Log Analytics のカスタム フィールドCustom fields in Log Analytics

Log Analytics の カスタム フィールド 機能を使用すると、独自の検索可能なフィールドを追加して、OMS リポジトリの既存のレコードを拡張できます。The Custom Fields feature of Log Analytics allows you to extend existing records in the OMS repository by adding your own searchable fields. カスタム フィールドは、同じレコードの他のプロパティから抽出したデータから自動的に設定されます。Custom fields are automatically populated from data extracted from other properties in the same record.

カスタム フィールドの概要

たとえば、以下のサンプル レコードには、イベントの説明に埋もれている有益なデータがあります。For example, the sample record below has useful data buried in the event description. このデータを別のプロパティに抽出すると、並べ替えやフィルター処理などに使用できます。Extracting this data into separate properties makes it available for such actions as sorting and filtering.

[ログの検索] ボタン

注意

プレビュー版では、カスタム フィールド数の上限はワークスペース内で 100 個です。In the Preview, you are limited to 100 custom fields in your workspace. この機能が一般公開されるときには、この上限は上がる予定です。This limit will be expanded when this feature reaches general availability.

カスタム フィールドを作成するCreating a custom field

カスタム フィールドを作成する場合、その値を設定するために使用するデータを Log Analytics が認識する必要があります。When you create a custom field, Log Analytics must understand which data to use to populate its value. Log Analytics は、FlashExtract という Microsoft Research のテクノロジを使用して、そのデータをすばやく特定しています。It uses a technology from Microsoft Research called FlashExtract to quickly identify this data. ユーザーが明示的な指示をしなくても、Log Analytics は指定した例から抽出する目的のデータを認識します。Rather than requiring you to provide explicit instructions, Log Analytics learns about the data you want to extract from examples that you provide.

以下のセクションでは、カスタム フィールドを作成する手順について説明します。The following sections provide the procedure for creating a custom field. サンプル抽出のチュートリアルについては、この記事の末尾を参照してください。At the bottom of this article is a walkthrough of a sample extraction.

注意

カスタム フィールドは、指定した条件に一致するレコードが OMS データ ストアに追加されるときに設定されます。そのため、カスタム フィールドの作成後に収集されたレコードのデータのみが表示されます。The custom field is populated as records matching the specified criteria are added to the OMS data store, so it will only appear on records collected after the custom field is created. カスタム フィールドの作成時にデータ ストアに既にあったレコードには、カスタム フィールドは追加されません。The custom field will not be added to records that are already in the data store when it’s created.

手順 1 - カスタム フィールドを追加するレコードを指定するStep 1 – Identify records that will have the custom field

最初の手順は、カスタム フィールドを追加するレコードの指定です。The first step is to identify the records that will get the custom field. まず標準のログ検索から始めて、Log Analytics が認識する、モデルとして動作するレコードを選択します。You start with a standard log search and then select a record to act as the model that Log Analytics will learn from. データをカスタム フィールドに抽出しようとすると、フィールド抽出ウィザードが開きます。この画面で、条件を検証し、調整します。When you specify that you are going to extract data into a custom field, the Field Extraction Wizard is opened where you validate and refine the criteria.

  1. ログ検索 を開き、 クエリを使用してカスタム フィールドを追加するレコードを取得 します。Go to Log Search and use a query to retrieve the records that will have the custom field.
  2. Log Analytics でカスタム フィールドを設定するデータを抽出する際に、モデルとして機能するために使用するレコードを選択します。Select a record that Log Analytics will use to act as a model for extracting data to populate the custom field. このレコードから抽出するデータを特定すると、Log Analytics はその情報を使用して、すべての同様のレコードのカスタム フィールドを設定します。You will identify the data that you want to extract from this record, and Log Analytics will use this information to determine the logic to populate the custom field for all similar records.
  3. レコードのテキスト プロパティの左にあるボタンをクリックし、 [フィールドの抽出]を選択します。Click the button to the left of any text property of the record and select Extract fields from.
  4. フィールドの抽出ウィザードが開き、選択したレコードが [メインの例] 列に表示されます。The Field Extraction Wizard is opened, and the record you selected is displayed in the Main Example column. 選択したプロパティと同じ値を持つ、そのレコードのカスタム フィールドが定義されます。The custom field will be defined for those records with the same values in the properties that are selected.
  5. 目的の選択内容ではない場合、追加のフィールドを選択して条件を絞り込みます。If the selection is not exactly what you want, select additional fields to narrow the criteria. 条件のフィールド値を変更するには、取り消して、目的の条件と一致する別のレコードを選択する必要があります。In order to change the field values for the criteria, you must cancel and select a different record matching the criteria you want.

手順 2 - 初回の抽出を実行するStep 2 - Perform initial extract.

カスタム フィールドを追加するレコードを特定したら、抽出するデータを特定します。Once you’ve identified the records that will have the custom field, you identify the data that you want to extract. Log Analytics は、その情報を使用して、似たレコード内の似たパターンを特定します。Log Analytics will use this information to identify similar patterns in similar records. その後に、結果を検証して、Log Analytics で分析に使用する詳細情報を指定します。In the step after this you will be able to validate the results and provide further details for Log Analytics to use in its analysis.

  1. カスタム フィールドを設定するサンプル レコードのテキストを選択します。Highlight the text in the sample record that you want to populate the custom field. フィールドの名前を指定し、初回の抽出を実行するダイアログ ボックスが表示されます。You will then be presented with a dialog box to provide a name for the field and to perform the initial extract. _CF という文字が自動的に付加されます。The characters _CF will automatically be appended.
  2. [抽出] をクリックして、収集したレコードの分析を実行します。Click Extract to perform an analysis of collected records.
  3. [概要][検索結果] セクションには抽出結果が表示されるので、正確さを確認できます。The Summary and Search Results sections display the results of the extract so you can inspect its accuracy. [概要] には、レコードの特定に使用される条件と、特定された各データ値の件数が表示されます。Summary displays the criteria used to identify records and a count for each of the data values identified. [検索結果] には、条件と一致するレコードの詳細な一覧が表示されます。Search Results provides a detailed list of records matching the criteria.

手順 3 - 抽出の正確さを確認し、カスタム フィールドを作成するStep 3 – Verify accuracy of the extract and create custom field

初回の抽出を実行すると、既に収集されたデータに基づいて結果が Log Analytics に表示されます。Once you have performed the initial extract, Log Analytics will display its results based on data that has already been collected. 結果が正確と判断したら、追加作業なしでカスタム フィールドを作成できます。If the results look accurate then you can create the custom field with no further work. 結果が正確ではない場合、Log Analytics がロジックを改善できるように結果を調整することができます。If not, then you can refine the results so that Log Analytics can improve its logic.

  1. 初回の抽出の値が正しくない場合、不正確なレコードの横にある [編集] アイコンをクリックし、[この選択内容の変更] を選択して選択内容を変更します。If any values in the initial extract aren’t correct, then click the Edit icon next to an inaccurate record and select Modify this highlight in order to modify the selection.
  2. エントリは、[メインの例][追加の例] セクションにコピーされます。The entry is copied to the Additional examples section underneath the Main Example. この選択内容を調整することで、Log Analytics が正しい選択内容を理解しやすくなります。You can adjust the highlight here to help Log Analytics understand the selection it should have made.
  3. [抽出] をクリックし、この新しい情報を使用してすべての既存のレコードを評価します。Click Extract to use this new information to evaluate all the existing records. この新しい情報に基づいて、変更したレコード以外のレコードの結果を変更できます。The results may be modified for records other than the one you just modified based on this new intelligence.
  4. 抽出のすべてのレコードによって、新しいカスタム フィールドを設定できるデータが正しく特定されるまで、修正を加え続けます。Continue to add corrections until all records in the extract correctly identify the data to populate the new custom field.
  5. 結果に満足したら、 [抽出の保存] をクリックします。Click Save Extract when you are satisfied with the results. カスタム フィールドは定義されましたが、まだレコードには追加されません。The custom field is now defined, but it won’t be added to any records yet.
  6. 指定した条件に一致する新しいレコードが収集されるまで待ってから、ログ検索を再実行してください。Wait for new records matching the specified criteria to be collected and then run the log search again. 新しいレコードにはカスタム フィールドがあります。New records should have the custom field.
  7. 他のレコードのプロパティと同様に、カスタム フィールドを使用します。Use the custom field like any other record property. カスタム フィールドを使用してデータを集計してグループ化できます。また、カスタム フィールドを使用して新しい分析を行うこともできます。You can use it to aggregate and group data and even use it to produce new insights.

カスタム フィールドを表示するViewing custom fields

OMS ダッシュボードの [設定] タイルから、管理グループのすべてのカスタム フィールドを一覧表示することができます。You can view a list of all custom fields in your management group from the Settings tile of the OMS dashboard. [データ] を選択し、ワークスペースのすべてのカスタム フィールドの一覧について [カスタム フィールド] を選択します。Select Data and then Custom fields for a list of all custom fields in your workspace.

カスタム フィールド

カスタム フィールドを削除するRemoving a custom field

カスタム フィールドを削除するには、2 つの方法があります。There are two ways to remove a custom field. 1 つは、上記のように完全な一覧を表示するときの各フィールドの [削除] オプションです。The first is the Remove option for each field when viewing the complete list as described above. もう 1 つは、レコードを取得し、フィールドの左側にあるボタンをクリックする方法です。The other method is to retrieve a record and click the button to the left of the field. メニューには、カスタム フィールドを削除するオプションが表示されます。The menu will have an option to remove the custom field.

サンプルのチュートリアルSample walkthrough

次のセクションでは、カスタム フィールドの作成例を段階的に説明します。The following section walks through a complete example of creating a custom field. この例では、サービスの変化する状態を示す Windows イベントのサービス名を抽出します。This example extracts the service name in Windows events that indicate a service changing state. これは、Service Control Manager によって Windows コンピューターのシステム ログに作成されるイベントに依存します。This relies on events created by Service Control Manager in the System log on Windows computers. この例に従うには、 システム ログの情報イベントを収集する必要がありますIf you want to follow this example, you must be collecting Information events for the System log.

Service Control Manager からイベント ID が 7036 のすべてのイベント (サービスの開始または停止を示すイベント) を返すために、ここでは次のクエリを入力します。We enter the following query to return all events from Service Control Manager that have an Event ID of 7036 which is the event that indicates a service starting or stopping.

クエリ

イベント ID が 7036 の任意のレコードを選択します。We then select any record with event ID 7036.

ソース レコード

[RenderedDescription] プロパティにサービス名を表示し、そのプロパティの横にあるボタンを選択します。We want the service name that appears in the RenderedDescription property and select the button next to this property.

フィールドの抽出

フィールド抽出ウィザードが開き、[メインの例] 列の [EventLog] フィールドと [EventID] フィールドが選択されます。The Field Extraction Wizard is opened, and the EventLog and EventID fields are selected in the Main Example column. これは、システム ログからイベント ID が 7036 のイベントに対してカスタム フィールドが定義されることを示します。This indicates that the custom field will be defined for events from the System log with an event ID of 7036. これで十分なので、他のフィールドは選択する必要がありません。This is sufficient so we don’t need to select any other fields.

[主な例]

[RenderedDescription] プロパティのサービス名を選択し、[サービス] を使用してサービス名を指定します。We highlight the name of the service in the RenderedDescription property and use Service to identify the service name. カスタム フィールド名は Service_CF になります。The custom field will be called Service_CF.

フィールドのタイトル

サービス名が正しく指定されたレコードと、指定されていないレコードがあります。We see that the service name is identified properly for some records but not for others. [検索結果] は、[WMI Performance Adapter] の名前の一部が選択されなかったことを示しています。The Search Results show that part of the name for the WMI Performance Adapter wasn’t selected. [概要] には、DPRMA サービスを含む 4 件のレコードに余計な単語が不適切に含まれ、Windows Modules Installer ではなく Modules Installer と指定されたレコードが 2 件あります。The Summary shows that four records with DPRMA service incorrectly included an extra word, and two records identified Modules Installer instead of Windows Modules Installer.

[検索結果]

まず WMI Performance Adapter レコードから始めます。We start with the WMI Performance Adapter record. そのレコードの編集アイコンをクリックし、 [この選択内容の変更]をクリックします。We click its edit icon and then Modify this highlight.

選択内容の変更

WMI という単語を含むようにこの選択内容を広げて、抽出を再実行します。We increase the highlight to include the word WMI and then rerun the extract.

その他の例

WMI Performance Adapter のエントリが修正されたことを確認し、Log Analytics にもその情報が使用され、Windows Module Installer のレコードが修正されたことを確認できます。We can see that the entries for WMI Performance Adapter have been corrected, and Log Analytics also used that information to correct the records for Windows Module Installer. [概要] セクションで、DPMRA がまだ正しく特定されていないことを確認できます。We can see in the Summary section though that DPMRA is still not being identified correctly.

[検索結果]

DPMRA サービスを含むレコードまでスクロールし、同じプロセスでそのレコードを修正します。We scroll to a record with the DPMRA service and use the same process to correct that record.

その他の例

抽出を実行すると、すべての結果が正しいことを確認できます。When we run the extraction, we can see that all of our results are now accurate.

[検索結果]

Service_CF が作成され、まだレコードに追加されていないことがわかります。We can see that Service_CF is created but is not yet added to any records.

最初の数

ある程度時間が経ち、新しいイベントが収集されると、その条件に一致するレコードに Service_CF フィールドが追加されたことを確認できます。After some time has passed so new events are collected, we can see that that the Service_CF field is now being added to records that match our criteria.

最終結果

他のレコードのプロパティと同様に、カスタム フィールドを使用できるようになります。We can now use the custom field like any other record property. それを説明するために、新しい Service_CF フィールドでグループ化し、最もアクティブなサービスを調べるクエリを作成します。To illustrate this, we create a query that groups by the new Service_CF field to inspect which services are the most active.

クエリによるグループ化

次のステップNext steps

  • 基準のカスタム フィールドを使用してクエリを作成するための、 ログ検索 について説明します。Learn about log searches to build queries using custom fields for criteria.
  • カスタム フィールドを使用して解析対象のカスタム ログ ファイルを監視します。Monitor custom log files that you parse using custom fields.