نموذج قواعد جمع البيانات (DCRs) في Azure Monitor
تتضمن هذه المقالة نموذج قواعد جمع البيانات (DCRs) لسيناريوهات مختلفة. للحصول على أوصاف لكل خاصية من الخصائص في DCRs هذه، راجع بنية قاعدة تجميع البيانات.
إشعار
توفر هذه العينات JSON المصدر ل DCR إذا كنت تستخدم قالب ARM أو REST API لإنشاء DCR أو تعديله. بعد الإنشاء، سيكون ل DCR خصائص إضافية كما هو موضح في بنية قاعدة تجميع البيانات في Azure Monitor.
عامل Azure Monitor - الأحداث وبيانات الأداء
نموذج قاعدة جمع البيانات أدناه هو للأجهزة الظاهرية مع عامل Azure Monitor ويحتوي على التفاصيل التالية:
- بيانات الأداء
- جمع عدّادات المعالج والذاكرة والقرص المنطقي والقرص الفعلي كل 15 ثانية والتحميل كل دقيقة.
- جمع عدّادات عملية محددة كل 30 ثانية والتحميل كل 5 دقائق.
- أحداث Windows
- جمع أحداث أمان Windows والتحميل كل دقيقة.
- جمع أحداث النظام وتطبيق Windows والتحميل كل 5 دقائق.
- سيسلوغ
- جمع أحداث تصحيح الأخطاء والأحداث الحرجة وأحداث الطوارئ من منشأة cron.
- جمع أحداث التنبيهات والأحداث الحرجة وأحداث الطوارئ من منشأة syslog.
- الوجهات
- إرسال كافة البيانات إلى مساحة عمل تحليلات السجل المسماة centralWorkspace.
إشعار
للحصول على شرح ل XPaths المستخدمة لتحديد مجموعة الأحداث في قواعد جمع البيانات، راجع تقييد جمع البيانات باستخدام استعلامات XPath المخصصة.
{
"location": "eastus",
"properties": {
"dataSources": {
"performanceCounters": [
{
"name": "cloudTeamCoreCounters",
"streams": [
"Microsoft-Perf"
],
"scheduledTransferPeriod": "PT1M",
"samplingFrequencyInSeconds": 15,
"counterSpecifiers": [
"\\Processor(_Total)\\% Processor Time",
"\\Memory\\Committed Bytes",
"\\LogicalDisk(_Total)\\Free Megabytes",
"\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
]
},
{
"name": "appTeamExtraCounters",
"streams": [
"Microsoft-Perf"
],
"scheduledTransferPeriod": "PT5M",
"samplingFrequencyInSeconds": 30,
"counterSpecifiers": [
"\\Process(_Total)\\Thread Count"
]
}
],
"windowsEventLogs": [
{
"name": "cloudSecurityTeamEvents",
"streams": [
"Microsoft-Event"
],
"scheduledTransferPeriod": "PT1M",
"xPathQueries": [
"Security!*"
]
},
{
"name": "appTeam1AppEvents",
"streams": [
"Microsoft-Event"
],
"scheduledTransferPeriod": "PT5M",
"xPathQueries": [
"System!*[System[(Level = 1 or Level = 2 or Level = 3)]]",
"Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
]
}
],
"syslog": [
{
"name": "cronSyslog",
"streams": [
"Microsoft-Syslog"
],
"facilityNames": [
"cron"
],
"logLevels": [
"Debug",
"Critical",
"Emergency"
]
},
{
"name": "syslogBase",
"streams": [
"Microsoft-Syslog"
],
"facilityNames": [
"syslog"
],
"logLevels": [
"Alert",
"Critical",
"Emergency"
]
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-Perf",
"Microsoft-Syslog",
"Microsoft-Event"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
عامل Azure Monitor - سجلات النص
يتم استخدام نموذج قاعدة جمع البيانات أدناه لجمع سجلات النص باستخدام عامل Azure Monitor. لاحظ أن أسماء التدفقات لسجلات النص المخصصة يجب أن تبدأ بالبادئة "المخصصة".
{
"location": "eastus",
"properties": {
"streamDeclarations": {
"Custom-MyLogFileFormat": {
"columns": [
{
"name": "TimeGenerated",
"type": "datetime"
},
{
"name": "RawData",
"type": "string"
}
]
}
},
"dataSources": {
"logFiles": [
{
"streams": [
"Custom-MyLogFileFormat"
],
"filePatterns": [
"C:\\JavaLogs\\*.log"
],
"format": "text",
"settings": {
"text": {
"recordStartTimestampFormat": "ISO 8601"
}
},
"name": "myLogFileFormat-Windows"
},
{
"streams": [
"Custom-MyLogFileFormat"
],
"filePatterns": [
"//var//*.log"
],
"format": "text",
"settings": {
"text": {
"recordStartTimestampFormat": "ISO 8601"
}
},
"name": "myLogFileFormat-Linux"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace",
"name": "MyDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Custom-MyLogFileFormat"
],
"destinations": [
"MyDestination"
],
"transformKql": "source",
"outputStream": "Custom-MyTable_CL"
}
]
}
}
مراكز الأحداث
يتم استخدام نموذج قاعدة جمع البيانات أدناه لجمع البيانات من مركز أحداث.
{
"location": "eastus",
"properties": {
"streamDeclarations": {
"Custom-MyEventHubStream": {
"columns": [
{
"name": "TimeGenerated",
"type": "datetime"
},
{
"name": "RawData",
"type": "string"
},
{
"name": "Properties",
"type": "dynamic"
}
]
}
},
"dataSources": {
"dataImports": {
"eventHub": {
"consumerGroup": "<consumer-group>",
"stream": "Custom-MyEventHubStream",
"name": "myEventHubDataSource1"
}
}
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace",
"name": "MyDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Custom-MyEventHubStream"
],
"destinations": [
"MyDestination"
],
"transformKql": "source",
"outputStream": "Custom-MyTable_CL"
}
]
}
}
واجهة برمجة تطبيقات استيعاب السجلات
يتم استخدام نموذج قاعدة جمع البيانات أدناه مع واجهة برمجة تطبيقات استيعاب السجلات. يحتوي على التفاصيل التالية:
- إرسال البيانات إلى جدول يسمى MyTable_CL في مساحة عمل تسمى my-workspace.
- تطبيق تحويل على البيانات الواردة.
إشعار
تتطلب واجهة برمجة تطبيقات استيعاب السجلات خاصية logsIngestion التي تتضمن عنوان URL لنقطة النهاية. تتم إضافة هذه الخاصية إلى DCR بعد إنشائها.
{
"location": "eastus",
"properties": {
"streamDeclarations": {
"Custom-MyTable": {
"columns": [
{
"name": "Time",
"type": "datetime"
},
{
"name": "Computer",
"type": "string"
},
{
"name": "AdditionalContext",
"type": "string"
}
]
}
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/cefingestion/providers/microsoft.operationalinsights/workspaces/my-workspace",
"name": "LogAnalyticsDest"
}
]
},
"dataFlows": [
{
"streams": [
"Custom-MyTable"
],
"destinations": [
"LogAnalyticsDest"
],
"transformKql": "source | extend jsonContext = parse_json(AdditionalContext) | project TimeGenerated = Time, Computer, AdditionalContext = jsonContext, ExtendedColumn=tostring(jsonContext.CounterName)",
"outputStream": "Custom-MyTable_CL"
}
]
}
}
تحويل مساحة عمل DCR
يتم استخدام نموذج قاعدة جمع البيانات أدناه ك DCR لتحويل مساحة العمل لتحويل جميع البيانات المرسلة إلى جدول يسمى LAQueryLogs.
{
"location": "eastus",
"properties": {
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace",
"name": "clv2ws1"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-Table-LAQueryLogs"
],
"destinations": [
"clv2ws1"
],
"transformKql": "source |where QueryText !contains 'LAQueryLogs' | extend Context = parse_json(RequestContext) | extend Resources_CF = tostring(Context['workspaces']) |extend RequestContext = ''"
}
]
}
}