Aracılığıyla paylaş

Azure İzleyici'de Log Analytics çalışma alanında özel alanlar oluşturma (Önizleme)

  • Makale

Önemli

Yeni özel alanların oluşturulması 31 Mart 2023'den itibaren devre dışı bırakılacaktır. Özel alanlar işlevselliği kullanım dışı bırakılacak ve mevcut özel alanlar 31 Mart 2026'ya kadar çalışmayı durduracaktır. Günlük kayıtlarınızı ayrıştırmaya devam etmek için alma zamanı dönüştürmelerine geçmeniz gerekir.

Şu anda yeni bir özel alan eklediğinizde, verilerin görünmeye başlaması 7 gün kadar sürebilir.

Azure İzleyici'nin Özel Alanlar özelliği, kendi aranabilir alanlarınızı ekleyerek Log Analytics çalışma alanınızdaki mevcut kayıtları genişletmenize olanak tanır. Özel alanlar, aynı kayıttaki diğer özelliklerden ayıklanan verilerden otomatik olarak doldurulur.

Diyagram, log analytics çalışma alanında değiştirilmiş bir kayıtla ilişkilendirilmiş özgün kaydı gösterir ve değiştirilen kayıttaki özgün özelliğe özellik değer çiftleri eklenir.

Örneğin, aşağıdaki örnek kayıt olay açıklamasında gömülü yararlı veriler içerir. Bu verilerin ayrı bir özellik olarak ayıklanması, sıralama ve filtreleme gibi eylemler için kullanılabilir olmasını sağlar.

Örnek ayıklamanın ekran görüntüsü.

Not

Önizleme'de, çalışma alanınızda 500 özel alanla sınırlısınız. Bu sınır, bu özellik genel kullanılabilirliğe ulaştığında genişletilecektir.

Özel alan oluşturma

Özel alan oluşturduğunuzda Log Analytics değerini doldurmak için hangi verilerin kullanılacağını anlamalıdır. Bu verileri hızla tanımlamak için Microsoft Research'ten FlashExtract adlı bir teknoloji kullanır. Azure İzleyici, açık yönergeler sağlamanıza gerek kalmadan, sağladığınız örneklerden ayıklamak istediğiniz verileri öğrenir.

Aşağıdaki bölümlerde özel alan oluşturma yordamı sağlanır. Örnek ayıklamanın adım adım kılavuzlarını görmek için Örnek izlenecek yol'a gidin.

Not

Özel alan, belirtilen ölçütlerle eşleşen kayıtlar Log Analytics çalışma alanına eklendikçe doldurulur, bu nedenle yalnızca özel alan oluşturulduktan sonra toplanan kayıtlarda görünür. Özel alan, oluşturulduğunda veri deposunda bulunan kayıtlara eklenmez.

1. Adım: Özel alanı alan kayıtları tanımlama

İlk adım, özel alanı alan kayıtları tanımlamaktır. Standart bir günlük sorgusuyla başlarsınız ve ardından Azure İzleyici'nin öğrendiği model olarak hareket etmek için bir kayıt seçersiniz. Özel bir alana veri ayıklayabileceğinizi belirttiğinizde , ölçütleri doğrulayıp daralttığınız Alan Ayıklama Sihirbazı açılır.

  1. Günlükler'e gidin ve özel alanı alan kayıtları almak için bir sorgu kullanın.
  2. Log Analytics'in özel alanı doldurmak üzere verileri ayıklamak için model görevi görmesi için kullanacağı bir kayıt seçin. Bu kayıttan ayıklamak istediğiniz verileri belirleyeceksiniz ve Log Analytics bu bilgileri kullanarak tüm benzer kayıtlar için özel alanı doldurma mantığını belirler.
  3. Kayda sağ tıklayın ve Alanları ayıkla'yı seçin.
  4. Alan Ayıklama Sihirbazı açılır ve seçtiğiniz kayıt Ana Örnek sütununda görüntülenir. Özel alan, seçilen özelliklerde aynı değerlere sahip kayıtlar için tanımlanır.
  5. Seçim tam olarak istediğiniz gibi değilse, ölçütleri daraltmak için daha fazla alan seçin. Ölçütlerin alan değerlerini değiştirmek için iptal etmeniz ve istediğiniz ölçütle eşleşen farklı bir kayıt seçmeniz gerekir.

2. Adım: İlk ayıklamayı gerçekleştirme

Özel alanı alan kayıtları tanımladıktan sonra, ayıklamak istediğiniz verileri tanımlarsınız. Log Analytics, benzer kayıtlardaki benzer desenleri tanımlamak için bu bilgileri kullanır. 3. Adım'da sonuçları doğrulayabilecek ve Log Analytics'in çözümlemesinde kullanması için daha fazla ayrıntı sağlayabileceksiniz.

  1. Özel alanı doldurmak istediğiniz örnek kayıttaki metni vurgulayın. Ardından, alan için bir ad ve veri türü sağlamak ve ilk ayıklamayı gerçekleştirmek için size bir iletişim kutusu sunulur. _CF karakterler otomatik olarak eklenir.
  2. Toplanan kayıtların analizini gerçekleştirmek için Ayıkla'ya tıklayın.
  3. Özet ve Arama Sonuçları bölümleri, ayıklamanın sonuçlarını görüntüler, böylece doğruluğunu inceleyebilirsiniz. Özet , kayıtları tanımlamak için kullanılan ölçütleri ve tanımlanan veri değerlerinin her biri için bir sayıyı görüntüler. Arama Sonuçları , ölçütlerle eşleşen kayıtların ayrıntılı bir listesini sağlar.

3. Adım: Ayıklamanın doğruluğunu doğrulama ve özel alan oluşturma

İlk ayıklamayı gerçekleştirdikten sonra Log Analytics, daha önce toplanmış olan verilere göre sonuçlarını görüntüler. Sonuçlar doğru görünüyorsa, başka çalışma olmadan özel alanı oluşturabilirsiniz. Aksi takdirde Log Analytics'in mantığını geliştirebilmesi için sonuçları daraltabilirsiniz.

  1. İlk ayıklamadaki değerler doğru değilse, yanlış bir kaydın yanındaki Düzenle simgesine tıklayın ve seçimi değiştirmek için Bu vurguyu değiştir'i seçin.
  2. Girdi, Ana Örneğin altındaki Ek örnekler bölümüne kopyalanır. Log Analytics'in yapması gereken seçimi anlamasına yardımcı olmak için buradaki vurguyu ayarlayabilirsiniz.
  3. Var olan tüm kayıtları değerlendirmek üzere bu yeni bilgileri kullanmak için Ayıkla'ya tıklayın. Sonuçlar, bu yeni zekayı temel alarak yeni değiştirdiğiniz kayıt dışındaki kayıtlar için değiştirilebilir.
  4. Ayıklamadaki tüm kayıtlar yeni özel alanı dolduracak verileri doğru şekilde tanımlayana kadar düzeltmeler eklemeye devam edin.
  5. Sonuçlardan memnun olduğunuzda Ayıklamayı Kaydet'e tıklayın. Özel alan artık tanımlanmıştır, ancak henüz hiçbir kayda eklenmez.
  6. Belirtilen ölçütlere uyan yeni kayıtların toplanmasını bekleyin ve günlük aramasını yeniden çalıştırın. Yeni kayıtlarda özel alan olmalıdır.
  7. Özel alanı diğer kayıt özellikleri gibi kullanın. Verileri toplamak ve gruplandırmak ve hatta yeni içgörüler oluşturmak için kullanabilirsiniz.

Özel alanı kaldırma

Özel bir alanı kaldırmanın iki yolu vardır. birincisi, 2. Adım: İlk ayıklamayı gerçekleştirme bölümünde açıklandığı gibi tam listeyi görüntülerken her alan için Kaldır seçeneğidir. Diğer yöntem bir kayıt almak ve alanın solundaki düğmeye tıklamaktır. Menüde özel alanı kaldırma seçeneği vardır.

Örnek kılavuz

Aşağıdaki bölümde, özel alan oluşturma işleminin eksiksiz bir örneği verilmiştir. Bu örnek, hizmetin durumunu değiştirdiğini gösteren Windows olaylarında hizmet adını ayıklar. Bu, Windows bilgisayarlarda sistem başlatma sırasında Service Control Manager tarafından oluşturulan olaylara dayanır. Bu örneği izlemek istiyorsanız, Sistem günlüğü için Bilgi olaylarını toplamanız gerekir.

Hizmet Denetim Yöneticisi'nden bir hizmetin başlatıldığını veya durdurulduğunu gösteren olay olan 7036 Olay Kimliğine sahip tüm olayları döndürmek için aşağıdaki sorguyu gireriz.

Olay kaynağı ve kimliği için sorguyu gösteren ekran görüntüsü.

Ardından olay kimliği 7036 olan herhangi bir kayda sağ tıklayıp 'Olay'dan alanları ayıkla'yı seçiyoruz.

Sonuç listesinden bir kayda sağ tıkladığınızda kullanılabilen Alanları Kopyala ve Ayıkla seçeneklerini gösteren ekran görüntüsü.

Alan Ayıklama Sihirbazı, Ana Örnek sütununda EventLog ve EventID alanları seçili olarak açılır. Bu, özel alanın 7036 olay kimliğine sahip Sistem günlüğündeki olaylar için tanımlandığını gösterir. Bu yeterlidir, bu nedenle başka alan seçmemiz gerekmez.

Ana örneğin ekran görüntüsü.

RenderedDescription özelliğinde hizmetin adını vurguluyoruz ve hizmet adını tanımlamak için Service'i kullanıyoruz. Özel alan Service_CF olarak adlandırılır. Bu durumda alan türü bir dizedir, bu nedenle bunu değiştirmeden bırakabiliriz.

Alan Başlığı'nın ekran görüntüsü.

Hizmet adının bazı kayıtlar için doğru şekilde tanımlandığını ancak diğerleri için tanımlanmadığını görüyoruz. Arama Sonuçları, WMI Performans Bağdaştırıcısı adının bu bölümünün seçilmediğini gösterir. Özet, bir kaydın Windows Modül Yükleyicisi yerine Modül Yükleyicisi'ni tanımladığını gösterir.

Arama Sonuçları bölmesinde hizmet adının bölümlerini ve Özet'te bir yanlış hizmet adının vurgulandığı ekran görüntüsü.

WMI Performans Bağdaştırıcısı kaydıyla başlıyoruz. Düzenle simgesine tıklıyoruz ve ardından Bu vurguda değiştir'i seçiyoruz.

Değişiklik vurgusunun ekran görüntüsü.

Vurguyu WMI sözcüğünü içerecek şekilde artırıp ayıklamayı yeniden çalıştıracağız.

Ek örneğin ekran görüntüsü.

WMI Performans Bağdaştırıcısı girişlerinin düzeltildiğini ve Log Analytics'in bu bilgileri Windows Modül Yükleyicisi kayıtlarını düzeltmek için de kullandığını görebiliriz.

Arama Sonuçları bölmesinde vurgulanan tam hizmet adını ve Özet'te vurgulanan doğru hizmet adlarını gösteren ekran görüntüsü.

Artık Service_CF oluşturulduğunu doğrulayan ancak henüz hiçbir kayda eklenmemiş bir sorgu çalıştırabiliriz. Bunun nedeni, özel alanın mevcut kayıtlarda çalışmamasıdır, bu nedenle yeni kayıtların toplanmasını beklememiz gerekir.

İlk sayının ekran görüntüsü.

Bir süre sonra yeni olaylar toplanır ve ölçütlerimizle eşleşen kayıtlara Service_CF alanının eklendiğini görebiliriz.

Nihai sonuçlar

Artık özel alanı diğer kayıt özellikleri gibi kullanabiliriz. Bunu göstermek için, hangi hizmetlerin en etkin olduğunu incelemek üzere yeni Service_CF alanına göre gruplandıran bir sorgu oluştururuz.

Sorguya göre gruplandırma ekran görüntüsü.

Sonraki adımlar

  • Ölçütler için özel alanları kullanarak sorgu oluşturmak için günlük sorguları hakkında bilgi edinin.
  • Özel alanları kullanarak ayrıştırdığınız özel günlük dosyalarını izleyin.