Transformaciones en Azure Monitor
Las transformaciones en Azure Monitor le permiten filtrar o modificar los datos entrantes antes de que se envíen a un área de trabajo de Log Analytics. Las transformaciones se realizan en la canalización en la nube después de que el origen de datos entregue los datos y antes de enviarlos al destino. Se definen en un regla de recopilación de datos (DCR) y usan una Instrucción del lenguaje de consulta Kusto (KQL) que se aplica individualmente a cada entrada de los datos entrantes.
En el diagrama siguiente se muestra el proceso de transformación de los datos entrantes y se muestra una consulta de ejemplo que se puede usar. En este ejemplo, solo se recopilan los registros en los que la columna message contiene la palabra error.
Tablas admitidas
Las tablas siguientes de un área de trabajo de Log Analytics admiten transformaciones.
- Cualquier tabla de Azure que aparezca en Tablas que admiten transformaciones en Registros de Azure Monitor. También puede usar la referencia de datos de Azure Monitor que enumera los atributos de cada tabla, incluido si admite transformaciones.
- Cualquier tabla personalizada creada para el agente de Azure Monitor.
Creación de una transformación
Hay algunos escenarios de recopilación de datos que le permitirán agregar una transformación mediante Azure Portal, pero la mayoría de los escenarios requerirán que cree un controlador de dominio nuevo mediante su definición JSON o agregue una transformación a un DCR existente. Consulte Creación de una transformación en Azure Monitor para ver diferentes opciones y Procedimientos recomendados y ejemplos para las transformaciones en Azure Monitor para consultas de transformación de ejemplo para escenarios comunes.
DCR de transformación del área de trabajo
Las transformaciones se definen en una regla de recopilación de datos (DCR), pero todavía hay colecciones de datos en Azure Monitor que aún no usan un DCR. Entre los ejemplos se incluyen los registros de recursos recopilados por configuración de diagnóstico y los datos de la aplicación recopilados por Application Insights.
La regla de recopilación de datos de transformación del área de trabajo (DCR) es una DCR especial que se aplica directamente a un área de trabajo de Log Analytics. El propósito de esta DCR es realizar transformaciones en los datos que aún no usan una DCR para su recopilación de datos y, por tanto, no tiene ningún medio para definir una transformación.
Solo puede haber una DCR de área de trabajo para cada área de trabajo, pero puede incluir transformaciones para cualquier número de tablas admitidas. Estas transformaciones se aplican a todos los datos enviados a estas tablas a menos que esos datos procedan de otro DCR.
Por ejemplo, la tabla Evento se usa para almacenar eventos de Máquinas virtuales Windows. Si crea una transformación en el DCR de transformación del área de trabajo para la tabla Event, se aplicará a los eventos recopilados por las máquinas virtuales que ejecutan el agente de Log Analytics1 porque este agente no usa un DCR. La transformación se omitiría aunque cualquier dato enviado desde el Agente de Azure Monitor (AMA) porque usa un DCR para definir su recopilación de datos. Todavía puede usar una transformación con el agente de Azure Monitor, pero incluiría esa transformación en el DCR asociado al agente y no al DCR de transformación del área de trabajo.
1 El agente de Log Analytics está en desuso, pero algunos entornos pueden seguir utilizándolo. Solo es un ejemplo de un origen de datos que no usa un DCR.
Coste de las transformaciones
Aunque las propias transformaciones no incurren en costos directos, los siguientes escenarios pueden dar lugar a cargos adicionales:
- Si una transformación aumenta el tamaño de los datos entrantes, como al agregar una columna calculada, se le cobrará la tasa de ingesta estándar de los datos adicionales.
- Si una transformación reduce los datos ingeridos en más del 50 %, se le cobrará por la ingesta cantidad de datos filtrados por encima del 50 %.
Para calcular el cargo de procesamiento de datos resultante de las transformaciones, use la fórmula siguiente:
[GB filtrados por transformaciones] - ([GB datos ingeridos por canalización] / 2). En la tabla siguiente se muestran ejemplos.
| Datos ingeridos por canalización | Datos eliminados por transformación | Datos ingeridos por el área de trabajo de Log Analytics | Cambio de procesamiento de datos | Cargo de la ingesta |
|---|---|---|---|---|
| 20 GB | 12 GB | 8 GB | 2 GB 1 | 8 GB |
| 20 GB | 8 GB | 12 GB | 0 GB | 12 GB |
1 Este cargo excluye el cargo por los datos ingeridos por el área de trabajo de Log Analytics.
Para evitar este cargo, debería filtrar los datos ingeridos mediante métodos alternativos antes de aplicar transformaciones. Al hacerlo, puede reducir la cantidad de datos procesados por transformaciones y, por lo tanto, minimizar los costos adicionales.
Consulte Precios de Azure Monitor para ver los cargos actuales por la ingesta y la retención de datos de registro en Azure Monitor.
Importante
Si Azure Sentinel está habilitado para el área de trabajo de Log Analytics, no hay ningún cargo por la ingesta de filtrado, independientemente de la cantidad de datos que filtre la transformación.