Transformaties in Azure Monitor

Artikel
19-12-2024

Met transformaties in Azure Monitor kunt u binnenkomende gegevens filteren of wijzigen voordat deze naar een Log Analytics-werkruimte worden verzonden. Transformaties worden uitgevoerd in de cloudpijplijn nadat de gegevensbron de gegevens levert en voordat deze naar de bestemming worden verzonden. Ze worden gedefinieerd in een DCR (Data Collection Rule) en gebruiken een Kusto-querytaal -instructie (KQL) die afzonderlijk wordt toegepast op elke vermelding in de binnenkomende gegevens.

Het volgende diagram illustreert het transformatieproces voor binnenkomende gegevens en toont een voorbeeldquery die kan worden gebruikt. In dit voorbeeld worden alleen records vastgelegd waarin de message kolom het woord error bevat.

Ondersteunde tabellen

De volgende tabellen in een Log Analytics-werkruimte ondersteunen transformaties.

Elke Azure-tabel die wordt vermeld in tabellen die transformaties in Azure Monitor-logboeken ondersteunen. U kunt ook de Azure Monitor-gegevensreferentie gebruiken waarin de kenmerken voor elke tabel worden vermeld, inclusief of deze transformaties ondersteunt.
Elke aangepaste tabel die is gemaakt voor de Azure Monitor-agent.

Een transformatie maken

Er zijn enkele scenario's voor gegevensverzameling waarmee u een transformatie kunt toevoegen met behulp van Azure Portal, maar in de meeste scenario's moet u een nieuwe DCR maken met behulp van de JSON-definitie of een transformatie toevoegen aan een bestaande DCR. Zie Een transformatie maken in Azure Monitor voor verschillende opties en aanbevolen procedures en voorbeelden voor transformaties in Azure Monitor voor voorbeeldtransformatiequery's voor veelvoorkomende scenario's.

DCR voor werkruimtetransformatie

Transformaties worden gedefinieerd in een regel voor gegevensverzameling (DCR), maar er zijn nog steeds gegevensverzamelingen in Azure Monitor die nog geen DCR gebruiken. Voorbeelden hiervan zijn resourcelogboeken die worden verzameld door diagnostische instellingen en toepassingsgegevens die worden verzameld door Application Insights.

De regel voor gegevensverzameling van werkruimtetransformatiegegevens (DCR) is een speciale DCR die rechtstreeks wordt toegepast op een Log Analytics-werkruimte. Het doel van deze DCR is het uitvoeren van transformaties op gegevens die nog geen DCR gebruiken voor het verzamelen van gegevens en dus geen middelen heeft om een transformatie te definiëren.

Er kan slechts één werkruimte-DCR zijn voor elke werkruimte, maar deze kan transformaties bevatten voor een willekeurig aantal ondersteunde tabellen. Deze transformaties worden toegepast op alle gegevens die naar deze tabellen worden verzonden, tenzij die gegevens afkomstig zijn van een andere DCR.

De gebeurtenistabel wordt bijvoorbeeld gebruikt voor het opslaan van gebeurtenissen van virtuele Windows-machines. Als u een transformatie in de DCR voor de gebeurtenistabel maakt in de werkruimtetransformatie, wordt deze toegepast op gebeurtenissen die worden verzameld door virtuele machines waarop de Log Analytics-agent¹ wordt uitgevoerd, omdat deze agent geen DCR gebruikt. De transformatie wordt echter genegeerd door alle gegevens die vanuit de Azure Monitor-agent (AMA) worden verzonden, omdat er een DCR wordt gebruikt om de gegevensverzameling te definiëren. U kunt nog steeds een transformatie gebruiken met de Azure Monitor-agent, maar u neemt deze transformatie op in de DCR die is gekoppeld aan de agent en niet de dcr voor werkruimtetransformatie.

¹ De Log Analytics-agent is afgeschaft, maar sommige omgevingen kunnen deze nog steeds gebruiken. Het is slechts één voorbeeld van een gegevensbron die geen DCR gebruikt.

Kosten voor transformaties

Hoewel voor transformaties zelf geen directe kosten in rekening worden gebracht, kunnen de volgende scenario's leiden tot extra kosten:

Als een transformatie de grootte van de binnenkomende gegevens verhoogt, bijvoorbeeld door een berekende kolom toe te voegen, wordt het standaardopnametarief voor de extra gegevens in rekening gebracht.
Als een transformatie de opgenomen gegevens met meer dan 50% vermindert, worden er kosten in rekening gebracht voor de hoeveelheid gefilterde gegevens boven 50%.

Gebruik de volgende formule om de kosten voor gegevensverwerking te berekenen die het gevolg zijn van transformaties:
[GB gefilterd op transformaties] - ([GB gegevens opgenomen per pijplijn] / 2). In de volgende tabel ziet u voorbeelden.

Gegevens die zijn opgenomen per pijplijn	Gegevens verwijderd door transformatie	Gegevens opgenomen door Log Analytics-werkruimte	Kosten voor gegevensverwerking	Opnamekosten
20 GB	12 GB	8 GB	2 GB ¹	8 GB
20 GB	8 GB	12 GB	0 GB	12 GB

¹ Deze kosten zijn exclusief de kosten voor gegevens die zijn opgenomen door de Log Analytics-werkruimte.

Om deze kosten te voorkomen, moet u opgenomen gegevens filteren met behulp van alternatieve methoden voordat u transformaties toepast. Hierdoor kunt u de hoeveelheid gegevens die worden verwerkt door transformaties verminderen en daarom eventuele extra kosten minimaliseren.

Zie de prijzen van Azure Monitor voor de huidige kosten voor opname en retentie van logboekgegevens in Azure Monitor.

Belangrijk

Als Azure Sentinel is ingeschakeld voor de Log Analytics-werkruimte, worden er geen filteropnamekosten in rekening gebracht, ongeacht hoeveel gegevens de transformatiefilters bevatten.

Volgende stappen

Aanvullende resources

Documentatie

Руководство. Добавление преобразования рабочей области в журналы Azure Monitor с помощью портал Azure - Azure Monitor

Описывает добавление пользовательского преобразования в данные, поступающие через журналы Azure Monitor с помощью портал Azure.
Таблицы, поддерживающие преобразования времени приема в журналах Azure Monitor - Azure Monitor

Справочник по таблицам, поддерживающим преобразования времени приема в журналах Azure Monitor.
Преобразование текстовых журналов во время приема в журналах Azure Monitor - Azure Monitor

Напишите запрос KQL, который преобразует данные текстового журнала и добавляет преобразование в правило сбора данных в журналах Azure Monitor.
Примеры преобразований в Azure Monitor - Azure Monitor

Примеры преобразований для распространенных сценариев в Azure Monitor.
Руководство. Добавление преобразования времени приема в журналы Azure Monitor с помощью шаблонов Resource Manager - Azure Monitor

Описывает добавление пользовательского преобразования в данные, поступающие через журналы Azure Monitor с помощью шаблонов Resource Manager.
Создание преобразования в Azure Monitor - Azure Monitor

Создайте преобразование в Azure Monitor и добавьте его в правило сбора данных (DCR).
Добавление или удаление таблиц и столбцов в журналах Azure Monitor - Azure Monitor

Создайте таблицу с пользовательской схемой для сбора журналов из любого источника данных.

Training

Module

Преобразование в требуемом масштабе без написания кода с Фабрикой данных Azure - Training

Преобразование в требуемом масштабе без написания кода с Фабрикой данных Azure или конвейером Azure Synapse

Certificering

Microsoft Certified: Azure Data Engineer Associate (Сертификация Майкрософт. Помощник Инженера данных Azure) - Certifications

Продемонстрировать понимание распространенных задач проектирования данных для реализации рабочих нагрузок проектирования данных и управления ими в Microsoft Azure с помощью ряда служб Azure.

gebeurtenis

Intelligente apps bouwen

17 mrt, 21 - 21 mrt, 10

Neem deel aan de meetup-serie om schaalbare AI-oplossingen te bouwen op basis van praktijkgebruiksvoorbeelden met collega-ontwikkelaars en experts.

Nu registreren

Delen via