Oktatóanyag: Átalakítás hozzáadása munkaterületi adatgyűjtési szabályhoz az Azure Portal használatával

  • Cikk

Ez az oktatóanyag végigvezeti egy mintaátalakítás konfigurációján egy munkaterületi adatgyűjtési szabályban (DCR) az Azure Portal használatával. Az Azure Monitor átalakításaival szűrheti vagy módosíthatja a bejövő adatokat, mielőtt elküldené őket a célhelyre. A munkaterület-átalakítások támogatják az Azure Monitor adatbetöltési folyamatát még nem használó munkafolyamatok betöltési idejének átalakítását.

A munkaterület-átalakítások a munkaterület egyetlen DCR-jében vannak tárolva, amelyet munkaterületi DCR-nek neveznek. Minden átalakítás egy adott táblához van társítva. Az átalakítás minden olyan munkafolyamatból, amely nem DCR-t használ, alkalmazza az átalakítást a táblába küldött összes adatra.

Feljegyzés

Ez az oktatóanyag az Azure Portal használatával konfigurál egy munkaterület-átalakítást. Az Azure Resource Manager-sablonokat és a REST API-t használó oktatóanyagot a következő oktatóanyagban tekintheti meg: Átalakítás hozzáadása a munkaterület adatgyűjtési szabályában az Azure Monitorhoz Resource Manager-sablonok használatával.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Munkaterület-átalakítás konfigurálása egy Log Analytics-munkaterület tábláihoz.
  • Napló lekérdezés írása munkaterület-átalakításhoz.

Előfeltételek

Az oktatóanyag elvégzéséhez a következőkre lesz szüksége:

Az oktatóanyag áttekintése

Ebben az oktatóanyagban bizonyos rekordok szűrésével csökkentheti a LAQueryLogs tábla tárolási követelményeit. Az oszlop tartalmát is eltávolítja, miközben elemzi az oszlopadatokat, hogy egy adatrészletet egy egyéni oszlopban tároljon. A LAQueryLogs tábla akkor jön létre, ha engedélyezi a napló lekérdezésének naplózását egy munkaterületen. Ugyanezzel az alapfolyamattal hozhat létre átalakítást a Log Analytics-munkaterületek bármely támogatott táblája számára.

Ez az oktatóanyag az Azure Portalt használja, amely egy varázslóval végigvezeti a betöltési idejű átalakítás létrehozásának folyamatán. A lépések elvégzése után megjelenik a varázsló:

  • Frissítések a táblasémát a lekérdezés többi oszlopával.
  • Létrehoz egy WorkspaceTransforms DCR-t, és csatolja a munkaterülethez, ha egy alapértelmezett DCR még nincs csatolva a munkaterülethez.
  • Betöltési idejű átalakítást hoz létre, és hozzáadja a DCR-hez.

Lekérdezési naplózási naplók engedélyezése

Engedélyeznie kell a lekérdezések naplózását a munkaterületen ahhoz, hogy létrehozhassa azt a LAQueryLogs táblát, amellyel dolgozni fog. Ez a lépés nem szükséges minden betöltési idő átalakításhoz. Csak azokat a mintaadatokat kell létrehoznia, amelyekkel dolgozni fogunk.

  1. Az Azure Portal Log Analytics-munkaterületek menüjében válassza a Diagnosztikai beállítások diagnosztikai beállítás>hozzáadása lehetőséget.

    A diagnosztikai beállításokat bemutató képernyőkép.

  2. Adja meg a diagnosztikai beállítás nevét. Jelölje ki a munkaterületet, hogy a naplózási adatok ugyanabban a munkaterületen tárolódnak. Válassza a Naplózás kategóriát, majd a Mentés gombra kattintva mentse a diagnosztikai beállítást, és zárja be a Diagnosztikai beállítás lapot.

    Képernyőkép az új diagnosztikai beállításról.

  3. Válassza a Naplók lehetőséget, majd futtasson néhány lekérdezést, hogy feltöltsön LAQueryLogs néhány adatot. Ezeknek a lekérdezéseknek nem kell visszaadnia az auditnaplóhoz hozzáadandó adatokat.

    Mintanapló-lekérdezéseket bemutató képernyőkép.

Átalakítás hozzáadása a táblához

A tábla létrehozása után létrehozhatja az átalakítást.

  1. Az Azure Portal Log Analytics-munkaterületek menüjében válassza a Táblák lehetőséget. Keresse meg a táblát, és válassza az LAQueryLogs Átalakítás létrehozása lehetőséget.

    Új átalakítás létrehozását bemutató képernyőkép.

  2. Mivel ez az átalakítás az első a munkaterületen, létre kell hoznia egy munkaterület-átalakítási DCR-t. Ha más táblákhoz hoz létre átalakításokat ugyanabban a munkaterületen, azokat ugyanabban a DCR-ben tárolja a rendszer. Válassza az Új adatgyűjtési szabály létrehozása lehetőséget. Az előfizetés és az erőforráscsoport már ki lesz töltve a munkaterülethez. Adja meg a DCR nevét, és válassza a Kész lehetőséget.

    Új adatgyűjtési szabály létrehozását bemutató képernyőkép.

  3. Kattintson a Tovább gombra a mintaadatok táblázatból való megtekintéséhez. Az átalakítás definiálása során az eredmény a mintaadatokra lesz alkalmazva. Ezért a tényleges adatokra való alkalmazás előtt kiértékelheti az eredményeket. Az átalakítás definiálásához válassza az Átalakítás szerkesztőt .

    Képernyőkép a naplótáblából származó mintaadatokról.

  4. Az átalakítási szerkesztőben láthatja azt az átalakítást, amely az adatokra a táblázatba való betöltés előtt lesz alkalmazva. A bejövő adatokat egy virtuális sourcetábla jelöli, amelynek oszlopkészlete megegyezik a céltáblával. Az átalakítás kezdetben egy egyszerű lekérdezést tartalmaz, amely módosítás nélkül adja vissza a source táblát.

  5. Módosítsa a lekérdezést a következő példára:

    source
| where QueryText !contains 'LAQueryLogs'
| extend Context = parse_json(RequestContext)
| extend Workspace_CF = tostring(Context['workspaces'][0])
| project-away RequestContext, Context

    A módosítás a következő módosításokat hajtja végre:

    • A tábla lekérdezéséhez kapcsolódó sorokat a LAQueryLogs rendszer elvetette, hogy helyet takarítson meg, mert ezek a naplóbejegyzések nem hasznosak.
    • A lekérdezett munkaterület nevének oszlopa lett hozzáadva.
    • A rendszer eltávolította az RequestContext oszlopból származó adatokat, hogy helyet takarítson meg.

    Feljegyzés

    Az Azure Portal használatával az átalakítás kimenete szükség esetén a táblaséma módosítását fogja kezdeményezni. Az oszlopok hozzáadva lesznek az átalakítási kimenethez, ha még nem léteznek. Győződjön meg arról, hogy a kimenet nem tartalmaz olyan oszlopokat, amelyeket nem szeretne hozzáadni a táblához. Ha a kimenet nem tartalmaz olyan oszlopokat, amelyek már szerepelnek a táblában, ezek az oszlopok nem lesznek eltávolítva, de az adatok nem lesznek hozzáadva.

    A beépített táblához hozzáadott egyéni oszlopoknak a következővel _CFkell végződniük: . Az egyéni táblához hozzáadott oszlopoknak nem kell ezt az utótagot megadniuk. Az egyéni táblák neve végződik a következővel _CL: .

  6. Másolja a lekérdezést az átalakítási szerkesztőbe, és válassza a Futtatás lehetőséget a mintaadatok eredményeinek megtekintéséhez. Ellenőrizheti, hogy az új Workspace_CF oszlop szerepel-e a lekérdezésben.

    Képernyőkép az átalakítási szerkesztőről.

  7. Az átalakítás mentéséhez kattintson az Alkalmaz gombra, majd a Tovább gombra a konfiguráció áttekintéséhez. A Létrehozás gombra kattintva frissítheti a DCR-t az új átalakítással.

    Az átalakítás mentését bemutató képernyőkép.

Az átalakítás tesztelése

Az átalakítás érvénybe lépése körülbelül 30 percet vesz igénybe, majd egy lekérdezés táblán való futtatásával teszteli azt. Csak az átalakítás alkalmazása után a táblába küldött adatok lesznek hatással.

Ebben az oktatóanyagban futtasson néhány minta lekérdezést, hogy adatokat küldjön a LAQueryLogs táblába. Adjon hozzá néhány lekérdezést LAQueryLogs , hogy ellenőrizze, hogy az átalakítás szűri-e ezeket a rekordokat. Most a kimenet az új Workspace_CF oszlopot tartalmazza, és nincsenek rekordok a következőhöz LAQueryLogs: .

Hibaelhárítás

Ez a szakasz a különböző hibaüzeneteket ismerteti, és ismerteti, hogyan javíthatja ki őket.

Az IntelliSense a Log Analyticsben nem ismeri fel a tábla új oszlopait

Az IntelliSense-t meghajtó gyorsítótár frissítése akár 24 órát is igénybe vehet.

Nem működik az átalakítás dinamikus oszlopon

Egy ismert probléma jelenleg a dinamikus oszlopokat érinti. Az ideiglenes áthidaló megoldás a dinamikus oszlopadatok explicit elemzése, parse_json() mielőtt bármilyen műveletet végrehajtanak rajtuk.

Következő lépések