Transformaties in Azure Monitor
Met transformaties in Azure Monitor kunt u binnenkomende gegevens filteren of wijzigen voordat deze naar een Log Analytics-werkruimte worden verzonden. Transformaties worden uitgevoerd in de cloudpijplijn nadat de gegevensbron de gegevens levert en voordat deze naar de bestemming worden verzonden. Ze worden gedefinieerd in een DCR (Data Collection Rule) en gebruiken een Kusto-querytaal -instructie (KQL) die afzonderlijk wordt toegepast op elke vermelding in de binnenkomende gegevens.
Het volgende diagram illustreert het transformatieproces voor binnenkomende gegevens en toont een voorbeeldquery die kan worden gebruikt. In dit voorbeeld worden alleen records vastgelegd waarin de message kolom het woord error bevat.
Ondersteunde tabellen
De volgende tabellen in een Log Analytics-werkruimte ondersteunen transformaties.
- Elke Azure-tabel die wordt vermeld in tabellen die transformaties in Azure Monitor-logboeken ondersteunen. U kunt ook de Azure Monitor-gegevensreferentie gebruiken waarin de kenmerken voor elke tabel worden vermeld, inclusief of deze transformaties ondersteunt.
- Elke aangepaste tabel die is gemaakt voor de Azure Monitor-agent.
Een transformatie maken
Er zijn enkele scenario's voor gegevensverzameling waarmee u een transformatie kunt toevoegen met behulp van Azure Portal, maar in de meeste scenario's moet u een nieuwe DCR maken met behulp van de JSON-definitie of een transformatie toevoegen aan een bestaande DCR. Zie Een transformatie maken in Azure Monitor voor verschillende opties en aanbevolen procedures en voorbeelden voor transformaties in Azure Monitor voor voorbeeldtransformatiequery's voor veelvoorkomende scenario's.
DCR voor werkruimtetransformatie
Transformaties worden gedefinieerd in een regel voor gegevensverzameling (DCR), maar er zijn nog steeds gegevensverzamelingen in Azure Monitor die nog geen DCR gebruiken. Voorbeelden hiervan zijn resourcelogboeken die worden verzameld door diagnostische instellingen en toepassingsgegevens die worden verzameld door Application Insights.
De regel voor gegevensverzameling van werkruimtetransformatiegegevens (DCR) is een speciale DCR die rechtstreeks wordt toegepast op een Log Analytics-werkruimte. Het doel van deze DCR is het uitvoeren van transformaties op gegevens die nog geen DCR gebruiken voor het verzamelen van gegevens en dus geen middelen heeft om een transformatie te definiëren.
Er kan slechts één werkruimte-DCR zijn voor elke werkruimte, maar deze kan transformaties bevatten voor een willekeurig aantal ondersteunde tabellen. Deze transformaties worden toegepast op alle gegevens die naar deze tabellen worden verzonden, tenzij die gegevens afkomstig zijn van een andere DCR.
De gebeurtenistabel wordt bijvoorbeeld gebruikt voor het opslaan van gebeurtenissen van virtuele Windows-machines. Als u een transformatie in de DCR voor de gebeurtenistabel maakt in de werkruimtetransformatie, wordt deze toegepast op gebeurtenissen die worden verzameld door virtuele machines waarop de Log Analytics-agent1 wordt uitgevoerd, omdat deze agent geen DCR gebruikt. De transformatie wordt echter genegeerd door alle gegevens die vanuit de Azure Monitor-agent (AMA) worden verzonden, omdat er een DCR wordt gebruikt om de gegevensverzameling te definiëren. U kunt nog steeds een transformatie gebruiken met de Azure Monitor-agent, maar u neemt deze transformatie op in de DCR die is gekoppeld aan de agent en niet de dcr voor werkruimtetransformatie.
1 De Log Analytics-agent is afgeschaft, maar sommige omgevingen kunnen deze nog steeds gebruiken. Het is slechts één voorbeeld van een gegevensbron die geen DCR gebruikt.
Kosten voor transformaties
Hoewel voor transformaties zelf geen directe kosten in rekening worden gebracht, kunnen de volgende scenario's leiden tot extra kosten:
- Als een transformatie de grootte van de binnenkomende gegevens verhoogt, bijvoorbeeld door een berekende kolom toe te voegen, wordt het standaardopnametarief voor de extra gegevens in rekening gebracht.
- Als een transformatie de opgenomen gegevens met meer dan 50% vermindert, worden er kosten in rekening gebracht voor de hoeveelheid gefilterde gegevens boven 50%.
Gebruik de volgende formule om de kosten voor gegevensverwerking te berekenen die het gevolg zijn van transformaties:
[GB gefilterd op transformaties] - ([GB gegevens opgenomen per pijplijn] / 2). In de volgende tabel ziet u voorbeelden.
| Gegevens die zijn opgenomen per pijplijn | Gegevens verwijderd door transformatie | Gegevens opgenomen door Log Analytics-werkruimte | Kosten voor gegevensverwerking | Opnamekosten |
|---|---|---|---|---|
| 20 GB | 12 GB | 8 GB | 2 GB 1 | 8 GB |
| 20 GB | 8 GB | 12 GB | 0 GB | 12 GB |
1 Deze kosten zijn exclusief de kosten voor gegevens die zijn opgenomen door de Log Analytics-werkruimte.
Om deze kosten te voorkomen, moet u opgenomen gegevens filteren met behulp van alternatieve methoden voordat u transformaties toepast. Hierdoor kunt u de hoeveelheid gegevens die worden verwerkt door transformaties verminderen en daarom eventuele extra kosten minimaliseren.
Zie de prijzen van Azure Monitor voor de huidige kosten voor opname en retentie van logboekgegevens in Azure Monitor.
Belangrijk
Als Azure Sentinel is ingeschakeld voor de Log Analytics-werkruimte, worden er geen filteropnamekosten in rekening gebracht, ongeacht hoeveel gegevens de transformatiefilters bevatten.