Azure İzleyici'de Log Analytics çalışma alanında özel alanlar oluşturma (Önizleme)

  • Makale

Önemli

Yeni özel alanların oluşturulması 31 Mart 2023'den itibaren devre dışı bırakılacaktır. Özel alanlar işlevselliği kullanım dışı bırakılacak ve mevcut özel alanlar 31 Mart 2026'ya kadar çalışmayı durduracaktır. Günlük kayıtlarınızı ayrıştırmaya devam etmek için alma zamanı dönüştürmelerine geçmeniz gerekir.

Şu anda yeni bir özel alan eklediğinizde, verilerin görünmeye başlaması 7 gün kadar sürebilir.

Azure İzleyici'nin Özel Alanlar özelliği, kendi aranabilir alanlarınızı ekleyerek Log Analytics çalışma alanınızdaki mevcut kayıtları genişletmenize olanak tanır. Özel alanlar, aynı kayıttaki diğer özelliklerden ayıklanan verilerden otomatik olarak doldurulur.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Örneğin, aşağıdaki örnek kayıtta olay açıklamasına gömülü yararlı veriler bulunur. Bu verilerin ayrı bir özelliğe ayıklanması, sıralama ve filtreleme gibi eylemler için kullanılabilir olmasını sağlar.

Screenshot of sample extract.

Dekont

Önizleme'de, çalışma alanınızda 500 özel alanla sınırlıdır. Bu sınır, bu özellik genel kullanılabilirliğe ulaştığında genişletilecektir.

Özel alan oluşturma

Özel alan oluşturduğunuzda Log Analytics değerini doldurmak için hangi verilerin kullanılacağını anlamalıdır. Bu verileri hızla tanımlamak için Microsoft Research'ten FlashExtract adlı bir teknoloji kullanır. Azure İzleyici, açık yönergeler sağlamanıza gerek kalmadan, sağladığınız örneklerden ayıklamak istediğiniz verileri öğrenir.

Aşağıdaki bölümlerde özel alan oluşturma yordamı sağlanır. Bu makalenin en altında örnek ayıklama adım adım izlenecek yol verilmiştir.

Dekont

Özel alan, belirtilen ölçütlerle eşleşen kayıtlar Log Analytics çalışma alanına eklendikçe doldurulur, bu nedenle yalnızca özel alan oluşturulduktan sonra toplanan kayıtlarda görünür. Özel alan, oluşturulduğunda veri deposunda bulunan kayıtlara eklenmez.

1. Adım: Özel alana sahip olacak kayıtları tanımlama

İlk adım, özel alanı alacak kayıtları tanımlamaktır. Standart bir günlük sorgusuyla başlarsınız ve ardından Azure İzleyici'nin öğreneceği model olarak davranacak bir kayıt seçersiniz. Verileri özel bir alana ayıklayabileceğinizi belirttiğinizde , ölçütleri doğrulayıp daralttığınız Alan Ayıklama Sihirbazı açılır.

  1. Günlükler'e gidin ve özel alana sahip olacak kayıtları almak için bir sorgu kullanın.
  2. Log Analytics'in özel alanı doldurmak üzere verileri ayıklamak için model görevi görmesi için kullanacağı bir kayıt seçin. Bu kayıttan ayıklamak istediğiniz verileri tanımlayacaksınız ve Log Analytics bu bilgileri kullanarak tüm benzer kayıtlar için özel alanı doldurma mantığını belirler.
  3. Kayda sağ tıklayın ve Alanları ayıkla'yı seçin.
  4. Alan Ayıklama Sihirbazı açılır ve seçtiğiniz kayıt Ana Örnek sütununda görüntülenir. Özel alan, seçilen özelliklerde aynı değerlere sahip kayıtlar için tanımlanır.
  5. Seçim tam olarak istediğiniz gibi değilse, ölçütleri daraltmak için ek alanlar seçin. Ölçütlerin alan değerlerini değiştirmek için iptal etmeniz ve istediğiniz ölçütle eşleşen farklı bir kayıt seçmeniz gerekir.

2. Adım: İlk ayıklamayı gerçekleştirin.

Özel alana sahip olacak kayıtları tanımladıktan sonra, ayıklamak istediğiniz verileri tanımlarsınız. Log Analytics, benzer kayıtlardaki benzer desenleri tanımlamak için bu bilgileri kullanır. Bundan sonraki adımda sonuçları doğrulayabilir ve Log Analytics'in çözümlemesinde kullanması için daha fazla ayrıntı sağlayabilirsiniz.

  1. Özel alanı doldurmak istediğiniz örnek kayıttaki metni vurgulayın. Ardından, alan için bir ad ve veri türü sağlamak ve ilk ayıklamayı gerçekleştirmek için size bir iletişim kutusu sunulur. _CF karakterler otomatik olarak eklenir.
  2. Toplanan kayıtların analizini gerçekleştirmek için Ayıkla'ya tıklayın.
  3. Özet ve Arama Sonuçları bölümleri, ayıklamanın sonuçlarını görüntüler, böylece doğruluğunu inceleyebilirsiniz. Özet , kayıtları tanımlamak için kullanılan ölçütleri ve tanımlanan veri değerlerinin her biri için bir sayıyı görüntüler. Arama Sonuçları , ölçütlerle eşleşen kayıtların ayrıntılı bir listesini sağlar.

3. Adım: Ayıklamanın doğruluğunu doğrulama ve özel alan oluşturma

İlk ayıklamayı gerçekleştirdikten sonra Log Analytics, daha önce toplanmış olan verilere göre sonuçlarını görüntüler. Sonuçlar doğru görünüyorsa, daha fazla çalışma olmadan özel alanı oluşturabilirsiniz. Aksi takdirde Log Analytics'in mantığını geliştirebilmesi için sonuçları daraltabilirsiniz.

  1. İlk ayıklamadaki değerler doğru değilse, yanlış bir kaydın yanındaki Düzenle simgesine tıklayın ve seçimi değiştirmek için Bu vurguyu değiştir'i seçin.
  2. Girdi, Ana Örneğin altındaki Ek örnekler bölümüne kopyalanır. Log Analytics'in yapması gereken seçimi anlamasına yardımcı olmak için buradaki vurguyu ayarlayabilirsiniz.
  3. Var olan tüm kayıtları değerlendirmek üzere bu yeni bilgileri kullanmak için Ayıkla'ya tıklayın. Sonuçlar, bu yeni zekayı temel alarak yeni değiştirdiğiniz kayıt dışındaki kayıtlar için değiştirilebilir.
  4. Ayıklamadaki tüm kayıtlar yeni özel alanı dolduracak verileri doğru şekilde tanımlayana kadar düzeltmeler eklemeye devam edin.
  5. Sonuçlardan memnun olduğunuzda Ayıklamayı Kaydet'e tıklayın. Özel alan artık tanımlanmıştır, ancak henüz hiçbir kayda eklenmez.
  6. Belirtilen ölçütlere uyan yeni kayıtların toplanmasını bekleyin ve günlük aramasını yeniden çalıştırın. Yeni kayıtlarda özel alan olmalıdır.
  7. Özel alanı diğer kayıt özellikleri gibi kullanın. Verileri toplamak ve gruplandırmak ve hatta yeni içgörüler oluşturmak için kullanabilirsiniz.

Özel alanı kaldırma

Özel bir alanı kaldırmanın iki yolu vardır. Birincisi, yukarıda açıklandığı gibi tam listeyi görüntülerken her alan için Kaldır seçeneğidir. Diğer yöntem bir kayıt almak ve alanın solundaki düğmeye tıklamaktır. Menüde özel alanı kaldırma seçeneği bulunur.

Örnek kılavuz

Aşağıdaki bölümde, özel alan oluşturma işleminin eksiksiz bir örneği verilmiştir. Bu örnek, hizmetin durumunu değiştirdiğini gösteren Windows olaylarında hizmet adını ayıklar. Bu, Windows bilgisayarlarda sistem başlatma sırasında Service Control Manager tarafından oluşturulan olaylara dayanır. Bu örneği izlemek istiyorsanız, Sistem günlüğü için Bilgi olaylarını toplamanız gerekir.

Hizmet Denetim Yöneticisi'nden bir hizmetin başlatıldığını veya durdurulduğunu gösteren olay olan 7036 Olay Kimliğine sahip tüm olayları döndürmek için aşağıdaki sorguyu gireriz.

Screenshot showing a query for an event source and ID.

Ardından olay kimliği 7036 olan herhangi bir kayda sağ tıklayıp 'Olay'dan alanları ayıkla'yı seçiyoruz.

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

Alan Ayıklama Sihirbazı, Ana Örnek sütununda EventLog ve EventID alanları seçili olarak açılır. Bu, özel alanın 7036 olay kimliğine sahip Sistem günlüğündeki olaylar için tanımlandığını gösterir. Bu yeterlidir, bu nedenle başka alan seçmemiz gerekmez.

Screenshot of main example.

RenderedDescription özelliğinde hizmetin adını vurguluyoruz ve hizmet adını tanımlamak için Service'i kullanıyoruz. Özel alan Service_CF olarak adlandırılır. Bu durumda alan türü bir dizedir, bu nedenle bunu değiştirmeden bırakabiliriz.

Screenshot of Field Title.

Hizmet adının bazı kayıtlar için doğru şekilde tanımlandığını ancak diğerleri için tanımlanmadığını görüyoruz. Arama Sonuçları, WMI Performans Bağdaştırıcısı adının bu bölümünün seçilmediğini gösterir. Özet, bir kaydın Windows Modül Yükleyicisi yerine Modül Yükleyicisi'nitanımladığını gösterir.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

WMI Performans Bağdaştırıcısı kaydıyla başlıyoruz. Düzenle simgesine tıklıyoruz ve ardından Bu vurguda değiştir'i seçiyoruz.

Screenshot of modify highlight.

Vurguyu WMI sözcüğünü içerecek şekilde artırıp ayıklamayı yeniden çalıştıracağız.

Screenshot of additional example.

WMI Performans Bağdaştırıcısı girişlerinin düzeltildiğini ve Log Analytics'in bu bilgileri Windows Modül Yükleyicisi kayıtlarını düzeltmek için de kullandığını görebiliriz.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Artık Service_CF oluşturulduğunu ancak henüz hiçbir kayda eklenmediğini doğrulayan bir sorgu çalıştırabiliriz. Bunun nedeni, özel alanın mevcut kayıtlarda çalışmamasıdır, bu nedenle yeni kayıtların toplanmasını beklememiz gerekir.

Screenshot of initial count.

Yeni olayların toplanması için bir süre geçtikten sonra, Service_CF alanının artık ölçütlerimizle eşleşen kayıtlara eklendiğini görebiliriz.

Final results

Artık özel alanı diğer kayıt özellikleri gibi kullanabiliriz. Bunu göstermek için, hangi hizmetlerin en etkin olduğunu incelemek üzere yeni Service_CF alanına göre gruplandıran bir sorgu oluştururuz.

Screenshot of group by query.

Sonraki adımlar

  • Ölçütler için özel alanları kullanarak sorgu oluşturmak için günlük sorguları hakkında bilgi edinin.
  • Özel alanları kullanarak ayrıştırdığınız özel günlük dosyalarını izleyin.