Чтение данных из пользовательского журнала в Azure Log Analytics

Я связал следующий журнал с аналитической средой журнала azure через журнал клиента.

2023-01-24 07:58:30[X:MoveCarddataShare_Start]
2023-01-24 07:58:30[X;MoveCarddataShare_FileTomove:SA\Dispatch\)
2023-01-24 07:58:30[X;MoveCarddataShare_FileCountTomove:2)
2023-01-24 07:58:32[X;MoveCarddataShare_FileTomove:Styled and Co\Dispatch\)
2023-01-24 07:58:32[X;MoveCarddataShare_FileCountTomove:2)

Я хочу теперь значение X (которое является клиентом), а затем действие, а затем результат

Следующий код работает

let temp =
    ShelSA_cardMovment_CL
    | parse RawData with * "[" C
    | parse RawData with * ";" A
    | parse RawData with * "^" R
    | extend dt = substring(RawData,0,19)
                ,Client = split(C,";",0)
                ,Action = split(A,"^",0)
                ,Re = R;
temp
|extend Result= replace_string(tostring(Re),')','')

Но все результирующие столбцы имеют «[]» вокруг вывода, замена удалит его, но это кажется неуклюжим.

["ShellSA"]
["MoveCarddataShare_FileTomove"]
Symon\Dispatch\)

Кроме того, я задавался вопросом, является ли это лучшим способом

Это вывод резюме, который я хочу

Дата и время действия Клиент Действие Ре Результат 01.24.2023 07:58 "[""X:MoveCarddataShare^Start\r\n""]" "[""""]" "Начинать" "Начинать" 01.24.2023 07:58 "[""ИКС""]" "[""MoveCarddataShare_FileTomove""]" "СА\Отправка)" "СА\Отправка" 01.24.2023 07:58 "[""ИКС""]" "[""MoveCarddataShare_FileCountTomove""]" "2)" "2" 01.24.2023 07:58 "[""ИКС""]" "[""MoveCarddataShare_FileTomove""]" "Стиль и Ко\Диспетч)" "Стиль и Ко \ Отправка" 01.24.2023 07:58 "[""ИКС""]" "[""MoveCarddataShare_FileCountTomove""]" "2)" "2" 01.24.2023 07:58 "[""ИКС""]" "[""MoveCarddataShare_FileTomove""]" "Саймон\Отправка)" "Саймон\Отправка" 01.24.2023 07:58 "[""ИКС""]" "[""MoveCarddataShare_FileCountTomove""]" "3)" "3" 2023-01-23 14:51:25 "[""X:MoveCarddataShare_DateofFilemove\r\n""]" "[""""]" 01.24.2023 07:58 "[""ИКС""]" "[""MoveCarddataShare_LastfileMoved""]" "Новый текстовый документ.txt)" "Новый текстовый документ.txt" 01.24.2023 07:58 "[""ИКС""]" "[""MoveCarddataShare_Movefiledcount""]" "14)" "14" 01.24.2023 07:58 "[""ИКС""]" "[""MoveCarddataShare""]" "Конец" "Конец"

Код и результат, который он выдает, не имеют особого смысла. Пожалуйста, предоставьте требуемый результат в формате CSV.

David דודו Markovitz 24.01.2023 15:33

Все еще не имеет особого смысла, а также не соответствует вашим демонстрационным данным.

David דודו Markovitz 24.01.2023 19:26
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
В предыдущей статье мы завершили установку базы данных, для тех, кто не знает.
Как установить LAMP Stack 1/2 на Azure Linux VM
Как установить LAMP Stack 1/2 на Azure Linux VM
В дополнение к нашему предыдущему сообщению о намерении Azure прекратить поддержку Azure Database для MySQL в качестве единого сервера после 16...
1
2
52
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Я предполагаю, что это то, что вы ищете

datatable(RawData:string)
[
    @"2023-01-24 07:58:30[X:MoveCarddataShare_Start]"
   ,@"2023-01-24 07:58:30[X;MoveCarddataShare_FileTomove:SA\Dispatch\)"
   ,@"2023-01-24 07:58:30[X;MoveCarddataShare_FileCountTomove:2)"
   ,@"2023-01-24 07:58:32[X;MoveCarddataShare_FileTomove:Styled and Co\Dispatch\)"
   ,@"2023-01-24 07:58:32[X;MoveCarddataShare_FileCountTomove:2)"
]
| parse kind=regex flags=U RawData with Timestamp:datetime @"\[" Client "[;:]" Action @"[]:]" Result @"\)?$"
Необработанные данные Отметка времени Клиент Действие Результат 2023-01-24 07:58:30[X:MoveCarddataShare_Start] 2023-01-24T07:58:30Z Икс MoveCarddataShare_Start 2023-01-24 07:58:30[X;MoveCarddataShare_FileTomove:SA\Dispatch) 2023-01-24T07:58:30Z Икс MoveCarddataShare_FileTomove SA\Отправка\ 2023-01-24 07:58:30[X;MoveCarddataShare_FileCountTomove:2) 2023-01-24T07:58:30Z Икс MoveCarddataShare_FileCountTomove 2 2023-01-24 07:58:32[X;MoveCarddataShare_FileTomove:Styled и Co\Dispatch) 2023-01-24T07:58:32Z Икс MoveCarddataShare_FileTomove Стайлз и Ко\диспетч\ 2023-01-24 07:58:32[X;MoveCarddataShare_FileCountTomove:2) 2023-01-24T07:58:32Z Икс MoveCarddataShare_FileCountTomove 2

Скрипка

Другие вопросы по теме