Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Transformationen in Azure Monitor ermöglichen es Ihnen, eingehende Daten zu filtern oder zu ändern, bevor sie an einen Log Analytics-Arbeitsbereich gesendet werden. Transformationen werden in der Cloudpipeline durchgeführt, nachdem die Datenquelle die Daten übermittelt hat und bevor sie an das Ziel gesendet werden. Sie werden in einer Datensammlungsregel (Data Collection Rule, DCR) definiert und verwenden eine Kusto Query Language (KQL)-Anweisung , die einzeln auf jeden Eintrag in den eingehenden Daten angewendet wird.
Das folgende Diagramm veranschaulicht den Transformationsprozess für eingehende Daten und zeigt eine Beispielabfrage, die verwendet werden könnte. In diesem Beispiel werden nur Datensätze erfasst, in denen die message Spalte das Wort error enthält.
Unterstützte Tabellen
Die folgenden Tabellen in einem Log Analytics-Arbeitsbereich unterstützen Transformationen.
- Alle Azure-Tabellen, die unter Tabellen, die Transformationen in Azure Monitor-Protokollen unterstützen. Sie können auch den Azure Monitor-Datenverweis verwenden, der die Attribute für jede Tabelle auflistet, einschließlich der Unterstützung von Transformationen.
- Jede benutzerdefinierte Tabelle, die für den Azure Monitor-Agent erstellt wurde.
Erstellen einer Transformation
Es gibt einige Datensammlungsszenarien, die es Ihnen ermöglichen, eine Transformation mithilfe des Azure-Portals hinzuzufügen, aber die meisten Szenarien erfordern, dass Sie einen neuen DCR mit seiner JSON-Definition erstellen oder eine Transformation zu einem vorhandenen DCR hinzufügen. Unter Erstellen einer Transformation in Azure Monitor finden Sie verschiedene Optionen und Bewährte Methoden und Beispiele für Transformationen in Azure Monitor für Beispieltransformationsabfragen für allgemeine Szenarien.
Arbeitsbereichstransformations-DCR
Transformationen werden in einer Datensammlungsregel (Data Collection Rule, DCR) definiert. Es gibt jedoch immer noch Datensammlungen in Azure Monitor, die noch keine DCR verwenden. Beispiele hierfür sind Ressourcenprotokolle, die von Diagnoseeinstellungen gesammelt werden, und Anwendungsdaten, die von Anwendungserkenntnissen gesammelt werden.
Die Datensammlungsregel (DCR) für die Arbeitsbereichstransformation ist eine spezielle DCR, die direkt auf einen Log Analytics-Arbeitsbereich angewendet wird. Der Zweck dieses DCR besteht darin, Transformationen für Daten durchzuführen, die noch keinen DCR für die Datensammlung verwenden und somit keine Möglichkeit haben, eine Transformation zu definieren.
Für jeden Arbeitsbereich kann nur eine Arbeitsbereichs-DCR vorhanden sein. Diese kann jedoch Transformationen für eine beliebige Anzahl unterstützter Tabellen enthalten. Diese Transformationen werden auf alle Daten angewendet, die an diese Tabellen gesendet werden, es sei denn, diese Daten stammen von einem anderen DCR.
Beispielsweise wird die Ereignistabelle verwendet, um Ereignisse von virtuellen Windows-Computern zu speichern. Wenn Sie eine Transformation in der Arbeitsbereichstransformation DCR für die Ereignistabelle erstellen, wird sie auf Ereignisse angewendet, die von virtuellen Computern gesammelt werden, auf denen der Log Analytics-Agent1 ausgeführt wird, da dieser Agent keinen DCR verwendet. Die Transformation würde von allen Daten ignoriert, die vom Azure Monitor-Agent (AMA) gesendet werden, da sie eine DCR für die Definition der Datensammlung verwendet. Sie können weiterhin eine Transformation mit dem Azure Monitor-Agent verwenden. Jedoch würden Sie diese Transformation in die DCR einschließen, die dem Agent zugeordnet ist, und nicht in die Arbeitsbereichs-DCR der Transformation.
1 Der Log Analytics-Agent ist veraltet, aber einige Umgebungen können sie weiterhin verwenden. Es ist nur ein Beispiel für eine Datenquelle, die keine DCR verwendet.
Kosten für Transformationen
Zwar fallen für Transformationen selbst keine direkten Kosten an, doch die folgenden Szenarien können zu zusätzlichen Gebühren führen:
- Wenn eine Transformation die Größe der eingehenden Daten erhöht, z. B. durch Hinzufügen einer berechneten Spalte, wird Ihnen die Standarderfassungsrate für die zusätzlichen Daten in Rechnung gestellt.
- Wenn eine Transformation die aufgenommenen Daten um mehr als 50%reduziert, werden Sie für die Menge der gefilterten Daten über 50%belastet.
Verwenden Sie die folgende Formel, um die auf Transformationen basierende Datenverarbeitungsgebühr zu berechnen:
[GB nach Transformationen herausgefiltert] – ([Von der Pipeline erfasste GB-Daten] / 2). Die folgende Tabelle enthält Beispiele.
| Von der Pipeline erfasste Daten | Durch Transformation gelöschte Daten | Vom Log Analytics-Arbeitsbereich erfasste Daten | Datenverarbeitungsgebühr | Erfassungsgebühr |
|---|---|---|---|---|
| 20 GB | 12 GB | 8 GB | 2 GB 1 | 8 GB |
| 20 GB | 8 GB | 12 GB | 0 GB | 12 GB |
1 Diese Gebühr schließt die Gebühr für Daten aus, die im Log Analytics-Arbeitsbereich verarbeitet wurden.
Um diese Gebühr zu vermeiden, sollten erfasste Daten über alternative Methoden gefiltert werden, bevor Transformationen angewendet werden. Auf diese Weise können Sie die Menge der von Transformationen verarbeiteten Daten reduzieren und somit alle zusätzlichen Kosten minimieren.
Siehe Azure Monitor-Preise für aktuelle Gebühren für die Erfassung und Aufbewahrung von Protokolldaten in Azure Monitor.
Von Bedeutung
Wenn Azure Sentinel für den Log Analytics-Arbeitsbereich aktiviert ist, fallen unabhängig davon, wie viele Daten die Transformation filtert, keine Gebühren für die Filterung der Erfassung an.