Tutorial: Transformación de registros de texto durante la ingesta en los registros de Azure Monitor

Las transformaciones de tiempo de ingesta le permiten filtrar o modificar los datos entrantes antes de almacenarlos en un área de trabajo de Log Analytics. En este artículo se explica cómo escribir una consulta de KQL que transforme los datos de registro de texto y agregue la transformación a una regla de recopilación de datos.

En el procedimiento que se describe aquí da por supuesto que ya ha ingerido algunos datos de un archivo de texto, como se describe en Recopilación de registros de texto con el agente de Azure Monitor. En este tutorial, hará lo siguiente:

1. Escribir una consulta de KQL para transformar los datos ingeridos.
2. Modificar el esquema de la tabla de destino.
3. Agregar la transformación a la regla de recopilación de datos.
4. Comprobar que la transformación funciona correctamente.

Requisitos previos

Para completar este procedimiento, necesita:

• Área de trabajo de Log Analytics en la que tiene al menos derechos de colaborador.
• Regla de recopilación de datos, punto de conexión de recopilación de datos y tabla personalizada, como se describe en Recopilación de registros de texto con el agente de Azure Monitor.
• Una máquina virtual, un conjunto de escalado de máquinas virtuales o un servidor local habilitado para Arc que escriba registros en un archivo de texto. Requisitos del archivo de texto:
  • Almacénelo en la unidad local de la máquina en la que se ejecuta el agente de Azure Monitor.
  • Delinéelo con un final de línea.
  • Use la codificación ASCII o UTF-8. No se admiten otros formatos, como UTF-16.
  • No permita el registro circular, la rotación de registros donde el archivo se sobrescribe con nuevas entradas o el cambio de nombre donde un archivo se mueve y se abre un nuevo archivo con el mismo nombre.

Escritura de una consulta de KQL para transformar los datos ingeridos

1. Vea los datos de la tabla personalizada de destino en Log Analytics:

   1. En Azure Portal, seleccione Áreas de trabajo de Log Analytics> el área de trabajo de Log Analytics >Registros.
   2. Ejecute una consulta básica de la tabla de registros personalizada para ver los datos de la tabla.

2. Use la ventana de consulta para escribir y probar una consulta que transforme los datos sin procesar de la tabla.

   Para obtener información sobre los operadores de KQL que admiten las transformaciones, consulte Estructura de transformación en Azure Monitor.

   Nota:

   Las únicas columnas disponibles para aplicar transformaciones son TimeGenerated y RawData. Otras columnas se agregan a la tabla automáticamente después de la transformación y no están disponibles en el momento de la transformación. La columna _ResourceId no se puede usar en la transformación.

   Ejemplo

   En el ejemplo se usan operadores de KQL básicos para analizar los datos de la columna RawData en tres columnas nuevas, denominadas Time Ingested, RecordNumber y RandomContent:

   • El operador extend agrega nuevas columnas.
   • El operador project da formato a la salida para que coincida con las columnas del esquema de la tabla de destino:

   MyTable_CL
   | extend d=todynamic(RawData)  
   | project TimeGenerated,TimeIngested=tostring(d.Time), 
   RecordNumber=tostring(d.RecordNumber), 
   RandomContent=tostring(d.RandomContent), 
   RawData 
   

   Nota:

   La consulta de datos de tabla de esta manera no modifica realmente los datos de la tabla. Azure Monitor aplica la transformación en la canalización de ingesta de datos después de agregar la consulta de transformación a la regla de recopilación de datos.

3. Dé formato a la consulta en una sola línea y reemplace el nombre de la tabla de la primera línea de la consulta por la palabra source.

   Por ejemplo:

   source | extend d=todynamic(RawData) | project TimeGenerated,TimeIngested=tostring(d.Time),RecordNumber=tostring(d.RecordNumber), RandomContent=tostring(d.RandomContent), RawData 
   

4. Copie la consulta con formato para poder pegarla en la configuración de la regla de recopilación de datos.

Modificación de la tabla personalizada para incluir las nuevas columnas

Agregue o elimine columnas de la tabla personalizada, en función de la consulta de transformación.

La consulta de transformación de ejemplo anterior agrega tres nuevas columnas de tipo string:

• TimeIngested
• RecordNumber
• RandomContent

Para admitir esta transformación, agregue estas tres columnas nuevas a la tabla personalizada.

Aplicación de la transformación a la regla de recopilación de datos

1. En el menú Supervisar, seleccione Reglas de recopilación de datos> la regla de recopilación de datos.

2. Seleccione Orígenes de datos> el origen de datos.

3. Pegue la consulta de transformación con formato en el campo Transformar de la pestaña Origen de datos de la pantalla Agregar origen de datos.

4. Seleccione Guardar.

   

Comprobación de que la transformación funciona

Vea los datos de la tabla personalizada de destino y compruebe que los datos se ingieren correctamente en la tabla modificada:

1. En Azure Portal, seleccione Áreas de trabajo de Log Analytics> el área de trabajo de Log Analytics >Registros.
2. Ejecute una consulta básica de la tabla de registros personalizada para ver los datos de la tabla.

Pasos siguientes

Más información sobre:

• Transformaciones de recopilación de datos.
• Reglas de recopilación de datos.
• Puntos de conexión de recopilación de datos.