Sdílet prostřednictvím

Kurz: Přidání transformace v pravidle shromažďování dat pracovního prostoru pomocí webu Azure Portal

  • Článek

Tento kurz vás provede konfigurací ukázkové transformace v pravidle shromažďování dat pracovního prostoru (DCR) pomocí webu Azure Portal. Transformace ve službě Azure Monitor umožňují filtrovat nebo upravovat příchozí data před jejich odesláním do cíle. Transformace pracovních prostorů poskytují podporu pro transformace v čase příjmu dat pro pracovní postupy, které ještě nepoužívají kanál pro příjem dat služby Azure Monitor.

Transformace pracovních prostorů se ukládají do jednoho řadiče domény pro pracovní prostor, který se nazývá DCR pracovního prostoru. Každá transformace je přidružená ke konkrétní tabulce. Transformace se použije na všechna data odesílaná do této tabulky z jakéhokoli pracovního postupu, který nepoužívá dcR.

Poznámka:

Tento kurz používá Azure Portal ke konfiguraci transformace pracovního prostoru. Stejný kurz použití šablon Azure Resource Manageru a rozhraní REST API najdete v kurzu : Přidání transformace v pravidle shromažďování dat pracovního prostoru do služby Azure Monitor pomocí šablon Resource Manageru.

V tomto kurzu se naučíte:

  • Nakonfigurujte transformaci pracovního prostoru pro tabulku v pracovním prostoru služby Log Analytics.
  • Napište dotaz protokolu pro transformaci pracovního prostoru.

Požadavky

Pro absolvování tohoto kurzu potřebujete:

Přehled kurzu

V tomto kurzu snížíte požadavky na úložiště pro LAQueryLogs tabulku filtrováním určitých záznamů. Zároveň odeberete obsah sloupce a parsujete data sloupce a uložíte část dat do vlastního sloupce. Tabulka LAQueryLogs se vytvoří, když povolíte auditování dotazů protokolu v pracovním prostoru. Stejný základní proces můžete použít k vytvoření transformace pro libovolnou podporovanou tabulku v pracovním prostoru služby Log Analytics.

V tomto kurzu se používá Azure Portal, který poskytuje průvodce, který vás provede procesem vytvoření transformace v čase příjmu dat. Po dokončení kroků uvidíte, že průvodce:

  • Aktualizuje schéma tabulky s jinými sloupci z dotazu.
  • WorkspaceTransforms Vytvoří řadič domény a propojí ho s pracovním prostorem, pokud výchozí řadič domény ještě není propojený s pracovním prostorem.
  • Vytvoří transformaci v čase příjmu dat a přidá ji do dcR.

Povolení protokolů auditu dotazů

Abyste mohli vytvořit LAQueryLogs tabulku, se kterou budete pracovat, musíte pro svůj pracovní prostor povolit auditování dotazů. Tento krok není nutný pro všechny transformace času příjmu dat. Stačí vygenerovat ukázková data, se kterými budeme pracovat.

  1. V nabídce pracovních prostorů služby Log Analytics na webu Azure Portal vyberte Nastavení>diagnostiky Přidat nastavení diagnostiky.

    Snímek obrazovky znázorňující nastavení diagnostiky

  2. Zadejte název nastavení diagnostiky. Vyberte pracovní prostor, aby data auditování byla uložena ve stejném pracovním prostoru. Vyberte kategorii Audit a pak výběrem možnosti Uložit uložte nastavení diagnostiky a zavřete stránku Nastavení diagnostiky.

    Snímek obrazovky znázorňující nové nastavení diagnostiky

  3. Vyberte Protokoly a spusťte LAQueryLogs některé dotazy, které se naplní některými daty. Tyto dotazy nemusí vracet data, která se mají přidat do protokolu auditu.

    Snímek obrazovky znázorňující ukázkové dotazy protokolu

Přidání transformace do tabulky

Teď, když je tabulka vytvořená, můžete pro ni vytvořit transformaci.

  1. V nabídce pracovních prostorů služby Log Analytics na webu Azure Portal vyberte Tabulky. LAQueryLogs Vyhledejte tabulku a vyberte Vytvořit transformaci.

    Snímek obrazovky znázorňující vytvoření nové transformace

  2. Protože je tato transformace první v pracovním prostoru, musíte vytvořit dcR transformace pracovního prostoru. Pokud vytvoříte transformace pro jiné tabulky ve stejném pracovním prostoru, uloží se v tomto stejném řadiči domény. Vyberte Vytvořit nové pravidlo shromažďování dat. Předplatné a skupina prostředků už budou pro pracovní prostor vyplněné. Zadejte název dcR a vyberte Hotovo.

    Snímek obrazovky znázorňující vytvoření nového pravidla shromažďování dat

  3. Výběrem možnosti Další zobrazíte ukázková data z tabulky. Při definování transformace se výsledek použije na ukázková data. Z tohoto důvodu můžete výsledky vyhodnotit předtím, než je použijete na skutečná data. Výběrem editoru transformací definujte transformaci.

    Snímek obrazovky znázorňující ukázková data z tabulky protokolů

  4. V editoru transformací uvidíte transformaci, která se použije na data před jejich příjmem dat do tabulky. Příchozí data jsou reprezentována virtuální tabulkou s názvem source, která má stejnou sadu sloupců jako samotná cílová tabulka. Transformace zpočátku obsahuje jednoduchý dotaz, který vrací source tabulku beze změn.

  5. Upravte dotaz na následující příklad:

    source
| where QueryText !contains 'LAQueryLogs'
| extend Context = parse_json(RequestContext)
| extend Workspace_CF = tostring(Context['workspaces'][0])
| project-away RequestContext, Context

    Tato změna provede následující změny:

    • Řádky související s dotazováním LAQueryLogs samotné tabulky byly vyřazeny, aby se ušetřilo místo, protože tyto položky protokolu nejsou užitečné.
    • Byl přidán sloupec pro název pracovního prostoru, na který byl dotazován.
    • Data ze RequestContext sloupce byla odebrána, aby se ušetřilo místo.

    Poznámka:

    Na webu Azure Portal se výstupem transformace v případě potřeby zahájí změny schématu tabulky. Sloupce se přidají tak, aby odpovídaly výstupu transformace, pokud ještě neexistují. Ujistěte se, že výstup neobsahuje žádné sloupce, které nechcete do tabulky přidat. Pokud výstup neobsahuje sloupce, které už jsou v tabulce, tyto sloupce se neodeberou, ale data se nepřidají.

    Všechny vlastní sloupce přidané do předdefinované tabulky musí končit ._CF Sloupce přidané do vlastní tabulky nemusí mít tuto příponu. Vlastní tabulka má název, který končí ._CL

  6. Zkopírujte dotaz do editoru transformace a výběrem možnosti Spustit zobrazte výsledky z ukázkových dat. Můžete ověřit, že nový Workspace_CF sloupec je v dotazu.

    Snímek obrazovky znázorňující editor transformace

  7. Výběrem možnosti Použít uložte transformaci a pak výběrem možnosti Další zkontrolujte konfiguraci. Výběrem možnosti Vytvořit aktualizujte řadič domény novou transformací.

    Snímek obrazovky znázorňující uložení transformace

Testování transformace

Počkejte přibližně 30 minut, než se transformace projeví, a pak ji otestujte spuštěním dotazu na tabulku. Ovlivněna budou pouze data odeslaná do tabulky po použití transformace.

Pro účely tohoto kurzu spusťte několik ukázkových dotazů, které posílají data do LAQueryLogs tabulky. Zahrňte některé dotazy LAQueryLogs , abyste mohli ověřit, že transformace filtruje tyto záznamy. Výstup teď obsahuje nový Workspace_CF sloupec a neexistují žádné záznamy pro LAQueryLogs.

Řešení problému

Tato část popisuje různé chybové stavy, které se můžou zobrazit a jak je opravit.

IntelliSense v Log Analytics nerozpoznává nové sloupce v tabulce

Aktualizace mezipaměti, která řídí technologii IntelliSense, může trvat až 24 hodin.

Transformace dynamického sloupce nefunguje

Známý problém aktuálně ovlivňuje dynamické sloupce. Dočasným alternativním řešením je explicitně analyzovat dynamická data sloupců pomocí před parse_json() provedením jakýchkoli operací s nimi.

Další kroky