Megosztás a következőn keresztül:

Egyéni mezők létrehozása Log Analytics-munkaterületen az Azure Monitorban (előzetes verzió)

  • Cikk

Fontos

Az új egyéni mezők létrehozása 2023. március 31-től le lesz tiltva. Az egyéni mezők funkciói elavultak lesznek, és a meglévő egyéni mezők 2026. március 31-ig leállnak. A naplórekordok elemzése érdekében át kell költöznie a betöltési idejű átalakításokra .

Egy új egyéni mező hozzáadása jelenleg akár 7 napot is igénybe vehet, mielőtt az adatok megjelennek.

Az Azure Monitor Egyéni mezők funkciója lehetővé teszi, hogy saját kereshető mezők hozzáadásával bővítse a Log Analytics-munkaterület meglévő rekordjait. Az egyéni mezők automatikusan ki lesznek töltve az ugyanazon rekord más tulajdonságaiból kinyert adatokból.

Az ábrán egy módosított rekordhoz társított eredeti rekord látható a Log Analytics-munkaterületen, a módosított rekord eredeti tulajdonságához hozzáadott tulajdonságérték párokkal.

Az alábbi mintarekord például hasznos adatokat rejt az esemény leírásában. Ha ezeket az adatokat külön tulajdonságba nyeri ki, az olyan műveletekhez teszi elérhetővé, mint a rendezés és a szűrés.

Képernyőkép a mintakivonatról.

Feljegyzés

Az előzetes verzióban legfeljebb 500 egyéni mező lehet a munkaterületen. Ez a korlát akkor lesz kibővítve, ha ez a funkció eléri az általános rendelkezésre állást.

Egyéni mező létrehozása

Egyéni mező létrehozásakor a Log Analyticsnek tisztában kell lennie azzal, hogy mely adatokat használja az értékének feltöltéséhez. A Microsoft Research FlashExtract nevű technológiája segítségével gyorsan azonosítja ezeket az adatokat. Ahelyett, hogy explicit utasításokat kellene megadnia, az Azure Monitor megismeri a megadott példákból kinyerni kívánt adatokat.

Az alábbi szakaszok egy egyéni mező létrehozásának eljárását ismertetik. A mintakinyerés bemutatójának megtekintéséhez nyissa meg a Minta útmutatót.

Feljegyzés

Az egyéni mező a megadott feltételeknek megfelelő rekordokként lesz feltöltve a Log Analytics-munkaterületre, így csak az egyéni mező létrehozása után gyűjtött rekordokon fog megjelenni. Az egyéni mező nem lesz hozzáadva az adattárban már létrehozott rekordokhoz.

1. lépés: Az egyéni mezőt lekérő rekordok azonosítása

Az első lépés az egyéni mezőt lekérő rekordok azonosítása. Először egy szabványos napló lekérdezéssel kezd, majd válasszon ki egy rekordot, amely az Azure Monitor által tanult modellként működik. Amikor megadja, hogy adatokat szeretne kinyerni egy egyéni mezőbe, megnyílik a Mezőkinyerés varázsló , ahol érvényesítheti és finomíthatja a feltételeket.

  1. Lépjen a Naplók területre, és lekérdezéssel kérje le az egyéni mezőt lekérő rekordokat.
  2. Válasszon ki egy rekordot, amellyel a Log Analytics modellként fog működni az adatok kinyeréséhez az egyéni mező kitöltéséhez. Azonosítja a rekordból kinyerni kívánt adatokat, és a Log Analytics ezeket az adatokat fogja használni annak meghatározására, hogy milyen logikával töltse ki az egyéni mezőt az összes hasonló rekordhoz.
  3. Kattintson a jobb gombbal a rekordra, és válassza a Mezők kinyerése lehetőséget.
  4. Megnyílik a Mezőkinyerés varázsló , és a kijelölt rekord megjelenik a Fő példa oszlopban. Az egyéni mező azokhoz a rekordokhoz lesz definiálva, amelyek azonos értékeket tartalmaznak a kiválasztott tulajdonságokban.
  5. Ha a kijelölés nem pontosan az, amit szeretne, a feltételek szűkítéséhez jelöljön ki további mezőket. A feltételek mezőértékeinek módosításához le kell mondania egy másik rekordot, amely megfelel a kívánt feltételeknek.

2. lépés: Kezdeti kivonat végrehajtása

Miután azonosította az egyéni mezőt lekérő rekordokat, azonosítja a kinyerni kívánt adatokat. A Log Analytics ezeket az információkat használja a hasonló rekordok hasonló mintáinak azonosítására. A 3. lépésben ellenőrizheti az eredményeket, és további részleteket adhat meg a Log Analytics elemzéséhez.

  1. Jelölje ki az egyéni mezőt feltölteni kívánt mintarekord szövegét. Ekkor megjelenik egy párbeszédpanel, amely megadja a mező nevét és adattípusát, és végrehajtja a kezdeti kivonatot. A _CF karakterek automatikusan hozzá lesznek fűzve.
  2. Az összegyűjtött rekordok elemzéséhez kattintson a Kinyerés gombra.
  3. Az Összegzés és a Keresési eredmények szakasz a kivonat eredményeit jeleníti meg, hogy megvizsgálhassa annak pontosságát. Az összegzés a rekordok azonosításához használt feltételeket és az egyes azonosított adatértékek számát jeleníti meg. A Keresési eredmények a feltételeknek megfelelő rekordok részletes listáját tartalmazza.

3. lépés: A kinyerés pontosságának ellenőrzése és egyéni mező létrehozása

A kezdeti kivonat végrehajtása után a Log Analytics a már összegyűjtött adatok alapján jeleníti meg az eredményeket. Ha az eredmények pontosak, további munka nélkül létrehozhatja az egyéni mezőt. Ha nem, finomíthatja az eredményeket, hogy a Log Analytics fejleszthesse a logikáját.

  1. Ha a kezdeti kivonat valamelyik értéke nem helyes, kattintson a pontatlan rekord melletti Szerkesztés ikonra, és válassza a Kiemelés módosítása lehetőséget a kijelölés módosításához.
  2. A bejegyzés a Fő példa alatti További példák szakaszba lesz másolva. Itt módosíthatja a kiemelést, hogy segítsen a Log Analyticsnek megértenie, hogy milyen kijelölést kellett volna választania.
  3. Kattintson a Kivonat gombra az új információk felhasználásához az összes meglévő rekord kiértékeléséhez. Az eredmények az imént módosítotttól eltérő rekordokra is módosíthatók az új intelligencia alapján.
  4. Folytassa a javítások hozzáadását, amíg a kivonat összes rekordja nem azonosítja megfelelően az új egyéni mező feltöltéséhez szükséges adatokat.
  5. Ha elégedett az eredménnyel, kattintson a Kivonat mentése gombra. Az egyéni mező már definiálva van, de még nem lesz hozzáadva egyetlen rekordhoz sem.
  6. Várjon, amíg a megadott feltételeknek megfelelő új rekordokat gyűjt, majd futtassa újra a naplókeresést. Az új rekordoknak az egyéni mezővel kell rendelkezniük.
  7. Használja az egyéni mezőt, mint bármely más rekordtulajdonságot. Segítségével összesítheti és csoportosíthatja az adatokat, és akár új elemzések készítésére is használhatja.

Egyéni mező eltávolítása

Az egyéni mezők kétféleképpen távolíthatók el. Az első az Eltávolítás lehetőség minden mezőhöz a teljes lista megtekintésekor a 2. lépésben leírtak szerint: Kezdeti kivonat végrehajtása. A másik módszer egy rekord lekérése, majd a mező bal oldalán található gombra kattintva. A menüben lehetőség van az egyéni mező eltávolítására.

Mintaútmutató

Az alábbi szakasz végigvezet egy egyéni mező létrehozásának teljes példáján. Ez a példa kinyeri a szolgáltatás nevét a Windows-eseményekben, amelyek a szolgáltatás változó állapotát jelzik. Ez a Service Control Manager által a Windows rendszerű számítógépek rendszerindítása során létrehozott eseményekre támaszkodik. Ha követni szeretné ezt a példát, a rendszernaplóhoz adatokat kell gyűjtenie.

A következő lekérdezést írjuk be a Service Control Manager összes olyan eseményének visszaadásához, amely 7036-os eseményazonosítóval rendelkezik, amely egy szolgáltatás indítását vagy leállítását jelző esemény.

Képernyőkép egy eseményforrásra és -azonosítóra vonatkozó lekérdezésről.

Ezután a jobb gombbal a 7036-os eseményazonosítójú rekordokra kattintunk, és az "Esemény" mezőinek kinyerésével gombra kattintunk.

Képernyőkép a Mezők másolása és kinyerése lehetőségről, amelyek akkor érhetők el, ha a jobb gombbal kattint egy rekordra az eredmények listájából.

Megnyílik a Mezőkinyerés varázsló a Fő példa oszlopban kijelölt EventLog és EventID mezőkkel. Ez azt jelzi, hogy az egyéni mező a rendszernapló eseményeihez lesz definiálva 7036-os eseményazonosítóval. Ez elegendő ahhoz, hogy ne kelljen más mezőket kijelölnünk.

Képernyőkép a fő példáról.

Kiemeljük a szolgáltatás nevét a RenderedDescription tulajdonságban, és a Szolgáltatás használatával azonosítjuk a szolgáltatás nevét. Az egyéni mező neve Service_CF lesz. Ebben az esetben a mezőtípus egy sztring, így ezt változatlanul hagyhatjuk.

Képernyőkép a mező címéről.

Azt látjuk, hogy a szolgáltatásnév bizonyos rekordok esetében megfelelően van azonosítva, mások esetében azonban nem. A keresési eredmények azt mutatják, hogy a WMI-teljesítményadapter nevének egy része nincs kiválasztva. Az összefoglalás azt mutatja, hogy egy rekord a Modulok telepítőt azonosította a Windows-modulok telepítője helyett.

Képernyőkép a Keresési eredmények panelen kiemelt szolgáltatásnév egyes részeiről és egy helytelen szolgáltatásnévről az Összegzés ablakban.

A WMI teljesítményadapter rekordjával kezdjük. Kattintson a szerkesztési ikonra, majd módosítsa ezt a kiemelést.

Képernyőkép a módosítás kiemeléséről.

Növeljük a kiemelést, hogy belefoglaljuk a WMI szót, majd futtassuk újra a kivonatot.

További példa képernyőképe.

Láthatjuk, hogy a WMI-teljesítményadapter bejegyzései javítva vannak, és a Log Analytics is ezeket az adatokat használta a Windows Modul telepítőjének rekordjainak kijavításához.

Képernyőkép a Keresési eredmények panelen kiemelt teljes szolgáltatásnévről és az Összegzésben kiemelt megfelelő szolgáltatásnevekről.

Most már futtathatunk egy lekérdezést, amely ellenőrzi , hogy Service_CF létrejött, de még nem lett hozzáadva egyetlen rekordhoz sem. Ennek az az oka, hogy az egyéni mező nem működik a meglévő rekordokon, ezért meg kell várnunk az új rekordok gyűjtését.

A kezdeti szám képernyőképe.

Egy idő után új eseményeket gyűjtünk, és láthatjuk, hogy a Service_CF mező hozzáadódik a feltételeknek megfelelő rekordokhoz.

Végleges eredmények

Most már használhatjuk az egyéni mezőt, mint bármely más rekordtulajdonságot. Ennek szemléltetéséhez létrehozunk egy lekérdezést, amely az új Service_CF mező alapján csoportosítja, hogy megvizsgálja, mely szolgáltatások a legaktívabbak.

Képernyőkép a lekérdezés szerinti csoportosításról.

Következő lépések

  • Ismerje meg a napló lekérdezéseket , amelyek lekérdezéseket hozhatnak létre egyéni mezők használatával a feltételekhez.
  • Egyéni mezőkkel elemezni kívánt egyéni naplófájlok monitorozása.