數據收集規則 可讓您 先篩選和轉換記錄數據 ,再將數據傳送至 Azure 資料表或自訂數據表。 本文說明如何建立自訂資料表,以及將自訂資料行新增至 Log Analytics 工作區中的資料表。
重要事項
每當您更新數據表架構時,請務必更新傳送數據至數據表 的任何數據收集規則 。 您在資料收集規則中定義的資料表結構描述會決定 Azure 監視器如何將資料串流至目的地資料表。 當您進行數據表架構變更時,Azure 監視器不會自動更新資料收集規則。
先決條件
| 動作 | 所需權限 |
|---|---|
| 管理表格 |
Microsoft.OperationalInsights/workspaces/* 權限需在 Log Analytics 工作區範圍或更高範圍。
例如,如特殊權限內建角色,Log Analytics 參與者所提供。 |
若要將資料擷取至資料表,您可能需要下列項目:
資料收集端點 (DCE)。 如需詳細資訊,請參閱 DCE。
JSON 檔案中至少一筆來源資料記錄的範例。 這個工具可用來在入口網站中建立自訂的資料表,例如用於從 VM 收集文字和 JSON 資料來源所需的資料。
[ { "TimeGenerated": "supported_datetime_format", "<column_name_1>": "<column_name_1_value>", "<column_name_2>": "<column_name_2_value>" }, { "TimeGenerated": "supported_datetime_format", "<column_name_1>": "<column_name_1_value>", "<column_name_2>": "<column_name_2_value>" }, { "TimeGenerated": "supported_datetime_format", "<column_name_1>": "<column_name_1_value>", "<column_name_2>": "<column_name_2_value>" } ]Log Analytics 工作區中的所有資料表都必須有
TimeGenerated資料行,用來識別記錄的擷取時間。 如果資料行遺失,則會將其自動新增至資料表 DCR 中的轉換。 如需詳細資訊,請參閱 支援的日期時間格式。
建立自訂資料表
Azure 資料表具有預先定義的結構描述。 若要使用不同的結構描述中儲存記錄資料,請使用資料收集規則來定義如何收集、轉換資料,及將資料傳送至 Log Analytics 工作區中的自訂資料表。 若要使用輔助計劃建立自定義數據表,請參閱 使用輔助方案設定數據表。
重要事項
自訂數據表的後綴為 _CL;例如, tablename_CL。 Azure 入口網站會自動將 _CL 後綴新增至數據表名稱。 當您使用不同的方法來建立自訂數據表時,您必須自行新增 _CL 後綴。 數據收集規則中 DataFlows Streams 屬性中的tablename_CL必須符合 Log Analytics 工作區中的tablename_CL名稱。
警告
數據表名稱用於計費目的,因此不應包含敏感性資訊。
若要在 Azure 入口網站中建立自訂資料表:
從 [Log Analytics 工作區] 功能表選取 [資料表]。
![顯示 Log Analytics 工作區 [資料表] 畫面的螢幕快照。](media/manage-logs-tables/azure-monitor-logs-table-configuration.png)
選取 [建立],然後選取 [新增自訂記錄 (DCR 型)]。
為資料表指定名稱並選擇性地輸入描述。 您不需要將 _CL 後綴新增至自訂數據表的名稱 - 這會自動新增至您在入口網站中指定的名稱。
從 [資料收集規則] 下拉式清單中選取現有的資料收集規則,或選取 [建立新的資料收集規則],並指定新資料收集規則的 [訂用帳戶]、[資源群組] 和 [名稱]。
選取 數據收集端點 ,然後選取 [ 下一步]。
選取 [瀏覽檔案],然後找出含有新資料表中範例資料的 JSON 檔案。
如果您的範例資料不包含
TimeGenerated資料行,您會收到一則訊息,指出正在使用此資料行建立轉換。如果您想要在內嵌至資料表之前轉換記錄資料:
選取 [轉換編輯器]。
轉換編輯器可讓您建立傳入資料流的轉換。 這是對每個傳入資料列執行的 KQL 查詢。 Azure 監視器記錄會將查詢的結果儲存在目的地資料表中。
選取 [執行] 以檢視結果。
選取 [套用] 儲存轉換,並檢視即將建立之資料表的結構描述。 選取 [下一步] 繼續進行。
確認最終詳細資料,然後選取 [建立] 以儲存自訂記錄。
![顯示 Log Analytics 工作區 [資料表] 畫面的螢幕快照。](media/manage-logs-tables/azure-monitor-logs-table-configuration.png#lightbox)
刪除資料表
您可以刪除任何不是 Azure 資料表的資料表,但資料的刪除方式取決於資料表類型。
如需詳細資訊,請參閱 在Log Analytics工作區中刪除資料表時,數據會發生什麼情況。
若要從 Azure 入口網站刪除資料表:
從 [Log Analytics 工作區] 功能表中,選取 [資料表]。
搜尋您想要依名稱刪除的資料表,或在 [類型] 欄位中選取 [搜尋結果]。
![此螢幕快照顯示 Log Analytics 工作區的 [資料表] 畫面,其中已醒目提示 [依名稱篩選] 和 [類型] 字段。](media/search-job/search-results-on-log-analytics-tables-screen.png)
選取您要刪除的數據表,選取資料表右邊的省略號 ( ... ),選取 [ 刪除],然後輸入 [是] 確認刪除。
![此螢幕快照顯示 Log Analytics 工作區中數據表的 [刪除資料表] 畫面。](media/search-job/delete-table.png)
![此螢幕快照顯示 Log Analytics 工作區的 [資料表] 畫面,其中已醒目提示 [依名稱篩選] 和 [類型] 字段。](media/search-job/search-results-on-log-analytics-tables-screen.png#lightbox)
![此螢幕快照顯示 Log Analytics 工作區中數據表的 [刪除資料表] 畫面。](media/search-job/delete-table.png#lightbox)
新增或刪除自訂資料行
自訂表格允許在表格建立後新增或刪除資料行來修改結構描述。 Azure 資料表只允許新增和刪除自訂資料行。
定義自訂資料表的欄位名稱時,請使用下列規則:
欄位名稱必須以字母 (A-Z 或 a-z) 開頭。
在第一個字元之後,僅使用字母、數字或底線。
請勿在欄位名稱中使用空格、點、破折號或其他標點符號。
欄位名稱不支援非 ASCII 字母 (例如 Æ、É、Ö)。
資料行名稱僅在 Analytics 和 Basic 資料表中區分大小寫。 如果只有大小寫有差異,輔助記錄資料表擷取會捨棄重複資料行名稱的資料。
直欄名稱的長度必須為 2 到 45 個字元。
Azure 資料表中的自訂資料行名稱必須以
_CF結尾。請勿使用與系統或保留資料行衝突的名稱,包括
id、BilledSize、IsBillable、InvalidTimeGenerated、TenantId、Title、Type、UniqueId、_ItemId、_ResourceGroup、_ResourceId、_SubscriptionId、_TimeReceived。
重要事項
自訂資料表的結構描述規則比 一般 Kusto 識別碼規則更嚴格。 Kusto 可以在查詢中引用不尋常的屬性名稱,但自訂資料表結構描述的欄位名稱只接受字母、數字和底線。
若要將自訂資料行新增至 Log Analytics 工作區中的資料表,或刪除資料行:
從 [Log Analytics 工作區] 功能表選取 [資料表]。
選取您要編輯之資料表右邊的省略號 ( ... ),然後選取 [編輯架構]。
此動作會開啟 [結構描述編輯器] 畫面。
向下捲動至 [結構描述編輯器] 畫面的 [自訂資料行] 區段。
![顯示 [架構編輯器] 畫面的螢幕快照,其中已醒目提示 [新增數據行] 和 [刪除] 按鈕。](media/create-custom-table/add-or-delete-column-azure-monitor-logs.png)
若要新增資料行:
- 選取 [新增資料行]。
- 設定資料行名稱和描述 (選填),然後從 [類型] 下拉式清單中選取預期的實值型別。
- 選取 [儲存] 以儲存新資料行。
若要刪除資料行,請選取您要刪除之資料行左邊的 [刪除] 圖示。
![顯示 [架構編輯器] 畫面的螢幕快照,其中已醒目提示 [新增數據行] 和 [刪除] 按鈕。](media/create-custom-table/add-or-delete-column-azure-monitor-logs.png#lightbox)