Sdílet prostřednictvím

Transformace ve službě Azure Monitor

  • Článek

Transformace ve službě Azure Monitor umožňují filtrovat nebo upravovat příchozí data před jejich odesláním do pracovního prostoru služby Log Analytics. Transformace se provádějí v cloudovém kanálu poté, co zdroj dat doručí data a před odesláním do cíle. Jsou definovány v pravidle shromažďování dat (DCR) a používají příkaz dotazovací jazyk Kusto (KQL), který se použije jednotlivě pro každou položku příchozích dat.

Následující diagram znázorňuje proces transformace příchozích dat a ukazuje ukázkový dotaz, který se dá použít. V této ukázce se shromažďují pouze záznamy, ve kterých message sloupec obsahuje slovo error .

Diagram znázorňující transformaci času příjmu dat pro příchozí data

Podporované tabulky

Následující tabulky v pracovním prostoru služby Log Analytics podporují transformace.

  • Všechny tabulky Azure uvedené v tabulkách, které podporují transformace v protokolech služby Azure Monitor. Můžete také použít odkaz na data služby Azure Monitor, který uvádí atributy pro každou tabulku, včetně toho, jestli podporuje transformace.
  • Jakákoli vlastní tabulka vytvořená pro agenta služby Azure Monitor

Vytvoření transformace

Existují některé scénáře shromažďování dat, které vám umožní přidat transformaci pomocí webu Azure Portal, ale většina scénářů bude vyžadovat vytvoření nového DCR pomocí jeho definice JSON nebo přidání transformace do existujícího řadiče domény. Viz Vytvoření transformace ve službě Azure Monitor pro různé možnosti a osvědčené postupy a ukázky pro transformace ve službě Azure Monitor pro ukázkové transformační dotazy pro běžné scénáře.

DcR transformace pracovního prostoru

Transformace se definují v pravidle shromažďování dat (DCR), ale ve službě Azure Monitor stále existují kolekce dat, které ještě nepoužívají řadič domény. Mezi příklady patří protokoly prostředků shromažďované nastavením diagnostiky a daty aplikací shromážděnými službou Application Insights.

Pravidlo pro shromažďování dat transformace pracovního prostoru (DCR) je speciální řadič domény, který se použije přímo u pracovního prostoru služby Log Analytics. Účelem tohoto dcR je provádět transformace dat, která ještě nepoužívá dcR pro jejich shromažďování dat, a proto nemá žádné prostředky k definování transformace.

Pro každý pracovní prostor může existovat jenom jeden řadič domény pracovního prostoru, ale může obsahovat transformace pro libovolný počet podporovaných tabulek. Tyto transformace se použijí na všechna data odesílaná do těchto tabulek, pokud tato data nepocházet z jiného řadiče domény.

Diagram znázorňující operaci transformace pracovního prostoru DCR

Tabulka událostí se například používá k ukládání událostí z virtuálních počítačů s Windows. Pokud v transformačním řadiči domény pracovního prostoru pro tabulku událostí vytvoříte transformaci, použije se u událostí shromážděných virtuálními počítači, na kterých běží agentLog Analytics 1 , protože tento agent nepoužívá řadič domény. Transformace by však byla ignorována všemi daty odesílaných z agenta služby Azure Monitor (AMA), protože k definování shromažďování dat používá DCR. Stále můžete použít transformaci s agentem Azure Monitoru, ale tuto transformaci byste zahrnuli do dcR přidruženého k agentovi, a ne transformaci pracovního prostoru DCR.

Diagram, který porovnává standardní transformace DCR s transformací pracovního prostoru DCR

1 Agent Log Analytics je zastaralý, ale některá prostředí ho můžou dál používat. Jedná se pouze o jeden příklad zdroje dat, který nepoužívá řadič domény.

Náklady na transformace

I když samotné transformace neúčtují přímé náklady, následující scénáře můžou mít za následek další poplatky:

  • Pokud transformace zvětšuje velikost příchozích dat, například přidáním počítaného sloupce, bude se vám účtovat standardní míra příjmu dat navíc.
  • Pokud transformace sníží ingestovaná data o více než 50 %, bude se vám účtovat množství filtrovaných dat nad 50 %.

K výpočtu poplatku za zpracování dat vyplývajících z transformací použijte následující vzorec:
[GB vyfiltrované podle transformací] – ([GB ingestovaná daty podle kanálu] / 2). Následující tabulka uvádí příklady.

Ingestování dat podle kanálu Data vyřazená transformací Data ingestována pracovním prostorem Služby Log Analytics Poplatek za zpracování dat Poplatek za příjem dat
20 GB 12 GB 8 GB 2 GB 1 8 GB
20 GB 8 GB 12 GB 0 GB 12 GB

1 Tento poplatek vylučuje poplatky za data ingestována pracovním prostorem služby Log Analytics.

Abyste se tomuto poplatku vyhnuli, měli byste před použitím transformací filtrovat ingestované data pomocí alternativních metod. Tímto způsobem můžete snížit množství dat zpracovávaných transformacemi, a tím minimalizovat případné další náklady.

Informace o aktuálních poplatcích za příjem a uchovávání dat protokolů ve službě Azure Monitor najdete v cenách služby Azure Monitor.

Důležité

Pokud je pro pracovní prostor služby Log Analytics povolená služba Azure Sentinel, neúčtují se žádné poplatky za příjem dat bez ohledu na to, kolik dat filtry transformace.

Další kroky