Criar campos personalizados em um espaço de trabalho do Log Analytics no Azure Monitor (Visualização)

Importante

A criação de novos campos personalizados será desativada a partir de 31 de março de 2023. A funcionalidade de campos personalizados será preterida e os campos personalizados existentes deixarão de funcionar em 31 de março de 2026. Você deve migrar para transformações de tempo de ingestão para continuar analisando seus registros de log.

Atualmente, quando você adiciona um novo campo personalizado, pode levar até 7 dias antes que os dados comecem a aparecer.

O recurso Campos Personalizados do Azure Monitor permite que você estenda os registros existentes em seu espaço de trabalho do Log Analytics adicionando seus próprios campos pesquisáveis. Os campos personalizados são preenchidos automaticamente a partir de dados extraídos de outras propriedades no mesmo registo.

O diagrama mostra um registro original associado a um registro modificado em um espaço de trabalho do Log Analytics com pares de valor de propriedade adicionados à propriedade original no registro modificado.

Por exemplo, o registro de exemplo a seguir tem dados úteis enterrados na descrição do evento. A extração desses dados para uma propriedade separada torna-os disponíveis para ações como classificação e filtragem.

Captura de tela do extrato de amostra.

Nota

Na Pré-visualização, está limitado a 500 campos personalizados na sua área de trabalho. Este limite será expandido quando esta funcionalidade atingir a disponibilidade geral.

Criando um campo personalizado

Quando você cria um campo personalizado, o Log Analytics deve entender quais dados usar para preencher seu valor. Ele usa uma tecnologia da Microsoft Research chamada FlashExtract para identificar rapidamente esses dados. Em vez de exigir que você forneça instruções explícitas, o Azure Monitor aprende sobre os dados que você deseja extrair dos exemplos fornecidos.

As seções a seguir fornecem o procedimento para criar um campo personalizado. Para ver um passo a passo de uma extração de amostra, vá para Passo a passo da amostra.

Nota

O campo personalizado é preenchido à medida que os registros correspondentes aos critérios especificados são adicionados ao espaço de trabalho do Log Analytics, portanto, ele só aparecerá nos registros coletados após a criação do campo personalizado. O campo personalizado não será adicionado a registros que já estão no armazenamento de dados quando ele é criado.

Etapa 1: identificar os registros que obtêm o campo personalizado

A primeira etapa é identificar os registros que obtêm o campo personalizado. Você começa com uma consulta de log padrão e, em seguida, seleciona um registro para agir como o modelo com o qual o Azure Monitor aprende. Quando você especifica que vai extrair dados em um campo personalizado, o Assistente de Extração de Campo é aberto onde você valida e refina os critérios.

  1. Vá para Logs e use uma consulta para recuperar os registros que obtêm o campo personalizado.
  2. Selecione um registro que o Log Analytics usará para atuar como um modelo para extrair dados para preencher o campo personalizado. Você identificará os dados que deseja extrair desse registro e o Log Analytics usará essas informações para determinar a lógica para preencher o campo personalizado para todos os registros semelhantes.
  3. Clique com o botão direito do mouse no registro e selecione Extrair campos de.
  4. O Assistente de Extração de Campo é aberto e o registro selecionado é exibido na coluna Exemplo Principal . O campo personalizado será definido para os registros com os mesmos valores nas propriedades selecionadas.
  5. Se a seleção não for exatamente a desejada, selecione mais campos para restringir os critérios. Para alterar os valores de campo para os critérios, você deve cancelar e selecionar um registro diferente correspondente aos critérios desejados.

Etapa 2: Executar a extração inicial

Depois de identificar os registros que obtêm o campo personalizado, você identifica os dados que deseja extrair. O Log Analytics usa essas informações para identificar padrões semelhantes em registros semelhantes. Na Etapa 3, você poderá validar os resultados e fornecer mais detalhes para o Log Analytics usar em sua análise.

  1. Realce o texto no registro de exemplo que você deseja preencher o campo personalizado. Em seguida, será apresentada uma caixa de diálogo para fornecer um nome e um tipo de dados para o campo e para executar a extração inicial. Os caracteres _CF serão automaticamente acrescentados.
  2. Clique em Extrair para executar uma análise dos registros coletados.
  3. As seções Resumo e Resultados da Pesquisa exibem os resultados da extração para que você possa inspecionar sua precisão. Resumo exibe os critérios usados para identificar registros e uma contagem para cada um dos valores de dados identificados. Os Resultados da Pesquisa fornecem uma lista detalhada dos registos que correspondem aos critérios.

Etapa 3: Verificar a precisão da extração e criar campo personalizado

Depois de executar a extração inicial, o Log Analytics exibirá seus resultados com base nos dados que já foram coletados. Se os resultados parecerem precisos, você poderá criar o campo personalizado sem mais trabalho. Caso contrário, você pode refinar os resultados para que o Log Analytics possa melhorar sua lógica.

  1. Se algum valor na extração inicial não estiver correto, clique no ícone Editar ao lado de um registro impreciso e selecione Modificar este realce para modificar a seleção.
  2. A entrada é copiada para a seção Exemplos adicionais abaixo do Exemplo principal. Você pode ajustar o destaque aqui para ajudar o Log Analytics a entender a seleção que deveria ter feito.
  3. Clique em Extrair para usar essas novas informações para avaliar todos os registros existentes. Os resultados podem ser modificados para registros diferentes daquele que você acabou de modificar com base nessa nova inteligência.
  4. Continue a adicionar correções até que todos os registros na extração identifiquem corretamente os dados para preencher o novo campo personalizado.
  5. Clique em Salvar extração quando estiver satisfeito com os resultados. O campo personalizado agora está definido, mas ainda não será adicionado a nenhum registro.
  6. Aguarde até que novos registros que correspondam aos critérios especificados sejam coletados e, em seguida, execute a pesquisa de log novamente. Os novos registos devem ter o campo personalizado.
  7. Use o campo personalizado como qualquer outra propriedade de registro. Você pode usá-lo para agregar e agrupar dados e até mesmo usá-lo para produzir novos insights.

Remover um campo personalizado

Há duas maneiras de remover um campo personalizado. A primeira é a opção Remover para cada campo ao visualizar a lista completa, conforme descrito em Etapa 2: Executar extração inicial. O outro método é recuperar um registro e clicar no botão à esquerda do campo. O menu tem uma opção para remover o campo personalizado.

Instruções de exemplo

A seção a seguir apresenta um exemplo completo de criação de um campo personalizado. Este exemplo extrai o nome do serviço em eventos do Windows que indicam um serviço alterando o estado. Isso depende de eventos criados pelo Service Control Manager durante a inicialização do sistema em computadores Windows. Se quiser seguir este exemplo, você deve estar coletando eventos de informações para o log do sistema.

Inserimos a consulta a seguir para retornar todos os eventos do Gerenciador de Controle de Serviço que tenham uma ID de Evento de 7036, que é o evento que indica um serviço iniciando ou parando.

Captura de tela mostrando uma consulta para uma fonte de evento e ID.

Em seguida, clicamos com o botão direito do mouse em qualquer registro com ID de evento 7036 e selecionamos Extrair campos de 'Evento'.

Captura de ecrã a mostrar as opções de campos Copiar e Extrair, que estão disponíveis quando clica com o botão direito do rato num registo da lista de resultados.

O Assistente de Extração de Campo é aberto com os campos EventLog e EventID selecionados na coluna Exemplo Principal . Isso indica que o campo personalizado será definido para eventos do log do sistema com uma ID de evento de 7036. Isso é suficiente para que não precisemos selecionar outros campos.

Captura de tela do exemplo principal.

Destacamos o nome do serviço na propriedade RenderedDescription e usamos Service para identificar o nome do serviço. O campo personalizado será chamado Service_CF. O tipo de campo, neste caso, é uma cadeia de caracteres, então podemos deixá-la inalterada.

Screenshot do Título do Campo.

Vemos que o nome do serviço é identificado corretamente para alguns registros, mas não para outros. Os Resultados da Pesquisa mostram que parte do nome do Adaptador de Desempenho WMI não foi selecionada. O Resumo mostra que um registro identificou o Instalador de Módulos em vez do Instalador de Módulos do Windows.

Captura de tela mostrando partes do nome do serviço realçadas no painel Resultados da Pesquisa e um nome de serviço incorreto realçado no Resumo.

Começamos com o registro WMI Performance Adapter . Clicamos no ícone de edição e, em seguida, em Modificar este realce.

Captura de tela do realce de modificação.

Aumentamos o destaque para incluir a palavra WMI e, em seguida, executamos novamente a extração.

Captura de tela do exemplo adicional.

Podemos ver que as entradas para o WMI Performance Adapter foram corrigidas, e o Log Analytics também usou essas informações para corrigir os registros do Windows Module Installer.

Captura de ecrã a mostrar o nome completo do serviço realçado no painel Resultados da Pesquisa e os nomes de serviço corretos realçados no Resumo.

Agora podemos executar uma consulta que verifica Service_CF foi criada, mas ainda não foi adicionada a nenhum registro. Isso ocorre porque o campo personalizado não funciona em relação aos registros existentes, então precisamos esperar que novos registros sejam coletados.

Captura de ecrã da contagem inicial.

Depois de algum tempo, novos eventos são coletados e podemos ver o campo Service_CF sendo adicionado aos registros que correspondem aos nossos critérios.

Resultados finais

Agora podemos usar o campo personalizado como qualquer outra propriedade de registro. Para ilustrar isso, criamos uma consulta que agrupa pelo novo campo Service_CF para inspecionar quais serviços são os mais ativos.

Captura de ecrã do grupo por consulta.

Próximos passos

  • Saiba mais sobre consultas de log para criar consultas usando campos personalizados para critérios.
  • Monitore arquivos de log personalizados que você analisa usando campos personalizados.