Erstellen von benutzerdefinierten Feldern in einem Log Analytics-Arbeitsbereich in Azure Monitor (Vorschauversion)

Hinweis

In diesem Artikel wird beschrieben, wie Sie Textdaten in einem Log Analytics-Arbeitsbereich beim Sammeln analysieren können. Es wird empfohlen, Textdaten nach dem Sammeln in einem Abfragefilter zu analysieren, wie es unter Analysieren von Textdaten in Azure Monitor beschrieben ist. Dies bietet mehrere Vorteile gegenüber der Verwendung benutzerdefinierter Felder.

Wichtig

Benutzerdefinierte Felder erhöhen die Menge an Daten, die im Log Analytics-Arbeitsbereich gesammelt werden, wodurch auch Ihre Kosten steigen können. Ausführliche Informationen finden Sie unter Verwalten von Nutzung und Kosten mit Azure Monitor-Protokollen.

Mit dem Feature Benutzerdefinierte Felder von Azure Monitor können Sie vorhandene Datensätze in Ihrem Log Analytics-Arbeitsbereich durch eigene durchsuchbare Felder erweitern. Benutzerdefinierte Felder werden automatisch auf der Grundlage von Daten aufgefüllt, die aus anderen Eigenschaften im gleichen Datensatz extrahiert wurden.

Das Diagramm zeigt einen ursprünglichen Datensatz, der einem geänderten Datensatz in einem Log Analytics-Arbeitsbereich zugeordnet ist, wobei der ursprünglichen Eigenschaft im geänderten Datensatz Eigenschaft-Wert-Paare hinzugefügt wurden.

Der folgende Beispieldatensatz enthält beispielsweise weitere hilfreiche Daten in der Ereignisbeschreibung. Die Extraktion dieser Daten in eine separate Eigenschaft ermöglicht Aktionen wie Sortieren und Filtern.

Beispielextraktion

Hinweis

In der Vorschauversion können Sie in Ihrem Arbeitsbereich maximal 100 benutzerdefinierte Felder verwenden. Diese Obergrenze wird erhöht, wenn das Feature allgemein verfügbar wird.

Erstellen eines benutzerdefinierten Felds

Wenn Sie ein benutzerdefiniertes Feld erstellen, muss Log Analytics wissen, mit welchen Daten dessen Wert aufgefüllt werden soll. Zur schnellen Ermittlung dieser Daten kommt eine von Microsoft Research entwickelte Technologie namens FlashExtract zum Einsatz. Die zu extrahierenden Daten werden dabei von Azure Monitor anhand von bereitgestellten Beispielen ermittelt, sodass Sie keine expliziten Anweisungen angeben müssen.

In den folgenden Abschnitten wird die Vorgehensweise zum Erstellen eines benutzerdefinierten Felds erläutert. Am Ende dieses Artikels befindet sich eine exemplarische Vorgehensweise für eine Beispielextraktion.

Hinweis

Das benutzerdefinierte Feld wird aufgefüllt, wenn dem Log Analytics-Arbeitsbereich Datensätze hinzugefügt werden, die den angegebenen Kriterien entsprechen. Das Feld ist also nur für Datensätze verfügbar, die nach der Erstellung des benutzerdefinierten Felds gesammelt werden. Das benutzerdefinierte Feld wird nicht zu Datensätzen hinzugefügt, die zum Zeitpunkt der Felderstellung bereits im Datenspeicher vorhanden sind.

Schritt 1: Angeben der Datensätze, die über das benutzerdefinierte Feld verfügen sollen

Als Erstes müssen die Datensätze angegeben werden, die über das benutzerdefinierte Feld verfügen sollen. Hierzu führen Sie zunächst eine Standard-Protokollabfrage durch und wählen dann einen Datensatz aus, der Azure Monitor als Modell für die Ermittlung dient. Wenn Sie angeben, dass Sie Daten in ein benutzerdefiniertes Feld extrahieren möchten, wird der Feldextraktions-Assistent geöffnet, in dem Sie die Kriterien überprüfen und anpassen können.

  1. Wechseln Sie zu Protokolle, und verwenden Sie eine Abfrage zum Abrufen der Datensätze, die über das benutzerdefinierte Feld verfügen sollen.
  2. Wählen Sie einen Datensatz aus, der Log Analytics als Modell für die Extraktion von Daten zur Auffüllung des benutzerdefinierten Felds dienen soll. Nachdem Sie die Daten angegeben haben, die aus diesem Datensatz extrahiert werden sollen, ermittelt Log Analytics auf der Grundlage dieser Informationen die Logik, mit der das benutzerdefinierte Felds für alle ähnlichen Datensätze aufgefüllt werden kann.
  3. Erweitern Sie die Datensatzeigenschaften, klicken Sie auf die Auslassungspunkte links neben der oberen Eigenschaft des Datensatzes, und wählen Sie Felder aus extrahieren aus.
  4. Der Feldextraktions-Assistent wird geöffnet, und der ausgewählte Datensatz wird in der Spalte Hauptbeispiel angezeigt. Das benutzerdefinierte Feld wird für Datensätze mit den gleichen Werten in den ausgewählten Eigenschaften definiert.
  5. Falls die Auswahl noch nicht ganz Ihren Vorstellungen entspricht, können Sie weitere Felder auswählen, um die Kriterien einzugrenzen. Wenn Sie die Feldwerte für die Kriterien ändern möchten, müssen Sie den Vorgang abbrechen und einen anderen Datensatz auswählen, der den gewünschten Kriterien entspricht.

Schritt 2: Ausführen der ersten Extraktion

Nach Angabe der Datensätze, die über das benutzerdefinierte Feld verfügen sollen, müssen die zu extrahierenden Daten angegeben werden. Auf der Grundlage dieser Informationen ermittelt Log Analytics dann ähnliche Muster in ähnlichen Datensätzen. Im nächsten Schritt können Sie die Ergebnisse überprüfen und weitere Details angeben, die Log Analytics bei der Analyse berücksichtigen soll.

  1. Markieren Sie im Beispieldatensatz den Text, mit dem das benutzerdefinierte Feld aufgefüllt werden soll. Daraufhin erscheint ein Dialogfeld, in dem Sie einen Namen und einen Datentyp für das Feld angeben und die erste Extraktion durchführen können. Die Zeichen _CF werden automatisch angefügt.
  2. Klicken Sie auf Extrahieren , um eine Analyse der gesammelten Datensätze durchzuführen.
  3. In den Abschnitten Zusammenfassung und Suchergebnisse werden die Ergebnisse der Extraktion zur Überprüfung angezeigt. Zusammenfassung enthält die Kriterien, die zur Ermittlung der Datensätze verwendet wurden, sowie die Anzahl der einzelnen ermittelten Datenwerte. Suchergebnisse enthält eine detaillierte Liste mit Datensätzen, die den Kriterien entsprechen.

Schritt 3: Überprüfen der Extraktion und Erstellen des benutzerdefinierten Felds

Im Anschluss an die erste Extraktion zeigt Log Analytics die Ergebnisse an, die auf der Grundlage bereits gesammelter Daten ermittelt wurden. Wenn die Ergebnisse Ihren Vorstellungen entsprechen, können Sie das benutzerdefinierte Feld ohne weitere Schritte erstellen. Andernfalls können Sie die Ergebnisse optimieren, damit Log Analytics seine Logik verbessern kann.

  1. Sollte die erste Extraktion falsche Werte enthalten, klicken Sie neben einem falschen Datensatz auf das Bearbeitungssymbol, und wählen Sie Diese Markierung ändern aus, um die Auswahl zu ändern.
  2. Der Eintrag wird in den Abschnitt Zusätzliche Beispiele kopiert, der sich unter dem Abschnitt Hauptbeispiel befindet. Hier können Sie die Markierung anpassen, um Log Analytics mitzuteilen, wie die Auswahl hätte aussehen sollen.
  3. Klicken Sie auf Extrahieren , um alle vorhandenen Datensätze auf der Grundlage dieser neuen Informationen zu untersuchen. Dadurch ändern sich unter Umständen auch die Ergebnisse anderer Datensätze.
  4. Nehmen Sie weitere Korrekturen vor, bis für alle Datensätze in der Extraktion genau die Daten angeben werden, mit denen das neue benutzerdefinierte Feld aufgefüllt werden soll.
  5. Klicken Sie auf Save Extract (Extraktion speichern), wenn Sie mit den Ergebnissen zufrieden sind. Das benutzerdefinierte Feld ist nun zwar definiert, wird aber noch keinen Datensätzen hinzugefügt.
  6. Warten Sie, bis neue, den angegebenen Kriterien entsprechende Datensätze gesammelt wurden, und führen Sie die Protokollsuche dann erneut aus. Die neuen Datensätze verfügen nun über das benutzerdefinierte Feld.
  7. Das benutzerdefinierte Feld kann wie jede andere Datensatzeigenschaft verwendet werden. Sie können damit Daten aggregieren und gruppieren und sogar neue Insights generieren.

Anzeigen benutzerdefinierter Felder

Sie können im Azure-Portal über das Menü Erweiterte Einstellungen des Log Analytics-Arbeitsbereichs eine Liste aller benutzerdefinierten Felder in Ihrer Verwaltungsgruppe anzeigen. Wählen Sie Daten und anschließend Benutzerdefinierte Felder aus, um eine Liste mit allen benutzerdefinierten Feldern in Ihrem Arbeitsbereich anzuzeigen.

Benutzerdefinierte Felder

Entfernen eines benutzerdefinierten Felds

Benutzerdefinierte Felder können auf zwei Arten entfernt werden: Sie können in der weiter oben beschriebenen Liste für jedes Feld die Option Entfernen verwenden. Alternativ können Sie einen Datensatz abrufen und auf die Schaltfläche links neben dem Feld klicken. Das Menü enthält eine Option zum Entfernen des benutzerdefinierten Felds.

Exemplarische Vorgehensweise

Der folgende Abschnitt enthält ein vollständiges Beispiel für die Erstellung eines benutzerdefinierten Felds. In diesem Beispiel wird in Windows-Ereignissen, die auf eine Zustandsänderung bei einem Dienst hindeuten, der Dienstname extrahiert. Als Grundlage dienen Ereignisse, die auf Windows-Computern beim Start des Systems vom Dienststeuerungs-Manager erstellt werden. Wenn Sie dieses Beispiel nachvollziehen möchten, müssen Sie Informationsereignisse für das Systemprotokoll sammeln.

Wir geben die folgende Abfrage ein, die alle Ereignisse des Dienststeuerungs-Managers mit der Ereignis-ID 7036 zurückgibt. (Dieses Ereignis gibt an, dass ein Dienst gestartet oder beendet wird.)

Screenshot einer Abfrage für eine Ereignisquelle und ID

Anschließend wählen wir alle Datensätze mit der Ereignis-ID 7036 aus und erweitern sie.

Quelldatensatz

Benutzerdefinierte Felder werden durch Klicken auf die Auslassungspunkte neben der oberen Eigenschaft definiert.

Felder extrahieren

Der Feldextraktions-Assistent wird geöffnet, und in der Spalte Hauptbeispiel sind die Felder EventLog und EventID ausgewählt. Das benutzerdefinierte Feld wird also für Ereignisse aus dem Systemprotokoll mit der Ereignis-ID 7036 definiert. Diese Angaben sind ausreichend, und es müssen keine weiteren Felder ausgewählt werden.

Main Example

Wir markieren den Namen des Diensts in der RenderedDescription-Eigenschaft und verwenden Service, um den Dienstnamen anzugeben. Der Name des benutzerdefinierten Felds lautet Service_CF. Der Feldtyp ist in diesem Fall eine Zeichenfolge, sodass wir ihn unverändert lassen können.

Feldtitel

Wir stellen fest, dass der Dienstname nicht bei allen Datensätzen korrekt ermittelt wird. In den Suchergebnissen sehen wir, dass bei WMI-Leistungsadapter ein Teil des Namens nicht ausgewählt wurde. Die Zusammenfassung zeigt, dass ein Datensatz Modules Installer anstelle von Windows Modules Installer identifiziert hat.

Screenshot mit hervorgehobenen Teilen des Dienstnamens im Bereich „Suchergebnisse“ und einem unter „Zusammenfassung“ hervorgehobenen falschen Dienstnamen

Kümmern wir uns zunächst um den Datensatz WMI Performance Adapter . Wir klicken auf das Bearbeitungssymbol und anschließend auf Modify this highlight(Diese Markierung ändern).

Markierung ändern

Wir erweitern die Markierung um das Wort WMI und wiederholen dann den Extraktionsvorgang.

Zusätzliches Beispiel

Wir sehen, dass Log Analytics auf der Grundlage dieser Informationen nicht nur die Einträge für WMI-Leistungsadapter, sondern auch die Einträge für Windows Modules Installer korrigiert hat.

Screenshot des vollständig hervorgehobenen Dienstnamens im Bereich „Suchergebnisse“ und der unter „Zusammenfassung“ hervorgehobenen richtigen Dienstnamen

Wir können jetzt eine Abfrage ausführen, die überprüft, ob Service_CF zwar erstellt, aber noch keinen Datensätzen hinzugefügt wurde. Dies liegt daran, dass das benutzerdefinierte Feld für bestehende Datensätze nicht funktioniert, sodass wir warten müssen, bis neue Datensätze gesammelt werden.

Anfängliche Anzahl

Nachdem etwas Zeit vergangen ist und neue Ereignisse gesammelt wurden, wird das Feld Service_CF jetzt Datensätzen hinzugefügt, die unseren Kriterien entsprechen.

Endergebnis

Nun können wir das benutzerdefinierte Feld wie jede andere Datensatzeigenschaft verwenden. Zur Veranschaulichung erstellen wir eine Abfrage, die auf der Grundlage des neuen Felds Service_CF eine Gruppierung vornimmt, um zu prüfen, welche Dienste besonders aktiv sind.

Gruppierungsabfrage

Nächste Schritte