Share via

Skapa anpassade fält på en Log Analytics-arbetsyta i Azure Monitor (förhandsversion)

  • Artikel

Viktigt!

Skapandet av nya anpassade fält inaktiveras från och med den 31 mars 2023. Funktionen för anpassade fält kommer att vara inaktuell och befintliga anpassade fält kommer att sluta fungera senast den 31 mars 2026. Du bör migrera till inmatningstidstransformeringar för att fortsätta parsa dina loggposter.

När du lägger till ett nytt anpassat fält kan det för närvarande ta upp till 7 dagar innan data börjar visas.

Med funktionen Anpassade fält i Azure Monitor kan du utöka befintliga poster i Log Analytics-arbetsytan genom att lägga till egna sökbara fält. Anpassade fält fylls automatiskt i från data som extraheras från andra egenskaper i samma post.

Diagram shows an original record associated with a modified record in a Log Analytics workspace with property value pairs added to the original property in the modified record.

Exempelposten nedan innehåller till exempel användbara data som är begravda i händelsebeskrivningen. Om du extraherar dessa data till en separat egenskap blir den tillgänglig för sådana åtgärder som sortering och filtrering.

Screenshot of sample extract.

Kommentar

I förhandsversionen är du begränsad till 500 anpassade fält på din arbetsyta. Den här gränsen utökas när den här funktionen når allmän tillgänglighet.

Skapa ett anpassat fält

När du skapar ett anpassat fält måste Log Analytics förstå vilka data som ska användas för att fylla i dess värde. Den använder en teknik från Microsoft Research med namnet FlashExtract för att snabbt identifiera dessa data. I stället för att kräva att du anger explicita instruktioner lär sig Azure Monitor om de data som du vill extrahera från exempel som du anger.

Följande avsnitt innehåller proceduren för att skapa ett anpassat fält. Längst ned i den här artikeln finns en genomgång av ett exempelextrahering.

Kommentar

Det anpassade fältet fylls i när poster som matchar de angivna villkoren läggs till i Log Analytics-arbetsytan, så det visas bara på poster som samlas in när det anpassade fältet har skapats. Det anpassade fältet läggs inte till i poster som redan finns i datalagret när det skapas.

Steg 1: Identifiera poster som ska ha det anpassade fältet

Det första steget är att identifiera de poster som ska hämta det anpassade fältet. Du börjar med en standardloggfråga och väljer sedan en post som ska fungera som den modell som Azure Monitor lär sig av. När du anger att du ska extrahera data till ett anpassat fält öppnas guiden Extrahering av fält där du verifierar och förfinar kriterierna.

  1. Gå till Loggar och använd en fråga för att hämta de poster som ska ha det anpassade fältet.
  2. Välj en post som Log Analytics ska använda för att fungera som en modell för att extrahera data för att fylla i det anpassade fältet. Du kommer att identifiera de data som du vill extrahera från den här posten, och Log Analytics använder den här informationen för att fastställa logiken för att fylla i det anpassade fältet för alla liknande poster.
  3. Högerklicka på posten och välj Extrahera fält från.
  4. Guiden Extrahering av fält öppnas och den post som du har valt visas i kolumnen Main Example. Det anpassade fältet definieras för de poster med samma värden i de egenskaper som har valts.
  5. Om markeringen inte är exakt vad du vill använda väljer du ytterligare fält för att begränsa kriterierna. Om du vill ändra fältvärdena för kriterierna måste du avbryta och välja en annan post som matchar de villkor du vill använda.

Steg 2: Utför inledande extrahering.

När du har identifierat de poster som ska ha det anpassade fältet identifierar du de data som du vill extrahera. Log Analytics använder den här informationen för att identifiera liknande mönster i liknande poster. I steget efter detta kommer du att kunna verifiera resultaten och ange ytterligare information för Log Analytics att använda i analysen.

  1. Markera texten i exempelposten som du vill fylla i det anpassade fältet. Sedan visas en dialogruta för att ange ett namn och en datatyp för fältet och för att utföra det första extraktet. Tecknen _CF läggs till automatiskt.
  2. Klicka på Extrahera för att utföra en analys av insamlade poster.
  3. I avsnitten Sammanfattning och Sökresultat visas resultatet av extraktet så att du kan kontrollera dess noggrannhet. Sammanfattning visar de kriterier som används för att identifiera poster och ett antal för vart och ett av de identifierade datavärdena. Sökresultat innehåller en detaljerad lista över poster som matchar kriterierna.

Steg 3: Verifiera noggrannheten för extrahering och skapa anpassat fält

När du har utfört det första extraktet visar Log Analytics sina resultat baserat på data som redan har samlats in. Om resultatet ser korrekt ut kan du skapa det anpassade fältet utan ytterligare arbete. Annars kan du förfina resultatet så att Log Analytics kan förbättra logiken.

  1. Om några värden i det första extraktet inte är korrekta klickar du på ikonen Redigera bredvid en felaktig post och väljer Ändra den här markeringen för att ändra markeringen.
  2. Posten kopieras till avsnittet Ytterligare exempel under huvudexemplet. Du kan justera markeringen här för att hjälpa Log Analytics att förstå det val som den borde ha gjort.
  3. Klicka på Extrahera för att använda den här nya informationen för att utvärdera alla befintliga poster. Resultatet kan ändras för andra poster än den som du just ändrade baserat på den nya intelligensen.
  4. Fortsätt att lägga till korrigeringar tills alla poster i extraktet identifierar data korrekt för att fylla i det nya anpassade fältet.
  5. Klicka på Spara extrahering när du är nöjd med resultatet. Det anpassade fältet har nu definierats, men det läggs inte till i några poster ännu.
  6. Vänta tills nya poster som matchar de angivna kriterierna samlas in och kör sedan loggsökningen igen. Nya poster ska ha det anpassade fältet.
  7. Använd det anpassade fältet som andra postegenskaper. Du kan använda den för att aggregera och gruppera data och till och med använda dem för att skapa nya insikter.

Ta bort ett anpassat fält

Det finns två sätt att ta bort ett anpassat fält. Den första är alternativet Ta bort för varje fält när du visar den fullständiga listan enligt beskrivningen ovan. Den andra metoden är att hämta en post och klicka på knappen till vänster om fältet. Menyn har ett alternativ för att ta bort det anpassade fältet.

Exempelgenomgång

I följande avsnitt går vi igenom ett fullständigt exempel på hur du skapar ett anpassat fält. I det här exemplet extraheras tjänstnamnet i Windows-händelser som anger att tjänsten ändrar tillstånd. Detta förlitar sig på händelser som skapats av Service Control Manager vid systemstart på Windows-datorer. Om du vill följa det här exemplet måste du samla in informationshändelser för systemloggen.

Vi anger följande fråga för att returnera alla händelser från Service Control Manager som har ett händelse-ID på 7036, vilket är händelsen som anger att en tjänst startar eller stoppar.

Screenshot showing a query for an event source and ID.

Sedan högerklickar vi på en post med händelse-ID 7036 och väljer Extrahera fält från Händelsen.

Screenshot showing the Copy and Extract fields options, which are available when you right-click a record from the list of results.

Fältextraheringsguiden öppnas med fälten EventLog och EventID markerade i kolumnen Main Example. Detta anger att det anpassade fältet kommer att definieras för händelser från systemloggen med ett händelse-ID på 7036. Det räcker så att vi inte behöver välja några andra fält.

Screenshot of main example.

Vi markerar namnet på tjänsten i egenskapen RenderDescription och använder Service för att identifiera tjänstnamnet. Det anpassade fältet kallas Service_CF. Fälttypen i det här fallet är en sträng, så vi kan lämna den oförändrad.

Screenshot of Field Title.

Vi ser att tjänstnamnet identifieras korrekt för vissa poster men inte för andra. Sökresultatet visar att en del av namnet på WMI-prestandakortet inte har valts. Sammanfattningenvisar att en post identifierade installationsprogrammet för moduler i stället för Installationsprogrammet för Windows-moduler.

Screenshot showing portions of the service name highlighted in the Search Results pane and one incorrect service name highlighted in the Summary.

Vi börjar med WMI-prestandakortposten. Vi klickar på dess redigeringsikon och sedan Ändra den här markmarkeringen.

Screenshot of modify highlight.

Vi ökar markeringar så att det inkluderar ordet WMI och kör sedan extraktet igen.

Screenshot of additional example.

Vi kan se att posterna för WMI-prestandakortet har korrigerats, och Log Analytics använde även den informationen för att korrigera posterna för Windows Module Installer.

Screenshot showing the full service name highlighted in the Search Results pane and the correct service names highlighted in the Summary.

Vi kan nu köra en fråga som verifierar Service_CF har skapats men ännu inte har lagts till i några poster. Det beror på att det anpassade fältet inte fungerar mot befintliga poster, så vi måste vänta tills nya poster samlas in.

Screenshot of initial count.

När en tid har passerat så att nya händelser samlas in kan vi se att fältet Service_CF nu läggs till i poster som matchar våra kriterier.

Final results

Nu kan vi använda det anpassade fältet som vilken annan postegenskap som helst. För att illustrera detta skapar vi en fråga som grupperas efter det nya fältet Service_CF för att kontrollera vilka tjänster som är mest aktiva.

Screenshot of group by query.

Nästa steg

  • Lär dig mer om loggfrågor för att skapa frågor med hjälp av anpassade fält för kriterier.
  • Övervaka anpassade loggfiler som du parsar med hjälp av anpassade fält.