Создание настраиваемых полей в рабочей области Log Analytics в Azure Monitor (предварительная версия)
Внимание
Создание новых настраиваемых полей будет отключено с 31 марта 2023 г. Функции пользовательских полей будут устаревшими, а существующие настраиваемые поля перестают работать к 31 марта 2026 г. Чтобы сохранить анализ записей журнала, необходимо выполнить миграцию на преобразования во время приема.
В настоящее время при добавлении нового настраиваемого поля может потребоваться до 7 дней до начала появления данных.
Возможность Настраиваемые поля, предоставляемая службой Azure Monitor, позволяет расширить существующие записи в рабочей области Log Analytics путем добавления собственных полей с поддержкой поиска. Настраиваемые поля автоматически заполняются на основе данных, извлеченных из других свойств в той же записи.
Например, следующая пример записи содержит полезные данные, похороненные в описании события. Если извлечь эти данные в отдельные свойства, они станут доступными для сортировки и фильтрации.
Примечание.
В предварительной версии в рабочей области ограничено 500 настраиваемых полей. С выходом общедоступной версии это число увеличится.
Создание настраиваемого поля
При создании настраиваемого поля в Log Analytics нужно обозначить данные, которые будут использоваться для его заполнения. Для быстрого выявления этих данных в службе используется метод под названием FlashExtract, разработанный в Microsoft Research. Вместо запрашивания явных инструкций Azure Monitor определяет данные, которые нужно извлечь, на основе предоставленных примеров.
В следующих разделах описаны шаги по созданию настраиваемого поля. Чтобы просмотреть пошаговое руководство по извлечению примера, перейдите в пошаговое руководство.
Примечание.
Настраиваемое поле заполняется, когда в рабочую область Log Analytics добавляются записи, соответствующие заданным условиям, поэтому это поле отображается только в тех записях, которые были собраны после его создания. Настраиваемое поле не будет добавлено в записи, которые при его создании уже находились в хранилище данных.
Шаг 1. Определение записей, которые получают настраиваемое поле
Первым шагом является определение записей, которые получают настраиваемое поле. Начните с стандартного запроса журнала, а затем выберите запись, которая будет выступать в качестве модели, из которую Azure Monitor учится. Если указать, что вы собираетесь извлекать данные в настраиваемое поле, мастер извлечения полей открывается, где проверяется и уточняется критерий.
- Перейдите в журналы и используйте запрос для получения записей, которые получают настраиваемое поле.
- Выберите запись, которую Log Analytics будет использовать в качестве модели для извлечения данных, нужных для заполнения поля. Вы определите данные, которые вы хотите извлечь из этой записи, и Log Analytics будет использовать эти сведения для определения логики для заполнения настраиваемого поля для всех аналогичных записей.
- Щелкните запись правой кнопкой мыши и выберите Извлечь поля из.
- После этого откроется мастер извлечения полей и выбранная запись будет отображаться в столбце Основной пример. Настраиваемое поле будет определено для записей, значения в свойствах которых соответствуют выбранным.
- Если выбор не является нужным, выберите больше полей, чтобы сузить критерии. Чтобы изменить значения полей для условий, отмените выбор записи и выберите другую запись, соответствующую необходимым условиям.
Шаг 2. Выполнение начального извлечения
После идентификации записей, которые получают настраиваемое поле, определите данные, которые требуется извлечь. Log Analytics использует эти сведения для определения аналогичных шаблонов в аналогичных записях. На шаге 3 вы сможете проверить результаты и предоставить дополнительные сведения для Log Analytics, которые будут использоваться в его анализе.
- Выделите текст в примере записи, для которой требуется заполнить настраиваемое поле. Затем вы увидите диалоговое окно, чтобы указать имя и тип данных для поля и выполнить начальное извлечение. К имени поля будет автоматически добавлено _CF.
- Нажмите кнопку Извлечь , чтобы запустить анализ собранных записей.
- В разделах Сводка и Результаты поиска отобразятся результаты извлечения. Таким образом вы сможете проверить правильность извлечения. В разделе Сводка содержатся условия, используемые для поиска записей, и количество всех определенных значений данных. В разделе Результаты поиска приведен подробный список записей, соответствующих условиям.
Шаг 3. Проверка точности извлечения и создания настраиваемого поля
После выполнения начального извлечения в Log Analytics отобразятся результаты на основе предварительно собранных данных. Если результаты выглядят точно, можно создать настраиваемое поле без дополнительной работы. В противном случае можно уточнить результаты, чтобы Log Analytics могли улучшить свою логику.
- Если какие-либо значения, определенные в ходе начального извлечения, неверны, щелкните значок Изменить рядом с неправильной записью и выберите команду Изменить этот выделенный элемент.
- Эта запись скопируется в раздел Дополнительные примеры под столбцом Основной пример. Здесь можно выделить необходимую часть данных, чтобы указать Log Analytics на правильный выбор.
- Нажмите кнопку Извлечь , чтобы использовать эту информацию для оценки всех существующих записей. Для других записей могут быть изменены результаты на основе этих новых сведений.
- Вносите исправления до тех пор, пока во всех записях в извлечении не будут правильно определены данные для заполнения нового настраиваемого поля.
- Нажмите кнопку "Сохранить извлечение" , когда вы удовлетворены результатами. Теперь настраиваемое поле определено, но оно еще не добавлено к записям.
- Подождите, пока не будут собраны новые записи, соответствующие указанным условиям, и выполните поиск по журналу снова. После этого новые записи будут содержать настраиваемое поле.
- Используйте настраиваемое поле, как и другие свойства записи. Его можно применять для объединения и группирования данных, а также для создания новых сведений для анализа.
Удаление настраиваемого поля
Настраиваемое поле можно удалить двумя способами. Первым является параметр "Удалить " для каждого поля при просмотре полного списка, как описано на шаге 2. Выполнение начального извлечения. Второй способ — извлечь запись , нажать кнопку слева от поля В меню есть возможность удалить настраиваемое поле.
Пример пошагового руководства
В этом разделе описывается полная процедура создания настраиваемого поля. В этом примере извлекается имя службы в событиях Windows, которые указывают на изменение состояния службы. При этом используются события, созданные диспетчером служб во время запуска системы на компьютерах Windows. Если вы хотите выполнить этот пример, необходимо, чтобы на компьютере был включен сбор информационных событий в системном журнале.
Мы введем запрос, как на снимке экрана ниже, для возврата всех событий, созданных диспетчером служб, с идентификатором 7036, т. е. событий запуска или остановки службы.
Затем щелкните правой кнопкой мыши любую запись с идентификатором события 7036 и выберите Извлечь поля из "Event".
После этого откроется мастер извлечения полей с выбранными полями EventLog и EventID в столбце Основной пример. Это означает, что настраиваемое поле будет определено для событий системного журнала с идентификатором 7036. Этих полей достаточно. Нам больше не нужно ничего выбирать.
Мы выделим имя службы в свойстве RenderedDescription и назначим службе имя Service. Настраиваемое поле будет называться Service_CF. В данном случае типом поля является строка, поэтому мы можем оставить это поле без изменений.
После извлечения мы увидим, что имя службы определено правильно только для некоторых записей. В разделе Результаты поиска видно, что адаптер производительности WMI выделен не полностью. В разделе Сводка показано, что одна запись определила установщик модулей, а не установщик модулей Windows.
Начнем с записи об адаптере производительности WMI . Щелкнем рядом с ней значок изменения, а затем — Modify this highlight(Изменить это выделение).
Выделим полное название адаптера, включая WMI, и выполним извлечение повторно.
Мы видим, что записи для адаптера производительности WMI исправляются, а Log Analytics также использует эти сведения для исправления записей установщика модулей Windows.
Теперь можно запустить запрос, который проверяет , Service_CF создан, но еще не добавлен в записи. Это происходит из-за того, что настраиваемое поле не работает с имеющимися записями, поэтому нам нужно подождать, пока будут собраны новые записи.
Через некоторое время собираются новые события, и мы видим , что поле Service_CF добавляется в записи, соответствующие нашим критериям.
Теперь мы можем использовать настраиваемое поле, как и другие свойства записи. Для иллюстрации этого мы создадим запрос, который группирует записи по новому полю Service_CF. Таким образом мы сможем проверить, какие службы наиболее активные.
Следующие шаги
- Узнайте больше о запросах по журналу для создания запросов с использованием настраиваемых полей в качестве условия.
- Отслеживайте пользовательские файлы журналов, которые можно анализировать с помощью настраиваемых полей.