Öğretici: Log Analytics çalışma alanındaki özel alanları KQL tabanlı özel sütunlarla değiştirme

Özel alanlar, Azure İzleyici'nin aynı tablonun farklı bir metin sütunundan ayrı bir sütun verilerine ayıklamanıza olanak tanıyan bir özelliğidir. Yeni özel alanların oluşturulması 31 Mart 2023'den itibaren devre dışı bırakılacaktır. Özel alanlar işlevselliği kullanım dışı bırakılacak ve mevcut özel alanlar 31 Mart 2026'da çalışmayı durduracaktır.

Aynı sonucu elde etmek için DCR tabanlı alma zamanı dönüşümlerini kullanmanın çeşitli avantajları vardır:

• Özel sütunlarınızı şekillendirmek için tam dize işlevleri kümesi uygulayabilirsiniz.
• Aynı verilere birden çok işlem uygulayabilirsiniz. Örneğin, değerin bir bölümünü ayrı bir sütuna ayıklayın ve özgün sütunu kaldırın.
• Arm şablonlarınızda alım zamanı dönüşümlerini kullanarak büyük ölçekte özel sütunlar dağıtabilirsiniz.

Veri toplama kurallarının (DCR) kullanıma sunulmasıyla birlikte, KQL tabanlı dönüştürmeler tablo özelleştirmesinin standart yöntemidir ve eski özel alanların yerini alır.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

Önkoşullar

• Özel alanlar içeren bir tablo içeren Log Analytics çalışma alanı
• Veri toplama kurallarını (DCR) oluşturmak ve değiştirmek için yeterli hesap ayrıcalığı

Değiştirilecek özel alanları bulma

Değiştirileceği özel alanları bularak başlayın. Değiştirmeyi planladığınız özel alanları zaten biliyorsanız sonraki adıma geçin.

1. Özel alanları olan tablonun bulunduğu Log Analytics çalışma alanına gidin.

2. Yan menüde Tablolar'ı seçin. Tablonun bağlam menüsünden Tabloyu yönet'i seçin.

   

3. Veri toplama kurallarının (DCR) verilen tabloyla ilişkilendirilip ilişkilendirilmemiş olduğunu unutmayın.

   • Karşılık gelen bölümde herhangi bir DCR varsa, önceden var olan özel alanların bu DCR'ler içinde zaten uygulandığı veya DCR oluşturma sırasında terk edilmiş olduğu anlamına gelir. Bu öğreticinin sonraki adımında özel alanların içeriğini inceleyecek ve DCR'lerde daha fazla güncelleştirme gerekip gerekmediğini belirleyeceksiniz.
   • Tabloyla ilişkilendirilmiş veri toplama kuralı yoksa, verilen tablodaki adları "_CF" ile biten tüm sütunlar, değişime tabi özel alanlar olur.

   

4. Tablo özellikleri iletişim kutusunu kapatın ve tablo bağlam menüsünden Şemayı düzenle'yi seçin. Özel sütunların listelendiği sayfanın en altına kaydırın. Bu sütunlar _CF ile biter.

   

5. Sonraki adımda içeriklerini belirleyeceğinden bu sütunların adlarını not edin.

Özel alan içeriğini anlama

Özel alan tanımını doğrudan incelemenin bir yolu olmadığından, özel alan formülünü belirlemek için tabloyu sorgulamanız gerekir.

1. Yan menüden Günlükler'i seçin ve tablodan bir veri örneği almak için bir sorgu çalıştırın.

   

2. Önceki adımda belirtilen sütunları bulun ve içeriklerini inceleyin.

   • Sütun boş değilse ve tabloyla ilişkilendirilmiş DCR'ler varsa, özel alan mantığı dönüştürme ile zaten uygulanmıştır. Eylem gerekmez
   • Sütun boşsa (veya sorgu sonuçlarında yoksa) ve tabloyla ilişkilendirilmiş DCR'ler varsa, özel alan mantığı DCR ile uygulanmadı. Mevcut DCR'deki veri akışına bir dönüştürme ekleyin.
   • Sütun boş değilse ve tabloyla ilişkilendirilmiş DCR yoksa, özel alan mantığının DCR çalışma alanında dönüştürme olarak uygulanması gerekir.

3. Özel alanın içeriğini inceleyin ve nasıl hesaplandığını belirleyin. Özel alanlar genellikle aynı tablodaki diğer sütunların alt dizelerini hesaplar. Verilerin hangi sütundan geldiğini ve ayıkladığı dizenin bölümünü belirleyin.

Dönüştürme oluşturma

Artık gerekli KQL parçacığını oluşturmaya ve bir DCR'ye eklemeye hazırsınız. Bu mantık, çalışma alanına alınırken her kayda uygulanır.

1. Özel alan mantığını çoğaltmak için KQL kullanarak tablonun sorgusunu değiştirin. Değiştirecek birden çok özel alanınız varsa, bunların hesaplama mantığını tek bir deyimde birleştirebilirsiniz.

   • Dize içindeki bir alt dizenin desen tabanlı araması için ayrıştırma işlecini kullanın.
   • Regex tabanlı alt dize araması için extract() işlevini kullanın.
   • Split(), substring() ve diğerleri gibi dize işlevleri de yararlı olabilir.

   

2. Özel sütunun yeni KQL tanımının nereye yerleştirilmesi gerektiğini belirleyin.

   • Azure İzleyici Aracısı (AMA) kullanılarak toplanan günlükler için, Tablonun veri toplama DCR'sini düzenleyerek bir dönüştürme ekleyin. Örnek için bkz . Azure İzleyici'de dönüşümler için en iyi yöntemler ve örnekler. Dönüştürme sorgusu öğesinde transformKql tanımlanır.
   • Tanılama ayarlarıyla toplanan kaynak günlükleri için dönüştürmeyi çalışma alanı varsayılan DCR'sine ekleyin. Tablo dönüştürmeleri desteklemelidir.

Sık Sorulan Sorular

Eski Log Analytics aracısı (MMA) ile toplanan bir metin günlüğü için özel alanları Nasıl yaparım? geçirebilirsiniz?

Azure İzleyici Aracısı'na (AMA) geçiş yapmayı göz önünde bulundurun. Log Analytics aracısı destek sonuna yaklaşıyor ve Azure İzleyici Aracısı'na (AMA) geçmeniz gerekiyor. AMA ile toplanan metin günlükleri, başlangıçtan itibaren KQL dönüştürmeleri biçiminde tanımlanan günlük ayrıştırma mantığını kullanır. Azure İzleyici Aracısı tarafından toplanan metin günlüklerinde özel alanlar gerekli değildir ve desteklenmez.

Özel alanların KQL'ye geçirilmesi zorunlu mu?

Hayır, özel alanlarınızı yalnızca özel sütunlarınızın yine de doldurulmasını istiyorsanız geçirmeniz gerekir. Özel alanlarınızı geçirmezseniz, özel alanların desteği sona erdiğinde ilgili sütunlar doldurulmayı durdurur. Zaten işlenmiş ve tabloda depolanan veriler etkilenmez ve kullanılabilir durumda kalır.

Özel alanlarımı zamanında geçiremezsem ilgili sütunlardaki mevcut verilerimi kaybeder miyim?

Hayır, özel alanlar veri alımı sırasında hesaplanır. Alan tanımının silinmesi veya zamanında geçirilmemesi, daha önce alınan verileri etkilemez.

Sonraki adımlar

• Azure İzleyici'deki dönüşümler hakkında daha fazla bilgi edinin.