Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le trasformazioni in Monitoraggio di Azure consentono di filtrare o modificare i dati in ingresso prima dell'invio a un'area di lavoro Log Analytics. Le trasformazioni vengono eseguite nella pipeline cloud dopo che l'origine dati recapita i dati e prima che vengano inviati alla destinazione. Vengono definiti in una regola di raccolta dati (DCR) e usano un'istruzione del linguaggio di query Kusto (KQL) applicata singolarmente a ciascuna voce dei dati in ingresso.
Il diagramma seguente illustra il processo di trasformazione per i dati in ingresso e mostra una query di esempio che potrebbe essere usata. In questo esempio vengono raccolti solo i record in cui la message colonna contiene la parola error .
Tabelle supportate
Le tabelle seguenti in un'area di lavoro Log Analytics supportano le trasformazioni.
- Qualsiasi tabella di Azure elencata in tabelle che supportano le trasformazioni nei log di Monitoraggio di Azure. È anche possibile usare il riferimento ai dati di Monitoraggio di Azure che elenca gli attributi per ogni tabella, incluso se supporta le trasformazioni.
- Qualsiasi tabella personalizzata creata per l'agente di Monitoraggio di Azure
Creare una trasformazione
Esistono alcuni scenari di raccolta dati che consentono di aggiungere una trasformazione usando il portale di Azure, ma la maggior parte degli scenari richiede la creazione di un nuovo record di dominio usando la relativa definizione JSON o l'aggiunta di una trasformazione a un record di dominio esistente. Vedere Creare una trasformazione in Monitoraggio di Azure per opzioni diverse e procedure consigliate ed esempi di trasformazione in Monitoraggio di Azure per query di esempio applicate a scenari comuni.
DCR di trasformazione dell'area di lavoro
Le trasformazioni vengono definite in una regola di raccolta dati (DCR), ma esistono ancora raccolte di dati in Azure Monitor che non usano ancora una DCR. Ad esempio, i log delle risorse raccolti dalle impostazioni di diagnostica e dai dati dell'applicazione raccolti da Application Insights.
La regola di raccolta dati (DCR) della trasformazione dell'area di lavoro è una DCR speciale applicata direttamente a un'area di lavoro Log Analytics. Lo scopo di questo DCR consiste nell'eseguire trasformazioni sui dati che non utilizzano ancora un DCR per la loro raccolta e quindi non hanno modo di definire una trasformazione.
Per ogni area di lavoro può essere presente una sola DCR; tuttavia, la suddetta può includere trasformazioni per un numero qualsiasi di tabelle supportate. Queste trasformazioni vengono applicate a tutti i dati inviati a queste tabelle, a meno che tali dati non provengano da un'altra DCR.
Ad esempio, la tabella Event viene usata per archiviare gli eventi dalle macchine virtuali Windows. Se si crea una trasformazione per la tabella Eventi nella DCR di trasformazione dell'area di lavoro, la trasformazione verrà applicata agli eventi raccolti dalle macchine virtuali che eseguono l'agente di Log Analytics 1 perché questo agente non usa una DCR. La trasformazione verrebbe ignorata dai dati inviati dall'Agente di Monitoraggio di Azure (AMA) in quanto utilizza una DCR per definire la propria raccolta dei dati. È comunque possibile usare una trasformazione con l'Agente di Monitoraggio di Azure, ma è necessario includerla nella DCR associata all'agente e non a quella di trasformazione dell'area di lavoro.
1 L'agente di Log Analytics è stato deprecato, ma alcuni ambienti potrebbero comunque usarlo. È solo un esempio di una fonte di dati che non utilizza un DCR.
Costo per le trasformazioni
Anche se le trasformazioni stesse non comportano costi diretti, gli scenari seguenti possono comportare costi aggiuntivi:
- Se una trasformazione aumenta le dimensioni dei dati in ingresso, ad esempio aggiungendo una colonna calcolata, viene addebitata la tariffa di inserimento standard per i dati aggiuntivi.
- Se una trasformazione riduce i dati inseriti di oltre il 50%, verrà addebitato l'importo dei dati filtrati superiore al 50%.
Per calcolare l'addebito per l'elaborazione dati risultante dalle trasformazioni, usare la formula seguente:
[GB filtrati in base alle trasformazioni] - ([GB dati inseriti dalla pipeline] / 2). Nella tabella seguente sono illustrati alcuni esempi.
| Dati inseriti dalla pipeline | Dati eliminati dalla trasformazione | Dati inseriti dall'area di lavoro Log Analytics | Addebito per l'elaborazione dati | Addebito per l'inserimento |
|---|---|---|---|---|
| 20 GB | 12 GB | 8 GB | 2 GB 1 | 8 GB |
| 20 GB | 8 GB | 12 GB | 0 GB | 12 GB |
1 Questo addebito esclude l'addebito per i dati inseriti dall'area di lavoro Log Analytics.
Per evitare questo addebito, è consigliabile filtrare i dati inseriti usando metodi alternativi prima di applicare trasformazioni. In questo modo, è possibile ridurre la quantità di dati elaborati dalle trasformazioni e, di conseguenza, ridurre al minimo eventuali costi aggiuntivi.
Vedere Prezzi di Azure Monitor per le tariffe attuali per l'inserimento e la conservazione dei dati di log in Azure Monitor.
Importante
Se Azure Sentinel è abilitato per l'area di lavoro Log Analytics, non è previsto alcun addebito per l'inserimento di filtri indipendentemente dalla quantità di dati filtrati dai filtri di trasformazione.