Lägga till eller ta bort tabeller och kolumner i Azure Monitor-loggar

Med regler för datainsamling kan du filtrera och transformera loggdata innan du skickar data till en Azure-tabell eller en anpassad tabell. Den här artikeln beskriver hur du skapar anpassade tabeller och lägger till anpassade kolumner i tabeller på Din Log Analytics-arbetsyta.

Viktigt!

När du uppdaterar ett tabellschema bör du uppdatera alla datainsamlingsregler som skickar data till tabellen. Tabellschemat som du definierar i datainsamlingsregeln avgör hur Azure Monitor strömmar data till måltabellen. Azure Monitor uppdaterar inte datainsamlingsregler automatiskt när du gör ändringar i tabellschemat.

Förutsättningar

Om du vill skapa en anpassad tabell behöver du:

• En Log Analytics-arbetsyta där du har minst deltagarbehörighet.

• En datainsamlingsslutpunkt (DCE).

• En JSON-fil med minst en post med exempel för din anpassade tabell. Detta ser ut ungefär så här:

  [
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    },
    {
      "TimeGenerated": "supported_datetime_format",
      "<column_name_1>": "<column_name_1_value>",
      "<column_name_2>": "<column_name_2_value>"
    }
  ]
  

  Alla tabeller på en Log Analytics-arbetsyta måste ha en kolumn med namnet TimeGenerated. Om dina exempeldata har en kolumn med namnet TimeGeneratedanvänds det här värdet för att identifiera postens inmatningstid. Annars läggs en TimeGenerated kolumn till i omvandlingen i din DCR för tabellen. Information om formatet finns i TimeGenerated datetime-format som stöds.

Skapa en anpassad tabell

Azure-tabeller har fördefinierade scheman. Om du vill lagra loggdata i ett annat schema använder du datainsamlingsregler för att definiera hur du samlar in, transformerar och skickar data till en anpassad tabell på Log Analytics-arbetsytan.

Viktigt!

Anpassade tabeller har ett suffix med _CL, till exempel tablename_CL. Azure-portalen lägger automatiskt till _CL-suffixet i tabellnamnet. När du skapar en anpassad tabell med en annan metod måste du lägga till _CL-suffixet själv. Tablename_CL i dataflöden Flöden egenskaper i dina datainsamlingsregler måste matcha tablename_CLnamn på Log Analytics-arbetsytan.

Kommentar

Information om hur du skapar en anpassad tabell för loggar som du matar in med den inaktuella Log Analytics-agenten, även kallad MMA eller OMS, finns i Samla in textloggar med Log Analytics-agenten.

Portal

Så här skapar du en anpassad tabell i Azure-portalen:

1. På menyn Log Analytics-arbetsytor väljer du Tabeller.

   

2. Välj Skapa och sedan Ny anpassad logg (DCR-baserad).

   

3. Ange ett namn och, om du vill, en beskrivning för tabellen. Du behöver inte lägga till _CL-suffixet i den anpassade tabellens namn . Detta läggs automatiskt till i det namn som du anger i portalen.

4. Välj en befintlig datainsamlingsregel i listrutan Datainsamlingsregel eller välj Skapa en ny datainsamlingsregel och ange regeln Prenumeration, Resursgrupp och Namn för den nya datainsamlingsregeln.

   

5. Välj en datainsamlingsslutpunkt och välj Nästa.

   

6. Välj Bläddra efter filer och leta upp JSON-filen med exempeldata för den nya tabellen.

   

   Om dina exempeldata inte innehåller en TimeGenerated kolumn får du ett meddelande om att en transformering skapas med den här kolumnen.

7. Om du vill transformera loggdata före inmatning till tabellen:

   1. Välj Transformeringsredigeraren.

      Med transformeringsredigeraren kan du skapa en transformering för inkommande dataström. Det här är en KQL-fråga som körs mot varje inkommande post. Azure Monitor-loggar lagrar resultatet av frågan i måltabellen.

      

   2. Välj Kör för att visa resultatet.

      

8. Välj Använd för att spara omvandlingen och visa schemat för tabellen som ska skapas. Välj Nästa för att fortsätta.

   

9. Kontrollera den slutliga informationen och välj Skapa för att spara den anpassade loggen.

   

API

Om du vill skapa en anpassad tabell anropar du API:et Tabeller – Skapa eller uppdatera.

CLI

Om du vill skapa en anpassad tabell kör du kommandot az monitor log-analytics workspace table create .

PowerShell

Använd API:et Tables – Update PATCH för att skapa en anpassad tabell med PowerShell-koden nedan. Den här koden skapar en tabell med namnet MyTable_CL med två kolumner. Ändra det här schemat för att samla in en annan tabell.

1. Välj knappen Cloud Shell i Azure-portalen och se till att miljön är inställd på PowerShell.

   

2. Kopiera följande PowerShell-kod och ersätt parametern Path med lämpliga värden för din arbetsyta i Invoke-AzRestMethod kommandot . Klistra in den i Cloud Shell-prompten för att köra den.

   $tableParams = @'
   {
       "properties": {
           "schema": {
               "name": "MyTable_CL",
               "columns": [
                   {
                       "name": "TimeGenerated",
                       "type": "DateTime"
                   }, 
                   {
                       "name": "RawData",
                       "type": "String"
                   }
               ]
           }
       }
   }
   '@
   
   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/MyTable_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
   

Ta bort en tabell

Det finns flera typer av tabeller i Azure Monitor-loggar. Du kan ta bort alla tabeller som inte är en Azure-tabell, men vad som händer med data när du tar bort tabellen är olika för varje typ av tabell.

Mer information finns i Vad händer med data när du tar bort en tabell på en Log Analytics-arbetsyta.

Portal

Så här tar du bort en tabell från Azure-portalen:

1. På log analytics-arbetsytans meny väljer du Tabeller.

2. Sök efter de tabeller som du vill ta bort med namn eller genom att välja Sökresultat i fältet Typ .

   

3. Välj den tabell som du vill ta bort, välj ellipsen ( ... ) till höger om tabellen, välj Ta bort och bekräfta borttagningen genom att skriva ja.

   

API

Om du vill ta bort en tabell anropar du API:et Tabeller – Ta bort.

CLI

Om du vill ta bort en tabell kör du kommandot az monitor log-analytics workspace table delete .

PowerShell

Så här tar du bort en tabell med Hjälp av PowerShell:

1. Välj knappen Cloud Shell i Azure-portalen och se till att miljön är inställd på PowerShell.

   

2. Kopiera följande PowerShell-kod och ersätt parametern Path med lämpliga värden för din arbetsyta i Invoke-AzRestMethod kommandot . Klistra in den i Cloud Shell-prompten för att köra den.

   Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/NewCustom_CL?api-version=2021-12-01-preview" -Method DELETE
   

Lägga till eller ta bort en anpassad kolumn

Du kan ändra schemat för anpassade tabeller och lägga till anpassade kolumner i eller ta bort kolumner från en standardtabell.

Kommentar

Kolumnnamn måste börja med en bokstav och kan bestå av upp till 45 alfanumeriska tecken och understreck (_). _ResourceId, id, _ResourceId, _SubscriptionId, TenantId, Type, , UniqueIdoch Title är reserverade kolumnnamn.

Portal

Så här lägger du till en anpassad kolumn i en tabell på Log Analytics-arbetsytan eller tar bort en kolumn:

1. På menyn Log Analytics-arbetsytor väljer du Tabeller.

2. Välj ellipsen ( ... ) till höger om tabellen som du vill redigera och välj Redigera schema. Då öppnas skärmen Schemaredigerare .

3. Rulla ned till avsnittet Anpassade kolumner på skärmen Schemaredigeraren .

   

4. Så här lägger du till en ny kolumn:

   1. Välj Lägg till en kolumn.
   2. Ange kolumnnamnet och beskrivningen (valfritt) och välj den förväntade värdetypen i listrutan Typ .
   3. Välj Spara för att spara den nya kolumnen.

5. Om du vill ta bort en kolumn väljer du ikonen Ta bort till vänster om den kolumn som du vill ta bort.

API

Om du vill lägga till eller ta bort en anpassad kolumn anropar du API:et Tabeller – Skapa eller uppdatera.

CLI

Om du vill lägga till eller ta bort en anpassad kolumn kör du kommandot az monitor log-analytics workspace table update .

PowerShell

Om du vill lägga till en ny kolumn i en Azure- eller anpassad tabell kör du:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "<TableName>",
            "columns": [
                {
                    "name": ""<ColumnName>",
                    "description": "First custom column",
                    "type": "string",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/<TableName>?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Anropet PUT returnerar de uppdaterade tabellegenskaperna, som ska innehålla den nyligen tillagda kolumnen.

Exempel

Kör det här kommandot för att lägga till en anpassad kolumn med namnet Custom1_CF, i Azure-tabellen Heartbeat :

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom1_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Om du vill ta bort den nyligen tillagda kolumnen och lägga till en till i stället kör du:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
                {
                    "name": "Custom2_CF",
                    "description": "The second custom column",
                    "type": "datetime",
                    "isDefaultDisplay": true,
                    "isHidden": false
                }
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Om du vill ta bort alla anpassade kolumner i tabellen kör du:

$tableParams = @'
{
    "properties": {
        "schema": {
            "name": "Heartbeat",
            "columns": [
            ]
        }
    }
}
'@

Invoke-AzRestMethod -Path "/subscriptions/{subscription}/resourcegroups/{resourcegroup}/providers/microsoft.operationalinsights/workspaces/{workspace}/tables/Heartbeat?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Nästa steg

Läs mer om:

• Samla in loggar med API:et för logginmatning
• Samla in loggar med Azure Monitor-agenten
• Regler för datainsamling