Membuat bidang isian kustom di ruang kerja Log Analytics di Azure Monitor (Pratinjau)

Catatan

Artikel ini menjelaskan cara mengurai data teks di ruang kerja Log Analytics saat dikumpulkan. Sebaiknya penguraian data teks dalam filter kueri setelah dikumpulkan mengikuti panduan yang dijelaskan dalam Menguraikan data teks di Azure Monitor. Di situ dijelaskan beberapa keuntungan menggunakan bidang isian kustom.

Penting

Bidang isian kustom meningkatkan jumlah data yang dikumpulkan di ruang kerja Log Analytics yang dapat meningkatkan biaya Anda. Pelajari cara Mengelola penggunaan dan biaya dengan Azure Monitor Logs.

Fitur Bidang Isian Kustom Azure Monitor memungkinkan Anda memperluas rekaman yang sudah ada di ruang kerja Log Analytics Anda dengan menambahkan bidang yang dapat dicari sendiri. Bidang isian kustom secara otomatis diisi dari data yang diekstrak dari properti lain dalam rekaman yang sama.

Diagram menampilkan rekaman asli yang terkait dengan rekaman yang dimodifikasi di ruang kerja Log Analytics dengan pasangan nilai properti yang ditambahkan ke properti asli di rekaman yang dimodifikasi.

Misalnya, contoh rekaman di bawah ini memiliki data yang berguna yang terkubur dalam deskripsi peristiwa. Mengekstrak data ini ke dalam properti terpisah membuatnya tersedia untuk tindakan seperti pengurutan dan pemfilteran.

Ekstrak sampel

Catatan

Di Pratinjau, Anda dibatasi untuk membuat hingga 100 bidang isian kustom di ruang kerja Anda. Batas ini akan diperluas ketika fitur ini mencapai ketersediaan umum.

Membuat bidang isian kustom

Saat Anda membuat bidang isian kustom, Log Analitik harus memahami data mana yang akan digunakan untuk mengisi nilainya. Layanan ini menggunakan teknologi dari Microsoft Research yang disebut FlashExtract untuk mengidentifikasi data ini dengan cepat. Daripada mengharuskan Anda memberikan instruksi eksplisit, Azure Monitor mempelajari data yang ingin Anda ekstrak dari contoh yang Anda berikan.

Bagian berikut ini menyediakan prosedur untuk membuat bidang isian kustom. Di bagian bawah artikel ini adalah panduan dari ekstraksi sampel.

Catatan

Bidang isian kustom terisi ketika rekaman yang cocok dengan kriteria yang ditentukan ditambahkan ke ruang kerja Log Analytics, sehingga hanya akan muncul pada rekaman yang dikumpulkan setelah bidang isian kustom dibuat. Bidang isian kustom tidak akan ditambahkan ke rekaman yang sudah ada di penyimpanan data saat dibuat.

Langkah 1 - Identifikasi rekaman yang akan memiliki bidang isian kustom

Langkah pertama adalah mengidentifikasi rekaman yang akan mendapatkan bidang isian kustom. Anda mulai dengan kueri log standar lalu memilih rekaman untuk bertindak sebagai model yang akan dipelajari Azure Monitor. Saat Anda menentukan bahwa Anda akan mengekstrak data ke dalam bidang isian kustom, Wizard Ekstraksi Bidang dibuka di tempat Anda memvalidasi dan memperbaiki kriteria.

  1. Masuk ke Log dan gunakan kueri untuk mengambil rekaman yang akan memiliki bidang isian kustom.
  2. Pilih rekaman yang akan digunakan Log Analytics untuk bertindak sebagai model untuk mengekstrak data untuk mengisi bidang isian kustom. Anda akan mengidentifikasi data yang ingin Anda ekstrak dari rekaman ini, dan Log Analytics akan menggunakan informasi ini untuk menentukan logika untuk mengisi bidang isian kustom untuk semua rekaman serupa.
  3. Perluas properti rekaman, klik elipsis di sebelah kiri properti atas rekaman dan pilih Ekstrak bidang dari.
  4. Wizard Ekstraksi Bidang terbuka dan rekaman yang Anda pilih ditampilkan di kolom Contoh Utama. Bidang isian kustom akan ditentukan untuk rekaman tersebut dengan nilai yang sama dalam properti yang dipilih.
  5. Jika pilihannya tidak persis seperti yang Anda inginkan, pilih bidang tambahan untuk mempersempit kriteria. Untuk mengubah nilai bidang untuk kriteria, Anda harus membatalkan dan memilih rekaman berbeda yang cocok dengan kriteria yang Anda inginkan.

Langkah 2 - Lakukan ekstrak awal.

Setelah mengidentifikasi rekaman yang akan memiliki bidang isian kustom, Anda mengidentifikasi data yang ingin Anda ekstrak. Log Analitik akan menggunakan informasi ini untuk mengidentifikasi pola serupa dalam rekaman serupa. Dalam langkah setelah ini Anda akan dapat memvalidasi hasilnya dan memberikan detail lebih lanjut agar Log Analitik dapat digunakan dalam analisisnya.

  1. Sorot teks dalam contoh rekaman yang ingin Anda isi bidang isian kustom. Anda kemudian akan disajikan dengan kotak dialog untuk menyediakan nama dan jenis data untuk bidang dan untuk melakukan ekstrak awal. Karakter _CF akan ditambahkan secara otomatis.
  2. Klik Ekstrak untuk melakukan analisis pada rekaman yang dikumpulkan.
  3. Bagian Ringkasan dan Hasil Pencarian menampilkan hasil ekstrak sehingga Anda dapat memeriksa keakuratannya. Ringkasan menampilkan kriteria yang digunakan untuk mengidentifikasi rekaman dan hitungan untuk setiap nilai data yang diidentifikasi. Hasil Pencarian menyediakan daftar rekaman mendetail yang cocok dengan kriteria.

Langkah 3 - Periksa akurasi ekstrak dan buat bidang isian kustom

Setelah Anda melakukan ekstrak awal, Log Analitik akan menampilkan hasilnya berdasarkan data yang telah dikumpulkan. Jika hasilnya terlihat akurat, maka Anda dapat membuat bidang isian kustom tanpa pekerjaan lebih lanjut. Jika tidak, maka Anda dapat memperbaiki hasilnya sehingga Log Analitik dapat meningkatkan logikanya.

  1. Jika ada nilai dalam ekstrak awal yang tidak benar, lalu klik ikon Edit di samping rekaman yang tidak akurat dan pilih Ubah sorotan ini untuk mengubah pilihan.
  2. Entri disalin ke bagian Contoh tambahan di bawah Contoh Utama. Anda dapat menyesuaikan sorotan di sini untuk membantu Log Analytics memahami pilihan yang seharusnya dibuat.
  3. Klik Ekstrak untuk menggunakan informasi baru ini untuk mengevaluasi semua rekaman yang sudah ada. Hasilnya dapat dimodifikasi untuk rekaman selain yang baru saja Anda modifikasi berdasarkan kecerdasan baru ini.
  4. Terus tambahkan koreksi hingga semua rekaman dalam ekstrak mengidentifikasi data dengan benar untuk mengisi bidang isian kustom baru.
  5. Klik Simpan Ekstrak jika Anda puas dengan hasilnya. Bidang isian kustom sekarang ditentukan, tetapi belum akan ditambahkan ke rekaman apa pun.
  6. Tunggu hingga rekaman baru yang cocok dengan kriteria yang ditentukan dikumpulkan lalu jalankan pencarian log lagi. Rekaman baru harus memiliki bidang isian kustom.
  7. Gunakan bidang isian kustom seperti properti rekaman lainnya. Anda dapat menggunakannya untuk menggabungkan dan mengelompokkan data dan bahkan menggunakannya untuk menghasilkan insight baru.

Menampilkan bidang isian kustom

Anda dapat melihat daftar semua bidang isian kustom di grup manajemen Anda dari menu Pengaturan Tingkat Lanjut di ruang kerja Log Analytics Anda di portal Microsoft Azure. Pilih Data lalu Bidang isian kustom untuk daftar semua bidang isian kustom di ruang kerja Anda.

Bidang isian kustom

Menghapus bidang isian kustom

Ada dua cara untuk menghapus bidang isian kustom. Yang pertama adalah opsi Hapus untuk setiap bidang saat menampilkan daftar lengkap seperti yang dijelaskan di atas. Metode lainnya adalah mengambil rekaman dan mengklik tombol di sebelah kiri bidang. Menu akan memiliki opsi untuk menghapus bidang isian kustom.

Panduan sampel

Bagian berikut ini memandu Anda menelusuri contoh lengkap pembuatan bidang isian kustom. Contoh ini mengekstrak nama layanan dalam peristiwa Windows yang mengindikasikan status perubahan layanan. Hal ini bergantung pada kejadian yang dibuat oleh Manajer Kontrol Layanan selama pengaktifan sistem pada komputer Windows. Jika Anda ingin mengikuti contoh ini, Anda harus mengumpulkan peristiwa Informasi untuk log Sistem.

Kita masukkan kueri berikut untuk menampilkan semua peristiwa dari Manajer Kontrol Layanan yang memiliki ID Peristiwa 7036 yang merupakan peristiwa yang menunjukkan layanan dimulai atau berhenti.

Cuplikan layar memperlihatkan kueri untuk sumber peristiwa dan ID.

Kita kemudian memilih dan memperluas rekaman apa pun dengan peristiwa ID 7036.

Rekaman sumber

Kita definisikan bidang isian kustom dengan mengklik elipsis di samping properti atas.

Mengekstrak bidang

Wizard Ekstraksi Bidang dibuka dan bidang EventLog dan EventID dipilih di kolom Contoh Utama. Hal ini menunjukkan bahwa bidang isian kustom akan didefinisikan untuk peristiwa dari log Sistem dengan ID peristiwa 7036. Hal ini cukup sehingga kita tidak perlu memilih bidang lain.

Contoh utama

Kita menyoroti nama layanan di properti RenderedDescription dan menggunakan Layanan untuk mengidentifikasi nama layanan. Bidang isian kustom akan dinamai Service_CF. Jenis bidang dalam hal ini adalah string, sehingga kita tidak perlu mengubahnya.

Judul Bidang

Kita melihat bahwa nama layanan diidentifikasi dengan benar untuk beberapa rekaman tetapi tidak untuk beberapa lainnya. Hasil Pencarian memperlihatkan bahwa bagian dari nama untuk WMI Performance Adapter tidak dipilih. Ringkasan menunjukkan bahwa satu rekaman diidentifikasi Pemasang Modul bukan Windows Module Installer.

Cuplikan layar memperlihatkan bagian dari nama layanan yang disorot di panel Hasil Pencarian dan satu nama layanan yang salah disorot dalam Ringkasan.

Kita mulai dengan rekaman WMI Performance Adapter. Kita klik ikon edit-nya lalu Mengubah sorotan ini.

Mengubah sorotan

Kita meningkatkan sorotan untuk menyertakan kata WMI dan kemudian menjalankan ekstraknya kembali.

Contoh tambahan

Kita dapat melihat bahwa entri untuk WMI Performance Adapter telah diperbaiki dan Log Analytics juga menggunakan informasi tersebut untuk memperbaiki rekaman untuk Windows Module Installer.

Cuplikan layar memperlihatkan bagian dari nama layanan penuh yang disorot di panel Hasil Pencarian dan nama layanan yang benar disorot dalam Ringkasan.

Kita sekarang dapat menjalankan kueri yang memverifikasi bahwa Service_CF dibuat tetapi belum ditambahkan ke rekaman apa pun. Itu karena bidang isian kustom tidak berfungsi untuk rekaman yang ada sehingga kita perlu menunggu rekaman baru dikumpulkan.

Jumlah awal

Setelah beberapa waktu berlalu sehingga peristiwa baru dikumpulkan, kita dapat melihat bahwa bidang Service_CF sekarang ditambahkan ke rekaman yang sesuai dengan kriteria kita.

Hasil akhir

Sekarang kita dapat menggunakan bidang isian kustom seperti properti rekaman lainnya. Untuk mengilustrasikan ini, kita membuat kueri yang dikelompokkan menurut bidang Service_CF baru untuk memeriksa layanan mana yang paling aktif.

Mengelompokkan menurut kueri

Langkah berikutnya

  • Pelajari kueri log untuk membangun kueri menggunakan bidang isian kustom untuk kriteria.
  • Pantau file log kustom yang Anda uraikan menggunakan bidang isian kustom.