Azure Monitor의 Log Analytics 작업 영역에서 사용자 지정 필드 만들기(미리 보기)

Azure Monitor의 사용자 지정 필드 기능을 사용하면 자체 검색 가능한 필드를 추가하여 Log Analytics 작업 영역에서 기존 레코드를 확장할 수 있습니다. 사용자 지정 필드는 동일한 레코드의 다른 속성에서 추출된 데이터에서 자동으로 채워집니다.

예를 들어 다음 샘플 레코드에는 이벤트 설명에 묻혀 있는 유용한 데이터가 있습니다. 이 데이터를 별도의 속성으로 추출하면 정렬 및 필터링과 같은 작업에 사용할 수 있습니다.

사용자 지정 필드 만들기

사용자 지정 필드를 만들 때 Log Analytics는 해당 값을 채우는 데 사용할 데이터를 이해해야 합니다. FlashExtract라는 Microsoft Research의 기술을 사용하여 이 데이터를 신속하게 식별합니다. 명시적 지침을 제공하도록 요구하는 대신 Azure Monitor는 사용자가 제공하는 예제에서 추출하려는 데이터에 대해 알아봅니다.

다음 섹션에서는 사용자 지정 필드를 만드는 절차를 제공합니다. 샘플 추출 연습을 보려면 샘플 연습으로 이동합니다.

1단계: 사용자 지정 필드를 가져오는 레코드 식별

첫 번째 단계는 사용자 지정 필드를 가져오는 레코드를 식별하는 것입니다. 표준 로그 쿼리로 시작한 다음, Azure Monitor에서 학습하는 모델 역할을 할 레코드를 선택합니다. 사용자 지정 필드에 데이터를 추출하도록 지정하면 조건의 유효성을 검사하고 구체화하는 필드 추출 마법사 가 열립니다.

1. 로그로 이동하여 쿼리를 사용하여 사용자 지정 필드를 가져오는 레코드를 검색합니다.
2. Log Analytics가 사용자 지정 필드를 채우기 위해 데이터를 추출하는 모델 역할을 하는 데 사용할 레코드를 선택합니다. 이 레코드에서 추출하려는 데이터를 식별하고 Log Analytics는 이 정보를 사용하여 유사한 모든 레코드에 대한 사용자 지정 필드를 채우는 논리를 결정합니다.
3. 레코드를 마우스 오른쪽 단추로 클릭하고 [필드 추출]을 선택합니다.
4. 필드 추출 마법사가 열리고 선택한 레코드가 기본 예제 열에 표시됩니다. 사용자 지정 필드는 선택한 속성에서 동일한 값을 가진 레코드에 대해 정의됩니다.
5. 선택 영역이 정확히 원하는 항목이 아닌 경우 더 많은 필드를 선택하여 조건을 좁힐 수 있습니다. 조건에 대한 필드 값을 변경하려면 취소하고 원하는 조건과 일치하는 다른 레코드를 선택해야 합니다.

2단계: 초기 추출 수행

사용자 지정 필드를 가져오는 레코드를 식별한 후에는 추출할 데이터를 식별합니다. Log Analytics는 이 정보를 사용하여 유사한 레코드에서 유사한 패턴을 식별합니다. 3단계에서는 결과의 유효성을 검사하고 분석에서 사용할 Log Analytics에 대한 추가 세부 정보를 제공할 수 있습니다.

1. 사용자 지정 필드를 채울 샘플 레코드의 텍스트를 강조 표시합니다. 그런 다음 필드의 이름 및 데이터 형식을 제공하고 초기 추출을 수행하는 대화 상자가 표시됩니다. _CF 문자가 자동으로 추가됩니다.
2. 추출을 클릭하여 수집된 레코드를 분석합니다.
3. 요약 및 검색 결과 섹션에는 추출의 결과가 표시되므로 정확도를 검사할 수 있습니다. 요약 은 레코드를 식별하는 데 사용되는 조건과 식별된 각 데이터 값에 대한 개수를 표시합니다. 검색 결과는 조건과 일치하는 레코드의 자세한 목록을 제공합니다.

3단계: 추출의 정확도 확인 및 사용자 지정 필드 만들기

초기 추출을 수행하면 Log Analytics는 이미 수집된 데이터를 기반으로 결과를 표시합니다. 결과가 정확해 보이면 추가 작업 없이 사용자 지정 필드를 만들 수 있습니다. 그렇지 않은 경우 Log Analytics에서 논리를 개선할 수 있도록 결과를 구체화할 수 있습니다.

1. 초기 추출의 값이 정확하지 않으면 잘못된 레코드 옆에 있는 편집 아이콘을 클릭하고 선택 영역을 수정하기 위해 이 강조 표시 수정하기를 선택합니다.
2. 항목은 기본 예제 아래의 추가 예제 섹션에 복사됩니다. 여기에서 강조 표시를 조정하여 Log Analytics가 선택해야 하는 사항을 이해할 수 있도록 할 수 있습니다.
3. 추출을 클릭하여 이 새 정보를 사용하여 모든 기존 레코드를 평가합니다. 이 새 인텔리전스를 기반으로 방금 수정한 레코드가 아닌 다른 레코드에 대해 결과를 수정할 수 있습니다.
4. 추출의 모든 레코드가 새 사용자 지정 필드를 채울 데이터를 올바르게 식별할 때까지 계속 수정 사항을 추가합니다.
5. 결과에 만족하면 추출 저장 을 클릭합니다. 이제 사용자 지정 필드가 정의되었지만 아직 레코드에 추가되지 않습니다.
6. 지정된 조건과 일치하는 새 레코드가 수집될 때까지 기다린 다음 로그 검색을 다시 실행합니다. 새 레코드에는 사용자 지정 필드가 있어야 합니다.
7. 다른 레코드 속성과 마찬가지로 사용자 지정 필드를 사용합니다. 데이터를 집계 및 그룹화하고 이를 사용하여 새 인사이트를 생성할 수도 있습니다.

사용자 지정 필드 제거

사용자 지정 필드를 제거하는 방법에는 두 가지가 있습니다. 첫 번째는 2단계: 초기 추출 수행에 설명된 대로 전체 목록을 볼 때 각 필드에 대한 제거 옵션입니다. 다른 방법은 레코드를 검색하고 필드 왼쪽에 있는 단추를 클릭하는 것입니다. 메뉴에는 사용자 지정 필드를 제거하는 옵션이 있습니다.

샘플 워크스루

다음 섹션에서는 사용자 지정 필드를 만드는 전체 예제를 안내합니다. 다음은 서비스 변경 상태를 나타내는 Windows 이벤트에서 서비스 이름을 추출하는 예제입니다. 이는 Windows 컴퓨터에서 시스템을 시작하는 동안 Service Control Manager에서 만든 이벤트에 의존합니다. 이 예제를 수행하려면 시스템 로그에 대한 정보 이벤트를 수집해야 합니다.

서비스 시작 또는 중지를 나타내는 이벤트 ID가 7036인 Service Control Manager의 모든 이벤트를 반환하려면 다음 쿼리를 입력합니다.

그런 다음 이벤트 ID가 7036인 레코드를 마우스 오른쪽 단추로 클릭하고 '이벤트'에서 필드 추출을 선택합니다.

기본 예제 열에서 EventLog 및 EventID 필드가 선택된 상태에서 필드 추출 마법사가 열립니다. 이는 이벤트 ID가 7036인 시스템 로그의 이벤트에 대해 사용자 지정 필드가 정의됨을 나타냅니다. 이는 충분하므로 다른 필드를 선택할 필요가 없습니다.

RenderedDescription 속성에서 서비스 이름을 강조 표시하고 서비스를 사용하여 서비스 이름을 식별합니다. 사용자 지정 필드를 Service_CF 호출합니다. 이 경우 필드 형식은 문자열이므로 변경되지 않은 상태로 둘 수 있습니다.

서비스 이름이 일부 레코드에 대해서는 제대로 식별되지만 다른 레코드의 경우는 식별되지 않습니다. 검색 결과에는 WMI 성능 어댑터에 대한 이름의 일부가 선택되지 않은 것으로 표시됩니다. 요약은 하나의 레코드가 Windows 모듈 설치 관리자 대신 모듈 설치 관리자를 식별했음을 보여 줍니다.

WMI 성능 어댑터 레코드로 시작합니다. 편집 아이콘을 클릭한 후, 강조 표시를 수정합니다.

WMI라는 단어를 포함하도록 강조 표시를 늘인 다음 추출을 다시 실행합니다.

WMI 성능 어댑터에 대한 항목이 수정되었으며 Log Analytics는 이 정보를 사용하여 Windows 모듈 설치 관리자에 대한 레코드를 수정했습니다.

이제 Service_CF 만들어졌지만 아직 레코드에 추가되지 않은지 확인하는 쿼리를 실행할 수 있습니다. 사용자 지정 필드가 기존 레코드에 대해 작동하지 않으므로 새 레코드가 수집될 때까지 기다려야 하기 때문입니다.

잠시 후 새 이벤트가 수집되고 Service_CF 필드가 기준과 일치하는 레코드에 추가되는 것을 볼 수 있습니다.

이제 다른 레코드 속성과 마찬가지로 사용자 지정 필드를 사용할 수 있습니다. 이를 설명하기 위해 새 Service_CF 필드별로 그룹화하여 가장 활성 상태인 서비스를 검사하는 쿼리를 만듭니다.

다음 단계

• 조건에 대한 사용자 지정 필드를 사용하여 쿼리를 빌드하는 로그 쿼리에 대해 알아봅니다.
• 사용자 지정 필드로 구문 분석한 사용자 지정 로그 파일을 모니터링합니다.