Vytvoření vlastních polí v pracovním prostoru služby Log Analytics ve službě Azure Monitor (Preview)
Důležité
Vytváření nových vlastních polí bude zakázáno od 31. března 2023. Funkce vlastních polí bude zastaralá a stávající vlastní pole přestanou fungovat do 31. března 2026. Pokud chcete zachovat analýzu záznamů protokolu, měli byste migrovat na transformace v čase příjmu dat.
Když v současné době přidáte nové vlastní pole, může trvat až 7 dní, než se začnou zobrazovat data.
Funkce Vlastní pole služby Azure Monitor umožňuje rozšířit existující záznamy v pracovním prostoru služby Log Analytics přidáním vlastních prohledávatelných polí. Vlastní pole se automaticky vyplní z dat extrahovaných z jiných funkcí ve stejném záznamu.
Například následující ukázkový záznam obsahuje užitečná data uložená v popisu události. Extrahování těchto dat do samostatné vlastnosti zpřístupňuje takové akce, jako je řazení a filtrování.
Poznámka:
Ve verzi Preview jste ve svém pracovním prostoru omezeni na 500 vlastních polí. Tento limit se rozšíří, když tato funkce dosáhne obecné dostupnosti.
Vytvoření vlastního pole
Při vytváření vlastního pole musí Log Analytics pochopit, která data se mají použít k naplnění jeho hodnoty. K rychlé identifikaci těchto dat používá technologii od společnosti Microsoft Research s názvem FlashExtract. Místo toho, abyste museli zadat explicitní pokyny, Azure Monitor se dozví o datech, která chcete extrahovat z příkladů, které zadáte.
Následující části obsahují postup pro vytvoření vlastního pole. Pokud chcete zobrazit názorný postup extrakce vzorků, přejděte do ukázkového návodu.
Poznámka:
Vlastní pole se vyplní jako záznamy odpovídající zadaným kritériím, které se přidají do pracovního prostoru služby Log Analytics, takže se zobrazí jenom u záznamů shromážděných po vytvoření vlastního pole. Vlastní pole se nepřidá do záznamů, které už jsou v úložišti dat při jeho vytvoření.
Krok 1: Identifikace záznamů, které získávají vlastní pole
Prvním krokem je identifikace záznamů, které získají vlastní pole. Začnete standardním dotazem protokolu a pak vyberete záznam, který se bude chovat jako model, ze kterého se Azure Monitor učí. Když zadáte, že budete extrahovat data do vlastního pole, otevře se Průvodce extrakcí polí tam, kde ověříte a zpřesníte kritéria.
- Přejděte do protokolů a pomocí dotazu načtěte záznamy, které získají vlastní pole.
- Vyberte záznam, který bude Služba Log Analytics používat k tomu, aby fungovala jako model pro extrahování dat k naplnění vlastního pole. Určíte data, která chcete z tohoto záznamu extrahovat, a Log Analytics tyto informace použije k určení logiky pro naplnění vlastního pole pro všechny podobné záznamy.
- Klikněte pravým tlačítkem myši na záznam a vyberte Extrahovat pole.
- Otevře se Průvodce extrakcí polí a vybraný záznam se zobrazí ve sloupci Hlavní příklad . Vlastní pole bude definováno pro tyto záznamy se stejnými hodnotami ve vybraných vlastnostech.
- Pokud výběr není přesně to, co chcete, vyberte další pole, abyste kritéria zúžili. Pokud chcete změnit hodnoty polí pro kritéria, musíte zrušit a vybrat jiný záznam, který odpovídá požadovaným kritériím.
Krok 2: Provedení počátečního extrahování
Jakmile identifikujete záznamy, které získají vlastní pole, identifikujete data, která chcete extrahovat. Log Analytics tyto informace používá k identifikaci podobných vzorů v podobných záznamech. V kroku 3 budete moct ověřit výsledky a zadat další podrobnosti pro Log Analytics, které se mají použít v analýze.
- Zvýrazněte text v ukázkovém záznamu, který chcete naplnit vlastním polem. Zobrazí se dialogové okno s názvem a datovým typem pole a provedením počátečního extrahování. Znaky _CF budou automaticky připojeny.
- Kliknutím na tlačítko Extrahovat provedete analýzu shromážděných záznamů.
- V oddílech Souhrn a Výsledky hledání se zobrazují výsledky extrakce, abyste mohli zkontrolovat jeho přesnost. Souhrn zobrazuje kritéria použitá k identifikaci záznamů a počtu zjištěných hodnot dat. Výsledky hledání poskytují podrobný seznam záznamů odpovídajících kritériím.
Krok 3: Ověření přesnosti extrakce a vytvoření vlastního pole
Jakmile provedete počáteční extrakci, Log Analytics zobrazí výsledky na základě dat, která už byla shromážděna. Pokud výsledky vypadají přesně, můžete vytvořit vlastní pole bez další práce. Pokud ne, můžete výsledky upřesnit tak, aby služba Log Analytics zlepšila svou logiku.
- Pokud některé hodnoty v počátečním extrakci nejsou správné, klikněte na ikonu Upravit vedle nepřesných záznamů a vyberte Upravit toto zvýraznění , aby bylo možné výběr upravit.
- Položka se zkopíruje do části Další příklady pod hlavním příkladem. Zvýraznění zde můžete upravit, abyste log Analytics porozuměli výběru, který by měl provést.
- Chcete-li tyto nové informace použít k vyhodnocení všech existujících záznamů, klikněte na tlačítko Extrahovat . Výsledky se můžou upravit pro jiné záznamy než u záznamů, které jste právě upravili na základě této nové inteligence.
- Pokračujte přidáním oprav, dokud všechny záznamy v extrahování správně identifikují data, která se mají naplnit novým vlastním polem.
- Až budete s výsledky spokojeni, klikněte na Uložit extrahování . Vlastní pole je teď definované, ale zatím se nepřidá do žádných záznamů.
- Počkejte, až se shromáždí nové záznamy odpovídající zadaným kritériím, a pak znovu spusťte prohledávání protokolu. Nové záznamy by měly mít vlastní pole.
- Použijte vlastní pole jako jakoukoli jinou vlastnost záznamu. Můžete je použít k agregaci a seskupení dat a dokonce k jejich použití k vytváření nových přehledů.
Odebrání vlastního pole
Vlastní pole můžete odebrat dvěma způsoby. První možností je odebrat pro každé pole při prohlížení kompletního seznamu, jak je popsáno v kroku 2: Provedení počátečního extrahování. Druhou metodou je načtení záznamu a kliknutí na tlačítko vlevo od pole. Nabídka má možnost odebrat vlastní pole.
Ukázkový názorný postup
Následující část vás provede úplným příkladem vytvoření vlastního pole. Tento příklad extrahuje název služby v událostech Systému Windows, které označují stav změny služby. To závisí na událostech vytvořených správcem řízení služeb během spouštění systému na počítačích s Windows. Pokud chcete postupovat podle tohoto příkladu, musíte shromažďovat události informací pro systémový protokol.
Zadáním následujícího dotazu vrátíme všechny události z Portálu řízení služeb, které mají ID události 7036, což je událost, která označuje spuštění nebo zastavení služby.
Pak klikneme pravým tlačítkem na libovolný záznam s ID události 7036 a vybereme Extrahovat pole z události.
Otevře se Průvodce extrakcí polí s poli EventLog a EventID vybranými ve sloupci Hlavní příklad . To znamená, že vlastní pole bude definováno pro události z systémového protokolu s ID události 7036. To stačí, abychom nemuseli vybírat žádná další pole.
Zvýrazníme název služby ve vlastnosti RenderedDescription a pomocí služby identifikujeme název služby. Vlastní pole bude volána Service_CF. Typ pole v tomto případě je řetězec, takže můžeme nechat beze změny.
Vidíme, že název služby je správně identifikován pro některé záznamy, ale ne pro jiné. Výsledky hledání ukazují, že část názvu adaptéru výkonu rozhraní WMI nebyla vybrána. Souhrn ukazuje, že jeden záznam identifikoval instalační program modulů místo Instalační služby modulů systému Windows.
Začneme záznamem adaptéru WMI Performance Adapter . Klikneme na jeho ikonu pro úpravy a pak změníme toto zvýraznění.
Zvýraznění zvýrazníme tak, aby zahrnovalo slovo WMI , a pak znovu spustíme extrakci.
Vidíme, že jsou opravené položky adaptéru výkonu rozhraní WMI a Log Analytics tyto informace také použily k opravě záznamů instalační služby modulu systému Windows.
Teď můžeme spustit dotaz, který ověří , že se vytvoří Service_CF , ale zatím se nepřidá do žádných záznamů. Je to proto, že vlastní pole nefunguje s existujícími záznamy, takže musíme počkat, až se budou shromažďovat nové záznamy.
Po nějaké době se shromažďují nové události a vidíme , že se pole Service_CF přidává do záznamů, které odpovídají našim kritériím.
Teď můžeme použít vlastní pole jako jakoukoli jinou vlastnost záznamu. Abychom to mohli ilustrovat, vytvoříme dotaz, který seskupí podle nového pole Service_CF a zkontroluje, které služby jsou nejaktivnější.
Další kroky
- Seznamte se s dotazy na protokoly pro vytváření dotazů pomocí vlastních polí pro kritéria.
- Monitorujte vlastní soubory protokolu, které analyzujete pomocí vlastních polí.