Samouczek: zastępowanie pól niestandardowych w obszarze roboczym usługi Log Analytics kolumnami niestandardowymi opartymi na języku KQL

Pola niestandardowe to funkcja usługi Azure Monitor, która umożliwia wyodrębnianie do oddzielnych danych kolumn z innej kolumny tekstowej tej samej tabeli. Tworzenie nowych pól niestandardowych zostanie wyłączone od 31 marca 2023 r. Funkcje pól niestandardowych będą przestarzałe, a istniejące pola niestandardowe przestaną działać 31 marca 2026 r.

Istnieje kilka zalet używania przekształceń czasu pozyskiwania opartego na modelu DCR w celu osiągnięcia tego samego wyniku:

• Możesz zastosować pełny zestaw funkcji ciągów, aby kształtować kolumny niestandardowe.
• Do tych samych danych można zastosować wiele operacji. Na przykład wyodrębnij część wartości do oddzielnej kolumny i usuń oryginalną kolumnę.
• Przekształcenia czasu pozyskiwania można używać w szablonach usługi ARM do wdrażania niestandardowych kolumn na dużą skalę.

Wraz z wprowadzeniem reguł zbierania danych (DCR) przekształcenia oparte na języku KQL są standardową metodą dostosowywania tabeli, zastępując starsze pola niestandardowe.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Lokalizowanie pól niestandardowych wymagających zastąpienia
• Omówienie zawartości pól niestandardowych
• Konfigurowanie przekształcenia czasu pozyskiwania w celu zastąpienia pól niestandardowych w tabeli

Wymagania wstępne

• Obszar roboczy usługi Log Analytics z tabelą zawierającą pola niestandardowe
• Wystarczające uprawnienia do tworzenia i modyfikowania reguł zbierania danych (DCR)

Lokalizowanie pól niestandardowych do zastąpienia

Zacznij od zlokalizowania pól niestandardowych do zastąpienia. Jeśli znasz już pola niestandardowe, które planujesz zamienić, przejdź do następnego kroku.

1. Przejdź do obszaru roboczego usługi Log Analytics, w którym znajduje się tabela z polami niestandardowymi.

2. W menu bocznym wybierz pozycję Tabele. Wybierz pozycję Zarządzaj tabelą z menu kontekstowego tabeli.

   

3. Należy pamiętać, że jakiekolwiek reguły zbierania danych (DCR) są skojarzone z daną tabelą.

   • Jeśli jakiekolwiek kontrolery domeny znajdują się w odpowiedniej sekcji, oznacza to, że wszystkie istniejące pola niestandardowe zostały już zaimplementowane w tych kontrolerach domeny lub porzucone podczas tworzenia kontrolera domeny. Zapoznasz się z zawartością pól niestandardowych w następnym kroku tego samouczka i określisz, czy potrzebna jest większa liczba aktualizacji kontrolerów domeny.
   • Jeśli nie ma reguł zbierania danych skojarzonych z tabelą, wszystkie kolumny w danej tabeli o nazwach kończących się ciągiem "_CF" będą polami niestandardowymi podlegającymi zastąpieniu.

   

4. Zamknij okno dialogowe właściwości tabeli i wybierz pozycję Edytuj schemat z menu kontekstowego tabeli. Przewiń do dołu strony, na której są wyświetlane kolumny niestandardowe. Te kolumny kończą się _CF.

   

5. Zanotuj nazwy tych kolumn, ponieważ określisz ich zawartość w następnym kroku.

Omówienie zawartości pola niestandardowego

Ponieważ nie ma możliwości bezpośredniego zbadania definicji pola niestandardowego, należy wykonać zapytanie względem tabeli w celu określenia formuły pola niestandardowego.

1. Wybierz pozycję Dzienniki w menu bocznym i uruchom zapytanie, aby pobrać przykład danych z tabeli.

   

2. Znajdź kolumny zanotowany w poprzednim kroku i sprawdź ich zawartość.

   • Jeśli kolumna nie jest pusta i istnieją odwołania DCR skojarzone z tabelą, logika pola niestandardowego została już zaimplementowana z transformacją. Nie jest wymagana żadna akcja
   • Jeśli kolumna jest pusta (lub nie istnieje w wynikach zapytania) i istnieją kontrolery DOMENY skojarzone z tabelą, logika pola niestandardowego nie została zaimplementowana za pomocą kontrolera domeny. Dodaj przekształcenie do przepływu danych w istniejącym kontrolerze domeny.
   • Jeśli kolumna nie jest pusta i nie ma żadnych reguł DCR skojarzonych z tabelą, logika pola niestandardowego musi być zaimplementowana jako przekształcenie w kontrolerze domeny obszaru roboczego.

3. Sprawdź zawartość pola niestandardowego i określ logikę jej obliczania. Pola niestandardowe zwykle obliczają podciągy innych kolumn w tej samej tabeli. Ustal, z której kolumny pochodzą dane, oraz część wyodrębnionego ciągu.

Tworzenie przekształcenia

Teraz możesz utworzyć wymagany fragment kodu KQL i dodać go do kontrolera DOMENY. Ta logika jest stosowana do każdego rekordu podczas pozyskiwania do obszaru roboczego.

1. Zmodyfikuj zapytanie dla tabeli przy użyciu języka KQL, aby replikować logikę pola niestandardowego. Jeśli masz wiele pól niestandardowych do zastąpienia, możesz połączyć logikę obliczeń w jedną instrukcję.

   • Użyj operatora analizy do wyszukiwania podciągów opartego na wzorcu w ciągu.
   • Użyj funkcji extract() na potrzeby wyszukiwania podciągów opartych na wyrażeniach regularnych.
   • Funkcje ciągów jako split(), substring()i wiele innych mogą być również przydatne.

   

2. Określ, gdzie należy umieścić nową definicję KQL kolumny niestandardowej.

   • W przypadku dzienników zebranych przy użyciu agenta usługi Azure Monitor (AMA) zmodyfikuj kontroler domeny zbierający dane dla tabeli, dodając przekształcenie. Aby zapoznać się z przykładem, zobacz Best practices and samples for transformations in Azure Monitor (Najlepsze rozwiązania i przykłady dotyczące przekształceń w usłudze Azure Monitor). Zapytanie przekształcenia jest definiowane w elemecie transformKql .
   • W przypadku dzienników zasobów zebranych przy użyciu ustawień diagnostycznych dodaj przekształcenie do domyślnego kontrolera domeny obszaru roboczego. Tabela musi obsługiwać przekształcenia.

Często zadawane pytania

Jak mogę przeprowadzić migrację pól niestandardowych dla dziennika tekstowego zebranego przy użyciu starszego agenta usługi Log Analytics (MMA)?

Rozważ migrację do agenta usługi Azure Monitor (AMA). Agent usługi Log Analytics zbliża się do końca wsparcia i należy przeprowadzić migrację do agenta usługi Azure Monitor (AMA). Dzienniki tekstowe zbierane za pomocą usługi AMA używają logiki analizowania dzienników zdefiniowanej w postaci przekształceń KQL od samego początku. Pola niestandardowe nie są wymagane i nie są obsługiwane w dziennikach tekstowych zebranych przez agenta usługi Azure Monitor.

Czy migracja pól niestandardowych do języka KQL jest obowiązkowa?

Nie, musisz przeprowadzić migrację pól niestandardowych tylko wtedy, gdy nadal chcesz, aby kolumny niestandardowe zostały wypełnione. Jeśli nie przeprowadzisz migracji pól niestandardowych, odpowiednie kolumny przestaną być wypełniane po zakończeniu obsługi pól niestandardowych. Dane, które zostały już przetworzone i przechowywane w tabeli, nie będą miały wpływu i pozostaną użyteczne.

Czy utracię istniejące dane w odpowiednich kolumnach, jeśli nie zmigruję moich pól niestandardowych na czas?

Nie, pola niestandardowe są obliczane w momencie pozyskiwania danych. Usunięcie definicji pola lub nie migrowanie ich w czasie nie wpłynie na żadne dane pozyskane wcześniej.

Następne kroki

• Przeczytaj więcej na temat przekształceń w usłudze Azure Monitor.