Создание настраиваемых полей в рабочей области Log Analytics в Azure Monitor (предварительная версия)

Это важно

Создание новых настраиваемых полей будет отключено с 31 марта 2023 г. Функции пользовательских полей будут устаревшими, а существующие настраиваемые поля перестают работать к 31 марта 2026 г. Необходимо перейти на преобразования во время приема, чтобы продолжать анализировать записи журнала.

В настоящее время при добавлении нового настраиваемого поля может потребоваться до 7 дней до начала появления данных.

Функция настраиваемых полей Azure Monitor позволяет расширить существующие записи в рабочей области Log Analytics, добавив собственные поля, доступные для поиска. Пользовательские поля автоматически заполняются из данных, извлеченных из других свойств в той же записи.

На схеме показана исходная запись, связанная с измененной записью в рабочей области Log Analytics с парами значений свойств, добавленными в исходное свойство в измененной записи.

Например, следующаяя пример записи содержит полезные данные, скрытые в описании события. Извлечение этих данных в отдельное свойство делает его доступным для таких действий, как сортировка и фильтрация.

Снимок экрана примера извлечения.

Замечание

В предварительной версии в рабочей области ограничено 500 настраиваемых полей. Это ограничение будет расширено, когда эта функция достигает общедоступной доступности.

Создание настраиваемого поля

При создании настраиваемого поля Log Analytics должен понять, какие данные следует использовать для заполнения его значения. Она использует технологию Microsoft Research с именем FlashExtract для быстрого определения этих данных. Вместо того чтобы предоставить явные инструкции, Azure Monitor узнает о данных, которые вы хотите извлечь из предоставленных примеров.

В следующих разделах приведена процедура создания настраиваемого поля. Чтобы просмотреть пошаговое руководство по извлечению примера, перейдите в пошаговое руководство.

Замечание

Настраиваемое поле заполняется, когда записи, соответствующие указанным критериям, добавляются в рабочую область Log Analytics, поэтому оно будет видно только в тех записях, которые собраны после создания настраиваемого поля. Настраиваемое поле не будет добавлено в записи, которые уже находятся в хранилище данных при его создании.

Шаг 1. Определение записей, которые получают настраиваемое поле

Первым шагом является определение записей, которые получают настраиваемое поле. Начните с стандартного запроса журнала , а затем выберите запись, которая будет выступать в качестве модели, из которую Azure Monitor учится. Если указать, что вы собираетесь извлекать данные в настраиваемое поле, мастер извлечения полей открывается, где проверяется и уточняется критерий.

  1. Перейдите в журналы и используйте запрос для получения записей , которые получают настраиваемое поле.
  2. Выберите запись, используемую Log Analytics для извлечения данных для заполнения настраиваемого поля. Вы определите данные, которые вы хотите извлечь из этой записи, и Log Analytics будет использовать эти сведения для определения логики для заполнения настраиваемого поля для всех аналогичных записей.
  3. Щелкните правой кнопкой мыши запись и выберите пункт "Извлечь поля из".
  4. Откроется мастер извлечения полей, и выбранная запись отображается в столбце "Основной пример". Настраиваемое поле будет определено для этих записей с теми же значениями в выбранных свойствах.
  5. Если выбор не соответствует вашим требованиям, выберите дополнительные поля для уточнения критериев. Чтобы изменить значения полей для условий, необходимо отменить и выбрать другую запись, соответствующую нужному критерию.

Шаг 2. Выполнение начального извлечения

После идентификации записей, которые получают настраиваемое поле, определите данные, которые требуется извлечь. Log Analytics использует эти сведения для определения аналогичных шаблонов в аналогичных записях. На шаге 3 вы сможете проверить результаты и предоставить дополнительные сведения для Log Analytics, которые будут использоваться в его анализе.

  1. Выделите текст в образце записи, который вы хотите использовать для заполнения настраиваемого поля. Затем вы увидите диалоговое окно, чтобы указать имя и тип данных для поля и выполнить начальное извлечение. Символы , _CF автоматически добавляются.
  2. Нажмите кнопку "Извлечь" , чтобы выполнить анализ собранных записей.
  3. В разделах "Сводка " и " Результаты поиска " отображаются результаты извлечения, чтобы проверить ее точность. Сводка отображает критерии, используемые для идентификации записей и количества для каждого из указанных значений данных. Результаты поиска предоставляют подробный список записей, соответствующих критериям.

Шаг 3. Проверка точности извлечения и создания настраиваемого поля

После выполнения первоначального извлечения Log Analytics отобразит результаты на основе данных, которые уже были собраны. Если результаты выглядят точно, можно создать настраиваемое поле без дополнительной работы. В противном случае можно уточнить результаты, чтобы Log Analytics могли улучшить свою логику.

  1. Если какие-либо значения в первоначальном извлечении не являются правильными, щелкните значок "Изменить " рядом с неточной записью и выберите "Изменить это выделение ", чтобы изменить выделение.
  2. Запись копируется в раздел "Дополнительные примеры " в разделе "Основной пример". Вы можете изменить выделение здесь, чтобы помочь Log Analytics понять, какой выбор он должен был сделать.
  3. Нажмите кнопку "Извлечь" , чтобы использовать эти новые сведения для оценки всех существующих записей. Результаты могут быть изменены для записей, отличных от записей, которые вы только что изменили на основе этой новой аналитики.
  4. Продолжайте добавлять исправления, пока все записи в извлечении не будут правильно определять данные для заполнения нового настраиваемого поля.
  5. Нажмите кнопку "Сохранить извлечение" , когда вы удовлетворены результатами. Теперь кастомное поле определено, но оно еще не будет добавлено в какие-либо записи.
  6. Дождитесь сбора новых записей, соответствующих указанным критериям, а затем снова запустите поиск по журналам. Новые записи должны иметь настраиваемое поле.
  7. Используйте настраиваемое поле, как и любое другое свойство записи. Его можно использовать для агрегирования и группирования данных, а также для создания новых аналитических сведений.

Удаление настраиваемого поля

Существует два способа удаления настраиваемого поля. Первым является параметр "Удалить " для каждого поля при просмотре полного списка, как описано на шаге 2. Выполнение начального извлечения. Другой метод — получить запись и нажать кнопку слева от поля. В меню есть возможность удалить настраиваемое поле.

Пример пошагового руководства

В следующем разделе приведен полный пример создания настраиваемого поля. В этом примере извлекается имя службы в событиях Windows, указывающих на изменение состояния службы. Это зависит от событий, созданных Service Control Manager во время запуска системы на компьютерах Windows. Если вы хотите выполнить этот пример, необходимо собирать информационные события для системного журнала.

Введите следующий запрос, чтобы вернуть все события из Service Control Manager с идентификатором события 7036, которое указывает на запуск или остановку службы.

Снимок экрана: запрос к источнику событий и идентификатору.

Затем щелкните правой кнопкой мыши любую запись с идентификатором события 7036 и выберите "Извлечь поля из события".

Снимок экрана: параметры полей копирования и извлечения, которые доступны при щелчке правой кнопкой мыши записи из списка результатов.

Откроется мастер извлечения полей с полями EventLog и EventID, выбранными в столбце Main Example. Это означает, что настраиваемое поле будет определено для событий из системного журнала с идентификатором события 7036. Это достаточно, поэтому нам не нужно выбирать другие поля.

Снимок экрана: основной пример.

Мы подчеркиваем имя службы в свойстве RenderedDescription и используем службу для идентификации имени службы. Настраиваемое поле будет вызываться Service_CF. Тип поля в данном случае является строкой, поэтому мы можем оставить это без изменений.

Снимок экрана поля «Название».

Мы видим, что имя службы правильно определено для некоторых записей, но не для других. Результаты поиска показывают, что часть имени адаптера производительности WMI не была выбрана. В сводке показано, что одна запись идентифицирует установщик модулей вместо установщика модулей Windows.

Снимок экрана: части имени службы, выделенного в области результатов поиска, и одно неверное имя службы, выделенное в сводке.

Начнем с записи WMI Performance Adapter. Щелкните значок редактирования и измените это выделение.

Снимок экрана изменения выделения.

Мы увеличиваем выделение, чтобы включить слово WMI , а затем повторно запустить извлечение.

Снимок экрана: дополнительный пример.

Мы видим, что записи для адаптера производительности WMI исправляются, а Log Analytics также использует эти сведения для исправления записей установщика модулей Windows.

Снимок экрана: полное имя службы, выделенное в области результатов поиска, и правильные имена служб, выделенные в сводке.

Теперь можно запустить запрос, который проверяет, что Service_CF создан, но еще не добавлен ни в одну запись. Это связано с тем, что настраиваемое поле не работает с существующими записями, поэтому нам нужно ожидать сбора новых записей.

Снимок экрана начального подсчёта.

Через некоторое время собираются новые события, и мы видим, что поле Service_CF добавляется в записи, соответствующие нашим критериям.

Окончательные результаты

Теперь можно использовать настраиваемое поле, как любое другое свойство записи. Чтобы проиллюстрировать это, мы создадим запрос, который группирует новое поле Service_CF для проверки наиболее активных служб.

Снимок экрана с группировкой по запросу.

Дальнейшие шаги

  • Last updated on