Trasformazioni in Monitoraggio di Azure
Le trasformazioni in Monitoraggio di Azure consentono di filtrare o modificare i dati in ingresso prima dell'invio a un'area di lavoro Log Analytics. Le trasformazioni vengono eseguite nella pipeline cloud dopo che l'origine dati recapita i dati e prima che vengano inviati alla destinazione. Vengono definiti in una regola di raccolta dati (DCR) e usano un'istruzione Linguaggio di query Kusto (KQL) applicata singolarmente a ogni voce nei dati in ingresso.
Il diagramma seguente illustra il processo di trasformazione per i dati in ingresso e mostra una query di esempio che potrebbe essere usata. In questo esempio vengono raccolti solo i record in cui la message colonna contiene la parola error .
Tabelle supportate
Le tabelle seguenti in un'area di lavoro Log Analytics supportano le trasformazioni.
- Qualsiasi tabella di Azure elencata in tabelle che supportano le trasformazioni nei log di Monitoraggio di Azure. È anche possibile usare il riferimento ai dati di Monitoraggio di Azure che elenca gli attributi per ogni tabella, incluso se supporta le trasformazioni.
- Qualsiasi tabella personalizzata creata per l'agente di Monitoraggio di Azure
Creare una trasformazione
Esistono alcuni scenari di raccolta dati che consentono di aggiungere una trasformazione usando il portale di Azure, ma la maggior parte degli scenari richiederà di creare un nuovo DCR usando la relativa definizione JSON o aggiungere una trasformazione a un record di dominio esistente. Vedere Creare una trasformazione in Monitoraggio di Azure per diverse opzioni ed esempi di procedure consigliate ed esempi per le trasformazioni in Monitoraggio di Azure per query di trasformazione di esempio per scenari comuni.
Regole di raccolta dati per la trasformazione dell'area di lavoro
Le trasformazioni vengono definite in una regola di raccolta dati (DCR), ma esistono ancora raccolte di dati in Monitoraggio di Azure che non usano ancora un record di controllo di dominio. Ad esempio, i log delle risorse raccolti dalle impostazioni di diagnostica e dai dati dell'applicazione raccolti da Application Insights.
La regola di raccolta dati (DCR) della trasformazione dell'area di lavoro è una DCR speciale applicata direttamente a un'area di lavoro Log Analytics. Lo scopo di questa DCR consiste nell'eseguire trasformazioni sui dati che non usano ancora una DCR per la raccolta dei dati e pertanto non ha alcun mezzo per definire una trasformazione.
Per ogni area di lavoro può essere presente un solo controller di dominio dell'area di lavoro, ma può includere trasformazioni per un numero qualsiasi di tabelle supportate. Queste trasformazioni vengono applicate a tutti i dati inviati a queste tabelle, a meno che tali dati non provengano da un'altra DCR.
Ad esempio, la tabella Event viene usata per archiviare gli eventi dalle macchine virtuali Windows. Se si crea una trasformazione nella trasformazione dell'area di lavoro DCR per la tabella Eventi, verrà applicata agli eventi raccolti dalle macchine virtuali che eseguono l'agentedi Log Analytics 1 perché questo agente non usa un record di controllo di dominio. La trasformazione verrà ignorata anche se da tutti i dati inviati dall'agente di Monitoraggio di Azure (AMA) perché usa un record di dominio per definire la raccolta dei dati. È comunque possibile usare una trasformazione con l'agente di Monitoraggio di Azure, ma è necessario includere tale trasformazione nel Record di controllo di dominio associato all'agente e non al DCR della trasformazione dell'area di lavoro.
1 L'agente di Log Analytics è stato deprecato, ma alcuni ambienti potrebbero comunque usarlo. Si tratta di un solo esempio di un'origine dati che non usa un registro dati.
Costo per le trasformazioni
Anche se le trasformazioni stesse non comportano costi diretti, gli scenari seguenti possono comportare costi aggiuntivi:
- Se una trasformazione aumenta le dimensioni dei dati in ingresso, ad esempio aggiungendo una colonna calcolata, verrà addebitata la tariffa di inserimento standard per i dati aggiuntivi.
- Se una trasformazione riduce i dati inseriti di oltre il 50%, verrà addebitato l'importo dei dati filtrati superiore al 50%.
Per calcolare l'addebito per l'elaborazione dati risultante dalle trasformazioni, usare la formula seguente:
[GB filtrati in base alle trasformazioni] - ([GB dati inseriti dalla pipeline] / 2). Nella tabella seguente sono illustrati alcuni esempi.
| Dati inseriti dalla pipeline | Dati eliminati dalla trasformazione | Dati inseriti dall'area di lavoro Log Analytics | Addebito per l'elaborazione dati | Addebito per l'inserimento |
|---|---|---|---|---|
| 20 GB | 12 GB | 8 GB | 2 GB 1 | 8 GB |
| 20 GB | 8 GB | 12 GB | 0 GB | 12 GB |
1 Questo addebito esclude l'addebito per i dati inseriti dall'area di lavoro Log Analytics.
Per evitare questo addebito, è consigliabile filtrare i dati inseriti usando metodi alternativi prima di applicare trasformazioni. In questo modo, è possibile ridurre la quantità di dati elaborati dalle trasformazioni e, di conseguenza, ridurre al minimo eventuali costi aggiuntivi.
Vedere Prezzi di Monitoraggio di Azure per gli addebiti correnti per l'inserimento e la conservazione dei dati di log in Monitoraggio di Azure.
Importante
Se Azure Sentinel è abilitato per l'area di lavoro Log Analytics, non è previsto alcun addebito per l'inserimento di filtri indipendentemente dalla quantità di dati filtrati dai filtri di trasformazione.