Transformations dans Azure Monitor
Les transformations dans Azure Monitor vous permettent de filtrer ou de modifier des données entrantes avant qu’elles ne soient envoyées à l’espace de travail Log Analytics. Les transformations sont effectuées dans le pipeline cloud une fois que la source de données remet les données et avant qu’elles ne soient envoyées à la destination. Ils sont définis dans une règle de collecte de données (DCR) et utilisent une instruction KQL (Kusto Query Language) appliquée individuellement à chaque entrée dans les données entrantes.
Le diagramme suivant illustre le processus de transformation des données entrantes et montre un exemple de requête qui peut être utilisé. Dans cet exemple, seuls les enregistrements où la colonne message contient le mot error seront collectés.
Tables prises en charge
Les tableaux suivants dans un espace de travail Log Analytics prennent en charge les transformations.
- Toute table Azure listée dans Tables prenant en charge les transformations dans les journaux Azure Monitor. Vous pouvez également utiliser la référence de données Azure Monitor qui répertorie les attributs de chaque table, notamment s’il prend en charge les transformations.
- Toute table personnalisée créée pour l’agent Azure Monitor.
Créer une transformation
Il existe certains scénarios de collecte de données qui vous permettront d’ajouter une transformation à l’aide du portail Azure, mais la plupart des scénarios vous obligeront à créer une DCR à l’aide de sa définition JSON ou à ajouter une transformation à une DCR existante. Consultez Créer une transformation dans Azure Monitor pour différentes options et Meilleures pratiques et exemples pour les transformations dans Azure Monitor pour obtenir des exemples de requêtes de transformation pour des scénarios courants.
DCR de transformation de l’espace de travail
Les transformations sont définies dans une règle de collecte de données (DCR), mais il existe toujours des collections de données dans Azure Monitor qui n’utilisent pas encore de DCR. Par exemple, les journaux de ressources collectés par paramètres de diagnostic et les données d’application collectées par Application Insights.
La règle de collecte des données (DCR) de transformation de l’espace de travail est une DCR spéciale qui s’applique directement à un espace de travail Log Analytics. L’objectif de cette DCR est d’effectuer des transformations sur les données qui n’utilisent pas encore de DCR pour sa collecte de données, et n’a donc aucun moyen de définir une transformation.
Il ne peut y avoir qu’un seul DCR d’espace de travail pour chaque espace de travail, mais il peut inclure des transformations pour n’importe quel nombre de tables prises en charge. Ces transformations sont appliquées à toutes les données envoyées à ces tables, sauf si ces données proviennent d’une autre DCR.
Par exemple, la table Événement est utilisée pour stocker des événements à partir de machines virtuelles Windows. Si vous créez une transformation dans la DCR de transformation de l’espace de travail pour la table d’événements, elle est appliquée aux événements collectés par les machines virtuelles exécutant l’agent Log Analytics1 , car cet agent n’utilise pas de DCR. La transformation serait ignorée cependant par toutes les données envoyées à partir d’Agent Azure Monitor (AMA), car elle utilise une DCR pour définir sa collecte de données. Vous pouvez toujours utiliser une transformation avec l’agent Azure Monitor, mais vous incluez cette transformation dans la DCR associée à l’agent et non la DCR de transformation de l’espace de travail.
1 L’agent Log Analytics a été déconseillé, mais certains environnements peuvent toujours l’utiliser. Il ne s’agit que d’un exemple de source de données qui n’utilise pas de DCR.
Coût des transformations
Bien que les transformations par elles-mêmes n’entraînent pas de coûts directs, les scénarios suivants peuvent entraîner des frais supplémentaires :
- Si une transformation augmente la taille des données entrantes, par exemple en ajoutant une colonne calculée, le taux d’ingestion standard des données supplémentaires vous sera facturé.
- Si une transformation réduit les données ingérées de plus de 50 %, nous vous facturerons la quantité de données filtrées au-dessus de 50 %.
Pour calculer les frais de traitement des données résultant de transformations, utilisez la formule suivante :
[Go filtré par les transformations] – ([Total Go ingéré par le pipeline] / 2). Le tableau suivant contient des exemples.
| Données ingérées par le pipeline | Données déposées par transformation | Données ingérées par l’espace de travail Log Analytics | Frais de traitement des données | Frais d’ingestion |
|---|---|---|---|---|
| 20 Go | 12 Go | 8 Go | 2 Go 1 | 8 Go |
| 20 Go | 8 Go | 12 Go | 0 Go | 12 Go |
1 Ces frais excluent les frais pour les données ingérées par l’espace de travail Log Analytics.
Pour éviter ces frais, nous vous recommandons de filtrer les données entrantes à l’aide d’autres méthodes avant d’appliquer des transformations. En procédant ainsi, vous pouvez réduire la quantité de données traitées par les transformations et, par conséquent, réduire les coûts supplémentaires.
Consultez les Tarifs Azure Monitor pour connaître les frais actuels d’ingestion et de conservation des données de journal dans Azure Monitor.
Important
Si Azure Sentinel est activé pour l’espace de travail Log Analytics, l’ingestion de filtrage n’est pas facturé, quelle que soit la quantité de données filtrées par la transformation.