Megosztás a következőn keresztül:

Oktatóanyag: Egyéni mezők cseréje a Log Analytics-munkaterületen KQL-alapú egyéni oszlopokra

  • Cikk

Az egyéni mezők az Azure Monitor egyik funkciója, amely lehetővé teszi, hogy egy külön oszlopban lévő adatokat nyerjen ki ugyanazon tábla egy másik szöveges oszlopából. Az új egyéni mezők létrehozása 2023. március 31-től le lesz tiltva. Az egyéni mezők funkciói elavultak lesznek, és a meglévő egyéni mezők 2026. március 31-én leállnak.

A DCR-alapú betöltési idő átalakításoknak számos előnye van, hogy ugyanazt az eredményt érik el:

  • Az egyéni oszlopok formázásához sztringfüggvények teljes készletét alkalmazhatja.
  • Ugyanazon adatokra több műveletet is alkalmazhat. Kinyerhet például egy érték egy részét egy külön oszlopba, és eltávolíthatja az eredeti oszlopot.
  • Az ARM-sablonokban betöltési idejű átalakításokkal egyéni oszlopokat helyezhet üzembe nagy léptékben.

Az adatgyűjtési szabályok (DCR) bevezetésével a KQL-alapú átalakítások a táblázat testreszabásának szabványos módszere, amely lecseréli az örökölt egyéni mezőket.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • A cserét igénylő egyéni mezők megkeresése
  • Az egyéni mezők tartalmának megismerése
  • Betöltési idő átalakítás beállítása a tábla egyéni mezőinek lecseréléséhez

Előfeltételek

  • Log Analytics-munkaterület egyéni mezőket tartalmazó táblával
  • Elegendő fiókjogjog az adatgyűjtési szabályok (DCR) létrehozásához és módosításához

Csere egyéni mezőinek megkeresése

Első lépésként a lecserélendő egyéni mezőket kell lefoglalni. Ha már ismeri a lecserélni kívánt egyéni mezőket, folytassa a következő lépésben.

  1. Lépjen arra a Log Analytics-munkaterületre, ahol az egyéni mezőket tartalmazó tábla található.

  2. Az oldalsó menüben válassza a Táblák lehetőséget. Válassza a Táblázat kezelése lehetőséget a táblázat helyi menüjében.

    Képernyőkép egy Log Analytics-munkaterületen lévő táblázat kezelésének beállításával

  3. Vegye figyelembe, hogy bármely adatgyűjtési szabály (DCRs) adott táblához van társítva.

    • Ha bármelyik DCR megtalálható a megfelelő szakaszban, az azt jelenti, hogy a már meglévő egyéni mezők vagy már implementálva lettek ezekben a DCR-ekben, vagy a DCR létrehozásakor felhagytak. Az oktatóanyag következő lépésében megvizsgálja az egyéni mezők tartalmát, és megállapítja, hogy szükség van-e további frissítésekre a DCR-ek számára.
    • Ha a táblához nincsenek adatgyűjtési szabályok társítva, akkor az adott tábla minden olyan oszlopa, amelynek neve "_CF" végződésű lesz, az egyéni mezők lecserélhetők.

    Képernyőkép egy tábla tulajdonságairól, beleértve a táblához társított adatgyűjtési szabályokat

  4. Zárja be a táblázat tulajdonságai párbeszédpanelt, és válassza a Séma szerkesztése lehetőséget a táblázat helyi menüjében. Görgessen a lap aljára, ahol az egyéni oszlopok láthatók. Ezek az oszlopok _CF végződnek.

    Képernyőkép egy tábla oszloplistáiról, beleértve az egyéni oszlopokat is

  5. Jegyezze fel ezeknek az oszlopoknak a nevét, mivel a következő lépésben meg fogja határozni azok tartalmát.

Egyéni mezőtartalom ismertetése

Mivel az egyéni meződefiníció közvetlenül nem vizsgálható meg, le kell kérdeznie a táblát az egyéni mezőképlet meghatározásához.

  1. Válassza a Naplók lehetőséget az oldalsó menüben, és futtasson egy lekérdezést, hogy mintát kapjon az adatokból a táblából.

    A Log Analytics képernyőképe a mintaadatokat visszaadó lekérdezéssel

  2. Keresse meg az előző lépésben feljegyzett oszlopokat, és vizsgálja meg azok tartalmát.

    • Ha az oszlop nem üres , és a táblához DCR-ek vannak társítva, akkor az egyéni mezőlogika már implementálva lett az átalakítással. Nincs szükség műveletre
    • Ha az oszlop üres (vagy nem szerepel a lekérdezési eredményekben), és a táblához tartományvezérlők vannak társítva, az egyéni mezőlogika nem lett implementálva a DCR-vel. Átalakítás hozzáadása az adatfolyamhoz a meglévő DCR-ben.
    • Ha az oszlop nem üres , és a táblához nincsenek dcR-ek társítva, az egyéni mezőlogikát átalakításként kell implementálnia a munkaterület DCR-jében.

  3. Vizsgálja meg az egyéni mező tartalmát, és határozza meg a számítás logikáját. Az egyéni mezők általában az ugyanabban a táblában lévő többi oszlop részszűrését számítják ki. Határozza meg, hogy az adatok melyik oszlopból származnak, és hogy a sztring melyik részét nyeri ki.

Átalakítás létrehozása

Most már készen áll a szükséges KQL-kódrészlet létrehozására, és hozzáadhatja egy DCR-hez. Ezt a logikát minden rekordra alkalmazza a rendszer, amikor betölti a munkaterületre.

  1. Módosítsa a tábla lekérdezését a KQL használatával az egyéni mezőlogika replikálásához. Ha több egyéni mezőt kell lecserélnie, a számítási logikát egyetlen utasításba kombinálhatja.

    • Egy sztringen belüli részsztring mintaalapú kereséséhez használja az elemzési operátort.
    • Használja a extract() függvényt regex-alapú részszűrési kereséshez.
    • A sztring split(), substring() és sok más függvényként is hasznos lehet.

    Képernyőkép a Log Analyticsről, amelyen a lekérdezés adatokat ad vissza átalakítási lekérdezéssel

  2. Határozza meg, hogy hová kell helyezni az egyéni oszlop új KQL-definícióját.

    • Az Azure Monitor Agent (AMA) használatával gyűjtött naplók esetében szerkessze a tábla adatait gyűjtő DCR-t, és adjon hozzá egy átalakítást. Példa: Minták. Az átalakítási lekérdezés az transformKql elemben van definiálva.
    • A diagnosztikai beállításokkal gyűjtött erőforrásnaplók esetében adja hozzá az átalakítást a munkaterület alapértelmezett DCR-éhez. A táblának támogatnia kell az átalakításokat.

Gyakori kérdések

Hogyan migrálni az örökölt Log Analytics-ügynökkel (MMA)gyűjtött szöveges napló egyéni mezőit?

Fontolja meg az Azure Monitor-ügynökbe (AMA) való migrálást. A Log Analytics-ügynök a támogatás megszűnéséhez közeledik, és át kell telepítenie az Azure Monitor Agentre (AMA). Az AMA-val gyűjtött szöveges naplók a kezdetektől KQL-átalakítások formájában definiált naplóelemzési logikát használnak. Az Azure Monitor Agent által gyűjtött szöveges naplók nem kötelezőek és nem támogatják az egyéni mezőket.

Kötelező az egyéni mezők áttelepítése a KQL-be?

Nem, csak akkor kell migrálnia az egyéni mezőket, ha továbbra is ki szeretné tölteni az egyéni oszlopokat. Ha nem migrálja az egyéni mezőket, a megfelelő oszlopok nem lesznek feltöltve az egyéni mezők támogatásának megszűnésekor. A táblában már feldolgozott és tárolt adatok nem lesznek hatással, és használhatóak maradnak.

Elveszítem a meglévő adataimat a megfelelő oszlopokban, ha nem migrálom időben az egyéni mezőket?

Nem, az egyéni mezők kiszámítása az adatbetöltéskor történik. A meződefiníció törlése vagy időben történő migrálása nem érinti a korábban betöltött adatokat.

Következő lépések