Azure 監視器中的轉換可讓您先篩選或修改傳入數據,再傳送至 Log Analytics 工作區。 轉換會在資料來源傳遞資料之後以及在其被傳送至目的地之前執行。 它們是在資料收集規則 (DCR)中定義的,並使用一個 Kusto 查詢語言 (KQL) 語句,個別套用到傳入資料的每個項目上。
下圖說明傳入資料的轉換程序,並顯示可能使用的範例查詢。 在此範例中,僅收集message欄中包含error一詞的記錄。
支援的資料表
Log Analytics 工作區中的下表支援轉換。
- 支援 Azure 監視器記錄中轉換的資料表中所列的任何 Azure 資料表。 您也可以使用 Azure 監視器資料參考,其中列出每個資料表的屬性,包括是否支援轉換。
- 為 Azure 監視器代理程式建立的任何自訂資料表
建立轉換
有些數據收集案例可讓您使用 Azure 入口網站新增轉換,但大部分案例都需要使用其 JSON 定義建立新的 DCR,或將轉換新增至現有的 DCR。 如需不同選項的詳細資訊,請參閱在 Azure 監視器中建立轉換,如需常見案例的範例轉換查詢,請參閱Azure 監視器中的最佳做法和範例。
工作區轉換 DCR
轉換是在數據收集規則中定義,但 Azure 監視器中仍有尚未使用 DCR 的數據集合。 範例包括診斷設定所收集的資源記錄,以及 Application Insights 所收集的應用程式數據。
工作區轉換資料收集規則 (DCR) 是一個直接套用至 Log Analytics 工作區的特殊 DCR。 此 DCR 的目的是針對尚未對其數據收集使用 DCR 的數據執行 轉換 ,因此沒有任何方法可定義轉換。
每個工作區只能有一個工作區 DCR,但它可以包含針對任何數量支援資料表的轉換。 除非該資料來自另一個 DCR,否則這些轉換會套用至傳送至這些資料表的任何資料。
例如, 事件 數據表可用來儲存來自 Windows 虛擬機的事件。 如果您在事件數據表的工作區轉換 DCR 中建立轉換,它會套用至執行 Log Analytics 代理程式1 的虛擬機所收集的事件,因為此代理程式不會使用 DCR。 不過,從 Azure 監視器代理程式 (AMA) 傳送的任何數據都會忽略轉換,因為它會使用 DCR 來定義其數據收集。 您仍然可以使用 Azure 監視器代理程式搭配轉換,不過該轉換應包含在與代理程式相關聯的 DCR 中,而非工作區轉換 DCR 中。
1 Log Analytics 代理程式已被取代,但某些環境可能仍會使用它。 這隻是未使用 DCR 之數據來源的其中一個範例。
轉換成本
在 Azure 監視器雲端管線中處理記錄 (轉換和篩選) 時,依據資料被擷取到 Log Analytics 工作區的資料表類型,其計費方式會有所不同。
輔助日誌
輔助記錄會針對已處理的資料以及已擷取到 Log Analytics 工作區的資料收費。 如果 Log Analytics 工作區中的目的地是輔助記錄資料表,則資料處理費用會套用至 Azure 監視器雲端管線所接收的所有傳入資料。 資料擷取費用僅適用於轉換之後的資料,這些資料會以輔助記錄資料表的形式擷取至 Log Analytics 工作區。 轉換可以增加或減少資料的大小。
下表顯示一些範例:
| 傳入資料大小 | 透過轉換捨棄或新增的資料 | 內嵌至 Log Analytics 工作區作為輔助記錄資料表的資料 | 資料處理計費 GB | 資料擷取計費 GB |
|---|---|---|---|---|
| 20 GB | 12 GB 遺失 | 8 GB | 20 GB | 8 GB |
| 20 GB | 8 GB 丟失 | 12 GB | 20 GB | 12 GB |
| 20 GB | 新增 4 GB | 24 GB | 20 GB | 24 GB |
如需記錄處理和記錄資料擷取的價格,請參閱 Azure 監視器定價 。
分析或基本記錄
對於 Analytics 或基本記錄,轉換本身通常不會產生任何成本,但下列案例可能會導致額外費用:
- 如果轉換增加傳入資料的大小 (例如透過新增計算結果欄),您將需要支付額外資料的標準擷取費率。
- 如果轉換將擷取的資料減少了一半以上,您將需要支付超過 50% 之已篩選資料的費用。
若要計算轉換所產生的資料處理費用,請使用下列公式:
[轉換捨棄的 GB 資料] - ([GB 傳入資料大小] / 2)。
下表顯示範例。
| 傳入資料大小 | 透過轉換捨棄或新增的資料 | 內嵌至 Log Analytics 工作區作為分析或基本記錄資料表的資料 | 資料處理計費 GB | 資料擷取計費 GB |
|---|---|---|---|---|
| 20 GB | 12 GB 遺失 | 8 GB | 2 GB | 8 GB |
| 20 GB | 8 GB 丟失 | 12 GB | 0 GB | 12 GB |
| 20 GB | 新增 4 GB | 24 GB | 0 GB | 24 GB |
若要避免這項費用,您應該先使用替代方法篩選匯入資料,再在應用轉換之前進行篩選。 如此一來,您就可以減少轉換所處理的資料量,從而將任何額外的成本降到最低。
如需記錄處理和記錄資料擷取的定價,請參閱 Azure 監視器定價 。
這很重要
如果在 Log Analytics 工作區中啟用了 Microsoft Sentinel,則無論轉換篩選多少資料,轉換為 Analytics 資料表都不會產生任何成本。