Creare campi personalizzati in un'area di lavoro Log Analytics in Monitoraggio di Azure (anteprima)

  • Articolo

Importante

La creazione di nuovi campi personalizzati verrà disabilitata a partire dal 31 marzo 2023. Le funzionalità dei campi personalizzati saranno deprecate e i campi personalizzati esistenti smetteranno di funzionare entro il 31 marzo 2026. È consigliabile eseguire la migrazione alle trasformazioni in fase di inserimento per continuare ad analizzare i record di log.

Attualmente, quando si aggiunge un nuovo campo personalizzato, potrebbero essere necessari fino a 7 giorni prima che i dati inizino a essere visualizzati.

La funzionalità Campi personalizzati di Monitoraggio di Azure consente di estendere i record esistenti nell'area di lavoro Log Analytics aggiungendo campi ricercabili personalizzati. I campi personalizzati vengono popolati automaticamente con dati estratti da altre proprietà nello stesso record.

Il diagramma mostra un record originale associato a un record modificato in un'area di lavoro Log Analytics con coppie di valori di proprietà aggiunte alla proprietà originale nel record modificato.

Ad esempio, il record di esempio seguente contiene dati utili sepolti nella descrizione dell'evento. L'estrazione di tali dati in una proprietà separata li rende disponibili per azioni come l'ordinamento e il filtro.

Screenshot dell'estrazione di esempio.

Nota

Nell'anteprima sono limitati a 500 campi personalizzati nell'area di lavoro. Tale limite verrà esteso con il passaggio della funzionalità alla disponibilità generale.

Creazione di un campo personalizzato

Quando si crea un campo personalizzato, è necessario specificare a Log Analytics quali dati usare per popolare il relativo valore. Per identificare rapidamente i dati viene usata la tecnologia FlashExtract di Microsoft Research. Invece di richiedere istruzioni esplicite, Monitoraggio di Azure apprende i dati da estrarre da esempi forniti.

Le sezioni seguenti illustrano la procedura per la creazione di un campo personalizzato. Per visualizzare una procedura dettagliata di estrazione di esempio, vedere Procedura dettagliata di esempio.

Nota

Il campo personalizzato viene popolato come record corrispondenti ai criteri specificati vengono aggiunti all'area di lavoro Log Analytics, quindi verrà visualizzato solo sui record raccolti dopo la creazione del campo personalizzato. Il campo personalizzato non viene aggiunto ai record già presenti nell'archivio al momento della creazione.

Passaggio 1: Identificare i record che ottengono il campo personalizzato

Il primo passaggio consiste nell'identificare i record che ottengono il campo personalizzato. Si inizia con una query di log standard e quindi si seleziona un record da usare come modello appreso da Monitoraggio di Azure. Quando si specifica di estrarre i dati in un campo personalizzato, viene aperta l'Estrazione guidata campi in cui si convalidano e si affinano i criteri.

  1. Passare a Log e usare una query per recuperare i record che ottengono il campo personalizzato.
  2. Selezionare un record che Log Analytics possa usare come modello per l'estrazione dei dati con cui popolare il campo personalizzato. Verranno identificati i dati da estrarre da questo record e Log Analytics userà queste informazioni per determinare la logica per popolare il campo personalizzato per tutti i record simili.
  3. Fare clic con il pulsante destro del mouse sul record e selezionare Estrai campi da.
  4. Viene aperta l'estrazione guidata campi e il record selezionato viene visualizzato nella colonna Esempio principale. Viene definito il campo personalizzato per i record con gli stessi valori delle proprietà selezionate.
  5. Se la selezione non è esattamente quella desiderata, selezionare altri campi per restringere i criteri. Per modificare i valori dei campi per i criteri, è necessario annullare e selezionare un altro record corrispondente ai criteri scelti.

Passaggio 2: Eseguire l'estrazione iniziale

Dopo aver identificato i record che ottengono il campo personalizzato, si identificano i dati da estrarre. Log Analytics usa queste informazioni per identificare modelli simili in record simili. Nel passaggio 3 sarà possibile convalidare i risultati e fornire altri dettagli per l'uso di Log Analytics nell'analisi.

  1. Nel record di esempio evidenziare il testo con cui popolare il campo personalizzato. Verrà visualizzata una finestra di dialogo per specificare un nome e un tipo di dati per il campo e per eseguire l'estrazione iniziale. I caratteri _CF verranno aggiunti automaticamente.
  2. Fare clic su Extract per eseguire un'analisi dei record raccolti.
  3. Le sezioni Riepilogo e Risultati della ricerca visualizzano i risultati dell'estrazione e consentono di verificarne l'accuratezza. Summary visualizza i criteri usati per identificare i record e un conteggio per ciascuno dei valori di dati identificati. Search Results contiene un elenco dettagliato dei record corrispondenti ai criteri.

Passaggio 3: verificare l'accuratezza dell'estrazione e creare il campo personalizzato

Dopo aver eseguito l'estrazione iniziale, Log Analytics ne visualizza i risultati in base ai dati già raccolti. Se i risultati hanno un aspetto accurato, è possibile creare il campo personalizzato senza ulteriori operazioni. In caso contrario, è possibile perfezionare i risultati in modo che Log Analytics possa migliorarne la logica.

  1. Se i valori dell'estrazione iniziale non sono corretti, fare clic sull'icona di modifica accanto a un record non corretto e selezionare Modifica questa evidenziazione per modificare la selezione.
  2. La voce viene copiata nella sezione Esempi aggiuntivi sotto Esempio principale. È possibile regolare l'evidenziazione per permettere a Log Analytics di comprendere cosa avrebbe dovuto selezionare.
  3. Fare clic su Extract per usare le nuove informazioni per valutare tutti i record esistenti. È possibile modificare i risultati per i record diversi da quello appena modificato in base alle nuove informazioni.
  4. Continuare ad aggiungere correzioni fino a quando tutti i record nell'estrazione non identificano correttamente i dati con cui popolare il nuovo campo personalizzato.
  5. Fare clic su Salva estrazione quando si è soddisfatti dei risultati. Il campo personalizzato è ora definito, ma non viene ancora aggiunto ai record.
  6. Attendere che vengano raccolti nuovi record corrispondenti ai criteri specificati ed eseguire nuovamente la ricerca nei log. I nuovi record ora includono il campo personalizzato.
  7. Il campo personalizzato può essere usato come le altre proprietà del record, ad esempio per aggregare e raggruppare dati, ma anche per produrre nuove informazioni dettagliate.

Rimozione di un campo personalizzato

Per rimuovere un campo personalizzato è possibile procedere in due modi. La prima è l'opzione Rimuovi per ogni campo quando si visualizza l'elenco completo come descritto nel passaggio 2: Eseguire l'estrazione iniziale. Il secondo metodo consiste nel recuperare un record e fare clic sul pulsante a sinistra del campo. Il menu include un'opzione per rimuovere il campo personalizzato.

Procedura dettagliata di esempio

La sezione seguente descrive un esempio completo di creazione di un campo personalizzato. L'esempio estrae il nome del servizio dagli eventi Windows che indicano la modifica dello stato di un servizio. Questo si basa su eventi creati da Gestione controllo servizi durante l'avvio del sistema nei computer Windows. Per seguire questo esempio, è necessario eseguire la raccolta di eventi informativi per il registro di sistema.

Immettere la query seguente per restituire tutti gli eventi di Gestione controllo servizi con ID evento 7036, ovvero l'evento che indica l'avvio o l'arresto di un servizio.

Screenshot che mostra una query per un'origine evento e un ID.

Fare quindi clic con il pulsante destro del mouse su qualsiasi record con ID evento 7036 e selezionare Estrai campi da 'Event'.

Screenshot che mostra le opzioni Copia ed estrai campi, disponibili quando si fa clic con il pulsante destro del mouse su un record dall'elenco dei risultati.

Viene visualizzata la Procedura guidata di estrazione dei campi con EventLog e EventID selezionati nella colonna Esempio principale. Questo indica che il campo personalizzato verrà definito per gli eventi del registro di sistema con ID evento 7036. Ciò è sufficiente e non è necessario selezionare altri campi.

Screenshot dell'esempio principale.

Evidenziare il nome del servizio nella proprietà RenderedDescription e usare Service per identificare il nome del servizio. Il campo personalizzato sarà denominato Service_CF. Il tipo di campo in questo caso è una stringa, quindi è possibile lasciare invariato.

Screenshot del titolo del campo.

Si noti che il nome del servizio viene identificato in modo corretto per alcuni record ma non per altri. I risultati della ricerca mostrano che parte del nome di Scheda delle prestazioni WMI non è stato selezionato. Il Riepilogo mostra che un record identificato Moduli programma di installazione anziché Programma di installazione moduli di Windows.

Screenshot che mostra parti del nome del servizio evidenziate nel riquadro Risultati ricerca e un nome di servizio non corretto evidenziato nel riepilogo.

Iniziare dal record della scheda delle prestazioni WMI . Fare clic sulla relativa icona di modifica e quindi su Modify this highlight.

Screenshot dell'evidenziazione della modifica.

Espandere l'evidenziazione per includere la parola WMI e quindi eseguire di nuovo l'estrazione.

Screenshot degli esempi aggiuntivi.

È possibile notare che le voci per l'adattatore prestazioni WMI sono corrette e Log Analytics ha usato anche tali informazioni per correggere i record per Windows Module Installer.

Screenshot che mostra il nome completo del servizio evidenziato nel riquadro Risultati ricerca e i nomi di servizio corretti evidenziati nel riepilogo.

È ora possibile eseguire una query che verifica Service_CF viene creata ma non è ancora stata aggiunta ad alcun record. Questo perché il campo personalizzato non funziona con i record esistenti, quindi è necessario attendere che vengano raccolti nuovi record.

Screenshot del conteggio iniziale.

Dopo qualche tempo, vengono raccolti nuovi eventi ed è possibile visualizzare il campo Service_CF aggiunto ai record che soddisfano i criteri.

Risultati finali

Ora il campo personalizzato può essere usato come le altre proprietà del record. Per illustrare questo concetto, viene creata una query che raggruppa in base al nuovo campo Service_CF per verificare quali sono i servizi più attivi.

Screenshot del gruppo per query.

Passaggi successivi