Zelfstudie: Tekstlogboeken transformeren tijdens opname in Azure Monitor-logboeken
Met opname-tijdtransformaties kunt u binnenkomende gegevens filteren of wijzigen voordat deze worden opgeslagen in een Log Analytics-werkruimte. In dit artikel wordt uitgelegd hoe u een KQL-query schrijft waarmee tekstlogboekgegevens worden getransformeerd en hoe u de transformatie toevoegt aan een regel voor gegevensverzameling.
In de procedure die hier wordt beschreven, wordt ervan uitgegaan dat u al gegevens uit een tekstbestand hebt opgenomen, zoals beschreven in Tekstlogboeken verzamelen met Azure Monitor Agent. In deze zelfstudie gaat u:
- Schrijf een KQL-query om opgenomen gegevens te transformeren.
- Wijzig het doeltabelschema.
- Voeg de transformatie toe aan de regel voor het verzamelen van gegevens.
- Controleer of de transformatie correct werkt.
Vereisten
U hebt het volgende nodig om deze procedure te voltooien:
- Log Analytics-werkruimte met ten minste inzenderrechten.
- Regel voor gegevensverzameling, eindpunt voor gegevensverzameling en aangepaste tabel, zoals beschreven in Tekstlogboeken verzamelen met Azure Monitor Agent.
- Een VM, virtuele-machineschaalset of on-premises server met Arc die logboeken naar een tekstbestand schrijft.
Vereisten voor tekstbestanden:
- Sla deze op het lokale station op van de computer waarop Azure Monitor Agent wordt uitgevoerd.
- Delineeren met een einde van de regel.
- AsCII of UTF-8-codering gebruiken. Andere indelingen, zoals UTF-16, worden niet ondersteund.
- Sta geen circulaire logboekregistratie toe, logboekrotatie waarbij het bestand wordt overschreven met nieuwe vermeldingen of wijzig de naam van een bestand waar een bestand wordt verplaatst en een nieuw bestand met dezelfde naam wordt geopend.
Een KQL-query schrijven om opgenomen gegevens te transformeren
Bekijk de gegevens in de aangepaste doeltabel in Log Analytics:
- Selecteer in Azure Portal Log Analytics-werkruimten> voor uw Log Analytics-werkruimtelogboeken>.
- Voer een eenvoudige query uit op de tabel aangepaste logboeken om tabelgegevens weer te geven.
Gebruik het queryvenster om een query te schrijven en te testen waarmee de onbewerkte gegevens in uw tabel worden getransformeerd.
Zie Structuur van transformaties in Azure Monitor voor informatie over de KQL-operators die ondersteuning bieden voor transformaties.
Notitie
De enige kolommen waarop transformaties kunnen worden toegepast, zijn TimeGenerated en RawData. Andere kolommen worden automatisch toegevoegd aan de tabel na de transformatie en zijn niet beschikbaar op het moment van transformatie. De kolom _ResourceId kan niet worden gebruikt in de transformatie.
Voorbeeld
In het voorbeeld worden eenvoudige KQL-operators gebruikt om de gegevens in de
RawData
kolom te parseren in drie nieuwe kolommen, aangeroepenTime Ingested
,RecordNumber
enRandomContent
:- De
extend
operator voegt nieuwe kolommen toe. - De
project
operator formatteert de uitvoer zodat deze overeenkomt met de kolommen van het doeltabelschema:
MyTable_CL | extend d=todynamic(RawData) | project TimeGenerated,TimeIngested=tostring(d.Time), RecordNumber=tostring(d.RecordNumber), RandomContent=tostring(d.RandomContent), RawData
Notitie
Als u op deze manier query's uitvoert op tabelgegevens, worden de gegevens in de tabel niet daadwerkelijk gewijzigd. Azure Monitor past de transformatie toe in de pijplijn voor gegevensopname nadat u uw transformatiequery hebt toegevoegd aan de regel voor gegevensverzameling.
- De
Maak de query op in één regel en vervang de tabelnaam in de eerste regel van de query door het woord
source
.Voorbeeld:
source | extend d=todynamic(RawData) | project TimeGenerated,TimeIngested=tostring(d.Time),RecordNumber=tostring(d.RecordNumber), RandomContent=tostring(d.RandomContent), RawData
Kopieer de opgemaakte query zodat u deze kunt plakken in de configuratie van de regel voor gegevensverzameling.
De aangepaste tabel wijzigen zodat de nieuwe kolommen worden opgenomen
Voeg kolommen toe aan of verwijder deze in uw aangepaste tabel op basis van uw transformatiequery.
Met de bovenstaande voorbeeldtransformatiequery worden drie nieuwe kolommen van het type string
toegevoegd:
TimeIngested
RecordNumber
RandomContent
Ter ondersteuning van deze transformatie voegt u deze drie nieuwe kolommen toe aan uw aangepaste tabel.
De transformatie toepassen op uw gegevensverzamelingsregel
Selecteer in het menu Bewaken de regel voor gegevensverzamelingsregels> voor gegevensverzameling.
Selecteer Gegevensbronnen> in uw gegevensbron.
Plak de opgemaakte transformatiequery in het veld Transformeren op het tabblad Gegevensbron van het scherm Gegevensbron toevoegen.
Selecteer Opslaan.
Controleer of de transformatie werkt
Bekijk de gegevens in de aangepaste doeltabel en controleer of de gegevens correct worden opgenomen in de gewijzigde tabel:
- Selecteer in Azure Portal Log Analytics-werkruimten> voor uw Log Analytics-werkruimtelogboeken>.
- Voer een eenvoudige query uit op de tabel aangepaste logboeken om tabelgegevens weer te geven.
Volgende stappen
Meer informatie over:
- Transformaties van gegevensverzameling.
- Regels voor gegevensverzameling.
- Eindpunten voor gegevensverzameling.