Transformações no Azure Monitor

As transformações no Azure Monitor permitem filtrar ou modificar dados de entrada antes de serem enviados para um espaço de trabalho do Log Analytics. As transformações são executadas depois que a fonte de dados entrega os dados e antes que eles sejam enviados para o destino. Eles são definidos em uma regra de coleta de dados (DCR) e usam uma instrução KQL (Kusto Query Language) que é aplicada individualmente a cada entrada nos dados recebidos.

O diagrama a seguir ilustra o processo de transformação dos dados de entrada e mostra uma consulta de exemplo que pode ser usada. Neste exemplo, apenas os registros onde a message coluna contém a palavra error são coletados.

Tabelas suportadas

As tabelas a seguir em um espaço de trabalho do Log Analytics oferecem suporte a transformações.

• Qualquer tabela do Azure listada em Tabelas que dão suporte a transformações nos Logs do Azure Monitor. Você também pode usar a referência de dados do Azure Monitor que lista os atributos de cada tabela, incluindo se ela dá suporte a transformações.
• Qualquer tabela personalizada criada para o Azure Monitor Agent.

Criar uma transformação

Há alguns cenários de coleta de dados que permitem adicionar uma transformação usando o portal do Azure, mas a maioria dos cenários exige que você crie um novo DCR usando sua definição JSON ou adicione uma transformação a um DCR existente. Consulte Criar uma transformação no Azure Monitor para diferentes opções e Práticas recomendadas e exemplos para transformações no Azure Monitor para obter consultas de transformação de exemplo para cenários comuns.

DCR de transformação do ambiente de trabalho

As transformações são definidas em uma regra de coleta de dados (DCR), mas ainda há coleções de dados no Azure Monitor que ainda não usam um DCR. Os exemplos incluem logs de recursos recolhidos por configurações de diagnóstico e dados de aplicativos recolhidos por Application Insights.

A regra de coleta de dados de transformação do espaço de trabalho (DCR) é um DCR especial que é aplicado diretamente a um espaço de trabalho do Log Analytics. O objetivo deste DCR é realizar transformações em dados que ainda não usam um DCR para sua coleta de dados e, portanto, não tem meios de definir uma transformação.

Pode haver apenas um DCR de espaço de trabalho para cada espaço de trabalho, mas ele pode incluir transformações para qualquer número de tabelas suportadas. Essas transformações são aplicadas a quaisquer dados enviados para essas tabelas, a menos que esses dados venham de outro DCR.

Por exemplo, a tabela Evento é usada para armazenar eventos de máquinas virtuais do Windows. Se você criar uma transformação no DCR de transformação do espaço de trabalho para a tabela de eventos, ela será aplicada a eventos coletados por máquinas virtuais que executam o agente 1 do Log Analytics porque esse agente não usa um DCR. A transformação seria ignorada por quaisquer dados enviados do Azure Monitor Agent (AMA) porque ele usa um DCR para definir sua coleta de dados. Você ainda pode usar uma transformação com o agente do Azure Monitor, mas incluiria essa transformação no DCR associado ao agente e não no DCR de transformação do espaço de trabalho.

1 O agente do Log Analytics foi preterido, mas alguns ambientes ainda podem usá-lo. É apenas um exemplo de uma fonte de dados que não usa um DCR.

Custo das transformações

O processamento de logs (transformação e filtragem) no pipeline de nuvem do Azure Monitor tem diferentes implicações de cobrança, dependendo do tipo de tabela na qual os dados estão sendo ingeridos em um espaço de trabalho do Log Analytics.

Logs Auxiliares

Registos auxiliares com cobrança por dados processados e dados ingeridos num espaço de trabalho do Log Analytics. A taxa de processamento de dados aplica-se a todos os dados de entrada recebidos pelo pipeline de nuvem do Azure Monitor se o destino num espaço de trabalho do Log Analytics for uma tabela de Logs Auxiliares. A taxa de ingestão de dados aplica-se apenas aos dados após a transformação, ingeridos como uma tabela de logs auxiliares num espaço de trabalho do Log Analytics. As transformações podem aumentar ou diminuir o tamanho dos dados.

As tabelas a seguir mostram alguns exemplos:

Consulte Preços do Azure Monitor para obter preços para processamento de log e ingestão de dados de log.

Análises ou registos básicos

Para Analytics ou Logs, as transformações em si geralmente não incorrem em custos, mas os seguintes cenários podem resultar em cobranças adicionais:

• Se uma transformação aumentar o tamanho dos dados recebidos, por exemplo, adicionando uma coluna calculada, será cobrada a taxa de ingestão padrão pelos dados extras.
• Se uma transformação reduzir os dados ingeridos em mais de 50%, você será cobrado pela quantidade de dados filtrados acima de 50%.

Para calcular a taxa de processamento de dados resultante de transformações, use a seguinte fórmula:

[GB de dados descartados por transformação] - ([GB de tamanho de dados de entrada] / 2).

A tabela a seguir mostra exemplos.

Para evitar essa cobrança, você deve filtrar os dados ingeridos usando métodos alternativos antes de aplicar transformações. Ao fazer isso, você pode reduzir a quantidade de dados processados por transformações e, portanto, minimizar quaisquer custos adicionais.

Consulte Preços do Azure Monitor para obter preços para processamento de log e ingestão de dados de log.

Próximos passos

• Leia mais sobre as regras de recolha de dados (DCR).
• Crie um DCR de transformação da área de trabalho que se aplique a dados não recolhidos usando um DCR.