Добавление или удаление таблиц и столбцов в журналах Azure Monitor

Правила сбора данных позволяют фильтровать и преобразовывать данные журнала перед отправкой данных в таблицу Azure или настраиваемую таблицу. В этой статье объясняется, как создавать пользовательские таблицы и добавлять настраиваемые столбцы в таблицы в рабочей области Log Analytics.

Внимание

При обновлении схемы таблицы обязательно обновите все правила сбора данных, отправляющие данные в таблицу. Схема таблицы, определяемая в правиле сбора данных, определяет, как Azure Monitor передает данные в целевую таблицу. Azure Monitor не обновляет правила сбора данных автоматически при внесении изменений в схему таблицы.

Необходимые компоненты

Для создания пользовательской таблицы необходимо следующее.

• Рабочая область Log Analytics, в которой есть по крайней мере участник прав.

• Конечная точка сбора данных (DCE).

• JSON-файл с хотя бы одной записью примера для пользовательской таблицы. Это будет выглядеть примерно так:

  [
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    }
  ]
  

  Все таблицы в рабочей области Log Analytics должны иметь столбец с именем TimeGenerated. Если в образце данных есть столбец с именем TimeGenerated, это значение будет использоваться для определения времени приема записи. TimeGenerated В противном случае столбец будет добавлен в преобразование в DCR таблицы. Сведения о формате см. в TimeGenerated поддерживаемых форматах datetime.

Создание настраиваемой таблицы

Таблицы Azure имеют предопределенные схемы. Чтобы хранить данные журнала в другой схеме, используйте правила сбора данных для определения способа сбора, преобразования и отправки данных в настраиваемую таблицу в рабочей области Log Analytics.

Внимание

Пользовательские таблицы имеют суффикс _CL; например, имя_таблицы_CL. Портал Azure автоматически добавляет суффикс _CL в имя таблицы. При создании пользовательской таблицы с помощью другого метода необходимо добавить суффикс _CL самостоятельно. Tablename_CL в свойствах dataFlows Потоки в правилах сбора данных должны соответствовать имени tablename_CL в рабочей области Log Analytics.

Примечание.

Сведения о создании настраиваемой таблицы для журналов, которые вы собираете с помощью устаревшего агента Log Analytics, также известного как MMA или OMS, см. в статье "Сбор текстовых журналов с помощью агента Log Analytics".

Портал

Чтобы создать пользовательскую таблицу в портал Azure, выполните следующие действия.

1. В меню рабочих областей Log Analytics выберите "Таблицы".

   

2. Выберите "Создать" и "Создать настраиваемый журнал" (на основе DCR).

   

3. Укажите имя и, при необходимости, описание таблицы. Вам не нужно добавлять суффикс _CL в имя настраиваемой таблицы. Это добавляется автоматически в имя, указанное на портале.

4. Выберите существующее правило сбора данных в раскрывающемся списке правила сбора данных или выберите команду "Создать новое правило сбора данных" и укажите подписку, группу ресурсов и имя для нового правила сбора данных.

   

5. Выберите конечную точку сбора данных и нажмите кнопку "Далее".

   

6. Выберите "Обзор файлов " и найдите JSON-файл с примерами данных для новой таблицы.

   

   Если образец данных не содержит TimeGenerated столбец, вы получите сообщение о том, что преобразование создается с помощью этого столбца.

7. Если вы хотите преобразовать данные журнала перед приемом в таблицу:

   1. Выберите редактор преобразования.

      Редактор преобразования позволяет создать преобразование для входящего потока данных. Это запрос KQL, который выполняется в каждой входящей записи. Журналы Azure Monitor хранят результаты запроса в целевой таблице.

      

   2. Выберите "Выполнить" , чтобы просмотреть результаты.

      

8. Нажмите кнопку "Применить" , чтобы сохранить преобразование и просмотреть схему создаваемой таблицы. Чтобы продолжить, выберите Далее.

   

9. Проверьте окончательные сведения и нажмите кнопку "Создать ", чтобы сохранить пользовательский журнал.

   

API

Чтобы создать пользовательскую таблицу, вызовите API создания или обновления таблиц.

CLI

Чтобы создать пользовательскую таблицу, выполните команду создания таблицы рабочей области az monitor log-analytics.

PowerShell

Используйте таблицы — обновите API PATCH для создания настраиваемой таблицы с помощью кода PowerShell ниже. Этот код создает таблицу под названием MyTable_CL с двумя столбцами. Измените эту схему, чтобы собирать данные в другой таблице.

1. Нажмите кнопку Cloud Shell в портал Azure и убедитесь, что среда имеет значение PowerShell.

   

2. Скопируйте следующий код PowerShell и замените параметр Path в команде Invoke-AzRestMethod соответствующими значениями для рабочей области. Вставьте код в командную строку Cloud Shell, чтобы выполнить его.

   $tableParams = @'
   {
       "properties": {
           "schema": {
               "name": "MyTable_CL",
               "columns": [
                   {
                       "name": "TimeGenerated",
                       "type": "DateTime"
                   }, 
                   {
                       "name": "RawData",
                       "type": "String"
                   }
               ]
           }
       }
   }
   '@
   
   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/MyTable_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
   

Удалить таблицу

В журналах Azure Monitor существует несколько типов таблиц. Вы можете удалить любую таблицу, которая не является таблицей Azure, но то, что происходит с данными при удалении таблицы, отличается для каждого типа таблицы.

Дополнительные сведения см. в разделе "Что происходит с данными при удалении таблицы в рабочей области Log Analytics".

Портал

Чтобы удалить таблицу из портал Azure, выполните следующие действия.

1. В меню рабочей области Log Analytics выберите "Таблицы".

2. Найдите таблицы, которые нужно удалить по имени или выбрав результаты поиска в поле "Тип".

   

3. Выберите таблицу, которую нужно удалить, выберите многоточие ( ... ) справа от таблицы, нажмите кнопку "Удалить" и подтвердите удаление, введя "Да".

   

API

Чтобы удалить таблицу, вызовите API удаления таблиц.

CLI

Чтобы удалить таблицу, выполните команду удаления таблицы рабочей области az monitor log-analytics.

PowerShell

Чтобы удалить таблицу с помощью PowerShell, выполните следующие действия.

1. Нажмите кнопку Cloud Shell в портал Azure и убедитесь, что среда имеет значение PowerShell.

   

2. Скопируйте следующий код PowerShell и замените параметр Path в команде Invoke-AzRestMethod соответствующими значениями для рабочей области. Вставьте код в командную строку Cloud Shell, чтобы выполнить его.

   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/NewCustom_CL?api-version=2021-12-01-preview" -Method DELETE
   

Добавление или удаление настраиваемого столбца

Можно изменить схему пользовательских таблиц и добавить настраиваемые столбцы в столбцы или удалить из нее стандартную таблицу.

Примечание.

Имена столбцов должны начинаться с буквы и могут содержать до 45 буквенно-цифровых символов и символов подчеркивания (_). _ResourceId, id, _ResourceIdTypeUniqueId_SubscriptionIdTenantIdи Title являются зарезервированными именами столбцов.

Портал

Чтобы добавить настраиваемый столбец в таблицу в рабочей области Log Analytics, или удалить столбец:

1. В меню рабочих областей Log Analytics выберите "Таблицы".

2. Выберите многоточие ( ... ) справа от таблицы, которую вы хотите изменить, и выберите " Изменить схему". Откроется экран редактора схем.

3. Прокрутите вниз до раздела "Настраиваемые столбцы" на экране редактора схем.

   

4. Чтобы добавить новый столбец, выполните приведенные действия.

   1. Выберите " Добавить столбец".
   2. Задайте имя и описание столбца (необязательно) и выберите ожидаемый тип значения в раскрывающемся списке "Тип ".
   3. Нажмите кнопку "Сохранить", чтобы сохранить новый столбец.

5. Чтобы удалить столбец, щелкните значок "Удалить " слева от столбца, который требуется удалить.

API

Чтобы добавить или удалить настраиваемый столбец, вызовите API создания или обновления таблиц.

CLI

Чтобы добавить или удалить настраиваемый столбец, выполните команду az monitor log-analytics workspace update .

PowerShell

Чтобы добавить новый столбец в azure или настраиваемую таблицу, выполните следующую команду:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "<TableName>",
            "columns": [
                {
                    "name": ""<ColumnName>",
                    "description": "First custom column",
                    "type": "string",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/<TableName>?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Вызов PUT возвращает обновленные свойства таблицы, которые должны содержать только что добавленный столбец.

Пример

Выполните следующую команду, чтобы добавить настраиваемый столбец, вызываемый Custom1_CFв таблицу Azure Heartbeat :

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom1_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Теперь, чтобы удалить только что добавленный столбец и добавить другой, выполните следующую команду:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom2_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Чтобы удалить все настраиваемые столбцы в таблице, выполните следующую команду:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Следующие шаги

См. также:

• Сбор журналов с помощью API приема журналов
• Сбор журналов с помощью агента Azure Monitor
• Правила сбора данных