Share via

Öğretici: Azure İzleyici Günlüklerinde alma sırasında metin günlüklerini dönüştürme

  • Makale

Alma zamanı dönüştürmeleri, gelen verileri Log Analytics çalışma alanında depolanmadan önce filtrelemenize veya değiştirmenize olanak sağlar. Bu makalede, metin günlüğü verilerini dönüştüren ve dönüştürmeyi bir veri toplama kuralına ekleyen bir KQL sorgusu yazma işlemi açıklanmaktadır.

Burada açıklanan yordamda, Azure İzleyici Aracısı ile metin günlüklerini toplama bölümünde açıklandığı gibi bir metin dosyasından bazı verileri zaten almış olduğunuz varsayılır. Bu öğreticide şunları yapacaksınız:

  1. Alınan verileri dönüştürmek için bir KQL sorgusu yazın.
  2. Hedef tablo şemasını değiştirin.
  3. Dönüştürmeyi veri toplama kuralınıza ekleyin.
  4. Dönüşümün düzgün çalıştığını doğrulayın.

Önkoşullar

Bu yordamı tamamlamak için şunları yapmanız gerekir:

  • En az katkıda bulunan haklarına sahip olduğunuz Log Analytics çalışma alanı.
  • Azure İzleyici Aracısı ile metin günlüklerini toplama bölümünde açıklandığı gibi veri toplama kuralı, veri toplama uç noktası ve özel tablo.
  • Günlükleri bir metin dosyasına yazan VM, Sanal Makine Ölçek Kümesi veya Arc özellikli şirket içi sunucu. Metin dosyası gereksinimleri:
    • Azure İzleyici Aracısı'nın çalıştığı makinenin yerel sürücüsünde depolayın.
    • Satır sonu ile çizgilerini ayırma.
    • ASCII veya UTF-8 kodlaması kullanın. UTF-16 gibi diğer biçimler desteklenmez.
    • Döngüsel günlüğe kaydetmeye, dosyanın üzerine yeni girdilerle yazıldığı günlük döndürmesine veya dosyanın taşındığı ve aynı ada sahip yeni bir dosyanın açıldığı yeri yeniden adlandırmaya izin verme.

Alınan verileri dönüştürmek için KQL sorgusu yazma

  1. Log Analytics'te hedef özel tablodaki verileri görüntüleyin:

    1. Azure portalında Log Analytics çalışma alanı günlüklerinizi Log Analytics çalışma alanları'nı> seçin.>
    2. Tablo verilerini görüntülemek için özel günlükler tablosunu temel bir sorgu çalıştırın.

  2. Tablonuzdaki ham verileri dönüştüren bir sorgu yazmak ve test etmek için sorgu penceresini kullanın.

    Dönüştürmeleri destekleyen KQL işleçleri hakkında bilgi için bkz . Azure İzleyici'de dönüştürmenin yapısı.

    Not

    Dönüştürmeleri uygulamak için kullanılabilen tek sütunlar TimeGenerated ve RawData'dır. Diğer sütunlar, dönüştürmeden sonra tabloya otomatik olarak eklenir ve dönüştürme sırasında kullanılamaz. _ResourceId sütunu dönüştürmede kullanılamaz.

    Örnek

    Örnek, sütundaki RawData verileri , RecordNumberve RandomContentadlı Time Ingestedüç yeni sütuna ayrıştırmak için temel KQL işleçlerini kullanır:

    • extend işleci yeni sütunlar ekler.
    • project işleci, çıkışı hedef tablo şemasının sütunlarıyla eşleşecek şekilde biçimlendirır:
    MyTable_CL
| extend d=todynamic(RawData)  
| project TimeGenerated,TimeIngested=tostring(d.Time), 
RecordNumber=tostring(d.RecordNumber), 
RandomContent=tostring(d.RandomContent), 
RawData

    Not

    Tablo verilerini bu şekilde sorgulamak tablodaki verileri değiştirmez. Azure İzleyici, dönüştürme sorgunuzu veri toplama kuralına ekledikten sonra veri alımı işlem hattında dönüştürmeyi uygular.

  3. Sorguyu tek bir satıra biçimlendirin ve sorgunun ilk satırındaki tablo adını sözcüğüyle sourcedeğiştirin.

    Örneğin:

    source | extend d=todynamic(RawData) | project TimeGenerated,TimeIngested=tostring(d.Time),RecordNumber=tostring(d.RecordNumber), RandomContent=tostring(d.RandomContent), RawData

  4. Veri toplama kuralı yapılandırmasına yapıştırabilmeniz için biçimlendirilmiş sorguyu kopyalayın.

Özel tabloyu yeni sütunları içerecek şekilde değiştirme

Dönüştürme sorgunuza göre özel tablonuza sütun ekleyin veya silin.

Yukarıdaki örnek dönüştürme sorgusu türünde stringüç yeni sütun ekler:

  • TimeIngested
  • RecordNumber
  • RandomContent

Bu dönüşümü desteklemek için bu üç yeni sütunu özel tablonuza ekleyin.

TimeIngested, RecordNumber ve RandomContent sütunlarının tanımlandığı Şema düzenleyicisi bölmesinin ekran görüntüsü.

Dönüştürmeyi veri toplama kuralınıza uygulama

  1. İzleyici menüsünde Veri Toplama Kuralları> veri toplama kuralınızı seçin.

  2. Veri kaynağınızı veri kaynakları'ı> seçin.

  3. Biçimlendirilmiş dönüştürme sorgusunu Veri kaynağı ekle ekranının Veri kaynağı sekmesindeki Dönüştür alanına yapıştırın.

  4. Kaydet'i seçin.

    Dönüştür alanının vurgulandığı Veri kaynağı ekle bölmesinin ekran görüntüsü.

Dönüştürmenin çalışıp çalışmadığını denetleyin

Hedef özel tablodaki verileri görüntüleyin ve değiştirilen tabloya verilerin doğru şekilde alınıp alındığını denetleyin:

  1. Azure portalında Log Analytics çalışma alanı günlüklerinizi Log Analytics çalışma alanları'nı> seçin.>
  2. Tablo verilerini görüntülemek için özel günlükler tablosunu temel bir sorgu çalıştırın.

Sonraki adımlar

Aşağıdakiler hakkında daha fazla bilgi edinin: