Datenexport im Log Analytics-Arbeitsbereich in Azure Monitor
Der Datenexport in einem Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten nach ausgewählten Tabellen in Ihrem Arbeitsbereich fortlaufend zu exportieren. Sie können in ein Azure Storage-Konto oder in Azure Event Hubs exportieren, wenn die Daten in einer Azure Monitor-Pipeline eintreffen. In diesem Artikel werden dieses Feature und die Schritte zum Konfigurieren des Datenexports in Ihren Arbeitsbereichen ausführlich beschrieben.
Übersicht
Daten in Log Analytics sind für den in Ihrem Arbeitsbereich definierten Aufbewahrungszeitraum verfügbar. Sie werden in verschiedenen Umgebungen in Azure Monitor und Azure-Diensten verwendet. Es gibt Fälle, in denen Sie andere Tools verwenden müssen:
- Compliance eines manipulationsgeschützten Speichers: Daten können in Log Analytics nach der Erfassung gelöscht, aber nicht mehr geändert werden. Exportieren Sie Daten in ein Speicherkonto mit Unveränderlichkeitsrichtlinien, um sie vor Manipulation zu schützen.
- Integration in Azure-Dienste und andere Tools: Exportieren Sie Daten in Event Hubs, sobald sie in Azure Monitor eintreffen und verarbeitet wurden.
- Langfristige Aufbewahrung von Überwachungs- und Sicherheitsdaten: Exportieren Sie Daten in ein Speicherkonto in der Region des Arbeitsbereichs. Sie können Daten auch mithilfe einer der Azure Storage-Redundanzoptionen (einschließlich GRS und GZRS) in anderen Regionen replizieren.
Nach dem Konfigurieren von Datenexportregeln in einem Log Analytics-Arbeitsbereich werden neue Daten für Tabellen in Regeln bei ihrem Eintreffen aus der Azure Monitor-Pipeline in Ihr Speicherkonto oder Ihre Event Hubs exportiert. Der Datenverkehr beim Datenexport erfolgt über das Azure-Backbone-Netzwerk und verlässt das Azure-Netzwerk nicht.
Daten werden ohne Filter exportiert. Wenn Sie z. B. eine Datenexportregel für eine Tabelle SecurityEvent konfigurieren, werden alle Daten, die an die Tabelle SecurityEvent gesendet werden, ab dem Zeitpunkt der Konfiguration exportiert. Alternativ können Sie exportierte Daten filtern oder ändern, indem Sie Transformationen in Ihrem Arbeitsbereich konfigurieren, die auf eingehende Daten angewendet werden, bevor sie an Ihre Log Analytics-Arbeitsbereiche sowie an Exportziele gesendet werden.
Weitere Exportoptionen
Mit dem Datenexport im Log Analytics-Arbeitsbereich werden Daten, die an Ihren Log Analytics-Arbeitsbereich gesendet werden, fortlaufend exportiert. Es gibt weitere Möglichkeiten zum Exportieren von Daten für bestimmte Szenarien:
- Konfigurieren von Diagnoseeinstellungen in Azure-Ressourcen. Protokolle werden direkt an ein Ziel gesendet. Dieses Verfahren weist im Vergleich zum Datenexport in Log Analytics eine geringere Latenz auf.
- Planen des Exports von Daten basierend auf einer Protokollabfrage, die Sie mit der Log Analytics-Abfrage-API definieren. Verwenden von Azure Data Factory, Azure Functions oder Azure Logic Apps, um Abfragen in Ihrem Arbeitsbereich zu orchestrieren und Daten an ein Ziel zu exportieren. Diese Methode ähnelt dem Feature zum Exportieren von Daten, ermöglicht es Ihnen jedoch, historische Daten aus Ihrem Arbeitsbereich mithilfe von Filtern und Aggregationen zu exportieren. Diese Methode unterliegt Beschränkungen für Protokollabfragen und ist nicht für die Skalierung vorgesehen. Weitere Informationen finden Sie unter Exportieren von Daten aus einem Log Analytics-Arbeitsbereich in ein Speicherkonto mithilfe von Logic Apps.
- Einmaliger Export auf einen lokalen Computer mithilfe eines PowerShell-Skripts. Weitere Informationen finden Sie unter Invoke-AzOperationalInsightsQueryExport.
Einschränkungen
- Benutzerdefinierte Protokolle, die mit der HTTP-Datensammler-API erstellt wurden, können nicht exportiert werden, einschließlich textbasierter Protokolle, die vom Log Analytics-Agent genutzt werden. Benutzerdefinierte Protokolle, die mithilfe von Datensammlungsregeln erstellt wurden – einschließlich textbasierter Protokolle –, können exportiert werden.
- Der Datenexport wird nach und nach weitere Tabellen unterstützen, ist aber derzeit auf die im Abschnitt unterstützte Tabellen angegebenen Tabellen beschränkt. Sie können Tabellen einschließen, die noch nicht in Regeln unterstützt werden. Für diese Tabellen werden allerdings erst Daten exportiert, wenn sie unterstützt werden.
- Sie können in Ihrem Arbeitsbereich bis zu 10 aktivierte Regeln definieren, von denen jede mehrere Tabellen enthalten kann. Sie können noch weitere Regeln im deaktivierten Zustand im Arbeitsbereich erstellen.
- Die Ziele müssen sich in derselben Region befinden wie der Log Analytics-Arbeitsbereich.
- Das Speicherkonto muss für alle Regeln im Arbeitsbereich eindeutig sein.
- Beim Exportierten in ein Speicherkonto können Tabellennamen 60 Zeichen lang sein. Beim Exportierten in Event Hubs können sie 47 Zeichen lang sein. Tabellen mit längeren Namen werden nicht exportiert.
- Der Export in ein Storage Premium-Konto wird nicht unterstützt.
- Zurzeit fallen keine Kosten für den Export in unabhängige Clouds an. Eine Benachrichtigung wird vor der Aktivierung gesendet.
Datenvollständigkeit
Der Datenexport wird optimiert, um große Datenmengen an Ihre Ziele zu verschieben. Im Falle eines Ziels mit unzureichender Skalierung oder Verfügbarkeit wird ein Wiederholungsprozess bis zu 12 Stunden fortgesetzt und kann zu einem Bruchteil der Duplizierung der exportierten Datensätze führen. Beachten Sie die Empfehlungen für Speicherkonto- und Event Hubs-Ziele zum Verbessern der Zuverlässigkeit. Weitere Informationen zu Zielgrenzwerten und empfohlenen Warnungen finden Sie unter Erstellen oder Aktualisieren einer Datenexportregel. Wenn die Ziele nach Ablauf des Wiederholungsversuchzeitraums weiterhin nicht verfügbar sind, werden die Daten verworfen.
Preismodell
Die Datenexportgebühren basieren auf der Anzahl der Bytes, die in JSON-formatierten Daten an Ziele exportiert werden, und werden in GB (10^9 Bytes) gemessen. Die Größenberechnung in der Arbeitsbereichsabfrage kann nicht mit Exportgebühren übereinstimmen, da sie die JSON-formatierten Daten nicht enthält. Sie können PowerShell zum Berechnen der Gesamtabrechnungsgröße eines Blobcontainers verwenden. Zurzeit fallen keine Kosten für den Export in unabhängige Clouds an. Eine Benachrichtigung wird vor der Aktivierung gesendet.
Weitere Informationen, einschließlich der Abrechnungszeitachse für den Datenexport, finden Sie unter Azure Monitor – Preise. Die Abrechnung für den Datenexport wurde Anfang Oktober 2023 aktiviert.
Exportziele
Das Datenexportziel muss verfügbar sein, bevor Sie Exportregeln in Ihrem Arbeitsbereich erstellen. Das Ziel muss sich nicht im gleichen Abonnement befinden wie Ihr Arbeitsbereich. Wenn Sie Azure Lighthouse verwenden, können Daten auch an Ziele in einem anderen Microsoft Entra-Mandanten gesendet werden.
Sie müssen über Schreibberechtigungen für den Arbeitsbereich und das Ziel verfügen, um eine Datenexportregel für eine beliebige Tabelle in einem Arbeitsbereich konfigurieren zu können. Die SAS-Richtlinie für den Event Hubs-Namespace definiert die Berechtigungen für den Streamingmechanismus. Für das Streaming an Event Hubs werden Berechtigungen für das Verwalten, Senden und Lauschen benötigt. Um die Exportregel zu aktualisieren, müssen Sie über die ListKey-Berechtigung für diese Event Hubs-Autorisierungsregel verfügen.
Speicherkonto
Verwenden Sie kein vorhandenes Speicherkonto, das andere, nicht überwachungsrelevante Daten enthält, um den Zugriff auf die Daten besser steuern zu können und ein Erreichen der maximalen Speichererfassungsrate sowie Fehler und Wartezeit zu vermeiden.
Legen Sie die Unveränderlichkeitsrichtlinie für das Speicherkonto wie unter Festlegen und Verwalten von Unveränderlichkeitsrichtlinien für Azure Blob Storage beschrieben fest, um Daten an ein unveränderliches Speicherkonto zu senden. Führen Sie alle Schritte in diesem Artikel aus – einschließlich der Aktivierung von Schreibvorgängen in geschützten Anfügeblobs.
Das Speicherkonto darf nicht Premium sein, sondern muss StorageV1 oder höher sein und sich in derselben Region wie Ihr Arbeitsbereich befinden. Wenn Sie Ihre Daten in anderen Speicherkonten in anderen Regionen replizieren müssen, können Sie eine der Azure Storage-Redundanzoptionen verwenden, einschließlich GRS (georedundanter Speicher) und GZRS (geozonenredundanter Speicher).
Bei Azure Monitor eingehende Daten werden an Speicherkonten gesendet und in Ziele in einer Arbeitsbereichsregion exportiert. Für jede Tabelle im Speicherkonto wird ein Container mit dem Namen am-, gefolgt vom Namen der Tabelle, erstellt. Beispielsweise würde die Tabelle SecurityEvent an einen Container mit dem Namen am-SecurityEvent senden.
Blobs werden in Fünf-Minuten-Ordnern in der folgenden Pfadstruktur gespeichert: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<Ressourcengruppe>/providers/microsoft.operationalinsights/workspaces/<Arbeitsbereich>/y=<Jahr (vierstellige Zahl)>/m=<Monat (zweistellige Zahl)>/d=<Tag (zweistellige Zahl)>/h=<Stunde im 24-Stunden-Format (zweistellige Zahl)>/m=<Minute im 60-Minuten-Format (zweistellige Zahl)>/PT05M.json. Anhänge an Blobs sind auf 50.000 Schreibvorgänge beschränkt. Weitere Blobs werden im Ordner als PT05M_#.json* hinzugefügt, wobei # der inkrementellen Blobanzahl entspricht.
Hinweis
Anhänge an Blobs werden basierend auf dem Feld „TimeGenerated“ geschrieben und erfolgen beim Eingang von Quelldaten. Daten, die mit Verzögerung in Azure Monitor eintreffen oder nach der Drosselung von Zielen wiederholt werden, werden gemäß ihrem TimeGenerated-Wert in Blobs geschrieben.
Das Format von Blobs in einem Speicherkonto ist JSON-Zeilen. Das bedeutet, dass die einzelnen Datensätze jeweils durch einen Zeilenumbruch getrennt sind und dass kein externes Datensatzarray und keine Kommas zwischen JSON-Datensätzen verwendet werden.
Event Hubs
Verwenden Sie keinen vorhandenen Event Hub, der nicht überwachungsrelevante Daten enthält, um ein Erreichen der maximalen Erfassungsrate des Event Hubs-Namespace sowie Fehler und Wartezeit zu vermeiden.
Bei Azure Monitor eingehende Daten werden an Ihren Event Hub gesendet und in Ziele in einer Arbeitsbereichsregion exportiert. Sie können mehrere Exportregeln für denselben Event Hubs-Namespace erstellen, indem Sie in der Regel einen anderen Event Hub-Namen (Event Hub name
) angeben. Ohne Angabe von Event Hub name
wird für Tabellen, die Sie exportieren, ein standardmäßiger Event Hub erstellt, dessen Name sich aus am- und dem Namen der Tabelle zusammensetzt. Beispielsweise würde die Tabelle SecurityEvent an einen Event Hub mit dem Namen am-SecurityEvent gesendet.
In den Namespacetarifen „Basic“ und „Standard“ werden zehn Event Hubs unterstützt. Wenn Sie mehr als zehn Tabellen in diese Tarifstufen exportieren, teilen Sie die Tabellen entweder auf mehrere Exportregeln für verschiedene Event Hubs-Namespaces auf, oder geben Sie einen Event Hub-Namen an, um alle Tabellen in diesen Event Hub zu exportieren.
Hinweis
- Der Event Hubs-Namespacetarif „Basic“ ist eingeschränkt. Er unterstützt eine geringere Ereignisgröße und keine automatische Vergrößerung, um automatisch hochzuskalieren und die Anzahl von Durchsatzeinheiten zu erhöhen. Da das Datenvolumen in Ihrem Arbeitsbereich mit der Zeit zunimmt und eine Event Hub-Skalierung erforderlich macht, verwenden Sie die Event Hubs-Tarife „Standard“, „Premium“ oder „Dedicated“ mit aktiviertem Feature Automatische Vergrößerung. Weitere Informationen finden Sie unter Automatisches Hochskalieren von Azure Event Hubs-Durchsatzeinheiten.
- Datenexport kann Event Hubs-Ressourcen nicht erreichen, wenn virtuelle Netzwerke aktiviert sind. Sie müssen das Kontrollkästchen Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto aktivieren, um diese Firewalleinstellung in einem Event Hub zu umgehen und Zugriff auf Ihre Event Hubs zu gewähren.
Abfragen exportierter Daten
Das Exportieren von Daten aus Arbeitsbereichen in Speicherkonten trägt dazu bei, verschiedene Szenarien zu erfüllen, die in der Übersicht erwähnt werden, und sie können von Tools verwendet werden, die Blobs aus Speicherkonten lesen können. Mit den folgenden Methoden können Sie Daten mithilfe der Log Analytics-Abfragesprache abfragen, die für Azure Data Explorer identisch ist.
- Verwenden Sie Azure Data Explorer, um Daten in Azure Data Lake abzufragen.
- Verwenden Sie Azure Data Explorer, um Daten aus einem Speicherkonto zu erfassen.
- Verwenden Sie einen Log Analytics-Arbeitsbereich, um erfasste Daten mithilfe der Protokollerfassungs-API abzufragen. Erfasste Daten werden in einer benutzerdefinierten Protokolltabelle und nicht in der ursprünglichen Tabelle erfasst.
Aktivieren des Datenexports
Die folgenden Schritte müssen ausgeführt werden, um den Log Analytics-Datenexport zu aktivieren. Weitere Informationen zu den einzelnen Schritten finden Sie in den folgenden Abschnitten:
- Registrieren des Ressourcenanbieters
- Zulassen vertrauenswürdiger Microsoft-Dienste
- Erstellen oder Aktualisieren einer Datenexportregel
Registrieren des Ressourcenanbieters
Der Azure-Ressourcenanbieter Microsoft.Insights muss in Ihrem Abonnement registriert werden, um den Log Analytics-Datenexport zu ermöglichen.
Dieser Ressourcenanbieter ist bei den meisten Azure Monitor-Benutzern wahrscheinlich bereits registriert. Um dies zu überprüfen, gehen Sie im Azure-Portal zu Abonnements. Wählen Sie Ihr Abonnement und dann im Abschnitt Einstellungen des Menüs die Option Ressourcenanbieter aus. Suchen Sie nach Microsoft.Insights. Wenn der Status Registriert lautet, ist die Registrierung bereits erfolgt. Andernfalls wählen Sie Registrieren aus, um die Registrierung vorzunehmen.
Sie können auch eine der verfügbaren Methoden zum Registrieren eines Ressourcenanbieters verwenden, die unter Azure-Ressourcenanbieter und -typen beschrieben sind. Der folgende Beispielbefehl verwendet die Azure CLI:
az provider register --namespace 'Microsoft.insights'
Der folgende Beispielbefehl verwendet PowerShell:
Register-AzResourceProvider -ProviderNamespace Microsoft.insights
Zulassen vertrauenswürdiger Microsoft-Dienste
Wenn Sie Ihr Speicherkonto so konfiguriert haben, dass der Zugriff von ausgewählten Netzwerken aus möglich ist, müssen Sie eine Ausnahme hinzufügen, damit Azure Monitor in das Konto schreiben darf. Aktivieren Sie auf der Registerkarte Firewalls und virtuelle Netzwerke für Ihr Speicherkonto das Kontrollkästchen Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto.
Überwachen von Zielen
Wichtig
Exportziele haben Grenzwerte und sollten überwacht werden, um Drosselungen, Fehler und Wartezeiten zu minimieren. Weitere Informationen finden Sie unter Skalierbarkeit des Speicherkontos und Event Hubs-Namespacekontingente.
Die folgenden Metriken sind für Datenexportvorgänge und Warnungen verfügbar.
Metrikname | Beschreibung |
---|---|
Exportierte Bytes | Gesamtanzahl der an das Ziel im Log Analytics-Arbeitsbereich innerhalb des ausgewählten Zeitbereichs exportierten Bytes. Die Größe der exportierten Daten ist die Anzahl von Bytes bei den exportierten Daten im JSON-Format. 1 GB = 10^9 Byte |
Exportfehler | Gesamtanzahl der fehlerhaften Exportanforderungen an das Ziel aus den Log Analytics-Arbeitsbereich innerhalb des ausgewählten Zeitbereichs. Diese Zahl umfasst fehlgeschlagene Exportversuche aufgrund einer Einschränkung der Zielressource, eines unzulässigen Zugriffsfehlers oder eines Serverfehlers. Bei einem Wiederholungsvorgang werden fehlgeschlagene Versuche behandelt und die Zahl ist kein Hinweis auf fehlende Daten. |
Exportierte Datensätze | Gesamtanzahl der aus dem Log Analytics-Arbeitsbereich innerhalb des ausgewählten Zeitbereichs exportierten Datensätze. Diese Zahl umfasst Datensätze für Vorgänge, die mit Erfolg beendet wurden. |
Überwachen eines Speicherkontos
Verwenden Sie ein separates Speicherkonto für den Export.
Konfigurieren Sie eine Warnung für die Metrik:
`Scope` Metriknamespace Metrik Aggregation Schwellenwert Speichername Konto Eingehende Daten Sum 80 % des maximalen Eingangs pro Warnungsauswertungszeitraum. Beispiel: Der Grenzwert für „Universell v2“ in „USA, Westen“ beträgt 60 GBit/s. Der Warnungsschwellenwert liegt bei 1676 GiB pro fünfminütigem Auswertungszeitraum. Aktionen zur Warnungsbehebung:
- Verwenden Sie für den Export ein separates Speicherkonto, das nicht für nicht überwachungsrelevante Daten genutzt wird.
- Azure Storage-Standardkonten unterstützen höhere Eingangsgrenzwerte bei Anforderung. Wenden Sie sich dazu an den Azure-Support.
- Teilen Sie Tabellen auf mehrere Storage-Konten auf.
Überwachen von Event Hubs
Konfigurieren Sie Warnungen für die folgenden Metriken:
`Scope` Metriknamespace Metrik Aggregation Schwellenwert Namespacesname Event Hubs-Standardmetriken Eingehende Bytes Sum 80 % des maximalen Eingangs pro Warnungsauswertungszeitraum. Beispiel: Der Grenzwert beträgt 1 MB/s pro Einheit (TU oder PU) und fünf verwendete Einheiten. Der Schwellenwert liegt bei 228 MiB pro fünfminütigem Auswertungszeitraum. Namespacesname Event Hubs-Standardmetriken Eingehende Anforderungen Anzahl 80 % der maximalen Ereignisse pro Warnungsauswertungszeitraum. Beispiel: Der Grenzwert beträgt 1.000/s pro Einheit (TU oder PU) und fünf verwendete Einheiten. Der Schwellenwert liegt bei 1.200.000 pro fünfminütigem Auswertungszeitraum. Namespacesname Event Hubs-Standardmetriken Fehler aufgrund von Kontingentüberschreitung Anzahl 1 % der Anforderung. Pro 5 Minuten beispielsweise 600.000 Anforderungen. Der Schwellenwert liegt bei 6.000 pro fünfminütigem Auswertungszeitraum. Aktionen zur Warnungsbehebung:
- Verwenden Sie für den Export einen separaten Event Hubs-Namespace, der nicht für nicht überwachungsrelevante Daten genutzt wird.
- Konfigurieren Sie das Feature Automatische Vergrößerung, um die Anzahl der Durchsatzeinheiten automatisch zu erhöhen und so den Nutzungsanforderungen gerecht zu werden.
- Überprüfen Sie die Erhöhung der Durchsatzeinheiten, um das Datenvolumen zu bewältigen.
- Teilen Sie Tabellen auf mehrere Namespaces auf.
- Verwenden Sie die Tarife „Premium“ oder „Dedicated“ für einen höheren Durchsatz.
Erstellen oder Aktualisieren einer Datenexportregel
Eine Datenexportregel definiert das Ziel und die Tabellen, für die Daten exportiert werden. Die Regelbereitstellung dauert etwa 30 Minuten vor dem Initiieren des Exportvorgangs. Überlegungen zum Datenexport:
- Das Speicherkonto muss für alle Regeln im Arbeitsbereich eindeutig sein.
- Beim Senden an separate Event Hubs können mehrere Regeln denselben Event Hubs-Namespace verwenden.
- In ein Speicherkonto exportieren: Im Speicherkonto wird für jede Tabelle ein separater Container erstellt.
- In Event Hubs exportieren: Wenn kein Event Hub-Name angegeben ist, wird für jede Tabelle ein separater Event Hub erstellt. In den Namespacetarifen „Basic“ und „Standard“ werden zehn Event Hubs unterstützt. Wenn Sie mehr als zehn Tabellen in diese Tarifstufen exportieren, teilen Sie die Tabellen entweder auf mehrere Exportregeln für verschiedene Event Hubs-Namespaces auf, oder geben Sie in der Regel einen Event Hub-Namen an, um alle Tabellen in diesen Event Hub zu exportieren.
Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus. Wählen Sie im oberen Bereich die Option Neue Exportregel aus.
Führen Sie die Schritte aus, und wählen Sie dann Erstellen aus. Nur die Tabellen, in denen sich Daten befinden, werden auf der Registerkarte „Quelle“ angezeigt.
Anzeigen der Konfiguration der Datenexportregel
Deaktivieren oder Aktualisieren einer Exportregel
Sie können Exportregeln deaktivieren, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus. Wählen Sie die Umschaltfläche Status aus, um die Exportregel zu deaktivieren oder zu aktivieren.
Löschen einer Exportregel
Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus. Wählen Sie die Auslassungspunkte rechts neben der Regel und dann Löschen aus.
Anzeigen aller Datenexportregeln in einem Arbeitsbereich
Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus, um alle Exportregeln im Arbeitsbereich anzuzeigen.
Nicht unterstützte Tabellen
Wenn die Datenexportregel eine nicht unterstützte Tabelle umfasst, wird die Konfiguration erfolgreich ausgeführt, es werden jedoch für diese Tabelle keine Daten exportiert. Wenn die Tabelle zu einem späteren Zeitpunkt unterstützt wird, werden die entsprechenden Daten dann exportiert.
Unterstützte Tabellen
Hinweis
Wir sind dabei, Unterstützung für weitere Tabellen hinzuzufügen. Überprüfen Sie diesen Artikel regelmäßig.
Tabelle | Einschränkungen |
---|---|
AACAudit | |
AACHttpRequest | |
AADB2CRequestLogs | |
AADCustomSecurityAttributeAuditLogs | |
AADDomainServicesAccountLogon | |
AADDomainServicesAccountManagement | |
AADDomainServicesDirectoryServiceAccess | |
AADDomainServicesDNSAuditsDynamicUpdates | |
AADDomainServicesDNSAuditsGeneral | |
AADDomainServicesLogonLogoff | |
AADDomainServicesPolicyChange | |
AADDomainServicesPrivilegeUse | |
AADManagedIdentitySignInLogs | |
AADNonInteractiveUserSignInLogs | |
AADProvisioningLogs | |
AADRiskyServicePrincipals | |
AADRiskyUsers | |
AADServicePrincipalRiskEvents | |
AADServicePrincipalSignInLogs | |
AADUserRiskEvents | |
ABSBotRequests | |
ACICollaborationAudit | |
ACRConnectedClientList | |
ACSAuthIncomingOperations | |
ACSBillingUsage | |
ACSCallAutomationIncomingOperations | |
ACSCallAutomationMediaSummary | |
ACSCallClientMediaStatsTimeSeries | |
ACSCallClientOperations | |
ACSCallClosedCaptionsSummary | |
ACSCallDiagnostics | |
ACSCallRecordingIncomingOperations | |
ACSCallRecordingSummary | |
ACSCallSummary | |
ACSCallSurvey | |
ACSChatIncomingOperations | |
ACSEmailSendMailOperational | |
ACSEmailStatusUpdateOperational | |
ACSEmailUserEngagementOperational | |
ACSJobRouterIncomingOperations | |
ACSNetworkTraversalDiagnostics | |
ACSNetworkTraversalIncomingOperations | |
ACSRoomsIncomingOperations | |
ACSSMSIncomingOperations | |
ADAssessmentRecommendation | |
AddonAzureBackupAlerts | |
AddonAzureBackupJobs | |
AddonAzureBackupPolicy | |
AddonAzureBackupProtectedInstance | |
AddonAzureBackupStorage | |
ADFActivityRun | |
ADFAirflowSchedulerLogs | |
ADFAirflowTaskLogs | |
ADFAirflowWebLogs | |
ADFAirflowWorkerLogs | |
ADFPipelineRun | |
ADFSandboxActivityRun | |
ADFSandboxPipelineRun | |
ADFSSignInLogs | |
ADFSSISIntegrationRuntimeLogs | |
ADFSSISPackageEventMessageContext | |
ADFSSISPackageEventMessages | |
ADFSSISPackageExecutableStatistics | |
ADFSSISPackageExecutionComponentPhases | |
ADFSSISPackageExecutionDataStatistics | |
ADFTriggerRun | |
ADPAudit | |
ADPDiagnostics | |
ADPRequests | |
ADReplicationResult | |
ADSecurityAssessmentRecommendation | |
ADTDataHistoryOperation | |
ADTDigitalTwinsOperation | |
ADTEventRoutesOperation | |
ADTModelsOperation | |
ADTQueryOperation | |
ADXCommand | |
ADXIngestionBatching | |
ADXJournal | |
ADXQuery | |
ADXTableDetails | |
ADXTableUsageStatistics | |
AegDataPlaneRequests | |
AegDeliveryFailureLogs | |
AegPublishFailureLogs | |
AEWAssignmentBlobLogs | |
AEWAuditLogs | |
AEWComputePipelinesLogs | |
AFSAuditLogs | |
AGCAccessLogs | |
AgriFoodApplicationAuditLogs | |
AgriFoodFarmManagementLogs | |
AgriFoodFarmOperationLogs | |
AgriFoodInsightLogs | |
AgriFoodJobProcessedLogs | |
AgriFoodModelInferenceLogs | |
AgriFoodProviderAuthLogs | |
AgriFoodSatelliteLogs | |
AgriFoodSensorManagementLogs | |
AgriFoodWeatherLogs | |
AGSGrafanaLoginEvents | |
AGWAccessLogs | |
AGWFirewallLogs | |
AGWPerformanceLogs | |
AHDSDicomAuditLogs | |
AHDSDicomDiagnosticLogs | |
AHDSMedTechDiagnosticLogs | |
AirflowDagProcessingLogs | |
AKSAudit | |
AKSAuditAdmin | |
AKSControlPlane | |
ALBHealthEvent | |
Warnung | Teilweise unterstützt. Die Datenerfassung für Zabbix-Warnungen wird nicht unterstützt. |
AlertEvidence | |
AlertInfo | |
AmlComputeClusterEvent | |
AmlComputeCpuGpuUtilization | |
AmlComputeInstanceEvent | |
AmlComputeJobEvent | |
AmlDataLabelEvent | |
AmlDataSetEvent | |
AmlDataStoreEvent | |
AmlDeploymentEvent | |
AmlEnvironmentEvent | |
AmlInferencingEvent | |
AmlModelsEvent | |
AmlOnlineEndpointConsoleLog | |
AmlOnlineEndpointEventLog | |
AmlOnlineEndpointTrafficLog | |
AmlPipelineEvent | |
AmlRegistryReadEventsLog | |
AmlRegistryWriteEventsLog | |
AmlRunEvent | |
AmlRunStatusChangedEvent | |
AMSKeyDeliveryRequests | |
AMSLiveEventOperations | |
AMSMediaAccountHealth | |
AMSStreamingEndpointRequests | |
AMWMetricsUsageDetails | |
ANFFileAccess | |
Anomalien | |
AOIDatabaseQuery | |
AOIDigestion | |
AOIStorage | |
ApiManagementGatewayLogs | |
ApiManagementWebSocketConnectionLogs | |
AppAvailabilityResults | |
AppBrowserTimings | |
AppCenterError | |
AppDependencies | |
AppEnvSpringAppConsoleLogs | |
AppEvents | |
AppExceptions | |
AppMetrics | |
AppPageViews | |
AppPerformanceCounters | |
AppPlatformBuildLogs | |
AppPlatformContainerEventLogs | |
AppPlatformIngressLogs | |
AppPlatformLogsforSpring | |
AppPlatformSystemLogs | |
AppRequests | |
AppServiceAntivirusScanAuditLogs | |
AppServiceAppLogs | |
AppServiceAuditLogs | |
AppServiceAuthenticationLogs | |
AppServiceConsoleLogs | |
AppServiceEnvironmentPlatformLogs | |
AppServiceFileAuditLogs | |
AppServiceHTTPLogs | |
AppServiceIPSecAuditLogs | |
AppServicePlatformLogs | |
AppServiceServerlessSecurityPluginData | |
AppSystemEvents | |
AppTraces | |
ArcK8sAudit | |
ArcK8sAuditAdmin | |
ArcK8sControlPlane | |
ASCAuditLogs | |
ASCDeviceEvents | |
ASimAuditEventLogs | |
ASimAuthenticationEventLogs | |
ASimDhcpEventLogs | |
ASimDnsActivityLogs | |
ASimFileEventLogs | |
ASimNetworkSessionLogs | |
ASimProcessEventLogs | |
ASimRegistryEventLogs | |
ASimUserManagementActivityLogs | |
ASimWebSessionLogs | |
ASRJobs | |
ASRReplicatedItems | |
ATCExpressRouteCircuitIpfix | |
AuditLogs | |
AutoscaleEvaluationsLog | |
AutoscaleScaleActionsLog | |
AVNMConnectivityConfigurationChange | |
AVNMIPAMPoolAllocationChange | |
AVNMNetworkGroupMembershipChange | |
AVNMRuleCollectionChange | |
AVSSyslog | |
AWSCloudTrail | |
AWSCloudWatch | |
AWSGuardDuty | |
AWSVPCFlow | |
AZFWApplicationRule | |
AZFWApplicationRuleAggregation | |
AZFWDnsQuery | |
AZFWFatFlow | |
AZFWFlowTrace | |
AZFWIdpsSignature | |
AZFWInternalFqdnResolutionFailure | |
AZFWNatRule | |
AZFWNatRuleAggregation | |
AZFWNetworkRule | |
AZFWNetworkRuleAggregation | |
AZFWThreatIntel | |
AZKVAuditLogs | |
AZKVPolicyEvaluationDetailsLogs | |
AZMSApplicationMetricLogs | |
AZMSArchiveLogs | |
AZMSAutoscaleLogs | |
AZMSCustomerManagedKeyUserLogs | |
AZMSDiagnosticErrorLogs | |
AZMSHybridConnectionsEvents | |
AZMSKafkaCoordinatorLogs | |
AZMSKafkaUserErrorLogs | |
AZMSOperationalLogs | |
AZMSRunTimeAuditLogs | |
AZMSVnetConnectionEvents | |
AzureAssessmentRecommendation | |
AzureAttestationDiagnostics | |
AzureBackupOperations | |
AzureDevOpsAuditing | |
AzureLoadTestingOperation | |
AzureMetricsV2 | |
BehaviorAnalytics | |
CassandraAudit | |
CassandraLogs | |
CCFApplicationLogs | |
CDBCassandraRequests | |
CDBControlPlaneRequests | |
CDBDataPlaneRequests | |
CDBGremlinRequests | |
CDBMongoRequests | |
CDBPartitionKeyRUConsumption | |
CDBPartitionKeyStatistics | |
CDBQueryRuntimeStatistics | |
ChaosStudioExperimentEventLogs | |
CHSMManagementAuditLogs | |
CIEventsAudit | |
CIEventsOperational | |
CloudAppEvents | |
CommonSecurityLog | |
ComputerGroup | |
ConfidentialWatchlist | |
ConfigurationData | Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export. |
ContainerAppConsoleLogs | |
ContainerAppSystemLogs | |
ContainerEvent | |
ContainerImageInventory | |
ContainerInstanceLog | |
ContainerInventory | |
ContainerLog | |
ContainerLogV2 | |
ContainerNodeInventory | |
ContainerRegistryLoginEvents | |
ContainerRegistryRepositoryEvents | |
ContainerServiceLog | |
CoreAzureBackup | |
DatabricksAccounts | |
DatabricksBrickStoreHttpGateway | |
DatabricksCapsule8Dataplane | |
DatabricksClamAVScan | |
DatabricksCloudStorageMetadata | |
DatabricksClusterLibraries | |
DatabricksClusters | |
DatabricksDashboards | |
DatabricksDataMonitoring | |
DatabricksDBFS | |
DatabricksDeltaPipelines | |
DatabricksFeatureStore | |
DatabricksFilesystem | |
DatabricksGenie | |
DatabricksGitCredentials | |
DatabricksGlobalInitScripts | |
DatabricksIAMRole | |
DatabricksIngestion | |
DatabricksInstancePools | |
DatabricksJobs | |
DatabricksLineageTracking | |
DatabricksMarketplaceConsumer | |
DatabricksMLflowAcledArtifact | |
DatabricksMLflowExperiment | |
DatabricksModelRegistry | |
DatabricksNotebook | |
DatabricksPartnerHub | |
DatabricksPredictiveOptimization | |
DatabricksRemoteHistoryService | |
DatabricksRepos | |
DatabricksSecrets | |
DatabricksServerlessRealTimeInference | |
DatabricksSQLPermissions | |
DatabricksSSH | |
DatabricksUnityCatalog | |
DatabricksWebTerminal | |
DatabricksWorkspace | |
DatabricksWorkspaceLogs | |
DataTransferOperations | |
DataverseActivity | |
DCRLogErrors | |
DCRLogTroubleshooting | |
DevCenterBillingEventLogs | |
DevCenterDiagnosticLogs | |
DevCenterResourceOperationLogs | |
DeviceEvents | |
DeviceFileCertificateInfo | |
DeviceFileEvents | |
DeviceImageLoadEvents | |
DeviceInfo | |
DeviceLogonEvents | |
DeviceNetworkEvents | |
DeviceNetworkInfo | |
DeviceProcessEvents | |
DeviceRegistryEvents | |
DeviceTvmSecureConfigurationAssessment | |
DeviceTvmSecureConfigurationAssessmentKB | |
DeviceTvmSoftwareInventory | |
DeviceTvmSoftwareVulnerabilities | |
DeviceTvmSoftwareVulnerabilitiesKB | |
DnsEvents | |
DnsInventory | |
DNSQueryLogs | |
DSMAzureBlobStorageLogs | |
DSMDataClassificationLogs | |
DSMDataLabelingLogs | |
Dynamics365Activity | |
DynamicSummary | |
EGNFailedMqttConnections | |
EGNFailedMqttPublishedMessages | |
EGNFailedMqttSubscriptions | |
EGNMqttDisconnections | |
EGNSuccessfulMqttConnections | |
EmailAttachmentInfo | |
EmailEvents | |
EmailPostDeliveryEvents | |
EmailUrlInfo | |
EnrichedMicrosoft365AuditLogs | |
ETWEvent | Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt. |
Ereignis | Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt. |
ExchangeAssessmentRecommendation | |
ExchangeOnlineAssessmentRecommendation | |
FailedIngestion | |
FunctionAppLogs | |
GCPAuditLogs | |
GoogleCloudSCC | |
HDInsightAmbariClusterAlerts | |
HDInsightAmbariSystemMetrics | |
HDInsightGatewayAuditLogs | |
HDInsightHadoopAndYarnLogs | |
HDInsightHadoopAndYarnMetrics | |
HDInsightHBaseLogs | |
HDInsightHBaseMetrics | |
HDInsightHiveAndLLAPLogs | |
HDInsightHiveAndLLAPMetrics | |
HDInsightHiveQueryAppStats | |
HDInsightHiveTezAppStats | |
HDInsightJupyterNotebookEvents | |
HDInsightKafkaLogs | |
HDInsightKafkaMetrics | |
HDInsightOozieLogs | |
HDInsightRangerAuditLogs | |
HDInsightSecurityLogs | |
HDInsightSparkApplicationEvents | |
HDInsightSparkBlockManagerEvents | |
HDInsightSparkEnvironmentEvents | |
HDInsightSparkExecutorEvents | |
HDInsightSparkExtraEvents | |
HDInsightSparkJobEvents | |
HDInsightSparkLogs | |
HDInsightSparkSQLExecutionEvents | |
HDInsightSparkStageEvents | |
HDInsightSparkStageTaskAccumulables | |
HDInsightSparkTaskEvents | |
HDInsightStormLogs | |
HDInsightStormMetrics | |
HDInsightStormTopologyMetrics | |
HealthStateChangeEvent | |
Heartbeat | |
HuntingBookmark | |
IdentityDirectoryEvents | |
IdentityInfo | |
IdentityLogonEvents | |
IdentityQueryEvents | |
InsightsMetrics | Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export. |
IntuneAuditLogs | |
IntuneDeviceComplianceOrg | |
IntuneDevices | |
IntuneOperationalLogs | |
KubeEvents | |
KubeHealth | |
KubeMonAgentEvents | |
KubeNodeInventory | |
KubePodInventory | |
KubePVInventory | |
KubeServices | |
LAQueryLogs | |
LASummaryLogs | |
LinuxAuditLog | |
LogicAppWorkflowRuntime | |
McasShadowItReporting | |
MCCEventLogs | |
MCVPAuditLogs | |
MCVPOperationLogs | |
MDCFileIntegrityMonitoringEvents | |
MDECustomCollectionDeviceFileEvents | |
MicrosoftAzureBastionAuditLogs | |
MicrosoftDataShareReceivedSnapshotLog | |
MicrosoftDataShareSentSnapshotLog | |
MicrosoftDataShareShareLog | |
MicrosoftGraphActivityLogs | |
MicrosoftHealthcareApisAuditLogs | |
MicrosoftPurviewInformationProtection | |
MNFDeviceUpdates | |
MNFSystemSessionHistoryUpdates | |
MNFSystemStateMessageUpdates | |
NCBMBreakGlassAuditLogs | |
NCBMSecurityDefenderLogs | |
NCBMSecurityLogs | |
NCBMSystemLogs | |
NCCKubernetesLogs | |
NCCVMOrchestrationLogs | |
NCSStorageAlerts | |
NCSStorageLogs | |
NetworkAccessTraffic | |
NetworkMonitoring | |
NGXOperationLogs | |
NSPAccessLogs | |
NTAInsights | |
NTAIpDetails | |
NTANetAnalytics | |
NTATopologyDetails | |
NWConnectionMonitorDestinationListenerResult | |
NWConnectionMonitorDNSResult | |
NWConnectionMonitorPathResult | |
NWConnectionMonitorTestResult | |
OEPAirFlowTask | |
OEPAuditLogs | |
OEPDataplaneLogs | |
OEPElasticOperator | |
OEPElasticsearch | |
OfficeActivity | |
OLPSupplyChainEntityOperations | |
OLPSupplyChainEvents | |
Vorgang | Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export. |
Perf | |
PFTitleAuditLogs | |
PowerAppsActivity | |
PowerAutomateActivity | |
PowerBIActivity | |
PowerBIAuditTenant | |
PowerBIDatasetsTenant | |
PowerBIDatasetsWorkspace | |
PowerBIReportUsageWorkspace | |
PowerPlatformAdminActivity | |
PowerPlatformConnectorActivity | |
PowerPlatformDlpActivity | |
ProjectActivity | |
PurviewDataSensitivityLogs | |
PurviewScanStatusLogs | |
PurviewSecurityLogs | |
REDConnectionEvents | |
RemoteNetworkHealthLogs | |
ResourceManagementPublicAccessLogs | |
SCCMAssessmentRecommendation | |
SCOMAssessmentRecommendation | |
SecureScoreControls | |
SecureScores | |
SecurityAlert | |
SecurityAttackPathData | |
SecurityBaseline | |
SecurityBaselineSummary | |
SecurityDetection | |
SecurityEvent | |
SecurityIncident | |
SecurityIoTRawEvent | |
SecurityNestedRecommendation | |
SecurityRecommendation | |
SecurityRegulatoryCompliance | |
SentinelAudit | |
SentinelHealth | |
ServiceFabricOperationalEvent | Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt. |
ServiceFabricReliableActorEvent | Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt. |
ServiceFabricReliableServiceEvent | Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt. |
SfBAssessmentRecommendation | |
SharePointOnlineAssessmentRecommendation | |
SignalRServiceDiagnosticLogs | |
SigninLogs | |
SPAssessmentRecommendation | |
SQLAssessmentRecommendation | |
SqlAtpStatus | |
SQLSecurityAuditEvents | |
SqlVulnerabilityAssessmentScanStatus | |
StorageBlobLogs | |
StorageCacheOperationEvents | |
StorageCacheUpgradeEvents | |
StorageCacheWarningEvents | |
StorageFileLogs | |
StorageMalwareScanningResults | |
StorageMoverCopyLogsFailed | |
StorageMoverCopyLogsTransferred | |
StorageMoverJobRunLogs | |
StorageQueueLogs | |
StorageTableLogs | |
SucceededIngestion | |
SynapseBigDataPoolApplicationsEnded | |
SynapseBuiltinSqlPoolRequestsEnded | |
SynapseDXCommand | |
SynapseDXFailedIngestion | |
SynapseDXIngestionBatching | |
SynapseDXQuery | |
SynapseDXSucceededIngestion | |
SynapseDXTableDetails | |
SynapseDXTableUsageStatistics | |
SynapseGatewayApiRequests | |
SynapseIntegrationActivityRuns | |
SynapseIntegrationPipelineRuns | |
SynapseIntegrationTriggerRuns | |
SynapseLinkEvent | |
SynapseRbacOperations | |
SynapseScopePoolScopeJobsEnded | |
SynapseScopePoolScopeJobsStateChange | |
SynapseSqlPoolDmsWorkers | |
SynapseSqlPoolExecRequests | |
SynapseSqlPoolRequestSteps | |
SynapseSqlPoolSqlRequests | |
SynapseSqlPoolWaits | |
Syslog | |
ThreatIntelligenceIndicator | |
TSIIngress | |
UCClient | |
UCClientReadinessStatus | |
UCClientUpdateStatus | |
UCDeviceAlert | |
UCDOAggregatedStatus | |
UCDOStatus | |
UCServiceUpdateStatus | |
UCUpdateAlert | |
Aktualisieren | Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export. |
UpdateRunProgress | |
UpdateSummary | |
UrlClickEvents | |
Verwendung | |
UserAccessAnalytics | |
UserPeerAnalytics | |
VCoreMongoRequests | |
VIAudit | |
VIIndexing | |
VMConnection | Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export. |
W3CIISLog | Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt. |
WaaSDeploymentStatus | |
WaaSInsiderStatus | |
WaaSUpdateStatus | |
Watchlist | |
WebPubSubConnectivity | |
WebPubSubHttpRequest | |
WebPubSubMessaging | |
Windows365AuditLogs | |
WindowsClientAssessmentRecommendation | |
WindowsEvent | |
WindowsFirewall | |
WindowsServerAssessmentRecommendation | |
WireData | Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export. |
WorkloadDiagnosticLogs | |
WUDOAggregatedStatus | |
WUDOStatus | |
WVDAgentHealthStatus | |
WVDAutoscaleEvaluationPooled | |
WVDCheckpoints | |
WVDConnectionGraphicsDataPreview | |
WVDConnectionNetworkData | |
WVDConnections | |
WVDErrors | |
WVDFeeds | |
WVDHostRegistrations | |
WVDManagement | |
WVDSessionHostManagement |