Créer des champs personnalisés dans un espace de travail Log Analytics dans Azure Monitor (préversion)

  • Article

Important

La création de champs personnalisés sera désactivée à compter du 31 mars 2023. La fonctionnalité des champs personnalisés sera déconseillée et les champs personnalisés existants cesseront de fonctionner le 31 mars 2026. Vous devez migrer vers des transformations au moment de l’ingestion afin de continuer à analyser vos enregistrements de journal.

Actuellement, lorsque vous ajoutez un nouveau champ personnalisé, l’affichage des données peut prendre jusqu’à 7 jours.

La fonction Champs personnalisés d’Azure Monitor vous permet de compléter les enregistrements existants dans votre espace de travail Log Analytics en leur ajoutant vos propres champs de recherche. Les champs personnalisés sont renseignés automatiquement à partir des données extraites d’autres propriétés du même enregistrement.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Par exemple, l’enregistrement ci-dessous contient des données utiles dans la description de l’événement. L’extraction de ces données dans une propriété séparée les rend disponibles pour des opérations de tri et de filtrage.

Screenshot of sample extract.

Remarque

Dans la préversion, votre espace de travail est limité à 500 champs personnalisés. Cette limite pourra être relevée lorsque cette fonction sera disponible dans le commerce.

Création d’un champ personnalisé

Lorsque vous créez un champ personnalisé, Log Analytics doit savoir quelles données utiliser pour le renseigner. Il fait donc appel à une technologie de Microsoft Research, appelée FlashExtract, afin d’identifier rapidement ces données. Au lieu de vous obliger à fournir des instructions explicites, Azure Monitor apprend à connaître les données que vous souhaitez extraire à partir des exemples que vous fournissez.

Les sections suivantes décrivent la procédure de création d’un champ personnalisé. À la fin de cet article se trouve une procédure détaillée d’extraction.

Notes

Le champ personnalisé est renseigné lorsque des enregistrements correspondant aux critères spécifiés sont ajoutés à l’espace de travail Log Analytics. Il ne s’affiche donc que sur les enregistrements collectés après la création du champ personnalisé. Le champ personnalisé n’est pas ajouté aux enregistrements déjà présents dans le magasin de données lors de sa création.

Étape 1 : identifier les enregistrements qui contiendront le champ personnalisé

La première étape consiste à identifier les enregistrements qui recevront le champ personnalisé. Commencez par une requête de journal standard, puis vous sélectionnez l’enregistrement qui va servir de modèle à Azure Monitor. Lorsque vous indiquez que vous allez extraire des données pour les placer dans un champ personnalisé, l’ Assistant Extraction de champs s’ouvre et vous permet d’affiner et de valider les critères.

  1. Accédez Journaux et utilisez une requête pour récupérer les enregistrements qui contiendront le champ personnalisé.
  2. Sélectionnez l’enregistrement que Log Analytics utilisera comme modèle pour extraire les données à afficher dans le champ personnalisé. Vous allez identifier les données à extraire de cet enregistrement, données que Log Analytics va utiliser pour déterminer la logique permettant de renseigner le champ personnalisé de tous les enregistrements similaires.
  3. Cliquez avec le bouton droit sur l’enregistrement, puis sélectionnez Extraire des champs.
  4. L’Assistant Extraction de champs s’ouvre et l’enregistrement que vous avez sélectionné s’affiche dans la colonne Exemple principal. Le champ personnalisé sera défini pour les enregistrements ayant les mêmes valeurs dans les propriétés sélectionnées.
  5. Si la sélection ne correspond pas exactement à ce que vous souhaitez, sélectionnez d’autres champs pour affiner les critères. Pour modifier les valeurs des critères, vous devez annuler l’opération et sélectionner un autre enregistrement correspondant aux critères souhaités.

Étape 2 : effectuer l’extraction initiale.

Après avoir identifié les enregistrements qui contiendront le champ personnalisé, vous identifiez les données à extraire. Log Analytics utilisera ces informations pour identifier des données similaires dans des enregistrements similaires. Dans l’étape suivante, vous allez valider les résultats et fournir d’autres informations que Log Analytics va exploiter dans son analyse.

  1. Mettez en surbrillance le texte de l’enregistrement exemple dont vous souhaitez renseigner dans le champ personnalisé. Dans la boîte de dialogue qui s’affiche, indiquez le nom et le type de données du champ et effectuez l’extraction initiale. Les caractères _CF sont automatiquement ajoutés à la fin.
  2. Cliquez sur Extraire pour analyser les enregistrements collectés.
  3. Les sections Résumé et Résultats de la recherche affichent les résultats de l’extraction pour que vous puissiez vérifier qu’ils sont corrects. Résumé affiche les critères utilisés pour identifier les enregistrements et le nombre de chacune des valeurs de données identifiées. Résultats de la recherche fournit une liste détaillée des enregistrements correspondant aux critères.

Étape 3 : vérifier l’exactitude de l’extraction et créer le champ personnalisé

Une fois l’extraction initiale effectuée, Log Analytics affiche ses résultats en fonction des données déjà collectées. Si les résultats semblent exacts, vous pouvez créer le champ personnalisé sans aucune opération supplémentaire. Si tel n’est pas le cas, vous pouvez affiner les résultats afin d’améliorer la logique de Log Analytics.

  1. Si des valeurs de l’extraction initiale sont incorrectes, cliquez sur l’icône Modifier en regard d’un enregistrement inexact, puis sélectionnez Modifier cette mise en surbrillance afin de modifier la sélection.
  2. L’entrée est copiée dans la section Exemples supplémentaires sous Exemple principal. Vous pouvez ajuster la mise en surbrillance pour aider Log Analytics à comprendre la sélection qu’il aurait dû faire.
  3. Cliquez sur Extraire pour utiliser ces nouvelles informations et évaluer tous les enregistrements existants. Les résultats peuvent être modifiés pour les enregistrements autres que celui dont vous venez de modifier la logique.
  4. Continuez d’ajouter des corrections jusqu’à ce que tous les enregistrements de l’extraction identifient correctement les données à afficher dans le champ personnalisé.
  5. Cliquez sur Enregistrer l’extraction lorsque vous êtes satisfait des résultats. Le champ personnalisé est maintenant défini, mais il n’est encore ajouté à aucun enregistrement.
  6. Attendez que des nouveaux enregistrements correspondant aux critères spécifiés soient collectés, puis relancez la recherche du journal. Les nouveaux enregistrements doivent contenir le champ personnalisé.
  7. Utilisez le champ personnalisé comme n’importe quelle autre propriété d’enregistrement. Il peut vous servir à agréger et grouper les données, et même à produire d’autres connaissances.

Suppression d’un champ personnalisé

Il existe deux méthodes pour supprimer un champ personnalisé. La première consiste à utiliser l’option Supprimer de chaque champ lorsque vous affichez la liste complète, comme indiqué ci-dessus. L’autre consiste à extraire un enregistrement et à cliquer sur le bouton à gauche du champ. Le menu affiche une option permettant de supprimer le champ personnalisé.

Exemple de procédure pas à pas

La section suivante décrit la procédure complète de création d’un champ personnalisé. Cet exemple extrait le nom du service dans les événements Windows indiquant un changement d’état de service. Il s’appuie sur les événements créés par le Gestionnaire de contrôle des services lors du démarrage du système des ordinateurs Windows. Si vous souhaitez suivre cet exemple, vous devez collecter des événements d’information du journal système.

Nous spécifions la requête suivante pour renvoyer tous les événements du Gestionnaire de contrôle des services dont l’ID d’événement est 7036, c’est-à-dire l’événement indiquant le démarrage ou l’arrêt d’un service.

Screenshot showing a query for an event source and ID.

Ensuite, cliquez avec le bouton droit sur n’importe quel enregistrement avec l’ID d’événement 7036 et sélectionnez Extraire les champs de « Événement ».

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

L’Assistant Extraction de champs s’ouvre avec les champs EventLog et EventID sélectionnés dans la colonne Exemple principal. Cela indique que le champ personnalisé sera défini pour les événements du journal système ayant l’ID d’événement 7036. Cela nous suffit, inutile de sélectionner d’autres champs.

Screenshot of main example.

Nous mettons en surbrillance le nom du service dans la propriété RenderedDescription et utilisons Service pour identifier le nom du service. Le nom du champ personnalisé sera Service_CF. Ici, le type de champ est une chaîne, donc nous pouvons le laisser tel quel.

Screenshot of Field Title.

Nous constatons que le nom du service est identifié correctement pour certains enregistrements, mais pas pour d’autres. Les Résultats de la recherche montrent que cette partie du nom de Carte de performance WMI n’est pas sélectionnée. Le Résumé montre qu’un seul enregistrement identifié Programme d’installation de modules au lieu de Programme d’installation de modules Windows.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

Commençons par l’enregistrement Carte de performance WMI . Cliquez sur son icône de modification, puis sur Modifier cette mise en surbrillance.

Screenshot of modify highlight.

Nous étendons la mise en surbrillance afin d’inclure le mot WMI , puis nous relançons l’extraction.

Screenshot of additional example.

Nous constatons que les entrées de Carte de performance WMI ont été corrigées, et que Log Analytics a utilisé ces informations pour corriger les enregistrements de Programme d’installation pour les modules Windows.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Nous pouvons maintenant exécuter une requête qui vérifie que Service_CF est créé, mais qu’il n’est encore ajouté à aucun enregistrement. C’est parce que le champ personnalisé ne fonctionne pas sur les enregistrements existants. Nous devons attendre que de nouveaux enregistrements soient collectés.

Screenshot of initial count.

Après la collecte de nouveaux événements, nous pouvons voir que le champ Service_CF est désormais ajouté aux enregistrements qui répondent à nos critères.

Final results

Nous pouvons maintenant utiliser le champ personnalisé comme n’importe quelle propriété d’enregistrement. Pour illustrer ce propos, nous créons une requête qui classe les enregistrements par le nouveau champ Service_CF pour identifier les services les plus actifs.

Screenshot of group by query.

Étapes suivantes