Zelfstudie: Een transformatie toevoegen aan een regel voor het verzamelen van werkruimtegegevens met behulp van Azure Portal

In deze zelfstudie wordt u begeleid bij het configureren van een voorbeeldtransformatie in een regel voor het verzamelen van werkruimtegegevens (DCR) met behulp van Azure Portal. Met transformaties in Azure Monitor kunt u binnenkomende gegevens filteren of wijzigen voordat deze naar de bestemming worden verzonden. Werkruimtetransformaties bieden ondersteuning voor opname-tijdtransformaties voor werkstromen die nog geen azure Monitor-pijplijn voor gegevensopname gebruiken.

Werkruimtetransformaties worden samen opgeslagen in één DCR voor de werkruimte, die de werkruimte-DCR wordt genoemd. Elke transformatie is gekoppeld aan een bepaalde tabel. De transformatie wordt toegepast op alle gegevens die naar deze tabel worden verzonden vanuit een werkstroom die geen DCR gebruikt.

Notitie

In deze zelfstudie wordt Azure Portal gebruikt om een werkruimtetransformatie te configureren. Voor dezelfde zelfstudie met behulp van Azure Resource Manager-sjablonen en REST API raadpleegt u Zelfstudie: Transformatie toevoegen in de regel voor het verzamelen van werkruimtegegevens aan Azure Monitor met behulp van Resource Manager-sjablonen.

In deze zelfstudie leert u het volgende:

• Configureer een werkruimtetransformatie voor een tabel in een Log Analytics-werkruimte.
• Schrijf een logboekquery voor een werkruimtetransformatie.

Vereisten

U hebt het volgende nodig om deze zelfstudie te voltooien:

• Een Log Analytics-werkruimte met ten minste inzenderrechten.
• Machtigingen voor het maken van DCR-objecten in de werkruimte.
• Een tabel met al enkele gegevens.
• De tabel kan niet worden gekoppeld aan de DCR van de werkruimtetransformatie.

Overzicht van de zelfstudie

In deze zelfstudie vermindert u de opslagvereiste voor de LAQueryLogs tabel door bepaalde records te filteren. U verwijdert ook de inhoud van een kolom tijdens het parseren van de kolomgegevens om een stukje gegevens op te slaan in een aangepaste kolom. De LAQueryLogs-tabel wordt gemaakt wanneer u controle van logboekquery's inschakelt in een werkruimte. U kunt hetzelfde basisproces gebruiken om een transformatie te maken voor elke ondersteunde tabel in een Log Analytics-werkruimte.

In deze zelfstudie wordt gebruikgemaakt van Azure Portal, dat een wizard biedt om u te helpen bij het maken van een opnametijdtransformatie. Nadat u de stappen hebt voltooid, ziet u dat de wizard:

• Hiermee werkt u het tabelschema bij met andere kolommen uit de query.
• Hiermee maakt u een WorkspaceTransforms DCR en koppelt u deze aan de werkruimte als er nog geen standaard-DCR aan de werkruimte is gekoppeld.
• Hiermee maakt u een opnametijdtransformatie en voegt u deze toe aan de DCR.

Auditlogboeken voor query's inschakelen

U moet querycontrole inschakelen voor uw werkruimte om de LAQueryLogs tabel te maken waarmee u werkt. Deze stap is niet vereist voor alle opnametijdtransformaties. Het is alleen om de voorbeeldgegevens te genereren waarmee we werken.

1. Selecteer diagnostische instellingen> toevoegen in het menu Log Analytics-werkruimten in Azure Portal.

   

2. Voer een naam in voor de diagnostische instelling. Selecteer de werkruimte zodat de controlegegevens in dezelfde werkruimte worden opgeslagen. Selecteer de categorie Controle en selecteer Opslaan om de diagnostische instelling op te slaan en de pagina Diagnostische instelling te sluiten.

   

3. Selecteer Logboeken en voer vervolgens enkele query's uit om enkele gegevens te vullen LAQueryLogs . Deze query's hoeven geen gegevens te retourneren die moeten worden toegevoegd aan het auditlogboek.

   

Een transformatie toevoegen aan de tabel

Nu de tabel is gemaakt, kunt u er de transformatie voor maken.

1. Selecteer Tabellen in het menu Log Analytics-werkruimten in Azure Portal. Zoek de LAQueryLogs tabel en selecteer Transformatie maken.

   

2. Omdat deze transformatie de eerste in de werkruimte is, moet u een DCR voor werkruimtetransformatie maken. Als u transformaties voor andere tabellen in dezelfde werkruimte maakt, worden deze opgeslagen in dezelfde DCR. Selecteer Een nieuwe regel voor gegevensverzameling maken. Het abonnement en de resourcegroep worden al ingevuld voor de werkruimte. Voer een naam in voor de DCR en selecteer Gereed.

   

3. Selecteer Volgende om voorbeeldgegevens uit de tabel weer te geven. Wanneer u de transformatie definieert, wordt het resultaat toegepast op de voorbeeldgegevens. Daarom kunt u de resultaten evalueren voordat u deze toepast op werkelijke gegevens. Selecteer Transformatie-editor om de transformatie te definiëren.

   

4. In de transformatie-editor ziet u de transformatie die wordt toegepast op de gegevens vóór de opname in de tabel. De binnenkomende gegevens worden vertegenwoordigd door een virtuele tabel met de naam source, die dezelfde set kolommen heeft als de doeltabel zelf. De transformatie bevat in eerste instantie een eenvoudige query die de source tabel retourneert zonder wijzigingen.

5. Wijzig de query in het volgende voorbeeld:

   source
   | where QueryText !contains 'LAQueryLogs'
   | extend Context = parse_json(RequestContext)
   | extend Workspace_CF = tostring(Context['workspaces'][0])
   | project-away RequestContext, Context
   

   De wijziging brengt de volgende wijzigingen aan:

   • Rijen met betrekking tot het uitvoeren van query's op de LAQueryLogs tabel zelf zijn verwijderd om ruimte te besparen, omdat deze logboekvermeldingen niet nuttig zijn.
   • Er is een kolom toegevoegd voor de naam van de werkruimte waarop een query is uitgevoerd.
   • Gegevens uit de RequestContext kolom zijn verwijderd om ruimte te besparen.

   Notitie

   Met behulp van De Azure-portal initieert de uitvoer van de transformatie zo nodig wijzigingen in het tabelschema. Kolommen worden toegevoegd om overeen te komen met de transformatie-uitvoer als deze nog niet bestaan. Zorg ervoor dat de uitvoer geen kolommen bevat die u niet wilt toevoegen aan de tabel. Als de uitvoer geen kolommen bevat die al in de tabel staan, worden deze kolommen niet verwijderd, maar worden er geen gegevens toegevoegd.

   Aangepaste kolommen die aan een ingebouwde tabel worden toegevoegd, moeten eindigen op _CF. Kolommen die zijn toegevoegd aan een aangepaste tabel hoeven dit achtervoegsel niet te hebben. Een aangepaste tabel heeft een naam die eindigt op _CL.

6. Kopieer de query naar de transformatie-editor en selecteer Uitvoeren om resultaten van de voorbeeldgegevens weer te geven. U kunt controleren of de nieuwe Workspace_CF kolom zich in de query bevindt.

   

7. Selecteer Toepassen om de transformatie op te slaan en selecteer vervolgens Volgende om de configuratie te controleren. Selecteer Maken om de DCR bij te werken met de nieuwe transformatie.

   

De transformatie testen

Wacht ongeveer 30 minuten totdat de transformatie van kracht wordt en test deze vervolgens door een query uit te voeren op de tabel. Alleen gegevens die naar de tabel worden verzonden nadat de transformatie is toegepast, worden beïnvloed.

Voer voor deze zelfstudie enkele voorbeeldquery's uit om gegevens naar de LAQueryLogs tabel te verzenden. Neem enkele query's LAQueryLogs op, zodat u kunt controleren of de transformatie deze records filtert. De uitvoer heeft nu de nieuwe Workspace_CF kolom en er zijn geen records voor LAQueryLogs.

Probleemoplossing

In deze sectie worden verschillende foutvoorwaarden beschreven die u mogelijk ontvangt en hoe u deze kunt corrigeren.

IntelliSense in Log Analytics herkent geen nieuwe kolommen in de tabel

Het kan tot 24 uur duren voordat de cache die IntelliSense aanstuurt, is bijgewerkt.

Transformatie in een dynamische kolom werkt niet

Een bekend probleem is momenteel van invloed op dynamische kolommen. Een tijdelijke tijdelijke oplossing is om dynamische kolomgegevens expliciet te parseren met behulp van parse_json() vóór het uitvoeren van bewerkingen.

Volgende stappen

• Meer informatie over transformaties
• Bekijken welke tabellen werkruimtetransformaties ondersteunen
• Meer informatie over het schrijven van transformatiequery's