Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Monitor átalakításával szűrheti vagy módosíthatja a bejövő adatokat, mielőtt azokat elküldené egy Log Analytics-munkaterületre. Az átalakítások akkor lesznek futtatva, amikor az adatforrás kézbesíti az adatokat, és mielőtt elküldené őket a célhelyre. Ezek egy adatgyűjtési szabályban (DCR) vannak definiálva, és egy Kusto lekérdezésnyelv (KQL) utasítást használnak, amely egyenként van alkalmazva a bejövő adatok minden egyes bejegyzésére.
Az alábbi ábra a bejövő adatok átalakítási folyamatát mutatja be, és egy használható mintalekérdezéseket mutat be. Ebben a mintában csak azokat a rekordokat gyűjti össze, amelyekben az message oszlop tartalmazza a szót error .
Támogatott táblák
A Log Analytics-munkaterület alábbi táblázatai támogatják az átalakításokat.
- Az Azure Monitor Naplók átalakításokat támogató táblái alatt felsorolt bármely Azure-tábla. Használhatja az Azure Monitor-adathivatkozást is, amely felsorolja az egyes táblák attribútumait, beleértve azt is, hogy támogatja-e az átalakításokat.
- Az Azure Monitor-ügynökhöz létrehozott egyéni táblák.
Átalakítás létrehozása
Vannak olyan adatgyűjtési forgatókönyvek, amelyek lehetővé teszik átalakítás hozzáadását az Azure Portal használatával, de a legtöbb forgatókönyv megköveteli, hogy hozzon létre egy új DCR-t a JSON-definíciójával, vagy adjon hozzá átalakítást egy meglévő DCR-hez. Az Átalakítás létrehozása az Azure Monitorban című témakörben talál különböző lehetőségeket és ajánlott eljárásokat és mintákat az Azure Monitorban történő átalakításokhoz a gyakori forgatókönyvek mintaátalakítási lekérdezéseihez.
Munkaterület-átalakítás – DCR
Az átalakítások egy adatgyűjtési szabályban (DCR) vannak definiálva, de az Azure Monitorban még mindig vannak olyan adatgyűjtések, amelyek még nem használnak DCR-t. Ilyenek például a diagnosztikai beállítások és az Application Insights által gyűjtött alkalmazásadatok által gyűjtött erőforrásnaplók.
A munkaterület-átalakítási adatgyűjtési szabály (DCR) egy speciális DCR , amely közvetlenül egy Log Analytics-munkaterületre van alkalmazva. Ennek a DCR-nek az a célja, hogy olyan adatokon hajtsa végre az átalakításokat , amelyek még nem használnak DCR-t az adatgyűjtéshez, és így nincs eszköz az átalakítás meghatározására.
Minden munkaterülethez csak egy munkaterületi DCR tartozhat, de bármilyen számú támogatott tábla átalakításait is tartalmazhatja. Ezeket az átalakításokat a rendszer a táblákba küldött összes adatra alkalmazza, kivéve, ha ezek az adatok egy másik DCR-ből származnak.
Az Esemény tábla például windowsos virtuális gépek eseményeinek tárolására szolgál. Ha az eseménytábla munkaterület-átalakítási DCR-jében hoz létre átalakítást, az a Log Analytics-ügynök1-et futtató virtuális gépek által gyűjtött eseményekre lesz alkalmazva, mert ez az ügynök nem használ DCR-t. Az átalakítást azonban figyelmen kívül hagyná az Azure Monitor Agent (AMA) által küldött összes adat, mivel az adatgyűjtés meghatározásához DCR-t használ. Továbbra is használhat átalakítást az Azure Monitor-ügynökkel, de ezt az átalakítást az ügynökhöz társított DCR-ben, nem pedig a munkaterület-átalakítási DCR-ben kell használnia.
1 A Log Analytics-ügynök elavult, de egyes környezetek továbbra is használhatják. Ez csak egy példa egy olyan adatforrásra, amely nem használ DCR-t.
Átalakítások költsége
Az Azure Monitor felhőfolyamat naplóinak feldolgozása (átalakítása és szűrése) különböző számlázási következményekkel jár attól függően, hogy milyen típusú táblába kerülnek be az adatok a Log Analytics-munkaterületen.
Kiegészítő naplók
A Log Analytics-munkaterületre beszúrt és feldolgozott adatok kiegészítő naplóinak díjai. Az adatfeldolgozási díj az Azure Monitor felhőfolyamat által fogadott összes bejövő adatra vonatkozik, ha a Log Analytics-munkaterület célhelye egy Kiegészítő naplók tábla. Az adatbetöltési díj csak azokra az adatokra vonatkozik, amelyek a Kiegészítő naplók tábláként a Log Analytics-munkaterületre való betöltés után kerülnek be. Az átalakítások növelhetik az adatok méretét.
Az alábbi táblázatok néhány példát mutatnak be:
| Bejövő adatok mérete | Átalakítással elvetett vagy hozzáadott adatok | Log Analytics-munkaterületre beszúrt adatok segédnapló-táblaként | Számlázható GB-k adatfeldolgozása | Adatbetöltés számlázható GB-k |
|---|---|---|---|---|
| 20 GB | 12 GB elveszett | 8 GB | 20 GB | 8 GB |
| 20 GB | 8 GB elveszett | 12 GB | 20 GB | 12 GB |
| 20 GB | 4 GB hozzáadva | 24 GB | 20 GB | 24 GB |
A naplófeldolgozás és a naplóadatok betöltésének díjszabását az Azure Monitor díjszabásában tekintheti meg.
Elemzési vagy alapszintű naplók
Az elemzések vagy alapszintű naplók esetében maguk az átalakítások általában nem járnak költségekkel, de az alábbi forgatókönyvek további díjakat eredményezhetnek:
- Ha egy átalakítás növeli a bejövő adatok méretét, például számított oszlop hozzáadásával, a többletadatok szokásos betöltési sebességét kell fizetnie.
- Ha egy átalakítás a betöltött adatokat több mint 50%-nal csökkenti, az 50%feletti szűrt adatokért kell fizetnie.
Az átalakításokból eredő adatfeldolgozási díj kiszámításához használja a következő képletet:
[Átalakítással elvetett GB-adatok] – ([GB bejövő adatméret] / 2).
Az alábbi táblázat példákat mutat be.
| Bejövő adatok mérete | Átalakítással elvetett vagy hozzáadott adatok | A Log Analytics-munkaterületbe elemzési vagy alapszintű naplók táblájaként betöltött adatok | Számlázható GB-k adatfeldolgozása | Adatbetöltés számlázható GB-k |
|---|---|---|---|---|
| 20 GB | 12 GB elveszett | 8 GB | 2 GB | 8 GB |
| 20 GB | 8 GB elveszett | 12 GB | 0 GB | 12 GB |
| 20 GB | 4 GB hozzáadva | 24 GB | 0 GB | 24 GB |
A díj elkerülése érdekében az átalakítások alkalmazása előtt alternatív módszerekkel kell szűrnie a betöltött adatokat. Ezzel csökkentheti az átalakítások által feldolgozott adatok mennyiségét, és ezáltal minimalizálhatja a további költségeket.
A naplófeldolgozás és a naplóadatok betöltésének díjszabását az Azure Monitor díjszabásában tekintheti meg.
Fontos
Ha a Microsoft Sentinel engedélyezve van a Log Analytics-munkaterületen, az elemzési táblákra való átalakításnak nincs költsége, függetlenül attól, hogy az átalakítási szűrők mennyi adatot szűrnek.