Transformeringar i Azure Monitor
Med transformeringar i Azure Monitor kan du filtrera eller ändra inkommande data innan de skickas till en Log Analytics-arbetsyta. Transformeringar utförs i molnpipelinen när datakällan levererar data och innan de skickas till målet. De definieras i en datainsamlingsregel (DCR) och använder en KQL-instruktion (Kusto-frågespråk) som tillämpas individuellt på varje post i inkommande data.
Följande diagram illustrerar omvandlingsprocessen för inkommande data och visar en exempelfråga som kan användas. I det här exemplet samlas endast poster där message kolumnen innehåller ordet error in.
Tabeller som stöds
Följande tabeller i en Log Analytics-arbetsyta stöder transformeringar.
- Alla Azure-tabeller som anges i Tabeller som stöder transformeringar i Azure Monitor-loggar. Du kan också använda Azure Monitor-datareferensen som visar attributen för varje tabell, inklusive om den stöder transformeringar.
- Alla anpassade tabeller som skapats för Azure Monitor-agenten.
Skapa en transformering
Det finns vissa scenarier för datainsamling som gör att du kan lägga till en transformering med hjälp av Azure Portal, men de flesta scenarier kräver att du skapar en ny DCR med dess JSON-definition eller lägger till en transformering till en befintlig DCR. Se Skapa en transformering i Azure Monitor för olika alternativ och metodtips och exempel för transformeringar i Azure Monitor för exempeltransformeringsfrågor för vanliga scenarier.
DCR för arbetsytetransformering
Transformeringar definieras i en datainsamlingsregel (DCR), men det finns fortfarande datasamlingar i Azure Monitor som ännu inte använder en DCR. Exempel är resursloggar som samlas in av diagnostikinställningar och programdata som samlas in av Application Insights.
Datainsamlingsregeln för arbetsytetransformering (DCR) är en särskild DCR som tillämpas direkt på en Log Analytics-arbetsyta. Syftet med denna DCR är att utföra transformeringar på data som ännu inte använder en DCR för sin datainsamling och därför inte har något sätt att definiera en transformering.
Det kan bara finnas en arbetsyte-DCR för varje arbetsyta, men den kan innehålla transformeringar för valfritt antal tabeller som stöds. Dessa transformeringar tillämpas på alla data som skickas till dessa tabeller om inte dessa data kom från en annan DCR.
Händelsetabellen används till exempel för att lagra händelser från virtuella Windows-datorer. Om du skapar en transformering i arbetsytans transformerings-DCR för händelsetabellen tillämpas den på händelser som samlas in av virtuella datorer som kör Log Analytics-agenten1 eftersom den här agenten inte använder någon DCR. Omvandlingen ignoreras dock av data som skickas från Azure Monitor Agent (AMA) eftersom den använder en DCR för att definiera sin datainsamling. Du kan fortfarande använda en transformering med Azure Monitor-agenten, men du skulle inkludera den omvandlingen i DCR som är associerad med agenten och inte dcR för arbetsytetransformeringen.
1 Log Analytics-agenten är inaktuell, men vissa miljöer kan fortfarande använda den. Det är bara ett exempel på en datakälla som inte använder en DCR.
Kostnad för transformeringar
Även om själva omvandlingarna inte medför direkta kostnader kan följande scenarier resultera i ytterligare avgifter:
- Om en transformering ökar storleken på inkommande data, till exempel genom att lägga till en beräknad kolumn, debiteras du standardinmatningshastigheten för extra data.
- Om en transformering minskar inmatade data med mer än 50 % debiteras du för mängden filtrerade data över 50 %.
Använd följande formel för att beräkna databearbetningsavgiften till följd av transformeringar:
[GB filtreras bort av transformeringar] – ([GB-data som matas in av pipeline] / 2). Följande tabell visar exempel.
| Data som matas in av pipeline | Data som släppts av transformering | Data som matas in av Log Analytics-arbetsytan | Avgift för databearbetning | Inmatningsavgift |
|---|---|---|---|---|
| 20 GB | 12 GB | 8 GB | 2 GB 1 | 8 GB |
| 20 GB | 8 GB | 12 GB | 0 GB | 12 GB |
1 Den här avgiften exkluderar avgiften för data som matas in av Log Analytics-arbetsytan.
För att undvika den här avgiften bör du filtrera inmatade data med hjälp av alternativa metoder innan du tillämpar transformeringar. På så sätt kan du minska mängden data som bearbetas av transformeringar och därmed minimera eventuella ytterligare kostnader.
Se Priser för Azure Monitor för aktuella avgifter för inmatning och kvarhållning av loggdata i Azure Monitor.
Viktigt!
Om Azure Sentinel är aktiverat för Log Analytics-arbetsytan finns det ingen avgift för filtreringsinmatning oavsett hur mycket data transformeringsfiltren filtrerar.