Egyéni mezők létrehozása Log Analytics-munkaterületen az Azure Monitorban (előzetes verzió)

  • Cikk

Fontos

Az új egyéni mezők létrehozása 2023. március 31-től le lesz tiltva. Az egyéni mezők funkciói elavultak lesznek, és a meglévő egyéni mezők 2026. március 31-ig leállnak. A naplórekordok elemzése érdekében át kell költöznie a betöltési idejű átalakításokra .

Egy új egyéni mező hozzáadása jelenleg akár 7 napot is igénybe vehet, mielőtt az adatok megjelennek.

Az Azure Monitor Egyéni mezők funkciója lehetővé teszi, hogy saját kereshető mezők hozzáadásával bővítse a Log Analytics-munkaterület meglévő rekordjait. Az egyéni mezők automatikusan ki lesznek töltve az ugyanazon rekord más tulajdonságaiból kinyert adatokból.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Az alábbi mintarekord például hasznos adatokat rejt az esemény leírásában. Ha ezeket az adatokat külön tulajdonságba nyeri ki, az olyan műveletekhez teszi elérhetővé, mint a rendezés és a szűrés.

Screenshot of sample extract.

Megjegyzés:

Az előzetes verzióban legfeljebb 500 egyéni mező lehet a munkaterületen. Ez a korlát akkor lesz kibővítve, ha ez a funkció eléri az általános rendelkezésre állást.

Egyéni mező létrehozása

Egyéni mező létrehozásakor a Log Analyticsnek tisztában kell lennie azzal, hogy mely adatokat használja az értékének feltöltéséhez. A Microsoft Research FlashExtract nevű technológiája segítségével gyorsan azonosítja ezeket az adatokat. Ahelyett, hogy explicit utasításokat kellene megadnia, az Azure Monitor megismeri a megadott példákból kinyerni kívánt adatokat.

Az alábbi szakaszok egy egyéni mező létrehozásának eljárását ismertetik. A cikk alján egy minta kinyerési útmutatója látható.

Megjegyzés:

Az egyéni mező a megadott feltételeknek megfelelő rekordokként lesz feltöltve a Log Analytics-munkaterületre, így csak az egyéni mező létrehozása után gyűjtött rekordokon fog megjelenni. Az egyéni mező nem lesz hozzáadva az adattárban már létrehozott rekordokhoz.

1. lépés: Az egyéni mezővel rendelkező rekordok azonosítása

Az első lépés az egyéni mezőt lekérő rekordok azonosítása. Első lépésként egy szabványos napló lekérdezést kell használnia, majd ki kell választania egy rekordot, amely az Azure Monitor által megismert modellként működik. Amikor megadja, hogy adatokat szeretne kinyerni egy egyéni mezőbe, megnyílik a Mezőkinyerés varázsló , ahol érvényesíti és finomítja a feltételeket.

  1. Lépjen a Naplók területre, és lekérdezéssel kérje le az egyéni mezővel rendelkező rekordokat.
  2. Válasszon ki egy rekordot, amellyel a Log Analytics modellként fog működni az adatok kinyeréséhez az egyéni mező kitöltéséhez. Azonosítja a rekordból kinyerni kívánt adatokat, és a Log Analytics ezeket az adatokat fogja használni annak meghatározására, hogy a logika az összes hasonló rekordhoz tartozó egyéni mező kitöltésére szolgál-e.
  3. Kattintson a jobb gombbal a rekordra, és válassza a Mezők kinyerése lehetőséget.
  4. Megnyílik a Mezőkinyerés varázsló , és a kijelölt rekord megjelenik a Fő példa oszlopban. Az egyéni mező azokhoz a rekordokhoz lesz definiálva, amelyek azonos értékeket tartalmaznak a kiválasztott tulajdonságokban.
  5. Ha a kijelölés nem pontosan az, amit szeretne, további mezőket jelöljön ki a feltételek szűkítéséhez. A feltételek mezőértékeinek módosításához le kell mondania egy másik rekordot, amely megfelel a kívánt feltételeknek.

2. lépés: A kezdeti kivonat végrehajtása.

Miután azonosította az egyéni mezővel rendelkező rekordokat, azonosítja a kinyerni kívánt adatokat. A Log Analytics ezeket az információkat a hasonló rekordok hasonló mintáinak azonosítására használja. Az ezt követő lépésben ellenőrizheti az eredményeket, és további részleteket adhat meg a Log Analytics elemzéséhez.

  1. Jelölje ki az egyéni mezőt feltölteni kívánt mintarekord szövegét. Ezután megjelenik egy párbeszédpanel, amely megadja a mező nevét és adattípusát, és végrehajtja a kezdeti kivonatot. A _CF karakterek automatikusan hozzá lesznek fűzve.
  2. Az összegyűjtött rekordok elemzéséhez kattintson a Kinyerés gombra.
  3. Az Összegzés és a Keresési eredmények szakasz a kivonat eredményeit jeleníti meg, hogy megvizsgálhassa annak pontosságát. Az összegzés a rekordok azonosításához használt feltételeket és az egyes azonosított adatértékek számát jeleníti meg. A Keresési eredmények a feltételeknek megfelelő rekordok részletes listáját tartalmazza.

3. lépés: A kinyerés pontosságának ellenőrzése és egyéni mező létrehozása

A kezdeti kivonat végrehajtása után a Log Analytics a már összegyűjtött adatok alapján jeleníti meg az eredményeket. Ha az eredmények pontosak, akkor további munka nélkül létrehozhatja az egyéni mezőt. Ha nem, akkor finomíthatja az eredményeket, hogy a Log Analytics javítsa a logikáját.

  1. Ha a kezdeti kivonat valamelyik értéke nem helyes, kattintson a pontatlan rekord melletti Szerkesztés ikonra, és válassza a Kiemelés módosítása lehetőséget a kijelölés módosításához.
  2. A bejegyzés a Fő példa alatti További példák szakaszba lesz másolva. Itt módosíthatja a kiemelést, hogy segítsen a Log Analyticsnek megértenie, hogy milyen kijelölést kellett volna választania.
  3. Kattintson a Kivonat gombra az új információk felhasználásához az összes meglévő rekord kiértékeléséhez. Az eredmények az imént módosítotttól eltérő rekordokra is módosíthatók az új intelligencia alapján.
  4. Folytassa a javítások hozzáadását, amíg a kivonat összes rekordja nem azonosítja megfelelően az új egyéni mező feltöltéséhez szükséges adatokat.
  5. Ha elégedett az eredménnyel, kattintson a Kivonat mentése gombra. Az egyéni mező már definiálva van, de még nem lesz hozzáadva egyetlen rekordhoz sem.
  6. Várjon, amíg a megadott feltételeknek megfelelő új rekordokat gyűjt, majd futtassa újra a naplókeresést. Az új rekordoknak az egyéni mezővel kell rendelkezniük.
  7. Használja az egyéni mezőt, mint bármely más rekordtulajdonságot. Segítségével összesítheti és csoportosíthatja az adatokat, és akár új elemzések készítésére is használhatja.

Egyéni mező eltávolítása

Az egyéni mezők kétféleképpen távolíthatók el. Az első az Eltávolítás lehetőség az egyes mezőkhöz, amikor a teljes listát a fent leírtak szerint tekinti meg. A másik módszer egy rekord lekérése, majd a mező bal oldalán található gombra kattintva. A menüben el lehet távolítani az egyéni mezőt.

Mintaútmutató

Az alábbi szakasz végigvezet egy egyéni mező létrehozásának teljes példáján. Ez a példa kinyeri a szolgáltatás nevét a Windows-eseményekben, amelyek a szolgáltatás változó állapotát jelzik. Ez a Service Control Manager által a Windows rendszerű számítógépek rendszerindítása során létrehozott eseményekre támaszkodik. Ha követni szeretné ezt a példát, a rendszernaplóhoz adatokat kell gyűjtenie.

A következő lekérdezést írjuk be a Service Control Manager összes olyan eseményének visszaadásához, amely 7036-os eseményazonosítóval rendelkezik, amely egy szolgáltatás indítását vagy leállítását jelző esemény.

Screenshot showing a query for an event source and ID.

Ezután a jobb gombbal a 7036-os eseményazonosítójú rekordokra kattintunk, és az "Esemény" mezőinek kinyerésével gombra kattintunk.

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

Megnyílik a Mezőkinyerés varázsló a Fő példa oszlopban kijelölt EventLog és EventID mezőkkel. Ez azt jelzi, hogy az egyéni mező a rendszernapló eseményeihez lesz definiálva 7036-os eseményazonosítóval. Ez elegendő ahhoz, hogy ne kelljen más mezőket kijelölnünk.

Screenshot of main example.

Kiemeljük a szolgáltatás nevét a RenderedDescription tulajdonságban, és a Szolgáltatás használatával azonosítjuk a szolgáltatás nevét. Az egyéni mező neve Service_CF lesz. Ebben az esetben a mezőtípus egy sztring, így ezt változatlanul hagyhatjuk.

Screenshot of Field Title.

Azt látjuk, hogy a szolgáltatásnév bizonyos rekordok esetében megfelelően van azonosítva, mások esetében azonban nem. A keresési eredmények azt mutatják, hogy a WMI-teljesítményadapter nevének egy része nincs kiválasztva. Az összefoglalás azt mutatja, hogy egy rekord a Modulok telepítőt azonosította a Windows-modulok telepítője helyett.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

A WMI teljesítményadapter rekordjával kezdjük. Kattintson a szerkesztési ikonra, majd módosítsa ezt a kiemelést.

Screenshot of modify highlight.

Növeljük a kiemelést, hogy belefoglaljuk a WMI szót, majd futtassuk újra a kivonatot.

Screenshot of additional example.

Láthatjuk, hogy a WMI-teljesítményadapter bejegyzései ki lettek javítva, és a Log Analytics ezeket az adatokat is felhasználta a Windows-modultelepítő rekordjainak javítására.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Most már futtathatunk egy lekérdezést, amely ellenőrzi , hogy Service_CF létrejött, de még nem lett hozzáadva semmilyen rekordhoz. Ennek az az oka, hogy az egyéni mező nem működik a meglévő rekordokon, ezért meg kell várnunk az új rekordok gyűjtését.

Screenshot of initial count.

Miután eltelt egy idő, hogy új eseményeket gyűjtsön, láthatjuk, hogy a Service_CF mező hozzá lett adva a feltételeknek megfelelő rekordokhoz.

Final results

Most már használhatjuk az egyéni mezőt, mint bármely más rekordtulajdonságot. Ennek szemléltetéséhez létrehozunk egy lekérdezést, amely az új Service_CF mező alapján csoportosítja, hogy megvizsgálja, mely szolgáltatások a legaktívabbak.

Screenshot of group by query.

Következő lépések

  • Ismerje meg a napló lekérdezéseket , amelyek lekérdezéseket hozhatnak létre egyéni mezők használatával a feltételekhez.
  • Egyéni mezőkkel elemezni kívánt egyéni naplófájlok monitorozása.