Delen via

Aangepaste velden maken in een Log Analytics-werkruimte in Azure Monitor (preview)

  • Artikel

Belangrijk

Het maken van nieuwe aangepaste velden wordt vanaf 31 maart 2023 uitgeschakeld. De functionaliteit van aangepaste velden wordt afgeschaft en bestaande aangepaste velden werken uiterlijk 31 maart 2026 niet meer. U moet migreren naar opname-tijdtransformaties om uw logboekrecords te blijven parseren.

Wanneer u momenteel een nieuw aangepast veld toevoegt, kan het tot 7 dagen duren voordat gegevens worden weergegeven.

Met de functie Aangepaste velden van Azure Monitor kunt u bestaande records in uw Log Analytics-werkruimte uitbreiden door uw eigen doorzoekbare velden toe te voegen. Aangepaste velden worden automatisch ingevuld uit gegevens die zijn geëxtraheerd uit andere eigenschappen in dezelfde record.

Diagram toont een oorspronkelijke record die is gekoppeld aan een gewijzigde record in een Log Analytics-werkruimte met eigenschapswaardeparen die zijn toegevoegd aan de oorspronkelijke eigenschap in de gewijzigde record.

De volgende voorbeeldrecord bevat bijvoorbeeld nuttige gegevens die zijn begraven in de beschrijving van de gebeurtenis. Door deze gegevens uit te pakken in een afzonderlijke eigenschap, worden deze beschikbaar voor acties zoals sorteren en filteren.

Schermopname van voorbeeldextract.

Notitie

In de preview-versie bent u beperkt tot 500 aangepaste velden in uw werkruimte. Deze limiet wordt uitgebreid wanneer deze functie algemene beschikbaarheid bereikt.

Een aangepast veld maken

Wanneer u een aangepast veld maakt, moet Log Analytics weten welke gegevens moeten worden gebruikt om de waarde ervan te vullen. Het maakt gebruik van een technologie van Microsoft Research genaamd FlashExtract om deze gegevens snel te identificeren. In plaats van dat u expliciete instructies moet opgeven, leert Azure Monitor meer over de gegevens die u wilt extraheren uit voorbeelden die u opgeeft.

De volgende secties bevatten de procedure voor het maken van een aangepast veld. Als u een overzicht van een voorbeeldextractie wilt zien, gaat u naar Voorbeeldscenario.

Notitie

Het aangepaste veld wordt ingevuld als records die overeenkomen met de opgegeven criteria worden toegevoegd aan de Log Analytics-werkruimte, zodat het alleen wordt weergegeven op records die worden verzameld nadat het aangepaste veld is gemaakt. Het aangepaste veld wordt niet toegevoegd aan records die zich al in het gegevensarchief bevinden wanneer het wordt gemaakt.

Stap 1: Records identificeren die het aangepaste veld ophalen

De eerste stap is het identificeren van de records die het aangepaste veld ophalen. U begint met een standaardlogboekquery en selecteert vervolgens een record om te fungeren als het model waaruit Azure Monitor leert. Wanneer u opgeeft dat u gegevens gaat extraheren in een aangepast veld, wordt de wizard Veldextractie geopend waar u de criteria valideert en verfijnt.

  1. Ga naar Logboeken en gebruik een query om de records op te halen die het aangepaste veld ophalen.
  2. Selecteer een record die door Log Analytics wordt gebruikt om te fungeren als model voor het extraheren van gegevens om het aangepaste veld te vullen. U identificeert de gegevens die u uit deze record wilt extraheren en Log Analytics gebruikt deze informatie om de logica te bepalen voor het vullen van het aangepaste veld voor alle vergelijkbare records.
  3. Klik met de rechtermuisknop op de record en selecteer Velden extraheren uit.
  4. De wizard Veldextractie wordt geopend en de geselecteerde record wordt weergegeven in de kolom Hoofdvoorbeeld . Het aangepaste veld wordt gedefinieerd voor die records met dezelfde waarden in de eigenschappen die zijn geselecteerd.
  5. Als de selectie niet precies is wat u wilt, selecteert u meer velden om de criteria te beperken. Als u de veldwaarden voor de criteria wilt wijzigen, moet u annuleren en een andere record selecteren die overeenkomt met de gewenste criteria.

Stap 2: eerste extract uitvoeren

Zodra u de records hebt geïdentificeerd die het aangepaste veld ophalen, identificeert u de gegevens die u wilt extraheren. Log Analytics gebruikt deze informatie om vergelijkbare patronen in vergelijkbare records te identificeren. In stap 3 kunt u de resultaten valideren en meer details opgeven voor Log Analytics die u in de analyse kunt gebruiken.

  1. Markeer de tekst in de voorbeeldrecord die u wilt vullen met het aangepaste veld. Vervolgens krijgt u een dialoogvenster te zien om een naam en gegevenstype voor het veld op te geven en het eerste extract uit te voeren. De tekens _CF worden automatisch toegevoegd.
  2. Klik op Uitpakken om een analyse van verzamelde records uit te voeren.
  3. In de secties Samenvatting en Zoekresultaten worden de resultaten van het extract weergegeven, zodat u de nauwkeurigheid ervan kunt controleren. Samenvatting geeft de criteria weer die worden gebruikt voor het identificeren van records en een telling voor elk van de geïdentificeerde gegevenswaarden. Zoekresultaten bieden een gedetailleerde lijst met records die overeenkomen met de criteria.

Stap 3: De nauwkeurigheid van het extraheren en maken van een aangepast veld controleren

Zodra u het eerste extract hebt uitgevoerd, worden de resultaten weergegeven op basis van gegevens die al zijn verzameld. Als de resultaten er nauwkeurig uitzien, kunt u het aangepaste veld zonder verdere werkzaamheden maken. Zo niet, dan kunt u de resultaten verfijnen zodat Log Analytics de logica ervan kan verbeteren.

  1. Als waarden in het eerste extract niet juist zijn, klikt u op het pictogram Bewerken naast een onjuiste record en selecteert u Deze markering wijzigen om de selectie te wijzigen.
  2. De vermelding wordt gekopieerd naar de sectie Aanvullende voorbeelden onder het hoofdvoorbeeld. U kunt de markering hier aanpassen om Log Analytics inzicht te geven in de selectie die moet zijn gemaakt.
  3. Klik op Extraheren om deze nieuwe informatie te gebruiken om alle bestaande records te evalueren. De resultaten kunnen worden gewijzigd voor andere records dan de records die u zojuist hebt gewijzigd op basis van deze nieuwe intelligentie.
  4. Blijf correcties toevoegen totdat alle records in het extract de gegevens correct identificeren om het nieuwe aangepaste veld te vullen.
  5. Klik op Extract opslaan wanneer u tevreden bent met de resultaten. Het aangepaste veld is nu gedefinieerd, maar wordt nog niet toegevoegd aan records.
  6. Wacht tot nieuwe records overeenkomen met de opgegeven criteria die zijn verzameld en voer de zoekopdracht in het logboek opnieuw uit. Nieuwe records moeten het aangepaste veld hebben.
  7. Gebruik het aangepaste veld zoals elke andere recordeigenschap. U kunt deze gebruiken om gegevens samen te voegen en te groeperen en zelfs te gebruiken om nieuwe inzichten te produceren.

Een aangepast veld verwijderen

Er zijn twee manieren om een aangepast veld te verwijderen. De eerste is de optie Verwijderen voor elk veld bij het weergeven van de volledige lijst, zoals beschreven in stap 2: Eerste extract uitvoeren. De andere methode is om een record op te halen en links van het veld op de knop te klikken. Het menu bevat een optie om het aangepaste veld te verwijderen.

Walkthrough voor voorbeeld

In de volgende sectie wordt een volledig voorbeeld van het maken van een aangepast veld beschreven. In dit voorbeeld wordt de servicenaam geëxtraheerd in Windows-gebeurtenissen die wijzen op een gewijzigde status van een service. Dit is afhankelijk van gebeurtenissen die door Service Control Manager zijn gemaakt tijdens het opstarten van het systeem op Windows-computers. Als u dit voorbeeld wilt volgen, moet u informatie-gebeurtenissen verzamelen voor het systeemlogboek.

We voeren de volgende query in om alle gebeurtenissen van Service Control Manager te retourneren die een gebeurtenis-id van 7036 hebben. Dit is de gebeurtenis die aangeeft dat een service wordt gestart of gestopt.

Schermopname van een query voor een gebeurtenisbron en -id.

Vervolgens klikt u met de rechtermuisknop op een record met gebeurtenis-id 7036 en selecteert u Velden extraheren uit 'Gebeurtenis'.

Schermopname van de opties voor het kopiëren en extraheren van velden, die beschikbaar zijn wanneer u met de rechtermuisknop op een record in de lijst met resultaten klikt.

De wizard Veldextractie wordt geopend met de velden EventLog en EventID geselecteerd in de kolom Hoofdvoorbeeld . Dit geeft aan dat het aangepaste veld wordt gedefinieerd voor gebeurtenissen uit het systeemlogboek met een gebeurtenis-id van 7036. Dit is voldoende, zodat we geen andere velden hoeven te selecteren.

Schermopname van het hoofdvoorbeeld.

We markeren de naam van de service in de eigenschap RenderedDescription en gebruiken Service om de servicenaam te identificeren. Het aangepaste veld wordt Service_CF genoemd. Het veldtype in dit geval is een tekenreeks, zodat we dat ongewijzigd kunnen laten.

Schermopname van veldtitel.

We zien dat de servicenaam correct is geïdentificeerd voor sommige records, maar niet voor andere records. In de zoekresultaten ziet u dat een deel van de naam voor de WMI-prestatieadapter niet is geselecteerd. In de samenvatting ziet u dat één record modules installer heeft geïdentificeerd in plaats van Windows Modules Installer.

Schermopname van gedeelten van de servicenaam gemarkeerd in het deelvenster Zoekresultaten en één onjuiste servicenaam gemarkeerd in het overzicht.

We beginnen met de WMI Performance Adapter-record . We klikken op het bewerkingspictogram en vervolgens op deze markering wijzigen.

Schermopname van markering wijzigen.

We verhogen de markering om het woord WMI op te nemen en voer vervolgens het extract opnieuw uit.

Schermopname van een aanvullend voorbeeld.

We kunnen zien dat de vermeldingen voor WMI-prestatieadapter worden gecorrigeerd, en Log Analytics heeft die informatie ook gebruikt om de records voor Windows Module Installer te corrigeren.

Schermopname van de volledige servicenaam die is gemarkeerd in het deelvenster Zoekresultaten en de juiste servicenamen gemarkeerd in het overzicht.

We kunnen nu een query uitvoeren die controleert of Service_CF is gemaakt, maar nog niet is toegevoegd aan records. Dat komt doordat het aangepaste veld niet werkt voor bestaande records, dus we moeten wachten totdat nieuwe records worden verzameld.

Schermopname van het eerste aantal.

Na enige tijd worden nieuwe gebeurtenissen verzameld en zien we het Service_CF veld dat wordt toegevoegd aan records die voldoen aan onze criteria.

Eindresultaten

We kunnen nu het aangepaste veld gebruiken, net als elke andere recordeigenschap. Ter illustratie maken we een query die wordt gegroepeerd op het nieuwe Service_CF veld om te controleren welke services het meest actief zijn.

Schermopname van groeperen op query.

Volgende stappen