azure - 从 azure 日志分析中的自定义日志读取数据

Question

我已通过客户日志链接了以下日志 itno azure 日志分析环境

2023-01-24 07:58:30[X:MoveCarddataShare_Start]
2023-01-24 07:58:30[X;MoveCarddataShare_FileTomove:SA\Dispatch\)
2023-01-24 07:58:30[X;MoveCarddataShare_FileCountTomove:2)
2023-01-24 07:58:32[X;MoveCarddataShare_FileTomove:Styled and Co\Dispatch\)
2023-01-24 07:58:32[X;MoveCarddataShare_FileCountTomove:2)

我现在想要 X(这是客户端)的值，然后是操作，然后是结果

以下代码有效

let temp =
    ShelSA_cardMovment_CL
    | parse RawData with * "[" C
    | parse RawData with * ";" A
    | parse RawData with * "^" R
    | extend dt = substring(RawData,0,19)
                ,Client = split(C,";",0)
                ,Action = split(A,"^",0)
                ,Re = R;
temp
|extend Result= replace_string(tostring(Re),')','')

但是所有结果列的输出周围都有“[ ]”，替换将删除它，但看起来很笨拙

["ShellSA"]
["MoveCarddataShare_FileTomove"]
Symon\Dispatch\)

另外，我想知道这是否是最好的方法

这是我想要的简历输出

<表类=“s-表”><标题>操作日期时间客户端行动回复结果 <正文>2023年1月24日07:58"[""X:MoveCarddataShare^开始\r\n""]"“[”“””]”“开始”“开始”2023年1月24日07:58“[”“X”“]”“[”“MoveCarddataShare_FileTomove”“]”“SA\调度)”“SA\调度”2023年1月24日07:58“[”“X”“]”“[”“MoveCarddataShare_FileCountTomove”“]”“2)”“2”2023年1月24日07:58“[”“X”“]”“[”“MoveCarddataShare_FileTomove”“]”“样式和 Co\Dispatch)”“样式和 Co\Dispatch”2023年1月24日07:58“[”“X”“]”“[”“MoveCarddataShare_FileCountTomove”“]”“2)”“2”2023年1月24日07:58“[”“X”“]”“[”“MoveCarddataShare_FileTomove”“]”“西蒙\调度)”“西蒙\调度”2023年1月24日07:58“[”“X”“]”“[”“MoveCarddataShare_FileCountTomove”“]”“3)”“3”2023-01-23 14:51:25"[""X:MoveCarddataShare_DateofFilemove\r\n""]"“[”“””]”2023年1月24日07:58“[”“X”“]”“[”“MoveCarddataShare_LastfileMoved”“]”“新建文本文档.txt)”“新建文本文档.txt”2023年1月24日07:58“[”“X”“]”“[”“MoveCarddataShare_Movefiledcount”“]”“14)”“14”2023年1月24日07:58“[”“X”“]”“[”“MoveCarddataShare”“]”“结束”“结束”

Answer 1

我猜这就是您要找的

datatable(RawData:string)
[
    @"2023-01-24 07:58:30[X:MoveCarddataShare_Start]"
   ,@"2023-01-24 07:58:30[X;MoveCarddataShare_FileTomove:SA\Dispatch\)"
   ,@"2023-01-24 07:58:30[X;MoveCarddataShare_FileCountTomove:2)"
   ,@"2023-01-24 07:58:32[X;MoveCarddataShare_FileTomove:Styled and Co\Dispatch\)"
   ,@"2023-01-24 07:58:32[X;MoveCarddataShare_FileCountTomove:2)"
]
| parse kind=regex flags=U RawData with Timestamp:datetime @"\[" Client "[;:]" Action @"[]:]" Result @"\)?$"

<表类=“s-表”><标题>原始数据时间戳客户端行动结果 <正文>2023-01-24 07:58:30[X:MoveCarddataShare_Start]2023-01-24T07:58:30ZXMoveCarddataShare_Start2023-01-24 07:58:30[X;MoveCarddataShare_FileTomove:SA\Dispatch)2023-01-24T07:58:30ZXMoveCarddataShare_FileTomoveSA\调度\2023-01-24 07:58:30[X;MoveCarddataShare_FileCountTomove:2)2023-01-24T07:58:30ZXMoveCarddataShare_FileCountTomove22023-01-24 07:58:32[X;MoveCarddataShare_FileTomove:Styled 和 Co\Dispatch)2023-01-24T07:58:32ZXMoveCarddataShare_FileTomove样式和 Co\Dispatch\2023-01-24 07:58:32[X;MoveCarddataShare_FileCountTomove:2)2023-01-24T07:58:32ZXMoveCarddataShare_FileCountTomove2

Fiddle