Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Transformasi dalam Azure Monitor memungkinkan Anda memfilter atau memodifikasi data yang masuk sebelum disimpan di ruang kerja Analitik Log. Transformasi dijalankan setelah sumber data mengirimkan data dan sebelum dikirim ke tujuan. Mereka didefinisikan dalam aturan pengumpulan data (DCR) dan menggunakan pernyataan Bahasa Kueri Kusto (KQL) yang diterapkan secara individual ke setiap entri dalam data masuk.
Diagram berikut mengilustrasikan proses transformasi untuk data masuk dan memperlihatkan kueri sampel yang mungkin digunakan. Dalam sampel ini, hanya rekaman yang kolomnya berisi kata message dikumpulkan.
Tabel yang didukung
Tabel berikut di ruang kerja Analitik Log mendukung transformasi.
- Tabel Azure apa pun yang tercantum dalam Tabel yang mendukung transformasi di Azure Monitor Logs. Anda juga dapat menggunakan Referensi Data Azure Monitor yang mencantumkan atribut untuk setiap tabel, termasuk informasi apakah atribut tersebut mendukung transformasi.
- Tabel kustom apa pun yang dibuat untuk Agen Azure Monitor.
Membuat transformasi
Ada beberapa skenario pengumpulan data yang memungkinkan Anda menambahkan transformasi menggunakan portal Microsoft Azure, tetapi sebagian besar skenario mengharuskan Anda membuat DCR baru menggunakan definisi JSON-nya atau menambahkan transformasi ke DCR yang ada. Lihat Membuat transformasi di Azure Monitor untuk berbagai opsi dan Praktik dan sampel terbaik untuk transformasi di Azure Monitor untuk kueri transformasi sampel untuk skenario umum.
Transformasi ruang kerja DCR
Transformasi didefinisikan dalam aturan pengumpulan data (DCR), tetapi masih ada pengumpulan data di Azure Monitor yang belum menggunakan DCR. Contohnya termasuk log sumber daya yang dikumpulkan oleh pengaturan diagnostik dan data aplikasi yang dikumpulkan oleh Wawasan Aplikasi.
Aturan pengumpulan data transformasi ruang kerja (DCR) adalah DCR khusus yang diterapkan langsung ke ruang kerja Log Analitik. Tujuan dari DCR ini adalah untuk melakukan transformasi pada data yang belum menggunakan DCR untuk pengumpulan datanya, dan dengan demikian tidak memiliki cara untuk menentukan transformasi.
Hanya ada satu DCR ruang kerja untuk setiap ruang kerja, tetapi dapat menyertakan transformasi untuk sejumlah tabel yang didukung. Transformasi ini diterapkan ke data apa pun yang dikirim ke tabel ini kecuali data tersebut berasal dari DCR lain.
Misalnya, tabel Peristiwa digunakan untuk menyimpan peristiwa dari komputer virtual Windows. Jika Anda membuat transformasi dalam DCR transformasi ruang kerja untuk tabel Kejadian, transformasi tersebut akan diterapkan pada kejadian yang dikumpulkan oleh mesin virtual yang menjalankan agen Log Analytics1 karena agen ini tidak menggunakan DCR. Transformasi akan diabaikan oleh data apa pun yang dikirim dari Azure Monitor Agent (AMA) karena menggunakan DCR untuk menentukan pengumpulan datanya. Anda tetap dapat menggunakan transformasi dengan agen Azure Monitor, tetapi transformasi tersebut harus dimasukkan dalam DCR yang terkait dengan agen, dan bukan dalam DCR transformasi ruang kerja.
1 Agen Analitik Log tidak digunakan lagi, tetapi beberapa lingkungan mungkin masih menggunakannya. Ini hanya salah satu contoh sumber data yang tidak menggunakan DCR.
Transformasi alur Azure Monitor
Transformasi data alur Azure Monitor menyediakan fungsionalitas serupa sebagai transformasi data di Azure Monitor. Keduanya memungkinkan Anda menerapkan kueri KQL ke data masuk untuk memfilter atau mengubah data tersebut sebelum dikirim ke langkah berikutnya dalam aliran data.
Transformasi Azure Monitor dijalankan setelah data diterima oleh Azure Monitor tetapi sebelum diserap di ruang kerja Analitik Log. Transformasi alur Azure Monitor diterapkan sebelumnya dalam aliran data, memungkinkan pembentukan dan pemfilteran data sebelum data dikirim ke Azure Monitor. Ini membuat transformasi alur berguna untuk mengurangi volume data dan bandwidth jaringan saat mengirim data dari lingkungan tepi atau multicloud.
Tabel berikut ini meringkas perbedaan utama antara transformasi alur Azure Monitor dan transformasi Azure Monitor:
| Fitur | Transformasi Alur Azure Monitor | Transformasi Azure Monitor |
|---|---|---|
| Saat diterapkan | Sebelum data dikirim ke Azure Monitor | Setelah data diterima oleh Azure Monitor. Sebelum disimpan di ruang kerja Analitik Log |
| Definition | Ditentukan dalam aliran data di alur Azure Monitor | Ditentukan dalam Aturan Pengumpulan Data (DCR) di Azure Monitor |
| Bahasa | Bahasa Kueri Kusto (KQL) | Bahasa Kueri Kusto (KQL) |
| Apakah agregasi didukung? | Yes | Tidak. |
| Templat didukung? | Yes | Tidak. |
Data yang diimpor ke Azure Monitor adalah kombinasi dari transformasi pipeline dan transformasi Azure Monitor berikutnya. Satu-satunya persyaratan adalah bahwa skema output transformasi alur harus sesuai dengan skema input yang diharapkan oleh transformasi Azure Monitor. Meskipun Anda dapat memfilter data dalam salah satu transformasi, umumnya lebih efisien untuk memfilter data dalam transformasi alur karena ini mengurangi jumlah data yang dikirim melalui jaringan. Skema output data oleh transformasi Azure Monitor harus cocok dengan skema tabel tujuan di ruang kerja Analitik Log.
Biaya untuk transformasi
Memproses log (mengubah dan memfilter) di alur cloud Azure Monitor memiliki implikasi penagihan yang berbeda tergantung pada jenis tabel tempat data dimasukkan di ruang kerja Log Analytics.
Log Tambahan
Biaya Auxiliary Logs untuk data yang diproses dan data dimasukkan ke dalam ruang kerja Log Analytics. Biaya pemrosesan data berlaku untuk semua data masuk yang diterima oleh alur cloud Azure Monitor jika tujuan di ruang kerja Log Analytics adalah tabel Log Tambahan. Biaya penyerapan data hanya berlaku untuk data setelah transformasi yang dimasukkan sebagai tabel Auxiliary Logs ke dalam Log Analytics workspace. Transformasi dapat meningkatkan pengurangan ukuran data.
Tabel berikut ini memperlihatkan beberapa contoh:
| Ukuran data masuk | Data hilang atau ditambah oleh transformasi | Data yang dimasukkan ke workspace Log Analytics sebagai tabel Log Pendukung | GB yang dapat ditagih pemrosesan data | Penyerapan data GB yang dapat ditagih |
|---|---|---|---|---|
| 20 GB | 12 GB dihilangkan | 8 GB | 20 GB | 8 GB |
| 20 GB | 8 GB berkurang | 12 GB | 20 GB | 12 GB |
| 20 GB | 4 GB ditambahkan | 24 GB | 20 GB | 24 GB |
Lihat Harga Azure Monitor untuk harga pemrosesan log dan penyerapan data log.
Analitik atau Log Dasar
Untuk Analitik atau Log Dasar, transformasi itu sendiri biasanya tidak dikenakan biaya apa pun, tetapi skenario berikut dapat mengakibatkan biaya tambahan:
- Jika transformasi meningkatkan ukuran data masuk, seperti dengan menambahkan kolom terhitung, Anda dikenakan tarif penyerapan standar untuk data tambahan.
- Jika transformasi mengurangi data yang diserap lebih dari 50%, Anda dikenakan biaya untuk jumlah data yang difilter di atas 50%.
Untuk menghitung biaya pemrosesan data yang dihasilkan dari transformasi, gunakan rumus berikut:
[Data GB yang hilang selama transformasi] - ([Ukuran data masuk GB] / 2).
Tabel berikut ini memperlihatkan contoh.
| Ukuran data masuk | Data hilang atau ditambah oleh transformasi | Data yang diserap ke ruang kerja Analitik Log sebagai tabel Analitik atau Log Dasar | GB yang dapat ditagih pemrosesan data | Penyerapan data GB yang dapat ditagih |
|---|---|---|---|---|
| 20 GB | 12 GB dihilangkan | 8 GB | 2 GB | 8 GB |
| 20 GB | 8 GB berkurang | 12 GB | 0 GB | 12 GB |
| 20 GB | 4 GB ditambahkan | 24 GB | 0 GB | 24 GB |
Untuk menghindari biaya ini, Anda harus memfilter data yang diserap menggunakan metode alternatif sebelum menerapkan transformasi. Dengan demikian, Anda dapat mengurangi jumlah data yang diproses oleh transformasi dan, oleh karena itu, meminimalkan biaya tambahan.
Lihat Harga Azure Monitor untuk harga pemrosesan log dan penyerapan data log.
Penting
Jika Microsoft Sentinel diaktifkan untuk ruang kerja Log Analytics, tidak ada biaya untuk transformasi ke tabel Analitik, terlepas dari seberapa banyak data yang difilter oleh transformasi.