Créer des champs personnalisés dans un espace de travail Log Analytics dans Azure Monitor (préversion)

Important

La création de champs personnalisés sera désactivée à compter du 31 mars 2023. La fonctionnalité des champs personnalisés sera déconseillée et les champs personnalisés existants cesseront de fonctionner le 31 mars 2026. Vous devez migrer vers des transformations au moment de l’ingestion afin de continuer à analyser vos enregistrements de journal.

Actuellement, lorsque vous ajoutez un nouveau champ personnalisé, l’affichage des données peut prendre jusqu’à 7 jours.

La fonction Champs personnalisés d’Azure Monitor vous permet de compléter les enregistrements existants dans votre espace de travail Log Analytics en leur ajoutant vos propres champs de recherche. Les champs personnalisés sont renseignés automatiquement à partir des données extraites d’autres propriétés du même enregistrement.

Le schéma montre un enregistrement d’origine associé à un enregistrement modifié dans un espace de travail Log Analytics avec des paires de valeurs de propriété ajoutées à la propriété d’origine dans l’enregistrement modifié.

Par exemple, l’enregistrement suivant contient des données utiles dans la description de l’événement. L’extraction de ces données dans une propriété séparée les rend disponibles pour des opérations de tri et de filtrage.

Capture d’écran de l’exemple d’extraction.

Remarque

Dans la version préliminaire, votre espace de travail est limité à 500 champs personnalisés. Cette limite pourra être relevée lorsque cette fonction sera disponible dans le commerce.

Création d’un champ personnalisé

Lorsque vous créez un champ personnalisé, Log Analytics doit savoir quelles données utiliser pour le renseigner. Il fait donc appel à une technologie de Microsoft Research, appelée FlashExtract, afin d’identifier rapidement ces données. Au lieu de vous obliger à fournir des instructions explicites, Azure Monitor apprend à connaître les données que vous souhaitez extraire à partir des exemples que vous fournissez.

Les sections suivantes décrivent la procédure de création d’un champ personnalisé. Pour afficher une procédure pas-à-pas d’un exemple d’extraction, accédez à Exemple de procédure pas-à-pas.

Remarque

Le champ personnalisé est renseigné lorsque des enregistrements correspondant aux critères spécifiés sont ajoutés à l’espace de travail Log Analytics. Il ne s’affiche donc que sur les enregistrements collectés après la création du champ personnalisé. Le champ personnalisé n’est pas ajouté aux enregistrements déjà présents dans le magasin de données lors de sa création.

Étape 1 : identifier les enregistrements qui contiennent le champ personnalisé

La première étape consiste à identifier les enregistrements qui reçoivent le champ personnalisé. Commencez par une requête de journal standard, puis sélectionnez l’enregistrement qui sert de modèle à Azure Monitor. Lorsque vous indiquez que vous allez extraire des données pour les placer dans un champ personnalisé, l’Assistant Extraction de champs s’ouvre et vous permet d’affiner et de valider les critères.

  1. Accédez à Journaux et utilisez une requête pour récupérer les enregistrements qui contient le champ personnalisé.
  2. Sélectionnez l’enregistrement que Log Analytics utilisera comme modèle pour extraire les données à afficher dans le champ personnalisé. Vous allez identifier les données à extraire de cet enregistrement, données que Log Analytics va utiliser pour déterminer la logique permettant de renseigner le champ personnalisé de tous les enregistrements similaires.
  3. Cliquez avec le bouton droit sur l’enregistrement, puis sélectionnez Extraire des champs.
  4. L’Assistant Extraction de champs s’ouvre et l’enregistrement que vous avez sélectionné s’affiche dans la colonne Exemple principal. Le champ personnalisé sera défini pour les enregistrements ayant les mêmes valeurs dans les propriétés sélectionnées.
  5. Si la sélection ne correspond pas exactement à ce que vous souhaitez, sélectionnez d’autres champs pour affiner les critères. Pour modifier les valeurs des critères, vous devez annuler l’opération et sélectionner un autre enregistrement correspondant aux critères souhaités.

Étape 2 : effectuer l’extraction initiale

Après avoir identifié les enregistrements qui contiennent le champ personnalisé, vous identifiez les données à extraire. Log Analytics utilise ces informations pour identifier des modèles similaires dans des enregistrements similaires. Dans l’étape 3, vous allez valider les résultats et fournir d’autres informations que Log Analytics va exploiter dans son analyse.

  1. Mettez en surbrillance le texte de l’enregistrement exemple dont vous souhaitez renseigner dans le champ personnalisé. Dans la boîte de dialogue qui s’affiche, indiquez le nom et le type de données du champ et effectuez l’extraction initiale. Les caractères _CF sont automatiquement ajoutés à la fin.
  2. Cliquez sur Extraire pour analyser les enregistrements collectés.
  3. Les sections Résumé et Résultats de la recherche affichent les résultats de l’extraction pour que vous puissiez vérifier qu’ils sont corrects. Résumé affiche les critères utilisés pour identifier les enregistrements et le nombre de chacune des valeurs de données identifiées. Résultats de la recherche fournit une liste détaillée des enregistrements correspondant aux critères.

Étape 3 : vérifier l’exactitude de l’extraction et créer le champ personnalisé

Une fois l’extraction initiale effectuée, Log Analytics affiche ses résultats en fonction des données déjà collectées. Si les résultats semblent exacts, vous pouvez créer le champ personnalisé sans aucune opération supplémentaire. Si tel n’est pas le cas, vous pouvez affiner les résultats afin d’améliorer la logique de Log Analytics.

  1. Si des valeurs de l’extraction initiale sont incorrectes, cliquez sur l’icône Modifier en regard d’un enregistrement inexact, puis sélectionnez Modifier cette mise en surbrillance afin de modifier la sélection.
  2. L’entrée est copiée dans la section Exemples supplémentaires sous Exemple principal. Vous pouvez ajuster la mise en surbrillance pour aider Log Analytics à comprendre la sélection qu’il aurait dû faire.
  3. Cliquez sur Extraire pour utiliser ces nouvelles informations et évaluer tous les enregistrements existants. Les résultats peuvent être modifiés pour les enregistrements autres que celui dont vous venez de modifier la logique.
  4. Continuez d’ajouter des corrections jusqu’à ce que tous les enregistrements de l’extraction identifient correctement les données à afficher dans le champ personnalisé.
  5. Cliquez sur Enregistrer l’extraction lorsque vous êtes satisfait des résultats. Le champ personnalisé est maintenant défini, mais il n’est encore ajouté à aucun enregistrement.
  6. Attendez que des nouveaux enregistrements correspondant aux critères spécifiés soient collectés, puis relancez la recherche du journal. Les nouveaux enregistrements doivent contenir le champ personnalisé.
  7. Utilisez le champ personnalisé comme n’importe quelle autre propriété d’enregistrement. Il peut vous servir à agréger et grouper les données, et même à produire d’autres connaissances.

Suppression d’un champ personnalisé

Il existe deux méthodes pour supprimer un champ personnalisé. La première solution consiste à utiliser l’option Supprimer de chaque champ lorsque vous affichez la liste complète, comme indiqué dans Étape 2 : effectuer l’extraction initiale. L’autre consiste à extraire un enregistrement et à cliquer sur le bouton à gauche du champ. Le menu affiche une option permettant de supprimer le champ personnalisé.

Exemple de procédure pas à pas

La section suivante décrit la procédure complète de création d’un champ personnalisé. Cet exemple extrait le nom du service dans les événements Windows indiquant un changement d’état de service. Il s’appuie sur les événements créés par le Gestionnaire de contrôle des services lors du démarrage du système des ordinateurs Windows. Si vous souhaitez suivre cet exemple, vous devez collecter des événements d’information du journal système.

Nous spécifions la requête suivante pour renvoyer tous les événements du Gestionnaire de contrôle des services dont l’ID d’événement est 7036, c’est-à-dire l’événement indiquant le démarrage ou l’arrêt d’un service.

Capture d’écran montrant une requête pour une source et un ID d’événement.

Ensuite, cliquez avec le bouton droit sur n’importe quel enregistrement avec l’ID d’événement 7036 et sélectionnez Extraire les champs de « Événement ».

Capture d’écran montrant les options copier et extraire les champs, qui sont disponibles lorsque vous cliquez avec le bouton droit sur un enregistrement dans la liste des résultats.

L’Assistant Extraction de champs s’ouvre avec les champs EventLog et EventID sélectionnés dans la colonne Exemple principal. Cela indique que le champ personnalisé sera défini pour les événements du journal système ayant l’ID d’événement 7036. Cela nous suffit, inutile de sélectionner d’autres champs.

Capture d’écran de l’exemple principal.

Nous mettons en surbrillance le nom du service dans la propriété RenderedDescription et utilisons Service pour identifier le nom du service. Le nom du champ personnalisé sera Service_CF. Ici, le type de champ est une chaîne, donc nous pouvons le laisser tel quel.

Capture d’écran du titre du champ.

Nous constatons que le nom du service est identifié correctement pour certains enregistrements, mais pas pour d’autres. Les Résultats de la recherche montrent que cette partie du nom de Carte de performance WMI n’est pas sélectionnée. Le Résumé montre qu’un seul enregistrement identifié Programme d’installation de modules au lieu de Programme d’installation de modules Windows.

Capture d’écran montrant des parties du nom de service en surbrillance dans le volet des résultats de recherche et un nom de service incorrect en surbrillance dans le résumé.

Commençons par l’enregistrement Carte de performance WMI . Cliquez sur son icône de modification, puis sur Modifier cette mise en surbrillance.

Capture d’écran de la mise en surbrillance de la modification.

Nous étendons la mise en surbrillance afin d’inclure le mot WMI , puis nous relançons l’extraction.

Capture d’écran d’un exemple supplémentaire.

Nous constatons que les entrées de Carte de performance WMI sont corrigées, et que Log Analytics a utilisé ces informations pour corriger les enregistrements de Programme d’installation pour les modules Windows.

Capture d’écran montrant le nom complet du service en surbrillance dans le volet des résultats de recherche et les noms de service corrects en surbrillance dans le résumé.

Nous pouvons maintenant exécuter une requête qui vérifie que Service_CF est créé, mais qu’il n’est encore ajouté à aucun enregistrement. C’est parce que le champ personnalisé ne fonctionne pas sur les enregistrements existants. Nous devons attendre que de nouveaux enregistrements soient collectés.

Capture d’écran du nombre initial.

Après quelque temps, de nouveaux éléments sont collectés et nous pouvons voir que le champ Service_CF est ajouté aux enregistrements qui répondent à nos critères.

Résultats finaux

Nous pouvons maintenant utiliser le champ personnalisé comme n’importe quelle propriété d’enregistrement. Pour illustrer ce propos, nous créons une requête qui classe les enregistrements par le nouveau champ Service_CF pour identifier les services les plus actifs.

Capture d’écran de la requête Group by.

Étapes suivantes