Tutorial: Reemplazo de campos personalizados en el área de trabajo de Log Analytics por columnas personalizadas basadas en KQL

Los campos personalizados son una característica de Azure Monitor que le permite extraer datos de columna independientes de una columna de texto diferente de la misma tabla. La creación de nuevos campos personalizados se deshabilitará a partir del 31 de marzo de 2023. La funcionalidad de campos personalizados quedará en desuso y los campos personalizados existentes dejarán de funcionar el 31 de marzo de 2026.

Existen varias ventajas para usar transformaciones en tiempo de ingesta basadas en DCR para lograr el mismo resultado:

  • Puede aplicar un conjunto completo de funciones de cadena para dar forma a las columnas personalizadas.
  • Puede aplicar varias operaciones a los mismos datos. Por ejemplo, extraiga una parte de un valor en una columna independiente y quite la columna original.
  • Puede usar transformaciones en tiempo de ingesta en las plantillas de ARM para implementar columnas personalizadas a escala.

Con la introducción de reglas de recopilación de datos (DCR), las transformaciones basadas en KQL son el método estándar de personalización de la tabla, reemplazando los campos personalizados heredados.

En este tutorial, aprenderá a:

  • Búsqueda de campos personalizados que requieren reemplazo
  • Descripción del contenido de los campos personalizados
  • Configuración de la transformación en tiempo de ingesta para reemplazar campos personalizados dentro de la tabla

Requisitos previos

  • Área de trabajo de Log Analytics con una tabla que contiene campos personalizados
  • Privilegios de cuenta suficientes para crear y modificar reglas de recopilación de datos (DCR)

Búsqueda de campos personalizados para su reemplazo

Empiece por buscar campos personalizados que se van a reemplazar. Si ya sabe cuáles son los campos personalizados que planea reemplazar, continúe con el paso siguiente.

  1. Vaya al área de trabajo de Log Analytics donde se encuentra la tabla con campos personalizados.

  2. En el menú lateral, seleccione Tablas. Seleccione Administrar tabla en el menú contextual de la tabla.

    Captura de pantalla que muestra la opción Administrar tabla para una tabla en un área de trabajo de Log Analytics

  3. Observe si hay reglas de recopilación de datos (DCR) asociadas a una tabla determinada.

    • Si alguna DCR está presente en la sección correspondiente, significa que los campos personalizados preexistentes ya se implementaron en estos DCR o se abandonaron tras la creación de DCR. Examinará el contenido de los campos personalizados en el siguiente paso de este tutorial y determinará si se necesitan más actualizaciones de DCR.
    • Si no hay ninguna regla de recopilación de datos asociada a la tabla, todas las columnas de la tabla dada con nombres que terminan con "_CF" serán campos personalizados sujetos a reemplazo.

    Captura de pantalla que muestra las propiedades de una tabla, incluidas las reglas de recopilación de datos asociadas a la tabla

  4. Cierre el cuadro de diálogo de propiedades de la tabla y seleccione Editar esquema en el menú contextual de la tabla. Desplácese hasta la parte inferior de la página donde se muestran las columnas personalizadas. Estas columnas terminan con _CF.

    Captura de pantalla que muestra la lista de columnas de una tabla, incluidas las columnas personalizadas

  5. Anote los nombres de estas columnas, ya que determinará su contenido en el paso siguiente.

Descripción del contenido del campo personalizado

Puesto que no hay ninguna manera de examinar la definición de campo personalizada directamente, debe consultar la tabla para determinar la fórmula del campo personalizado.

  1. Seleccione Registros en el menú lateral y ejecute una consulta para obtener un ejemplo de datos de la tabla.

    Captura de pantalla de Log Analytics con la consulta que devuelve datos de ejemplo

  2. Busque las columnas indicadas en el paso anterior y examine su contenido.

    • Si la columna no está vacía y hay DCR asociadas a la tabla, la lógica de campo personalizado ya se ha implementado con la transformación. No se requiere ninguna acción.
    • Si la columna está vacía (o no está presente en los resultados de la consulta) y hay DCR asociadas a la tabla, la lógica de campo personalizada no se implementó con la DCR. Agregue una transformación al flujo de datos en la DCR existente.
    • Si la columna no está vacía y no hay ninguna DCR asociada a la tabla, la lógica de campo personalizado debe implementarse como una transformación en la DCR del área de trabajo.
  3. Examine el contenido del campo personalizado y determine la lógica de cómo se calcula. Los campos personalizados normalmente calculan subcadenas de otras columnas de la misma tabla. Determine de qué columna proceden los datos y la parte de la cadena que extrae.

Creación de transformación

Ya está listo para crear el fragmento de código de KQL necesario y agregarlo a una DCR. Esta lógica se aplica a cada registro a medida que se ingiere en el área de trabajo.

  1. Modifique la consulta de la tabla mediante KQL para replicar la lógica de campo personalizada. Si tiene varios campos personalizados para reemplazar, puede combinar su lógica de cálculo en una sola instrucción.

    • Use el operador parse para la búsqueda basada en patrones de una subcadena dentro de una cadena.
    • Use la función extract() para la búsqueda de subcadenas basada en regex.
    • Las funciones de cadena, como split(), substring() y muchas otras, también pueden ser útiles.

    Captura de pantalla de Log Analytics con la consulta que devuelve datos mediante una consulta de transformación

  2. Determine dónde debe colocarse la nueva definición de KQL de la columna personalizada.

Preguntas más frecuentes

Cómo migrar campos personalizados para un registro de texto recopilado con el agente de Log Analytics (MMA) heredado

Considere la posibilidad de migrar al agente de Azure Monitor (AMA). El agente de Log Analytics se acerca al final del soporte técnico y debe migrar al agente de Azure Monitor (AMA). Los registros de texto recopilados con AMA usan la lógica de análisis de registros definida en forma de transformaciones KQL desde el principio. Los campos personalizados no son obligatorios y no se admiten en los registros de texto recopilados por el agente de Azure Monitor.

¿La migración de campos personalizados a KQL es obligatoria?

No, solo debe migrar los campos personalizados si desea que se rellenen las columnas personalizadas. Si no migra los campos personalizados, las columnas correspondientes dejarán de rellenarse cuando finalice la compatibilidad con campos personalizados. Los datos que ya se han procesado y almacenado en la tabla no se verán afectados y seguirán siendo utilizables.

¿Perderé mis datos existentes en las columnas correspondientes si no migro mis campos personalizados a tiempo?

No, los campos personalizados se calculan en el momento de la ingesta de datos. Eliminar la definición de campo o no migrarlos a tiempo no afectará a los datos ingeridos previamente.

Pasos siguientes