Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med transformeringar i Azure Monitor kan du filtrera eller ändra inkommande data innan de skickas till en Log Analytics-arbetsyta. Transformeringar körs när datakällan levererar data och innan de skickas till målet. De definieras i en datainsamlingsregel (DCR) och använder en KQL-instruktion (Kusto Query Language) som tillämpas individuellt på varje post i inkommande data.
Följande diagram illustrerar omvandlingsprocessen för inkommande data och visar en exempelfråga som kan användas. I det här exemplet samlas endast poster in där kolumnen message innehåller ordet error.
Tabeller som stöds
Följande tabeller i en Log Analytics-arbetsyta stöder transformeringar.
- Alla Azure-tabeller som anges i Tabeller som stöder transformeringar i Azure Monitor-loggar. Du kan också använda Azure Monitor-datareferensen som visar attributen för varje tabell, inklusive om den stöder transformeringar.
- Alla anpassade tabeller som skapats för Azure Monitor-agenten.
Skapa en transformering
Det finns vissa scenarier för datainsamling som gör att du kan lägga till en transformering med hjälp av Azure-portalen, men de flesta scenarier kräver att du skapar en ny DCR med dess JSON-definition eller lägger till en transformering till en befintlig DCR. Se Skapa en transformering i Azure Monitor för olika alternativ och metodtips och exempel för transformeringar i Azure Monitor för exempeltransformeringsfrågor för vanliga scenarier.
DCR för arbetsytetransformering
Transformeringar definieras i en datainsamlingsregel (DCR), men det finns fortfarande datasamlingar i Azure Monitor som ännu inte använder en DCR. Exempel är resursloggar som samlas in av diagnostikinställningar och programdata som samlas in av Application Insights.
Datainsamlingsregeln för arbetsytetransformering (DCR) är en särskild DCR som tillämpas direkt på en Log Analytics-arbetsyta. Syftet med denna DCR är att utföra transformeringar på data som ännu inte använder en DCR för sin datainsamling och därför inte har något sätt att definiera en transformering.
Det kan bara finnas en arbetsyte-DCR för varje arbetsyta, men den kan innehålla transformeringar för valfritt antal tabeller som stöds. Dessa transformeringar tillämpas på alla data som skickas till dessa tabeller om inte dessa data kom från en annan DCR.
Händelsetabellen används till exempel för att lagra händelser från virtuella Windows-datorer. Om du skapar en transformering i arbetsytans transformerings-DCR för händelsetabellen tillämpas den på händelser som samlas in av virtuella datorer som kör Log Analytics-agenten1 eftersom den här agenten inte använder någon DCR. Omvandlingen ignoreras dock av data som skickas från Azure Monitor Agent (AMA) eftersom den använder en DCR för att definiera sin datainsamling. Du kan fortfarande använda en transformering med Azure Monitor-agenten, men du skulle inkludera den omvandlingen i DCR som är associerad med agenten och inte dcR för arbetsytetransformeringen.
1 Log Analytics-agenten är inaktuell, men vissa miljöer kan fortfarande använda den. Det är bara ett exempel på en datakälla som inte använder en DCR.
Kostnad för transformeringar
Bearbetning av loggar (transformering och filtrering) i Azure Monitor-molnpipelinen har olika faktureringskonsekvenser beroende på vilken typ av tabell som data matas in i på en Log Analytics-arbetsyta.
Tilläggsloggar
Tilläggsloggar debiteras för data som bearbetas och data som importeras till en Log Analytics-arbetsyta. Databehandlingsavgiften gäller för alla inkommande data som tas emot av Azure Monitor-molnpipelinen om målet på en Log Analytics-arbetsyta är en extra loggtabell. Datainmatningsavgiften gäller endast för data efter omvandlingen som matas in som en extra loggtabell till en Log Analytics-arbetsyta. Transformeringar kan antingen öka och minska datastorleken.
Följande tabeller visar några exempel:
| Inkommande datastorlek | Data som har tagits bort eller lagts till genom transformeringens process | Data som importeras i en Log Analytics-arbetsyta som en hjälploggstabell | Fakturerbara GB:er för databearbetning | Fakturerbara GB:er för datainmatning |
|---|---|---|---|---|
| 20 GB | 12 GB har förlorats | 8 GB | 20 GB | 8 GB |
| 20 GB | 8 GB minskat | 12 GB | 20 GB | 12 GB |
| 20 GB | 4 GB har lagts till | 24 GB | 20 GB | 24 GB |
Se Prissättning för Azure Monitor för priser för loggbearbetning och loggdatainmatning.
Analys- eller grundläggande loggar
För analys- eller grundläggande loggar medför transformeringar i sig vanligtvis inte några kostnader, men följande scenarier kan resultera i ytterligare avgifter:
- Om en transformering ökar storleken på inkommande data, till exempel genom att lägga till en beräknad kolumn, debiteras du standardinmatningshastigheten för extra data.
- Om en transformering minskar inmatade data med mer än 50%debiteras du för mängden filtrerade data över 50%.
Använd följande formel för att beräkna databearbetningsavgiften till följd av transformeringar:
[GB data som förlorats vid transformering] – ([GB inkommande datavolym] / 2).
Följande tabell visar exempel.
| Inkommande datastorlek | Data som har tagits bort eller lagts till genom transformeringens process | Data som matas in i en Log Analytics-arbetsyta som en Analys- eller Basic Logs-tabell | Fakturerbara GB:er för databearbetning | Fakturerbara GB:er för datainmatning |
|---|---|---|---|---|
| 20 GB | 12 GB har förlorats | 8 GB | 2 GB | 8 GB |
| 20 GB | 8 GB minskat | 12 GB | 0 GB | 12 GB |
| 20 GB | 4 GB har lagts till | 24 GB | 0 GB | 24 GB |
För att undvika den här avgiften bör du filtrera inmatade data med hjälp av alternativa metoder innan du tillämpar transformeringar. På så sätt kan du minska mängden data som bearbetas av transformeringar och därmed minimera eventuella ytterligare kostnader.
Se Prissättning för Azure Monitor för priser för loggbearbetning och loggdatainmatning.
Viktigt!
Om Microsoft Sentinel är aktiverat för Log Analytics-arbetsytan kostar det ingen kostnad för transformering till Analytics-tabeller oavsett hur mycket data transformeringsfiltren filtrerar.