Azure Monitor での変換
Azure Monitor の変換を使用すると、受信データが Log Analytics ワークスペースに送信される前に、それをフィルター処理または変更することができます。 変換は、データ ソースがデータを提供した後、それが宛先に送信されるまでの間に、クラウド パイプラインの中で実行されます。 これはデータ収集ルール (DCR) 内で定義され、受信データ内の各エントリに対して個別に適用される Kusto 照会言語 (KQL) ステートメントを使用します。
次の図は、受信データの変換プロセスと、使用される可能性があるサンプル クエリを示しています。 このサンプルでは、message 列に error という単語が含まれているレコードのみが収集されます。
サポートするテーブル
Log Analytics ワークスペース内の以下のテーブルは、変換をサポートしています。
- 「Azure Monitor ログでの変換をサポートするテーブル」に記載されている任意の Azure テーブル。 Azure Monitor データ参照を使用することもできます。変換がサポートされるかなど、各テーブルの属性が一覧表示されています。
- Azure Monitor エージェント用に作成された任意のカスタム テーブル
変換を作成する
Azure portal を使用して変換を追加できるデータ収集シナリオはいくつか存在しますが、ほとんどのシナリオでは、JSON 定義を使用して新しい DCR を作成するか、既存の DCR に変換を追加する必要があります。 さまざまな選択肢については「Azure Monitor での変換の作成」を、一般的なシナリオ向けの変換クエリのサンプルについては「Azure Monitor での変換のベスト プラクティスとサンプル」を参照してください。
ワークスペース変換 DCR
変換はデータ収集規則 (DCR) 内で定義されますが、Azure Monitor 内にはまだ DCR を使用していないデータ収集が存在します。 例としては、診断設定によって収集されたリソース ログや Application Insights によって収集されたアプリケーション データがあります。
ワークスペース変換データ収集規則 (DCR) は、Log Analytics ワークスペースに直接適用される特殊な DCR です。 この DCR の目的は、そのデータ収集に DCR をまだ使用しておらず、変換を定義する手段がないデータで変換を実行することです。
1 つのワークスペースには 1 つのワークスペース DCR しか存在できませんが、その中には任意の数のサポートされているテーブルの変換を含めることができます。 これらの変換は、データが別の DCR から取得されていない限り、これらのテーブルに送信されるすべてのデータに適用されます。
たとえば、Event テーブルは、Windows 仮想マシンからのイベントを保存するために使用されます。 Event テーブル用の変換をワークスペース変換 DCR 内に作成した場合、これは Log Analytics エージェント1を実行している仮想マシンによって収集されたイベントに適用されます (このエージェントは DCR を使用していないため)。 ただし、この変換は Azure Monitor エージェント (AMA) から送信されるデータからは無視されることになります。このエージェントはそれ自体のデータ収集を定義する DCR を使用しているためです。 Azure Monitor エージェントで変換を使用することはできますが、その変換はワークスペース変換 DCR ではなく、このエージェントに関連付けられている DCR 内に含める必要があります。
1 Log Analytics エージェントは非推奨となっていますが、一部の環境はまだこれを使用している場合があります。 これは、DCR を使用しないデータ ソースの例の 1 つに過ぎません。
変換のコスト
変換そのものには直接コストは発生しませんが、次のシナリオでは追加料金が発生する可能性があります。
- たとえば計算列の追加のように、変換によって受信データのサイズが大きくなる場合は、その追加データに対して標準の取り込み料金が課金されます。
- 取り込まれたデータが変換によって 50% を超えて削減された場合、50% を超えるフィルター処理されたデータ量に対して課金されます。
変換によって得られるデータ処理料金を計算するには、次の数式を使用します。
[変換によって除外された GB] - ([パイプラインによって取り込まれた GB データ] / 2)。 次の表に例を示します。
| パイプラインによって取り込まれたデータ | 変換によって削除されたデータ | Log Analytics ワークスペースによって取り込まれたデータ | データ処理料金 | インジェスト料金 |
|---|---|---|---|---|
| 20 GB | 12 GB | 8 GB | 2 GB 1 | 8 GB |
| 20 GB | 8 GB | 12 GB | 0 GB | 12 GB |
1 この料金では、Log Analytics ワークスペースによって取り込まれたデータの料金は除外されます。
この料金を回避するには、変換が適用される前に、他の方法を使用して、取り込まれたデータをフィルター処理する必要があります。 これにより、変換によって処理されるデータの量を減らし、追加コストを最小限に抑えることができます。
Azure Monitor でのログ データの取り込みと保持に関する現在の料金については、「Azure Monitor の価格」を参照してください。
重要
Log Analytics ワークスペースに対して Azure Sentinel が有効になっている場合、変換によってフィルター処理されるデータの量に関係なく、フィルター インジェスト料金は発生しません。