Dela via

Skapa anpassade fält på en Log Analytics-arbetsyta i Azure Monitor (förhandsversion)

  • Artikel

Viktigt!

Skapandet av nya anpassade fält inaktiveras från och med den 31 mars 2023. Funktionen för anpassade fält kommer att vara inaktuell och befintliga anpassade fält kommer att sluta fungera senast den 31 mars 2026. Du bör migrera till inmatningstidstransformeringar för att fortsätta parsa dina loggposter.

När du lägger till ett nytt anpassat fält kan det för närvarande ta upp till 7 dagar innan data börjar visas.

Med funktionen Anpassade fält i Azure Monitor kan du utöka befintliga poster i Log Analytics-arbetsytan genom att lägga till egna sökbara fält. Anpassade fält fylls automatiskt i från data som extraheras från andra egenskaper i samma post.

Diagrammet visar en ursprunglig post som är associerad med en ändrad post på en Log Analytics-arbetsyta med egenskapsvärdepar som lagts till i den ursprungliga egenskapen i den ändrade posten.

Följande exempelpost har till exempel användbara data begravda i händelsebeskrivningen. Om du extraherar dessa data till en separat egenskap blir den tillgänglig för åtgärder som sortering och filtrering.

Skärmbild av exempelextrakt.

Kommentar

I förhandsversionen är du begränsad till 500 anpassade fält på din arbetsyta. Den här gränsen utökas när den här funktionen når allmän tillgänglighet.

Skapa ett anpassat fält

När du skapar ett anpassat fält måste Log Analytics förstå vilka data som ska användas för att fylla i dess värde. Den använder en teknik från Microsoft Research med namnet FlashExtract för att snabbt identifiera dessa data. I stället för att kräva att du anger explicita instruktioner lär sig Azure Monitor om de data som du vill extrahera från exempel som du anger.

Följande avsnitt innehåller proceduren för att skapa ett anpassat fält. Om du vill se en genomgång av ett exempelextrahering går du till Exempelgenomgång.

Kommentar

Det anpassade fältet fylls i när poster som matchar de angivna villkoren läggs till i Log Analytics-arbetsytan, så det visas bara på poster som samlas in när det anpassade fältet har skapats. Det anpassade fältet läggs inte till i poster som redan finns i datalagret när det skapas.

Steg 1: Identifiera poster som hämtar det anpassade fältet

Det första steget är att identifiera de poster som hämtar det anpassade fältet. Du börjar med en standardloggfråga och väljer sedan en post som ska fungera som den modell som Azure Monitor lär sig av. När du anger att du ska extrahera data till ett anpassat fält öppnas guiden Extrahering av fält där du verifierar och förfinar kriterierna.

  1. Gå till Loggar och använd en fråga för att hämta de poster som hämtar det anpassade fältet.
  2. Välj en post som Log Analytics ska använda för att fungera som en modell för att extrahera data för att fylla i det anpassade fältet. Du identifierar de data som du vill extrahera från den här posten, och Log Analytics använder den här informationen för att fastställa logiken för att fylla i det anpassade fältet för alla liknande poster.
  3. Högerklicka på posten och välj Extrahera fält från.
  4. Guiden Extrahering av fält öppnas och den post som du har valt visas i kolumnen Main Example. Det anpassade fältet definieras för de poster med samma värden i de egenskaper som har valts.
  5. Om markeringen inte är exakt vad du vill använda väljer du fler fält för att begränsa kriterierna. Om du vill ändra fältvärdena för kriterierna måste du avbryta och välja en annan post som matchar de villkor du vill använda.

Steg 2: Utför inledande extrahering

När du har identifierat posterna som hämtar det anpassade fältet identifierar du de data som du vill extrahera. Log Analytics använder den här informationen för att identifiera liknande mönster i liknande poster. I steg 3 kan du verifiera resultaten och ange ytterligare information som Log Analytics kan använda i analysen.

  1. Markera texten i exempelposten som du vill fylla i det anpassade fältet. Sedan visas en dialogruta för att ange ett namn och en datatyp för fältet och för att utföra det första extraktet. Tecknen _CF läggs till automatiskt.
  2. Klicka på Extrahera för att utföra en analys av insamlade poster.
  3. I avsnitten Sammanfattning och Sökresultat visas resultatet av extraktet så att du kan kontrollera dess noggrannhet. Sammanfattning visar de kriterier som används för att identifiera poster och ett antal för vart och ett av de identifierade datavärdena. Sökresultat innehåller en detaljerad lista över poster som matchar kriterierna.

Steg 3: Verifiera noggrannheten för extrahering och skapa anpassat fält

När du har utfört det första extraktet visar Log Analytics sina resultat baserat på data som redan har samlats in. Om resultatet ser korrekt ut kan du skapa det anpassade fältet utan ytterligare arbete. Annars kan du förfina resultatet så att Log Analytics kan förbättra logiken.

  1. Om några värden i det första extraktet inte är korrekta klickar du på ikonen Redigera bredvid en felaktig post och väljer Ändra den här markeringen för att ändra markeringen.
  2. Posten kopieras till avsnittet Ytterligare exempel under huvudexemplet. Du kan justera markeringen här för att hjälpa Log Analytics att förstå det val som den borde ha gjort.
  3. Klicka på Extrahera för att använda den här nya informationen för att utvärdera alla befintliga poster. Resultatet kan ändras för andra poster än den som du just ändrade baserat på den nya intelligensen.
  4. Fortsätt att lägga till korrigeringar tills alla poster i extraktet identifierar data korrekt för att fylla i det nya anpassade fältet.
  5. Klicka på Spara extrahering när du är nöjd med resultatet. Det anpassade fältet har nu definierats, men det läggs inte till i några poster ännu.
  6. Vänta tills nya poster som matchar de angivna kriterierna samlas in och kör sedan loggsökningen igen. Nya poster ska ha det anpassade fältet.
  7. Använd det anpassade fältet som andra postegenskaper. Du kan använda den för att aggregera och gruppera data och till och med använda dem för att skapa nya insikter.

Ta bort ett anpassat fält

Det finns två sätt att ta bort ett anpassat fält. Den första är alternativet Ta bort för varje fält när du visar den fullständiga listan enligt beskrivningen i Steg 2: Utför det inledande extraheringsextraktet. Den andra metoden är att hämta en post och klicka på knappen till vänster om fältet. Menyn har ett alternativ för att ta bort det anpassade fältet.

Exempelgenomgång

I följande avsnitt går vi igenom ett fullständigt exempel på hur du skapar ett anpassat fält. I det här exemplet extraheras tjänstnamnet i Windows-händelser som anger att tjänsten ändrar tillstånd. Detta förlitar sig på händelser som skapats av Service Control Manager vid systemstart på Windows-datorer. Om du vill följa det här exemplet måste du samla in informationshändelser för systemloggen.

Vi anger följande fråga för att returnera alla händelser från Service Control Manager som har ett händelse-ID på 7036, vilket är händelsen som anger att en tjänst startar eller stoppar.

Skärmbild som visar en fråga för en händelsekälla och ett ID.

Sedan högerklickar vi på en post med händelse-ID 7036 och väljer Extrahera fält från Händelsen.

Skärmbild som visar fältalternativen Kopiera och extrahera, som är tillgängliga när du högerklickar på en post i resultatlistan.

Fältextraheringsguiden öppnas med fälten EventLog och EventID markerade i kolumnen Main Example. Detta anger att det anpassade fältet kommer att definieras för händelser från systemloggen med ett händelse-ID på 7036. Det räcker så att vi inte behöver välja några andra fält.

Skärmbild av huvudexemplet.

Vi markerar namnet på tjänsten i egenskapen RenderDescription och använder Service för att identifiera tjänstnamnet. Det anpassade fältet kallas Service_CF. Fälttypen i det här fallet är en sträng, så vi kan lämna den oförändrad.

Skärmbild av fältrubrik.

Vi ser att tjänstnamnet identifieras korrekt för vissa poster men inte för andra. Sökresultatet visar att en del av namnet på WMI-prestandakortet inte har valts. Sammanfattningen visar att en post identifierade installationsprogrammet för moduler i stället för Installationsprogrammet för Windows-moduler.

Skärmbild som visar delar av tjänstnamnet markerat i fönstret Sökresultat och ett felaktigt tjänstnamn markerat i sammanfattningen.

Vi börjar med WMI-prestandakortposten. Vi klickar på dess redigeringsikon och sedan Ändra den här markmarkeringen.

Skärmbild av ändringsmarkering.

Vi ökar markeringar så att det inkluderar ordet WMI och kör sedan extraktet igen.

Skärmbild av ytterligare exempel.

Vi kan se att posterna för WMI-prestandakort korrigeras, och Log Analytics använde även den informationen för att korrigera posterna för Installationsprogrammet för Windows-modulen.

Skärmbild som visar det fullständiga tjänstnamnet som är markerat i fönstret Sökresultat och rätt tjänstnamn markerade i sammanfattningen.

Vi kan nu köra en fråga som verifierar Service_CF har skapats men som ännu inte har lagts till i några poster. Det beror på att det anpassade fältet inte fungerar mot befintliga poster, så vi måste vänta tills nya poster samlas in.

Skärmbild av inledande antal.

Efter en tid samlas nya händelser in och vi kan se det Service_CF fältet som läggs till i poster som matchar våra villkor.

Slutliga resultat

Nu kan vi använda det anpassade fältet som vilken annan postegenskap som helst. För att illustrera detta skapar vi en fråga som grupperas efter det nya fältet Service_CF för att kontrollera vilka tjänster som är mest aktiva.

Skärmbild av gruppera efter fråga.

Nästa steg

  • Lär dig mer om loggfrågor för att skapa frågor med hjälp av anpassade fält för kriterier.
  • Övervaka anpassade loggfiler som du parsar med hjälp av anpassade fält.