Udostępnij za pośrednictwem

Przekształcenia w usłudze Azure Monitor

  • Artykuł

Przekształcenia w usłudze Azure Monitor umożliwiają filtrowanie lub modyfikowanie danych przychodzących przed wysłaniem ich do obszaru roboczego usługi Log Analytics. Przekształcenia są wykonywane w potoku chmury po źródle danych dostarcza dane i przed wysłaniem ich do miejsca docelowego. Są one definiowane w regule zbierania danych (DCR) i używają instrukcji język zapytań Kusto (KQL), która jest stosowana indywidualnie do każdego wpisu w danych przychodzących.

Na poniższym diagramie przedstawiono proces przekształcania danych przychodzących i pokazano przykładowe zapytanie, które może być używane. W tym przykładzie zostaną zebrane tylko rekordy, w których kolumna message zawiera wyraz error .

Diagram przedstawiający transformację czasu pozyskiwania danych przychodzących.

Obsługiwane tabele

Poniższe tabele w obszarze roboczym usługi Log Analytics obsługują przekształcenia.

  • Dowolna tabela platformy Azure wymieniona w tabelach, które obsługują przekształcenia w dziennikach usługi Azure Monitor. Możesz również użyć dokumentacji danych usługi Azure Monitor, która zawiera listę atrybutów dla każdej tabeli, w tym informacje o tym, czy obsługuje przekształcenia.
  • Dowolna tabela niestandardowa utworzona dla agenta usługi Azure Monitor.

Tworzenie przekształcenia

Istnieją pewne scenariusze zbierania danych, które umożliwią dodanie transformacji przy użyciu witryny Azure Portal, ale większość scenariuszy wymaga utworzenia nowego kontrolera domeny przy użyciu jego definicji JSON lub dodania przekształcenia do istniejącego kontrolera domeny. Zobacz Tworzenie przekształcenia w usłudze Azure Monitor, aby poznać różne opcje i najlepsze rozwiązania oraz przykłady przekształceń w usłudze Azure Monitor, aby zapoznać się z przykładowymi zapytaniami przekształcania w przypadku typowych scenariuszy.

Przekształcanie obszaru roboczego DCR

Przekształcenia są definiowane w regule zbierania danych (DCR), ale nadal istnieją kolekcje danych w usłudze Azure Monitor, które nie używają jeszcze kontrolera domeny. Przykłady obejmują dzienniki zasobów zbierane przez ustawienia diagnostyczne i dane aplikacji zebrane przez usługę Application Insights.

Reguła zbierania danych przekształcania obszaru roboczego (DCR) to specjalny kontroler domeny stosowany bezpośrednio do obszaru roboczego usługi Log Analytics. Celem tego kontrolera domeny jest wykonanie przekształceń na danych, które nie używają jeszcze kontrolera DCR do zbierania danych, a tym samym nie ma środków na zdefiniowanie transformacji.

Dla każdego obszaru roboczego może istnieć tylko jeden obszar roboczy DCR, ale może zawierać przekształcenia dla dowolnej liczby obsługiwanych tabel. Te przekształcenia są stosowane do wszystkich danych wysyłanych do tych tabel, chyba że dane pochodzą z innego kontrolera domeny.

Diagram przedstawiający operację przekształcenia obszaru roboczego DCR.

Na przykład tabela zdarzeń służy do przechowywania zdarzeń z maszyn wirtualnych z systemem Windows. Jeśli utworzysz przekształcenie w przekształceniu obszaru roboczego DCR dla tabeli zdarzeń, zostanie zastosowane do zdarzeń zebranych przez maszyny wirtualne z uruchomionym agentemusługi Log Analytics 1 , ponieważ ten agent nie używa kontrolera domeny. Przekształcenie zostałoby zignorowane przez dowolne dane wysyłane z agenta usługi Azure Monitor (AMA), ponieważ do zdefiniowania jego zbierania danych jest używana funkcja DCR. Nadal można użyć przekształcenia z agentem usługi Azure Monitor, ale należy uwzględnić to przekształcenie w kontrolerze domeny skojarzonym z agentem, a nie z przekształceniem obszaru roboczego DCR.

Diagram porównujący standardowe przekształcenia DCR z przekształceniem obszaru roboczego DCR.

1 Agent usługi Log Analytics został przestarzały, ale niektóre środowiska mogą nadal go używać. Jest to tylko jeden przykład źródła danych, które nie używa kontrolera domeny.

Koszt przekształceń

Chociaż same przekształcenia nie generują bezpośrednich kosztów, następujące scenariusze mogą spowodować dodatkowe opłaty:

  • Jeśli transformacja zwiększy rozmiar danych przychodzących, na przykład przez dodanie kolumny obliczeniowej, zostanie naliczona standardowa stawka pozyskiwania dodatkowych danych.
  • Jeśli transformacja zmniejszy pozyskane dane o ponad 50%, zostanie naliczona opłata za ilość przefiltrowanych danych powyżej 50%.

Aby obliczyć opłatę za przetwarzanie danych wynikające z przekształceń, użyj następującej formuły:
[GB odfiltrowane według przekształceń] — ([GB danych pozyskanych przez potok] / 2). W poniższej tabeli przedstawiono przykłady.

Dane pozyskane przez potok Dane porzucone przez przekształcenie Dane pozyskane przez obszar roboczy usługi Log Analytics Opłata za przetwarzanie danych Opłata za pozyskiwanie
20 GB 12 GB 8 GB 2 GB 1 8 GB
20 GB 8 GB 12 GB 0 GB 12 GB

1 Ta opłata wyklucza opłatę za dane pozyskane przez obszar roboczy usługi Log Analytics.

Aby uniknąć tej opłaty, należy filtrować pozyskane dane przy użyciu alternatywnych metod przed zastosowaniem przekształceń. Dzięki temu można zmniejszyć ilość danych przetwarzanych przez przekształcenia, a tym samym zminimalizować wszelkie dodatkowe koszty.

Zobacz Cennik usługi Azure Monitor, aby uzyskać bieżące opłaty za pozyskiwanie i przechowywanie danych dzienników w usłudze Azure Monitor.

Ważne

Jeśli usługa Azure Sentinel jest włączona dla obszaru roboczego usługi Log Analytics, nie ma opłaty za pozyskiwanie filtrów niezależnie od tego, ile danych filtruje transformacja.

Następne kroki