Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Преобразования в Azure Monitor позволяют фильтровать или изменять входящие данные до того, как они будут отправлены в рабочую область Log Analytics. Преобразования выполняются в облачном конвейере после того, как источник данных доставит данные, и до их отправки в место назначения. Они определены в правиле сбора данных (DCR) и используют инструкцию язык запросов Kusto (KQL), которая применяется отдельно к каждой записи в входящих данных.
На следующей схеме показан процесс преобразования для входящих данных и показан пример запроса, который может использоваться. В этом примере собираются только те записи, в столбце message которых содержится слово error.
Поддерживаемые таблицы
Следующие таблицы в рабочей области Log Analytics поддерживают преобразования.
- Любая таблица Azure из числа перечисленных в таблицах, поддерживающих преобразования в журналах Azure Monitor. Вы также можете использовать ссылку на данные Azure Monitor, в которой перечислены атрибуты для каждой таблицы, включая, поддерживает ли она преобразования.
- Любая пользовательская таблица, созданная для агента Azure Monitor.
Создайте преобразование
Существуют некоторые сценарии сбора данных, которые позволяют добавлять преобразование с помощью портала Azure, но большинство сценариев требуют создания нового DCR с помощью определения JSON или добавления преобразования в существующий DCR. См. статью "Создание преобразования в Azure Monitor" для различных вариантов и рекомендаций и примеров преобразований в Azure Monitor для примеров запросов преобразования для распространенных сценариев.
DCR трансформация рабочей области
Преобразования определяются в правиле сбора данных (DCR), но в Azure Monitor по-прежнему существуют коллекции данных, которые еще не используют DCR. Примеры включают журналы ресурсов, собранные с помощью параметров диагностики, и данные приложения, собранные с помощью Application Insights.
Правило сбора данных преобразования рабочей области (DCR) — это специальный DCR, который применяется непосредственно к рабочей области Log Analytics. Цель этого DCR заключается в том, чтобы выполнять преобразования данных, которые еще не используют DCR для сбора данных, и поэтому не имеет средств для определения преобразования.
Для каждой рабочей области может быть только один DCR этой рабочей области, но он может включать преобразования для любого количества поддерживаемых таблиц. Эти преобразования применяются ко всем данным, отправляемым в эти таблицы, если данные не пришли из другого DCR.
Например, таблица событий используется для хранения событий из виртуальных машин Windows. Если вы создаете преобразование рабочей области в DCR для таблицы событий, оно будет применено к событиям, собранным виртуальными машинами, использующими агент Log Analytics1, поскольку агент не использует DCR. Преобразование будет игнорироваться, хотя любые данные, отправляемые агентом Azure Monitor (AMA), так как он использует DCR для определения сбора данных. Вы по-прежнему можете использовать преобразование с агентом Azure Monitor, но вы бы включили это преобразование в DCR, связанный с агентом, а не в DCR преобразования рабочей области.
1 Агент Log Analytics устарел, но некоторые среды по-прежнему могут использовать его. Это только один пример источника данных, который не использует DCR.
Затраты на преобразования
Хотя преобразования сами по себе не несут прямых затрат, следующие сценарии могут привести к дополнительным расходам:
- Если преобразование увеличивает размер входящих данных, например путем добавления вычисляемого столбца, взимается стандартная скорость приема для дополнительных данных.
- Если преобразование уменьшает объем полученных данных более чем на 50%, плата взимается за объем данных, отфильтрованных выше 50%.
Чтобы вычислить плату за обработку данных, полученную из преобразований, используйте следующую формулу:
[ГБ, отфильтрованный с помощью преобразований] — ([ГБ данных, обработанных конвейером] / 2). В следующей таблице показаны примеры.
| Прием данных конвейером | Данные, удаленные путем преобразования | Обработка данных в рабочей области Log Analytics | Плата за обработку данных | Плата за прием |
|---|---|---|---|---|
| 20 ГБ | 12 ГБ | 8 ГБ | 2 ГБ 1 | 8 ГБ |
| 20 ГБ | 8 ГБ | 12 ГБ | 0 ГБ | 12 ГБ |
1 Эта плата исключает плату за обработку данных рабочей областью Log Analytics.
Чтобы избежать этого расхода, следует фильтровать загружаемые данные альтернативными методами перед применением преобразований. Таким образом, можно уменьшить объем данных, обработанных преобразованиями, и, следовательно, свести к минимуму дополнительные затраты.
См. цены на Azure Monitor для приема и хранения данных журнала в Azure Monitor.
Это важно
Если Azure Sentinel включён для рабочей области Log Analytics, плата за получение данных не взимается независимо от объема данных, отфильтрованных преобразованием.