Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las transformaciones en Azure Monitor le permiten filtrar o modificar los datos entrantes antes de que se envíen a un área de trabajo de Log Analytics. Las transformaciones se ejecutan después de que el origen de datos entregue los datos y antes de enviarlos al destino. Se definen en una regla de recopilación de datos (DCR) y usan una instrucción del lenguaje de consulta kusto (KQL) que se aplica individualmente a cada entrada de los datos entrantes.
En el diagrama siguiente se muestra el proceso de transformación de los datos entrantes y se muestra una consulta de ejemplo que se puede usar. En este ejemplo, solo se recopilan los registros en los que la columna message contiene la palabra error.
Tablas admitidas
Las tablas siguientes de un área de trabajo de Log Analytics admiten transformaciones.
- Cualquier tabla de Azure que aparezca en Tablas que admitan transformaciones en los registros de Azure Monitor. También puede usar la referencia de datos de Azure Monitor que enumera los atributos de cada tabla, incluido si admite transformaciones.
- Cualquier tabla personalizada creada para el agente de Azure Monitor.
Creación de una transformación
Hay algunos escenarios de recopilación de datos que permiten agregar una transformación mediante Azure Portal, pero la mayoría de los escenarios requieren que cree un controlador de dominio nuevo mediante su definición JSON o agregue una transformación a un DCR existente. Consulte Creación de una transformación en Azure Monitor para ver diferentes opciones y procedimientos recomendados y ejemplos de transformaciones en Azure Monitor para consultas de transformación de ejemplo para escenarios comunes.
DCR de transformación del área de trabajo
Las transformaciones se definen en una regla de recopilación de datos (DCR), pero todavía hay colecciones de datos en Azure Monitor que aún no usan un DCR. Entre los ejemplos se incluyen los registros de recursos recopilados por la configuración de diagnóstico y los datos de la aplicación recopilados por Application Insights.
La regla de recopilación de datos de transformación del área de trabajo (DCR) es un DCR especial que se aplica directamente a un área de trabajo de Log Analytics. El propósito de este DCR es realizar transformaciones en los datos que aún no usan un DCR para su recopilación de datos y, por tanto, no tiene ningún medio para definir una transformación.
Solo puede haber una DCR de área de trabajo para cada área de trabajo, pero puede incluir transformaciones para cualquier número de tablas admitidas. Estas transformaciones se aplican a todos los datos enviados a estas tablas a menos que esos datos procedan de otro DCR.
Por ejemplo, la tabla Event se usa para almacenar eventos de máquinas virtuales Windows. Si crea una transformación en el DCR de transformación del área de trabajo para la tabla Event, se aplicará a los eventos recopilados por las máquinas virtuales que ejecutan el agente de Log Analytics1 porque este agente no usa un DCR. La transformación se omitiría aunque cualquier dato enviado desde el Agente de Azure Monitor (AMA) porque usa un DCR para definir su recopilación de datos. Todavía puede usar una transformación con el agente de Azure Monitor, pero incluiría esa transformación en el DCR asociado al agente y no al DCR de transformación del área de trabajo.
1 El agente de Log Analytics ha quedado en desuso, pero algunos entornos pueden seguir utilizándolo. Solo es un ejemplo de un origen de datos que no usa un DCR.
Transformaciones de canalización de Azure Monitor
Las transformaciones de datos de canalización de Azure Monitor proporcionan una funcionalidad similar a las transformaciones de datos en Azure Monitor. Ambos permiten aplicar una consulta KQL a los datos entrantes para filtrar o modificar esos datos antes de enviarlos al siguiente paso del flujo de datos.
Las transformaciones de Azure Monitor se ejecutan después de que Azure Monitor reciba los datos, pero antes de ingerirlos en el área de trabajo de Log Analytics. Las transformaciones de canalización de Azure Monitor se aplican anteriormente en el flujo de datos, lo que permite dar forma y filtrar datos antes de que los datos se envíen a Azure Monitor. Esto hace que las transformaciones de canalización sean útiles para reducir el volumen de datos y el ancho de banda de red al enviar datos desde entornos perimetrales o multinube.
En la tabla siguiente se resumen las diferencias clave entre las transformaciones de canalización de Azure Monitor y las transformaciones de Azure Monitor:
| Característica | Transformaciones de canalización de Azure Monitor | Transformaciones de Azure Monitor |
|---|---|---|
| Cuando se aplica | Antes de enviar datos a Azure Monitor | Una vez recibidos los datos por Azure Monitor. Antes de almacenarlo en el área de trabajo de Log Analytics |
| Definición | Se define en flujos de datos en la canalización de Azure Monitor | Definido en Reglas de recopilación de datos (DCR) en Azure Monitor |
| Language | Lenguaje de consulta de Kusto (KQL) | Lenguaje de consulta de Kusto (KQL) |
| ¿Se admiten agregaciones? | Sí | No |
| ¿Se admite la plantilla? | Sí | No |
Los datos que se ingieren en Azure Monitor son una combinación de la transformación de la canalización y las transformaciones posteriores de Azure Monitor. El único requisito es que el esquema de salida de la transformación de canalización debe coincidir con el esquema de entrada esperado por la transformación de Azure Monitor. Aunque puede filtrar los datos en cualquier transformación, suele ser más eficaz filtrar los datos en las transformaciones de canalización, ya que esto reduce la cantidad de datos enviados a través de la red. El esquema de la salida de datos de la transformación de Azure Monitor debe coincidir con el esquema de la tabla de destino en el área de trabajo de Log Analytics.
Coste de las transformaciones
Los registros de procesamiento (transformación y filtrado) en la canalización en la nube de Azure Monitor tienen diferentes implicaciones de facturación en función del tipo de tabla en el que se ingieren datos en un área de trabajo de Log Analytics.
Registros auxiliares
Cargos por registros auxiliares para los datos procesados e ingeridos en una área de trabajo de Log Analytics. El cargo de procesamiento de datos se aplica a todos los datos entrantes recibidos por la canalización en la nube de Azure Monitor si el destino de un área de trabajo de Log Analytics es una tabla de registros auxiliares. El cargo de ingesta de datos solo se aplica a los datos después de la transformación que se inserta como una tabla de registros auxiliares en un área de trabajo de Log Analytics. Las transformaciones pueden aumentar el tamaño de los datos.
En las tablas siguientes se muestran algunos ejemplos:
| Tamaño de los datos entrantes | Datos eliminados o agregados por transformación | Datos integrados en un espacio de trabajo de Log Analytics como una tabla de registros auxiliares | GB facturables de procesamiento de datos | GB facturables por ingestión de datos |
|---|---|---|---|---|
| 20 GB | 12 GB perdidos | 8 GB | 20 GB | 8 GB |
| 20 GB | 8 GB descartados | 12 GB | 20 GB | 12 GB |
| 20 GB | Se han agregado 4 GB | 24 GB | 20 GB | 24 GB |
Consulte Precios de Azure Monitor para conocer los precios de la ingesta de datos de registro y procesamiento de registros.
Análisis o registros básicos
En el caso de los registros básicos o de Análisis, las transformaciones no suelen incurrir en costos, pero los escenarios siguientes pueden dar lugar a cargos adicionales:
- Si una transformación aumenta el tamaño de los datos entrantes, por ejemplo, agregando una columna calculada, se le cobrará la tasa de ingesta estándar de los datos adicionales.
- Si una transformación reduce los datos ingeridos en más de 50%, se le cobra por la cantidad de datos filtrados por encima de 50%.
Para calcular el cargo de procesamiento de datos resultante de las transformaciones, use la fórmula siguiente:
[GB de datos descartados por transformación] - ([GB de tamaño de datos entrantes] / 2).
En la tabla siguiente se muestran ejemplos.
| Tamaño de los datos entrantes | Datos eliminados o agregados por transformación | Datos ingeridos en un área de trabajo de Log Analytics como una tabla de registros básicos o de análisis | GB facturables de procesamiento de datos | GB facturables por ingestión de datos |
|---|---|---|---|---|
| 20 GB | 12 GB perdidos | 8 GB | 2 GB | 8 GB |
| 20 GB | 8 GB descartados | 12 GB | 0 GB | 12 GB |
| 20 GB | Se han agregado 4 GB | 24 GB | 0 GB | 24 GB |
Para evitar este cargo, debería filtrar los datos ingeridos mediante métodos alternativos antes de aplicar transformaciones. Al hacerlo, puede reducir la cantidad de datos procesados por transformaciones y, por lo tanto, minimizar los costos adicionales.
Consulte Precios de Azure Monitor para obtener precios para el procesamiento de registros y la ingesta de datos de registro.
Importante
Si Microsoft Sentinel está habilitado para el área de trabajo de Log Analytics, no hay ningún costo para la transformación en tablas de Analytics, independientemente de la cantidad de datos que filtra la transformación.