Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met transformaties in Azure Monitor kunt u binnenkomende gegevens filteren of wijzigen voordat deze naar een Log Analytics-werkruimte worden verzonden. Transformaties worden uitgevoerd nadat de gegevensbron de gegevens levert en voordat deze naar de bestemming worden verzonden. Ze worden gedefinieerd in een DCR (Data Collection Rule) en gebruiken een Kusto-querytaal -instructie (KQL) die afzonderlijk wordt toegepast op elke vermelding in de binnenkomende gegevens.
Het volgende diagram illustreert het transformatieproces voor binnenkomende gegevens en toont een voorbeeldquery die kan worden gebruikt. In dit voorbeeld worden alleen records vastgelegd waarin de message kolom het woord error bevat.
Ondersteunde tabellen
De volgende tabellen in een Log Analytics-werkruimte ondersteunen transformaties.
- Elke Azure-tabel die wordt vermeld in tabellen die transformaties in Azure Monitor-logboeken ondersteunen. U kunt ook de Azure Monitor-gegevensreferentie gebruiken waarin de kenmerken voor elke tabel worden vermeld, inclusief of deze transformaties ondersteunt.
- Elke aangepaste tabel die is gemaakt voor de Azure Monitor-agent.
Een transformatie maken
Er zijn enkele scenario's voor gegevensverzameling waarmee u een transformatie kunt toevoegen met behulp van Azure Portal, maar voor de meeste scenario's moet u een nieuwe DCR maken met behulp van de JSON-definitie of een transformatie toevoegen aan een bestaande DCR. Zie Een transformatie maken in Azure Monitor voor verschillende opties en aanbevolen procedures en voorbeelden voor transformaties in Azure Monitor voor voorbeeldtransformatiequery's voor veelvoorkomende scenario's.
DCR voor werkruimtetransformatie
Transformaties worden gedefinieerd in een regel voor gegevensverzameling (DCR), maar er zijn nog steeds gegevensverzamelingen in Azure Monitor die nog geen DCR gebruiken. Voorbeelden hiervan zijn resourcelogboeken die worden verzameld door diagnostische instellingen en toepassingsgegevens die worden verzameld door Application Insights.
De regel voor gegevensverzameling van werkruimtetransformatiegegevens (DCR) is een speciale DCR die rechtstreeks wordt toegepast op een Log Analytics-werkruimte. Het doel van deze DCR is het uitvoeren van transformaties op gegevens die nog geen DCR gebruiken voor het verzamelen van gegevens en dus geen middelen heeft om een transformatie te definiëren.
Er kan slechts één werkruimte-DCR zijn voor elke werkruimte, maar deze kan transformaties bevatten voor een willekeurig aantal ondersteunde tabellen. Deze transformaties worden toegepast op alle gegevens die naar deze tabellen worden verzonden, tenzij die gegevens afkomstig zijn van een andere DCR.
De gebeurtenistabel wordt bijvoorbeeld gebruikt voor het opslaan van gebeurtenissen van virtuele Windows-machines. Als u een transformatie in de DCR voor de gebeurtenistabel maakt in de werkruimtetransformatie, wordt deze toegepast op gebeurtenissen die worden verzameld door virtuele machines waarop de Log Analytics-agent1 wordt uitgevoerd, omdat deze agent geen DCR gebruikt. De transformatie wordt echter genegeerd door alle gegevens die vanuit de Azure Monitor-agent (AMA) worden verzonden, omdat er een DCR wordt gebruikt om de gegevensverzameling te definiëren. U kunt nog steeds een transformatie gebruiken met de Azure Monitor-agent, maar u neemt deze transformatie op in de DCR die is gekoppeld aan de agent en niet de dcr voor werkruimtetransformatie.
1 De Log Analytics-agent is afgeschaft, maar sommige omgevingen kunnen deze nog steeds gebruiken. Het is slechts één voorbeeld van een gegevensbron die geen DCR gebruikt.
Kosten voor transformaties
Het verwerken van logboeken (transformeren en filteren) in de Azure Monitor-cloudpijplijn heeft verschillende gevolgen voor facturering, afhankelijk van het type tabel waarin gegevens worden opgenomen in een Log Analytics-werkruimte.
Hulplogboeken
Aanvullende logboekkosten voor verwerkte gegevens en gegevens die zijn opgenomen in een Log Analytics-werkruimte. De kosten voor gegevensverwerking zijn van toepassing op alle binnenkomende gegevens die zijn ontvangen door de Azure Monitor-cloudpijplijn als de bestemming in een Log Analytics-werkruimte een tabel hulplogboeken is. De kosten voor gegevensopname zijn alleen van toepassing op de gegevens na de transformatie, die worden opgenomen als een tabel voor Auxiliaire Logboeken in een Log Analytics-werkruimte. Transformaties kunnen de grootte van de gegevens vergroten of verkleinen.
In de volgende tabellen ziet u enkele voorbeelden:
| Grootte van binnenkomende gegevens | Gegevens verwijderd of toegevoegd door transformatie | Gegevens die zijn opgenomen in een Log Analytics-werkruimte als een tabel met hulplogboeken | Factureerbare GB's voor gegevensverwerking | Factureerbare GB's voor gegevensopname |
|---|---|---|---|---|
| 20 GB | 12 GB verloren | 8 GB | 20 GB | 8 GB |
| 20 GB | 8 GB verloren | 12 GB | 20 GB | 12 GB |
| 20 GB | 4 GB toegevoegd | 24 GB | 20 GB | 24 GB |
Zie prijzen voor Azure Monitor voor prijzen voor logboekverwerking en logboekgegevensopname.
Analyse- of basislogboeken
Voor analyse- of basislogboeken worden voor transformaties zelf meestal geen kosten in rekening gebracht, maar de volgende scenario's kunnen leiden tot extra kosten:
- Als een transformatie de grootte van de binnenkomende gegevens verhoogt, bijvoorbeeld door een berekende kolom toe te voegen, wordt het standaardopnametarief voor de extra gegevens in rekening gebracht.
- Als een transformatie de opgenomen gegevens met meer dan 50%vermindert, worden er kosten in rekening gebracht voor de hoeveelheid gefilterde gegevens boven de 50%.
Gebruik de volgende formule om de kosten voor gegevensverwerking te berekenen die het gevolg zijn van transformaties:
[GB-gegevens verwijderd door transformatie] - ([GB binnenkomende gegevensgrootte] / 2).
In de volgende tabel ziet u voorbeelden.
| Grootte van binnenkomende gegevens | Gegevens verwijderd of toegevoegd door transformatie | Gegevens die zijn opgenomen in een Log Analytics-werkruimte als een Analyse- of Basislogboekentabel | Factureerbare GB's voor gegevensverwerking | Factureerbare GB's voor gegevensopname |
|---|---|---|---|---|
| 20 GB | 12 GB verloren | 8 GB | 2 GB | 8 GB |
| 20 GB | 8 GB verloren | 12 GB | 0 GB | 12 GB |
| 20 GB | 4 GB toegevoegd | 24 GB | 0 GB | 24 GB |
Om deze kosten te voorkomen, moet u opgenomen gegevens filteren met behulp van alternatieve methoden voordat u transformaties toepast. Hierdoor kunt u de hoeveelheid gegevens die worden verwerkt door transformaties verminderen en daarom eventuele extra kosten minimaliseren.
Zie Azure Monitor prijzen voor het verwerken van loggegevens en het verzamelen van loggegevens.
Belangrijk
Als Microsoft Sentinel is ingeschakeld voor de Log Analytics-werkruimte, zijn er geen kosten verbonden aan transformatie naar Analytics-tabellen, ongeacht hoeveel gegevens de transformatiefilters zijn.