Transformationen in Azure Monitor

Transformationen in Azure Monitor ermöglichen es Ihnen, eingehende Daten zu filtern oder zu ändern, bevor sie an einen Log Analytics-Arbeitsbereich gesendet werden. Transformationen werden in der Cloudpipeline durchgeführt, nachdem die Datenquelle die Daten übermittelt hat und bevor sie an das Ziel gesendet werden. Sie werden in einer Datensammlungsregel (DCR) definiert und verwenden eine KQL-Anweisung (Kusto Query Language), die einzeln auf jeden Eintrag in den eingehenden Daten angewendet wird.

Das folgende Diagramm veranschaulicht den Transformationsprozess für eingehende Daten und zeigt eine Beispielabfrage, die verwendet werden könnte. In diesem Beispiel werden nur Datensätze erfasst, in denen die Spalte message das Wort error enthält.

Unterstützte Tabellen

Die folgenden Tabellen in einem Log Analytics-Arbeitsbereich unterstützen Transformationen.

• Alle Azure-Tabellen, die unter Tabellen, die Transformationen in Azure Monitor-Protokollen unterstützen. Sie können auch den Azure Monitor-Datenverweis verwenden, der die Attribute für jede Tabelle auflistet, einschließlich der Unterstützung von Transformationen.
• Jede benutzerdefinierte Tabelle, die für den Azure Monitor-Agent erstellt wurde.

Erstellen einer Transformation

Es gibt einige Anwendungsfälle für Datensammlungen, in denen Sie eine Transformation mithilfe des Azure-Portals hinzufügen können. Die meisten Anwendungsfälle erfordern es jedoch, dass Sie mit ihrer JSON-Definition eine neue DCR erstellen oder eine Transformation zu einer vorhandenen DCR hinzufügen. Siehe Erstellen einer Transformation in Azure Monitor für verschiedene Optionen und Bewährte Methoden und Beispiele für Transformationen in Azure Monitor für beispielhafte Transformationsabfragen für häufige Anwendungsfälle.

Arbeitsbereichstransformations-DCR

Transformationen werden in einer Datensammlungsregel (Data Collection Rule, DCR) definiert. Es gibt jedoch immer noch Datensammlungen in Azure Monitor, die noch keine DCR verwenden. Dazu gehören Ressourcenprotokolle, die von Diagnoseeinstellungen erfasst werden, und Anwendungsdaten, die von Application Insights erfasst werden.

Die Datensammlungsregel (DCR) für die Arbeitsbereichstransformation ist eine spezielle DCR, die direkt auf einen Log Analytics-Arbeitsbereich angewendet wird. Der Zweck dieser DCR besteht darin, Transformationen für Daten durchzuführen, die noch keine DCR für seine Datensammlung verwenden und somit keine Möglichkeit haben, eine Transformation zu definieren.

Für jeden Arbeitsbereich kann nur eine Arbeitsbereichs-DCR vorhanden sein. Diese kann jedoch Transformationen für eine beliebige Anzahl unterstützter Tabellen enthalten. Diese Transformationen werden auf alle Daten angewendet, die an diese Tabellen gesendet werden, es sei denn, diese Daten stammen von einem anderen DCR.

Beispielsweise wird die Tabelle Event zum Speichern von Ereignissen von virtuellen Windows-Computern verwendet. Wenn Sie eine Transformation in der Arbeitsbereichs-DCR für die Ereignistabelle erstellen, würde sie auf Ereignisse angewendet, die von virtuellen Computern gesammelt werden, die den Log Analytics-Agent ¹ ausführen, da dieser Agent keine DCR verwendet. Die Transformation würde von allen Daten ignoriert, die vom Azure Monitor-Agent (AMA) gesendet werden, da sie eine DCR für die Definition der Datensammlung verwendet. Sie können weiterhin eine Transformation mit dem Azure Monitor-Agent verwenden. Jedoch würden Sie diese Transformation in die DCR einschließen, die dem Agent zugeordnet ist, und nicht in die Arbeitsbereichs-DCR der Transformation.

¹ Der Log Analytics-Agent ist veraltet, aber einige Umgebungen verwenden ihn möglicherweise weiterhin. Es ist nur ein Beispiel für eine Datenquelle, die keine DCR verwendet.

Kosten für Transformationen

Zwar fallen für Transformationen selbst keine direkten Kosten an, doch die folgenden Szenarien können zu zusätzlichen Gebühren führen:

• Wenn eine Transformation die Größe der eingehenden Daten erhöht, z. B. durch Hinzufügen einer berechneten Spalte, wird Ihnen die Standarderfassungsrate für die zusätzlichen Daten in Rechnung gestellt.
• Wenn eine Transformation die erfassten Daten um mehr als 50 % reduziert, wird Ihnen die Menge der gefilterten Daten, die 50 % übersteigt, in Rechnung gestellt.

Verwenden Sie die folgende Formel, um die auf Transformationen basierende Datenverarbeitungsgebühr zu berechnen:
[GB nach Transformationen herausgefiltert] – ([Von der Pipeline erfasste GB-Daten] / 2). Die folgende Tabelle enthält Beispiele.

Von der Pipeline erfasste Daten	Durch Transformation gelöschte Daten	Vom Log Analytics-Arbeitsbereich erfasste Daten	Datenverarbeitungsgebühr	Erfassungsgebühr
20 GB	12 GB	8 GB	2 GB 1	8 GB
20 GB	8 GB	12 GB	0 GB	12 GB

¹ Diese Gebühr schließt die Gebühr für Daten aus, die vom Log Analytics-Arbeitsbereich erfasst werden.

Um diese Gebühr zu vermeiden, sollten erfasste Daten über alternative Methoden gefiltert werden, bevor Transformationen angewendet werden. Auf diese Weise können Sie die Menge der von Transformationen verarbeiteten Daten reduzieren und somit alle zusätzlichen Kosten minimieren.

Informationen zu den aktuellen Gebühren für die Erfassung und Aufbewahrung von Protokolldaten in Azure Monitor finden Sie unter Azure Monitor – Preise.

Wichtig

Wenn Azure Sentinel für den Log Analytics-Arbeitsbereich aktiviert ist, fallen unabhängig davon, wie viele Daten die Transformation filtert, keine Gebühren für die Filterung der Erfassung an.

Nächste Schritte

• Informieren Sie sich über Datensammlungsregeln (DCRs).
• Erstellen Sie DCRs für die Arbeitsbereichstransformation, die auf Daten angewendet werden, die nicht mit einer DCR gesammelt werden.