Campi personalizzati in Log AnalyticsCustom fields in Log Analytics

La funzionalità Campi personalizzati di Log Analytics consente di estendere i record esistenti nell'archivio di OMS con l'aggiunta di campi ricercabili personalizzati.The Custom Fields feature of Log Analytics allows you to extend existing records in the OMS repository by adding your own searchable fields. I campi personalizzati vengono popolati automaticamente con dati estratti da altre proprietà nello stesso record.Custom fields are automatically populated from data extracted from other properties in the same record.

Panoramica dei campi personalizzati

Il record di esempio riportato di seguito contiene dati utili nascosti nella descrizione dell'evento.For example, the sample record below has useful data buried in the event description. L'estrazione di tali dati in proprietà separate li rende disponibili per azioni come l'ordinamento e il filtro.Extracting this data into separate properties makes it available for such actions as sorting and filtering.

Pulsante di ricerca log

Nota

Nella versione di anteprima è previsto un limite di 100 campi personalizzati nell'area di lavoro.In the Preview, you are limited to 100 custom fields in your workspace. Tale limite verrà esteso con il passaggio della funzionalità alla disponibilità generale.This limit will be expanded when this feature reaches general availability.

Creazione di un campo personalizzatoCreating a custom field

Quando si crea un campo personalizzato, è necessario specificare a Log Analytics quali dati usare per popolare il relativo valore.When you create a custom field, Log Analytics must understand which data to use to populate its value. Per identificare rapidamente i dati viene usata la tecnologia FlashExtract di Microsoft Research.It uses a technology from Microsoft Research called FlashExtract to quickly identify this data. Anziché chiedere all'utente di fornire istruzioni esplicite, Log Analytics ricava informazioni sui dati da estrarre dagli esempi forniti.Rather than requiring you to provide explicit instructions, Log Analytics learns about the data you want to extract from examples that you provide.

Le sezioni seguenti illustrano la procedura per la creazione di un campo personalizzato.The following sections provide the procedure for creating a custom field. Alla fine di questo articolo è disponibile una procedura dettagliata per l'estrazione di un campione.At the bottom of this article is a walkthrough of a sample extraction.

Nota

Il campo personalizzato viene popolato man mano che record corrispondenti ai criteri specificati vengono aggiunti all'archivio dati di OMS. Verrà quindi visualizzato solo nei record raccolti dopo la sua creazione.The custom field is populated as records matching the specified criteria are added to the OMS data store, so it will only appear on records collected after the custom field is created. Il campo personalizzato non viene aggiunto ai record già presenti nell'archivio al momento della creazione.The custom field will not be added to records that are already in the data store when it’s created.

Passaggio 1: Identificare i record che conterranno il campo personalizzatoStep 1 – Identify records that will have the custom field

Il primo passaggio consiste nell'identificare i record che conterranno il campo personalizzato.The first step is to identify the records that will get the custom field. Iniziare con una ricerca nei log standard e quindi selezionare un record che faccia da modello di apprendimento per Log Analytics.You start with a standard log search and then select a record to act as the model that Log Analytics will learn from. Quando si specifica l'intenzione di estrarre i dati in un campo personalizzato, viene aperta l' estrazione guidata campi che permette di convalidare e affinare i criteri.When you specify that you are going to extract data into a custom field, the Field Extraction Wizard is opened where you validate and refine the criteria.

  1. Passare alla ricerca log e usare una query per recuperare i record che conterranno il campo personalizzato.Go to Log Search and use a query to retrieve the records that will have the custom field.
  2. Selezionare un record che Log Analytics possa usare come modello per l'estrazione dei dati con cui popolare il campo personalizzato.Select a record that Log Analytics will use to act as a model for extracting data to populate the custom field. Identificare i dati da estrarre da questo record. Log Analytics userà queste informazioni per determinare la logica in base alla quale popolare il campo personalizzato per tutti i record simili.You will identify the data that you want to extract from this record, and Log Analytics will use this information to determine the logic to populate the custom field for all similar records.
  3. Fare clic sul pulsante a sinistra di una qualsiasi proprietà testo del record e selezionare l'opzione Extract fields from.Click the button to the left of any text property of the record and select Extract fields from.
  4. Viene aperta l'estrazione guidata campi e il record selezionato viene visualizzato nella colonna Esempio principale.The Field Extraction Wizard is opened, and the record you selected is displayed in the Main Example column. Viene definito il campo personalizzato per i record con gli stessi valori delle proprietà selezionate.The custom field will be defined for those records with the same values in the properties that are selected.
  5. Se la selezione non corrisponde esattamente al previsto, selezionare campi aggiuntivi per limitare i criteri.If the selection is not exactly what you want, select additional fields to narrow the criteria. Per modificare i valori dei campi per i criteri, è necessario annullare e selezionare un altro record corrispondente ai criteri scelti.In order to change the field values for the criteria, you must cancel and select a different record matching the criteria you want.

Passaggio 2: Eseguire l'estrazione inizialeStep 2 - Perform initial extract.

Dopo aver identificato i record che conterranno il campo personalizzato, occorre identificare i dati da estrarre.Once you’ve identified the records that will have the custom field, you identify the data that you want to extract. Log Analytics usa queste informazioni per identificare schemi analoghi in record simili.Log Analytics will use this information to identify similar patterns in similar records. Nel passaggio successivo sarà possibile convalidare i risultati e fornire altri dettagli che Log Analytics potrà usare nell'analisi.In the step after this you will be able to validate the results and provide further details for Log Analytics to use in its analysis.

  1. Nel record di esempio evidenziare il testo con cui popolare il campo personalizzato.Highlight the text in the sample record that you want to populate the custom field. Verrà visualizzata una finestra di dialogo in cui specificare un nome per il campo ed eseguire l'estrazione iniziale.You will then be presented with a dialog box to provide a name for the field and to perform the initial extract. I caratteri _CF vengono aggiunti automaticamente.The characters _CF will automatically be appended.
  2. Fare clic su Extract per eseguire un'analisi dei record raccolti.Click Extract to perform an analysis of collected records.
  3. Le sezioni Riepilogo e Risultati della ricerca visualizzano i risultati dell'estrazione e consentono di verificarne l'accuratezza.The Summary and Search Results sections display the results of the extract so you can inspect its accuracy. Summary visualizza i criteri usati per identificare i record e un conteggio per ciascuno dei valori di dati identificati.Summary displays the criteria used to identify records and a count for each of the data values identified. Search Results contiene un elenco dettagliato dei record corrispondenti ai criteri.Search Results provides a detailed list of records matching the criteria.

Passaggio 3: Verificare l'accuratezza dell'estrazione e creare il campo personalizzatoStep 3 – Verify accuracy of the extract and create custom field

Dopo aver eseguito l'estrazione iniziale, Log Analytics ne visualizza i risultati in base ai dati già raccolti.Once you have performed the initial extract, Log Analytics will display its results based on data that has already been collected. Se i risultati sono accurati è possibile creare direttamente il campo personalizzato.If the results look accurate then you can create the custom field with no further work. In caso contrario, è possibile limitare i risultati per permettere a Log Analytics di migliorare la logica.If not, then you can refine the results so that Log Analytics can improve its logic.

  1. Se i valori dell'estrazione iniziale non sono corretti, fare clic sull'icona di modifica accanto a un record non corretto e selezionare Modifica questa evidenziazione per modificare la selezione.If any values in the initial extract aren’t correct, then click the Edit icon next to an inaccurate record and select Modify this highlight in order to modify the selection.
  2. La voce viene copiata nella sezione Esempi aggiuntivi sotto Esempio principale.The entry is copied to the Additional examples section underneath the Main Example. È possibile regolare l'evidenziazione per permettere a Log Analytics di comprendere cosa avrebbe dovuto selezionare.You can adjust the highlight here to help Log Analytics understand the selection it should have made.
  3. Fare clic su Extract per usare le nuove informazioni per valutare tutti i record esistenti.Click Extract to use this new information to evaluate all the existing records. È possibile modificare i risultati per i record diversi da quello appena modificato in base alle nuove informazioni.The results may be modified for records other than the one you just modified based on this new intelligence.
  4. Continuare ad aggiungere correzioni fino a quando tutti i record nell'estrazione non identificano correttamente i dati con cui popolare il nuovo campo personalizzato.Continue to add corrections until all records in the extract correctly identify the data to populate the new custom field.
  5. Quando il risultato è soddisfacente, fare clic su Save extract .Click Save Extract when you are satisfied with the results. Il campo personalizzato è ora definito, ma non viene ancora aggiunto ai record.The custom field is now defined, but it won’t be added to any records yet.
  6. Attendere che vengano raccolti nuovi record corrispondenti ai criteri specificati ed eseguire nuovamente la ricerca nei log.Wait for new records matching the specified criteria to be collected and then run the log search again. I nuovi record ora includono il campo personalizzato.New records should have the custom field.
  7. Il campo personalizzato può essere usato come le altre proprietà del record,Use the custom field like any other record property. ad esempio per aggregare e raggruppare dati, ma anche per produrre nuove informazioni dettagliate.You can use it to aggregate and group data and even use it to produce new insights.

Visualizzazione di campi personalizzatiViewing custom fields

Per visualizzare un elenco di tutti i campi personalizzati nel gruppo di gestione è possibile usare il riquadro Impostazioni del dashboard di OMS.You can view a list of all custom fields in your management group from the Settings tile of the OMS dashboard. Selezionare Dati e quindi Campi personalizzati per visualizzare un elenco di tutti i campi personalizzati nell'area di lavoro.Select Data and then Custom fields for a list of all custom fields in your workspace.

Campi personalizzati

Rimozione di un campo personalizzatoRemoving a custom field

Per rimuovere un campo personalizzato è possibile procedere in due modi.There are two ways to remove a custom field. Il primo consiste nel selezionare l'opzione Remove per ogni campo quando si visualizza l'elenco completo, come descritto in precedenza.The first is the Remove option for each field when viewing the complete list as described above. Il secondo metodo consiste nel recuperare un record e fare clic sul pulsante a sinistra del campo.The other method is to retrieve a record and click the button to the left of the field. Sarà disponibile un'opzione di menu per rimuovere il campo personalizzato.The menu will have an option to remove the custom field.

Procedura dettagliata di esempioSample walkthrough

La sezione seguente descrive un esempio completo di creazione di un campo personalizzato.The following section walks through a complete example of creating a custom field. L'esempio estrae il nome del servizio dagli eventi Windows che indicano la modifica dello stato di un servizio.This example extracts the service name in Windows events that indicate a service changing state. Si basa sugli eventi creati da Gestione controllo servizi nel registro di sistema nei computer Windows.This relies on events created by Service Control Manager in the System log on Windows computers. Per seguire questo esempio, è necessario eseguire la raccolta di eventi informativi per il registro di sistema.If you want to follow this example, you must be collecting Information events for the System log.

Immettere la query seguente per restituire tutti gli eventi di Gestione controllo servizi con ID evento 7036, ovvero l'evento che indica l'avvio o l'arresto di un servizio.We enter the following query to return all events from Service Control Manager that have an Event ID of 7036 which is the event that indicates a service starting or stopping.

Query

Selezionare quindi uno dei record con ID evento 7036.We then select any record with event ID 7036.

Record di origine

Cercare il servizio il cui nome viene visualizzato nella proprietà RenderedDescription e selezionare il pulsante accanto alla proprietà.We want the service name that appears in the RenderedDescription property and select the button next to this property.

Estrarre i campi

Si aprirà l'estrazione guidata campi e verranno selezionati i campi EventLog ed EventID nella colonna Esempio principale.The Field Extraction Wizard is opened, and the EventLog and EventID fields are selected in the Main Example column. Questo indica che il campo personalizzato verrà definito per gli eventi del registro di sistema con ID evento 7036.This indicates that the custom field will be defined for events from the System log with an event ID of 7036. Ciò è sufficiente e non è necessario selezionare altri campi.This is sufficient so we don’t need to select any other fields.

Main example

Evidenziare il nome del servizio nella proprietà RenderedDescription e usare Service per identificare il nome del servizio.We highlight the name of the service in the RenderedDescription property and use Service to identify the service name. Il campo personalizzato sarà denominato Service_CF.The custom field will be called Service_CF.

Nome del campo

Si noti che il nome del servizio viene identificato in modo corretto per alcuni record ma non per altri.We see that the service name is identified properly for some records but not for others. I risultati della ricerca mostrano che parte del nome di Scheda delle prestazioni WMI non è stato selezionato.The Search Results show that part of the name for the WMI Performance Adapter wasn’t selected. Il riepilogo mostra che quattro record con il servizio DPRMA includono per errore una parola in più e due record hanno identificato Modules Installer anziché Programma di installazione dei moduli di Windows.The Summary shows that four records with DPRMA service incorrectly included an extra word, and two records identified Modules Installer instead of Windows Modules Installer.

Search Results

Iniziare dal record della scheda delle prestazioni WMI .We start with the WMI Performance Adapter record. Fare clic sulla relativa icona di modifica e quindi su Modify this highlight.We click its edit icon and then Modify this highlight.

Modificare l'evidenziazione

Espandere l'evidenziazione per includere la parola WMI e quindi eseguire di nuovo l'estrazione.We increase the highlight to include the word WMI and then rerun the extract.

Altro esempio

Ora le voci relative a Scheda delle prestazioni WMI risultano corrette e Log Analytics ha anche usato tali informazioni per correggere i record relativi a Programma di installazione dei moduli di Windows.We can see that the entries for WMI Performance Adapter have been corrected, and Log Analytics also used that information to correct the records for Windows Module Installer. Nella sezione Riepilogo è tuttavia possibile osservare che DPMRA non viene ancora identificato in modo corretto.We can see in the Summary section though that DPMRA is still not being identified correctly.

Search Results

Scorrere fino a un record con il servizio DPMRA e usare la stessa procedura per correggere tale record.We scroll to a record with the DPMRA service and use the same process to correct that record.

Altro esempio

Eseguendo l'estrazione, tutti i risultati sono ora accurati.When we run the extraction, we can see that all of our results are now accurate.

Search Results

Si noti che Service_CF è stato creato, ma non è ancora stato aggiunto ai record.We can see that Service_CF is created but is not yet added to any records.

Conteggio iniziale

Dopo un periodo di tempo in cui vengono raccolti nuovi eventi, il campo Service_CF viene ora aggiunto ai record che corrispondono ai criteri specificati.After some time has passed so new events are collected, we can see that that the Service_CF field is now being added to records that match our criteria.

Risultati finali

Ora il campo personalizzato può essere usato come le altre proprietà del record.We can now use the custom field like any other record property. Per illustrare questo concetto, viene creata una query che raggruppa in base al nuovo campo Service_CF per verificare quali sono i servizi più attivi.To illustrate this, we create a query that groups by the new Service_CF field to inspect which services are the most active.

Raggruppa per query

Passaggi successiviNext steps