Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Przekształcenia w usłudze Azure Monitor umożliwiają filtrowanie lub modyfikowanie danych przychodzących przed wysłaniem ich do obszaru roboczego usługi Log Analytics. Przekształcenia są wykonywane w chmurowym potoku po tym, jak źródło danych dostarczy dane, a przed ich wysłaniem do miejsca docelowego. Są one definiowane w regule zbierania danych (DCR) i używają instrukcji języka zapytań Kusto (KQL), która jest stosowana indywidualnie do każdego wpisu w danych przychodzących.
Na poniższym diagramie przedstawiono proces przekształcania danych przychodzących i pokazano przykładowe zapytanie, które może być używane. W tym przykładzie są zbierane tylko rekordy, w których kolumna message zawiera wyraz error .
Obsługiwane tabele
Poniższe tabele w obszarze roboczym Log Analytics obsługują przekształcenia.
- Dowolna tabela platformy Azure wymieniona w tabelach, które obsługują przekształcenia w dziennikach usługi Azure Monitor. Możesz również użyć dokumentacji danych usługi Azure Monitor, która zawiera listę atrybutów dla każdej tabeli, w tym informacje o tym, czy obsługuje przekształcenia.
- Dowolna tabela niestandardowa utworzona dla agenta usługi Azure Monitor.
Utwórz przekształcenie
Istnieją pewne scenariusze zbierania danych, które umożliwiają dodanie przekształcenia przy użyciu portalu Azure, ale większość scenariuszy wymaga utworzenia nowego DCR przy użyciu jego definicji JSON lub dodania przekształcenia do istniejącego DCR. Zobacz Tworzenie przekształcenia w usłudze Azure Monitor, aby poznać różne opcje i najlepsze rozwiązania oraz przykłady przekształceń w usłudze Azure Monitor, aby zapoznać się z przykładowymi zapytaniami przekształcania w przypadku typowych scenariuszy.
Przekształcanie przestrzeni roboczej DCR
Przekształcenia są definiowane w regule zbierania danych (DCR), ale nadal istnieją kolekcje danych w usłudze Azure Monitor, które nie używają jeszcze DCR. Przykłady obejmują dzienniki zasobów zbierane przez ustawienia diagnostyczne i dane aplikacji zebrane przez usługę Application Insights.
Reguła zbierania danych przekształcania obszaru roboczego (DCR) to specjalna reguła zbierania danych (DCR) stosowana bezpośrednio do obszaru roboczego usługi Log Analytics. Celem tego DCR jest wykonanie przekształceń na danych, które jeszcze nie używają DCR do zbierania danych, i przez to nie można zdefiniować przekształceń.
Dla każdego obszaru roboczego może istnieć tylko jeden DCR dla obszaru roboczego, ale może zawierać przekształcenia dla dowolnej liczby obsługiwanych tabel. Te przekształcenia są stosowane do wszystkich danych wysyłanych do tych tabel, chyba że dane pochodzą z innego kontrolera domeny.
Na przykład tabela zdarzeń służy do przechowywania zdarzeń z maszyn wirtualnych z systemem Windows. Jeśli utworzysz przekształcenie w obszarze roboczym DCR dla tabeli zdarzeń, zostanie ono zastosowane do zdarzeń zebranych przez maszyny wirtualne z uruchomionym agentem Log Analytics1, ponieważ ten agent nie używa DCR. Przekształcenie zostałoby zignorowane przez dowolne dane wysyłane z agenta usługi Azure Monitor (AMA), ponieważ do zdefiniowania jego zbierania danych jest używana funkcja DCR. Nadal można użyć przekształcenia z agentem usługi Azure Monitor, ale należy uwzględnić to przekształcenie w regule zbierania danych (DCR) skojarzonej z agentem, a nie w regule zbierania danych dla przekształcenia obszaru roboczego.
1 Agent usługi Log Analytics został przestarzały, ale niektóre środowiska mogą nadal go używać. Jest to tylko jeden przykład źródła danych, które nie używa DCR.
Koszt przekształceń
Chociaż same przekształcenia nie generują bezpośrednich kosztów, następujące scenariusze mogą spowodować dodatkowe opłaty:
- Jeśli transformacja zwiększy rozmiar danych przychodzących, na przykład przez dodanie kolumny obliczeniowej, naliczana jest standardowa stawka pozyskiwania dodatkowych danych.
- Jeśli transformacja zmniejszy pozyskane dane o ponad 50%, opłata jest naliczana za ilość przefiltrowanych danych powyżej 50%.
Aby obliczyć opłatę za przetwarzanie danych wynikające z przekształceń, użyj następującej formuły:
[GB przefiltrowane przez przekształcenia] — ([GB danych wczytanych przez potok] / 2). W poniższej tabeli przedstawiono przykłady.
| Dane pozyskane przez potok | Dane porzucone przez przekształcenie | Dane pozyskane przez obszar roboczy usługi Log Analytics | Opłata za przetwarzanie danych | Opłata za pozyskiwanie |
|---|---|---|---|---|
| 20 GB | 12 GB | 8 GB | 2 GB 1 | 8 GB |
| 20 GB | 8 GB | 12 GB | 0 GB | 12 GB |
1 Ta opłata wyklucza opłatę za dane pozyskane przez obszar roboczy usługi Log Analytics.
Aby uniknąć tej opłaty, należy filtrować pozyskane dane przy użyciu alternatywnych metod przed zastosowaniem przekształceń. Dzięki temu można zmniejszyć ilość danych przetwarzanych przez przekształcenia, a tym samym zminimalizować wszelkie dodatkowe koszty.
Zobacz Cennik usługi Azure Monitor, aby uzyskać bieżące opłaty za pozyskiwanie i przechowywanie danych dzienników w usłudze Azure Monitor.
Ważne
Jeśli usługa Azure Sentinel jest włączona dla obszaru roboczego usługi Log Analytics, nie ma opłaty za pozyskiwanie filtrów niezależnie od tego, ile danych filtruje transformacja.