Tworzenie pól niestandardowych w obszarze roboczym usługi Log Analytics w usłudze Azure Monitor (wersja zapoznawcza)

  • Artykuł

Ważne

Tworzenie nowych pól niestandardowych zostanie wyłączone od 31 marca 2023 r. Funkcje pól niestandardowych będą przestarzałe, a istniejące pola niestandardowe przestaną działać do 31 marca 2026 r. Należy przeprowadzić migrację do przekształceń czasu pozyskiwania, aby zachować analizowanie rekordów dziennika.

Obecnie dodanie nowego pola niestandardowego może potrwać do 7 dni przed pojawieniem się danych.

Funkcja Pola niestandardowe usługi Azure Monitor umożliwia rozszerzenie istniejących rekordów w obszarze roboczym usługi Log Analytics przez dodanie własnych pól z możliwością wyszukiwania. Pola niestandardowe są automatycznie wypełniane z danych wyodrębnionych z innych właściwości w tym samym rekordzie.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Na przykład poniższy przykładowy rekord zawiera przydatne dane pochowane w opisie zdarzenia. Wyodrębnianie tych danych do oddzielnej właściwości udostępnia je dla takich akcji, jak sortowanie i filtrowanie.

Screenshot of sample extract.

Uwaga

W wersji zapoznawczej w obszarze roboczym jest ograniczonych do 500 pól niestandardowych. Ten limit zostanie rozszerzony, gdy ta funkcja osiągnie ogólną dostępność.

Tworzenie pola niestandardowego

Podczas tworzenia pola niestandardowego usługa Log Analytics musi zrozumieć, które dane mają być używane do wypełniania jej wartości. Korzysta z technologii firmy Microsoft o nazwie FlashExtract, aby szybko zidentyfikować te dane. Zamiast wymagać podania jawnych instrukcji, usługa Azure Monitor pozna dane, które chcesz wyodrębnić z podanych przykładów.

W poniższych sekcjach przedstawiono procedurę tworzenia pola niestandardowego. W dolnej części tego artykułu znajduje się przewodnik po wyodrębnieniu próbek.

Uwaga

Pole niestandardowe jest wypełniane jako rekordy zgodne z określonymi kryteriami są dodawane do obszaru roboczego usługi Log Analytics, dlatego będą wyświetlane tylko w rekordach zebranych po utworzeniu pola niestandardowego. Pole niestandardowe nie zostanie dodane do rekordów, które znajdują się już w magazynie danych podczas jego tworzenia.

Krok 1. Identyfikowanie rekordów, które będą miały pole niestandardowe

Pierwszym krokiem jest zidentyfikowanie rekordów, które otrzymają pole niestandardowe. Rozpoczniesz od standardowego zapytania dziennika, a następnie wybierz rekord, który będzie działać jako model, z którego będzie uczyć się usługa Azure Monitor. Po określeniu, że dane zostaną wyodrębnione do pola niestandardowego, zostanie otwarty Kreator wyodrębniania pól, w którym można zweryfikować i uściślić kryteria.

  1. Przejdź do obszaru Dzienniki i użyj zapytania, aby pobrać rekordy , które będą miały pole niestandardowe.
  2. Wybierz rekord, który będzie używany przez usługę Log Analytics do działania jako model wyodrębniania danych w celu wypełnienia pola niestandardowego. Zidentyfikujesz dane, które mają zostać wyodrębnione z tego rekordu, a usługa Log Analytics użyje tych informacji, aby określić logikę wypełniania pola niestandardowego dla wszystkich podobnych rekordów.
  3. Kliknij prawym przyciskiem myszy rekord i wybierz polecenie Wyodrębnij pola z.
  4. Zostanie otwarty Kreator wyodrębniania pól, a wybrany rekord zostanie wyświetlony w kolumnie Główny przykład . Pole niestandardowe zostanie zdefiniowane dla tych rekordów z tymi samymi wartościami we wybranych właściwościach.
  5. Jeśli zaznaczenie nie jest dokładnie tym, co chcesz, wybierz dodatkowe pola, aby zawęzić kryteria. Aby zmienić wartości pól kryteriów, należy anulować i wybrać inny rekord pasujący do żądanych kryteriów.

Krok 2. Wykonywanie początkowego wyodrębniania.

Po zidentyfikowaniu rekordów, które będą miały pole niestandardowe, należy zidentyfikować dane, które chcesz wyodrębnić. Usługa Log Analytics będzie używać tych informacji do identyfikowania podobnych wzorców w podobnych rekordach. W kroku po tym będzie można zweryfikować wyniki i podać dalsze szczegóły dotyczące usługi Log Analytics do użycia w jego analizie.

  1. Wyróżnij tekst w przykładowym rekordzie, który chcesz wypełnić pole niestandardowe. Następnie zostanie wyświetlone okno dialogowe w celu podania nazwy i typu danych dla pola oraz wykonania początkowego wyodrębnienia. Znaki _CF zostaną automatycznie dołączone.
  2. Kliknij przycisk Wyodrębnij , aby przeprowadzić analizę zebranych rekordów.
  3. W sekcjach Podsumowanie i Wyniki wyszukiwania są wyświetlane wyniki wyodrębniania, aby można było sprawdzić jego dokładność. Podsumowanie zawiera kryteria używane do identyfikowania rekordów i liczby zidentyfikowanych wartości danych. Wyniki wyszukiwania zawierają szczegółową listę rekordów spełniających kryteria.

Krok 3. Weryfikowanie dokładności wyodrębniania i tworzenia pola niestandardowego

Po wykonaniu początkowego wyodrębnienia usługa Log Analytics wyświetli wyniki na podstawie danych, które zostały już zebrane. Jeśli wyniki wyglądają dokładnie, możesz utworzyć pole niestandardowe bez dalszej pracy. Jeśli nie, możesz udoskonalić wyniki, aby usługa Log Analytics mogła poprawić jego logikę.

  1. Jeśli jakiekolwiek wartości w początkowym wyodrębnieniu nie są poprawne, kliknij ikonę Edytuj obok niedokładnego rekordu i wybierz polecenie Modyfikuj to wyróżnienie, aby zmodyfikować zaznaczenie.
  2. Wpis jest kopiowany do sekcji Dodatkowe przykłady poniżej głównego przykładu. Możesz dostosować wyróżnienie tutaj, aby ułatwić usłudze Log Analytics zrozumienie dokonanego wyboru.
  3. Kliknij przycisk Wyodrębnij , aby użyć tych nowych informacji, aby ocenić wszystkie istniejące rekordy. Wyniki mogą być modyfikowane dla rekordów innych niż te, które zostały właśnie zmodyfikowane na podstawie tej nowej analizy.
  4. Kontynuuj dodawanie poprawek, dopóki wszystkie rekordy w wyodrębnieniu poprawnie zidentyfikuj dane w celu wypełnienia nowego pola niestandardowego.
  5. Kliknij pozycję Zapisz wyodrębnij , gdy wyniki są zadowalające. Pole niestandardowe jest teraz zdefiniowane, ale nie zostanie jeszcze dodane do żadnych rekordów.
  6. Poczekaj na zebranie nowych rekordów pasujących do określonych kryteriów, a następnie ponownie uruchom wyszukiwanie w dzienniku. Nowe rekordy powinny mieć pole niestandardowe.
  7. Użyj pola niestandardowego, takiego jak każda inna właściwość rekordu. Można ich używać do agregowania i grupowania danych, a nawet używania ich do tworzenia nowych szczegółowych informacji.

Usuwanie pola niestandardowego

Istnieją dwa sposoby usuwania pola niestandardowego. Pierwsza to opcja Usuń dla każdego pola podczas wyświetlania pełnej listy zgodnie z powyższym opisem. Drugą metodą jest pobranie rekordu i kliknięcie przycisku po lewej stronie pola. W menu będzie dostępna opcja usunięcia pola niestandardowego.

Przewodnik po przykładzie

W poniższej sekcji przedstawiono kompletny przykład tworzenia pola niestandardowego. W tym przykładzie wyodrębnia nazwę usługi w zdarzeniach systemu Windows, które wskazują stan zmiany usługi. Jest to zależne od zdarzeń utworzonych przez program Service Control Manager podczas uruchamiania systemu na komputerach z systemem Windows. Jeśli chcesz postępować zgodnie z tym przykładem, musisz zbierać zdarzenia informacji dla dziennika systemu.

Wprowadzamy następujące zapytanie, aby zwrócić wszystkie zdarzenia z programu Service Control Manager, które mają identyfikator zdarzenia 7036, czyli zdarzenie wskazujące uruchomienie lub zatrzymanie usługi.

Screenshot showing a query for an event source and ID.

Następnie klikamy prawym przyciskiem myszy dowolny rekord o identyfikatorze zdarzenia 7036 i wybieramy polecenie Wyodrębnij pola z zdarzenia.

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

Zostanie otwarty Kreator wyodrębniania pól z polami EventLog i EventID wybranymi w kolumnie Przykład główny . Oznacza to, że pole niestandardowe zostanie zdefiniowane dla zdarzeń z dziennika systemowego o identyfikatorze zdarzenia 7036. Jest to wystarczające, więc nie musimy wybierać żadnych innych pól.

Screenshot of main example.

Wyróżniamy nazwę usługi we właściwości RenderedDescription i używamy usługi do identyfikowania nazwy usługi. Pole niestandardowe będzie nazywane Service_CF. Typ pola w tym przypadku jest ciągiem, więc możemy pozostawić to bez zmian.

Screenshot of Field Title.

Widzimy, że nazwa usługi jest prawidłowo identyfikowana dla niektórych rekordów, ale nie dla innych. Wyniki wyszukiwania pokazują, że część nazwy karty wydajności usługi WMI nie została wybrana. Podsumowanie pokazuje, że jeden rekord zidentyfikował Instalator modułów zamiast Instalatora modułów systemu Windows.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

Zaczynamy od rekordu adaptera wydajności usługi WMI. Klikamy ikonę edycji, a następnie modyfikujemy to wyróżnienie.

Screenshot of modify highlight.

Zwiększamy wyróżnienie, aby uwzględnić słowo WMI , a następnie ponownie uruchomimy wyodrębnienie.

Screenshot of additional example.

Widzimy, że wpisy adaptera wydajności usługi WMI zostały poprawione, a usługa Log Analytics użyła również tych informacji, aby poprawić rekordy instalatora modułu systemu Windows.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Teraz możemy uruchomić zapytanie sprawdzające , Service_CF zostało utworzone, ale nie zostało jeszcze dodane do żadnych rekordów. Dzieje się tak, ponieważ pole niestandardowe nie działa względem istniejących rekordów, dlatego musimy poczekać na zebranie nowych rekordów.

Screenshot of initial count.

Po upływie pewnego czasu zebrano nowe zdarzenia, możemy zobaczyć, że pole Service_CF jest teraz dodawane do rekordów spełniających nasze kryteria.

Final results

Teraz możemy użyć pola niestandardowego, takiego jak dowolna inna właściwość rekordu. Aby to zilustrować, tworzymy zapytanie, które grupuje według nowego pola Service_CF , aby sprawdzić, które usługi są najbardziej aktywne.

Screenshot of group by query.

Następne kroki