно только для некоторых записей. В разделе Результаты поиска видно, что адаптер производительности WMI выделен не полностью. В разделе Сводка показано, что одна запись определила установщик модулей, а не установщик модулей Windows.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

Начнем с записи об адаптере производительности WMI . Щелкнем рядом с ней значок изменения, а затем — Modify this highlight(Изменить это выделение).

Screenshot of modify highlight.

Выделим полное название адаптера, включая WMI, и выполним извлечение повторно.

Screenshot of additional example.

Как видно, записи с адаптером производительности WMI исправлены. Кроме того, служба Log Analytics использовала эту информацию для определения записей с установщиком модулей Windows.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Теперь мы можем выполнить созданный запрос, который проверяет Service_CF, но еще не добавлен ни к одной записи. Это происходит из-за того, что настраиваемое поле не работает с имеющимися записями, поэтому нам нужно подождать, пока будут собраны новые записи.

Screenshot of initial count.

По истечении некоторого времени будут собраны новые события, и поле Service_CF начнет добавляться к записям, соответствующим нашим условиям.

Final results

Теперь мы можем использовать настраиваемое поле, как и другие свойства записи. Для иллюстрации этого мы создадим запрос, который группирует записи по новому полю Service_CF. Таким образом мы сможем проверить, какие службы наиболее активные.

Screenshot of group by query.

Следующие шаги