Поделиться через

Преобразования в Azure Monitor

  • Статья

Преобразования в Azure Monitor позволяют фильтровать или изменять входящие данные до того, как они будут отправлены в рабочую область Log Analytics. Преобразования выполняются в облачном конвейере после доставки данных источника данных и перед его отправкой в место назначения. Они определены в правиле сбора данных (DCR) и используют инструкцию язык запросов Kusto (KQL), которая применяется отдельно к каждой записи в входящих данных.

На следующей схеме показан процесс преобразования для входящих данных и показан пример запроса, который может использоваться. В этом примере будут собираться только записи, в которых message содержится слово error .

Схема, показывающая преобразование времени приема для входящих данных.

Поддерживаемые таблицы

Следующие таблицы в рабочей области Log Analytics поддерживают преобразования.

  • Любая таблица Azure, указанная в таблицах, поддерживающих преобразования в журналах Azure Monitor. Вы также можете использовать ссылку на данные Azure Monitor, в которой перечислены атрибуты для каждой таблицы, включая, поддерживает ли она преобразования.
  • Любая пользовательская таблица, созданная для агента Azure Monitor.

Создание преобразования

Существуют некоторые сценарии сбора данных, которые позволят добавить преобразование с помощью портал Azure, но в большинстве сценариев потребуется создать новый DCR с помощью определения JSON или добавить преобразование в существующий DCR. См. статью "Создание преобразования в Azure Monitor" для различных вариантов и рекомендаций и примеров преобразований в Azure Monitor для примеров запросов преобразования для распространенных сценариев.

DCR преобразования рабочей области

Преобразования определяются в правиле сбора данных (DCR), но в Azure Monitor по-прежнему существуют коллекции данных, которые еще не используют DCR. Примеры включают журналы ресурсов, собранные параметрами диагностики и данными приложения, собранными Application Insights.

Правило сбора данных преобразования рабочей области (DCR) — это специальный DCR, который применяется непосредственно к рабочей области Log Analytics. Цель этого DCR заключается в преобразовании данных, которые еще не используют DCR для сбора данных, и поэтому не имеет средств для определения преобразования.

Для каждой рабочей области может быть только один DCR рабочей области, но он может включать преобразования для любого количества поддерживаемых таблиц. Эти преобразования применяются ко всем данным, отправляемым в эти таблицы, если только эти данные не были получены от другого правила DCR.

Схема, показывющая операцию преобразования рабочей области DCR.

Например, таблица событий используется для хранения событий из виртуальных машин Windows. Если вы создаете преобразование в DCR преобразования рабочей области для таблицы событий, оно будет применено к событиям, собранным виртуальными машинами с агентомLog Analytics 1 , так как этот агент не использует DCR. Преобразование будет игнорироваться, хотя любые данные, отправляемые агентом Azure Monitor (AMA), так как он использует DCR для определения сбора данных. Вы по-прежнему можете использовать преобразование с агентом Azure Monitor, но включить это преобразование в DCR, связанное с агентом, а не преобразованием рабочей области DCR.

Схема, сравнивающая стандартные преобразования DCR с DCR рабочей области.

1 Агент Log Analytics устарел, но некоторые среды по-прежнему могут использовать его. Это только один пример источника данных, который не использует DCR.

Затраты на преобразования

Хотя преобразования сами по себе не несут прямых затрат, следующие сценарии могут привести к дополнительным расходам:

  • Если преобразование увеличивает размер входящих данных, например путем добавления вычисляемого столбца, вы будете взимать плату за стандартную скорость приема для дополнительных данных.
  • Если преобразование уменьшает прием данных более чем на 50%, вы будете взиматься за объем отфильтрованных данных выше 50 %.

Чтобы вычислить плату за обработку данных, полученную из преобразований, используйте следующую формулу:
[ГБ, отфильтрованный по преобразованиям] — ([ГБ данных, принятых конвейером] / 2). В следующей таблице показаны примеры.

Прием данных конвейером Данные, удаленные путем преобразования Прием данных в рабочей области Log Analytics Плата за обработку данных Плата за прием
20 ГБ 12 ГБ 8 ГБ 2 ГБ 1 8 ГБ
20 ГБ 8 ГБ 12 ГБ 0 ГБ 12 ГБ

1 Эта плата исключает плату за прием данных в рабочей области Log Analytics.

Чтобы избежать этой платы, перед применением преобразований следует фильтровать прием данных с помощью альтернативных методов. Таким образом, можно уменьшить объем данных, обработанных преобразованиями, и, следовательно, свести к минимуму дополнительные затраты.

Сведения о ценах на Azure Monitor для приема и хранения данных журнала в Azure Monitor см. в ценах на текущие расходы.

Внимание

Если Azure Sentinel включена для рабочей области Log Analytics, плата за прием не взимается независимо от объема данных фильтров преобразования.

Следующие шаги