Erstellen und Bearbeiten von Datensammlungsregeln (Data Collection Rules, DCRs) in Azure Monitor

Es gibt mehrere Methoden zum Erstellen einer Datensammlungsregel (Data Collection Rule, DCR) in Azure Monitor. In einigen Fällen erstellt und verwaltet Azure Monitor die DCR entsprechenden Einstellungen, die Sie im Azure-Portal konfigurieren. In anderen Fällen müssen Sie möglicherweise eigene DCRs erstellen, um bestimmte Szenarien anzupassen.

In diesem Artikel werden die verschiedenen Methoden zum Erstellen und Bearbeiten einer DCR beschrieben. Informationen zum Inhalt der DCR selbst finden Sie unter Struktur einer Datensammlungsregel in Azure Monitor.

Berechtigungen

Sie benötigen die folgenden Berechtigungen zum Erstellen von DCRs und Zuordnungen zu erstellen:

Integrierte Rolle	Bereiche	`Reason`
Überwachungsmitwirkender	Abonnement und/oder Ressourcengruppe und/oder Eine vorhandene DCR	Erstellen oder bearbeiten Sie DCRs, weisen Sie dem Computer Regeln zu, stellen Sie Zuordnungen bereit.
Mitwirkender von virtuellen Computern Ressourcenadministrator für Azure Connected Machine	VMs, VM-Skalierungsgruppen Server mit Azure Arc-Unterstützung	Stellen Sie Agent-Erweiterungen auf der VM bereit.
Jede Rolle, die die Aktion Microsoft.Resources/deployments/* enthält	Abonnement und/oder Ressourcengruppe und/oder Eine vorhandene DCR	Stellen Sie die Azure Resource Manager-Vorlagen bereit.

Automatisierte Methoden zum Erstellen einer DCR

Die folgende Tabelle enthält Methoden zum Erstellen von Datensammlungsszenarien mithilfe des Azure-Portals, in denen die DCR für Sie erstellt wird. In diesen Fällen müssen Sie nicht direkt mit der DCR selbst interagieren.

Szenario	Ressourcen	Beschreibung
Überwachen eines virtuellen Computers	Übersicht zum Aktivieren von VM Insights	Wenn Sie VM-Erkenntnisse auf einer VM aktivieren, wird der Azure Monitor-Agent installiert. Außerdem wird eine DCR erstellt, die einen vordefinierten Satz von Leistungsindikatoren erfasst. Sie sollten diese DCR nicht ändern.
Container Insights	Aktivieren von Container Insights	Wenn Sie Containererkenntnisse für einen Kubernetes-Cluster aktivieren, wird eine containerisierte Version des Azure Monitor-Agents installiert. Zudem wird eine DCR erstellt, die Daten gemäß der ausgewählten Konfiguration sammelt. Möglicherweise müssen Sie diese DCR ändern, um eine Transformation hinzuzufügen.
Arbeitsbereichstransformation	Hinzufügen einer Transformation in einer Datensammlungsregel für Arbeitsbereiche über das Azure-Portal	Sie können denselben grundlegenden Prozess verwenden, um eine Transformation für eine beliebige unterstützte Tabelle in einem Log Analytics-Arbeitsbereich zu erstellen. Die Transformation wird in einer DCR definiert, die dann dem Arbeitsbereich zugeordnet wird. Sie wird auf alle Daten angewendet, die von einer Legacy-Workload, die DCR noch nicht verwendet, an diese Tabelle gesendet werden.

Erstellen einer Datensammlungsregel

Azure bietet einen zentralen cloudbasierten Datensammlungskonfigurationsplan für virtuelle Computer, Skalierungsgruppen für virtuelle Computer, lokale Computer und Prometheus-Metriken aus Containern.

In diesem Artikel wird beschrieben, wie Sie eine DCR von Grund auf erstellen. Es gibt andere Insights-Lösungen, mit denen DCRs als Teil ihrer Workflows erstellt werden können, z. B. Sentinel, VM Insights und Application Insights. Manchmal stehen DCRs, die mit verschiedenen Lösungen erstellt wurden, zueinander im Widerspruch. Es gibt drei Tabellen, an die Windows-Ereignisse gesendet werden können. Sentinel-Sicherheitsüberwachungsereignisse werden an SecurityEvents gesendet und WEF-Connectorereignisse an die WindowsEvent-Tabelle. Wenn Sie die Windows-Entwurfsereignissammlung verwenden, werden die Ergebnisse zur Event-Tabelle gesendet.

Um eine Datensammlungsregel mithilfe der Azure CLI, PowerShell, der API oder ARM-Vorlagen zu erstellen, erstellen Sie eine JSON-Datei, und beginnen Sie dabei mit einer der DCR-Beispielinstanzen. Verwenden Sie die Informationen unter Struktur einer Datensammlungsregel in Azure Monitor, um die JSON-Datei für Ihre Umgebung und Ihre Anforderungen entsprechend anzupassen.

Wichtig

Erstellen Sie Ihre Datensammlungsregel in derselben Region wie Ihren Log Analytics- oder Azure Monitor-Zielarbeitsbereich. Sie können die Datensammlungsregel Computern oder Containern aus einer beliebigen Abonnement- oder Ressourcengruppe im Mandanten zuordnen. Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.

Portal

Wählen Sie im Menü Überwachen Datensammlungsregeln>Erstellen aus, um die Seite zu öffnen und eine neue Datensammlungsregel zu erstellen.

Konfigurieren Sie wie unten beschrieben die Einstellungen in jedem Schritt des Assistenten.

Grundlagen

Bildschirmelement	Beschreibung
Regelname	Geben Sie einen Namen für die Datensammlungsregel ein.
Abonnement	Ordnen Sie die Datensammlungsregel einem Abonnement zu.
Ressourcengruppe	Ordnen Sie die Datensammlungsregel einer Ressourcengruppe zu.
Region	Erstellen Sie Ihre Datensammlungsregel in derselben Region wie Ihren Log Analytics-Zielarbeitsbereich. Sie können die Datensammlungsregel Computern aus einer beliebigen Abonnement- oder Ressourcengruppe im Mandanten zuordnen.
Plattformtyp	Wählen Sie Windows oder Linux-oder Alle aus. Letzteres ermöglicht die Datensammlung sowohl auf Windows- als auch auf Linux-Plattformen.
Datensammlungsendpunkt	Um Linux-Syslog-Daten, IIS-Protokolle, benutzerdefinierte Textprotokolle oder benutzerdefinierte JSON-Protokolle zu erfassen, wählen Sie einen vorhandenen Datensammlungsendpunkt aus, oder erstellen Sie einen neuen. Sie benötigen keinen Endpunkt, um Leistungsindikatoren und Windows-Ereignisprotokolle zu erfassen. Auf dieser Registerkarte können Sie nur einen Datensammlungsendpunkt in derselben Region wie die Datensammlungsregel auswählen. Der Agent sendet erfasste Daten an diesen Datensammlungsendpunkt. Weitere Informationen finden Sie unter Komponenten eines Datensammlungsendpunkts.

Ressourcen

Bildschirmelement	Beschreibung
+ Ressourcen hinzufügen	Ordnen Sie der Datensammlungsregel virtuelle Computer, Virtual Machine Scale Sets und Azure Arc für Server zu. Mit dem Azure-Portal wird der Azure Monitor-Agent in Ressourcen installiert, auf denen er noch nicht installiert ist.
Datensammlungsendpunkte aktivieren	Wenn sich der Computer, den Sie überwachen, nicht in derselben Region wie Ihr Log Analytics-Zielarbeitsbereich befindet, aktivieren Sie Datensammlungsendpunkte, und wählen Sie einen Endpunkt in der Region des überwachten Computers aus, um Linux-Syslog-Daten, IIS-Protokolle, benutzerdefinierte Textprotokolle oder benutzerdefinierte JSON-Protokolle zu erfassen. Wenn sich der überwachte Computer in derselben Region wie Ihr Log Analytics-Zielarbeitsbereich befindet oder wenn Sie Leistungsindikatoren und Windows-Ereignisprotokolle erfassen, wählen Sie auf der Registerkarte Ressourcen keinen Datensammlungsendpunkt aus. Der Datensammlungsendpunkt auf der Registerkarte Ressourcen ist der Konfigurationszugriffsendpunkt, wie unter Komponenten eines Datensammlungsendpunkts beschrieben. Wenn Sie eine Netzwerkisolation über private Verbindungen benötigen, wählen Sie für die entsprechenden Ressourcen vorhandene Endpunkte aus derselben Region aus, oder erstellen Sie einen neuen Endpunkt.
Agent-Erweiterungsidentität	Verwenden Sie eine systemseitig zugewiesene verwaltete Identität, oder wählen Sie eine vorhandene benutzerseitig zugewiesene Identität aus, die dem virtuellen Computer zugewiesen ist. Weitere Informationen finden Sie unter Arten von verwalteten Identitäten.

Sammeln und übermitteln

Wählen Sie auf der Registerkarte Sammeln und übermitteln die Option Datenquelle hinzufügen aus, und konfigurieren Sie wie unten beschrieben die Einstellungen auf den Registerkarten Quelle und Ziel.

Bildschirmelement	Beschreibung
Datenquelle	Wählen Sie einen Datenquellentyp aus, und definieren Sie dazugehörige Felder basierend auf dem ausgewählten Datenquellentyp. Weitere Informationen zum Sammeln von Daten aus den verschiedenen Datenquellentypen finden Sie unter Sammeln von Daten mit dem Azure Monitor-Agent.
Ziel	Fügen Sie für jede Quelle mindestens ein Ziel hinzu. Sie können mehrere gleich- oder verschiedenartige Ziele auswählen.

Überprüfen + erstellen

Überprüfen Sie die Details der Datensammlungsregel, und wählen Sie Erstellen aus, um die Datensammlungsregel zu erstellen.

Hinweis

Es kann bis zu 5 Minuten dauern, bis Daten an die Ziele gesendet werden, wenn Sie eine Datensammlungsregel mithilfe des Datensammlungsregel-Assistenten erstellen.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Verwenden Sie den Befehl az monitor data-collection rule create, um eine DCR auf der Grundlage Ihrer JSON-Datei mithilfe der Azure CLI zu erstellen, wie im folgenden Beispiel gezeigt:

az monitor data-collection rule create --location 'eastus' --resource-group 'my-resource-group' --name 'myDCRName' --rule-file 'C:\MyNewDCR.json' --description 'This is my new DCR'

PowerShell

Verwenden Sie das Cmdlet New-AzDataCollectionRule, um die DCR auf der Grundlage Ihrer JSON-Datei mithilfe von PowerShell zu erstellen, wie im folgenden Beispiel gezeigt:

New-AzDataCollectionRule -Location 'east-us' -ResourceGroupName 'my-resource-group' -RuleName 'myDCRName' -RuleFile 'C:\MyNewDCR.json' -Description 'This is my new DCR'

Datensammlungsregeln in Azure Monitor (Vorschau)

Aktion	Befehl
Abrufen von Regeln	Get-AzDataCollectionRule
Erstellen einer Regel	New-AzDataCollectionRule
Aktualisieren einer Regel	Update-AzDataCollectionRule
Löschen einer Regel	Remove-AzDataCollectionRule
Aktualisieren von „Tags“ für eine Regel	Update-AzDataCollectionRule

Zuordnungen zu Datensammlungsregeln

Aktion	Befehl
Abrufen von Zuordnungen	Get-AzDataCollectionRuleAssociation
Erstellen einer Zuordnung	New-AzDataCollectionRuleAssociation
Löschen einer Zuordnung	Remove-AzDataCollectionRuleAssociation

API

Verwenden Sie die API zum Erstellen von DCRs, um die DCR auf der Grundlage Ihrer JSON-Datei zu erstellen. Sie können eine beliebige Methode verwenden, um eine REST-API aufzurufen, wie in den folgenden Beispielen gezeigt:

$ResourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
$FilePath = ".\my-dcr.json"
$DCRContent = Get-Content $FilePath -Raw 
Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method PUT -Payload $DCRContent

ResourceId="/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
FilePath="my-dcr.json"
az rest --method put --url $ResourceId"?api-version=2022-06-01" --body @$FilePath

ARM

Weitere Informationen zur Definition von DCRs und Assoziationen in einer Vorlage finden Sie in den folgenden Referenzen.

• Datensammlungsregeln in Azure Monitor (Vorschau)
• Zuordnungen zu Datensammlungsregeln

Verwenden Sie die folgende Vorlage, um eine DCR zu erstellen, indem Sie die Informationen aus Struktur einer Datensammlungsregel in Azure Monitor und Beispiel für Datensammlungsregeln (Data Collection Rules, DCRs) in Azure Monitor verwenden, um dcr-properties festzulegen.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "dataCollectionRuleName": {
            "type": "string",
            "metadata": {
                "description": "Specifies the name of the Data Collection Rule to create."
            }
        },
        "location": {
            "type": "string",
            "metadata": {
                "description": "Specifies the location in which to create the Data Collection Rule."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "[parameters('dataCollectionRuleName')]",
            "location": "[parameters('location')]",
            "apiVersion": "2021-09-01-preview",
            "properties": {
                "<dcr-properties>"
            }
        }
    ]
}

DCR-Zuordnung -Azure VM

Mit dem folgenden Beispiel wird eine Zuordnung zwischen einem virtuellen Azure-Computer und einer Datensammlungsregel erstellt.

Bicep-Vorlagendatei

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

ARM-Vorlagendatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Parameterdatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

DCR-Zuordnung -Arc-enabled server

Im folgenden Beispiel wird eine Zuordnung zwischen einem Server mit Azure Arc-Unterstützung und einer Datensammlungsregel erstellt.

Bicep-Vorlagendatei

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

ARM-Vorlagendatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.HybridCompute/machines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this Arc server.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Parameterdatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-hybrid-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Bearbeiten einer DCR

Zum Bearbeiten einer DCR können Sie eine der im vorherigen Abschnitt beschriebenen Methoden verwenden, um eine DCR mithilfe einer geänderten Version der JSON-Datei zu erstellen.

Wenn Sie die JSON-Datei für eine vorhandene DCR abrufen müssen, können Sie sie aus der JSON-Ansicht für die DCR im Azure-Portal kopieren. Sie können sie auch mithilfe eines API-Aufrufs abrufen, wie im folgenden PowerShell-Beispiel gezeigt:

$ResourceId = "<ResourceId>" # Resource ID of the DCR to edit
$FilePath = "<FilePath>" # Store DCR content in this file
$DCR = Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method GET
$DCR.Content | ConvertFrom-Json | ConvertTo-Json -Depth 20 | Out-File -FilePath $FilePath

Ein Tutorial, in dem der Prozess zum Abrufen und Bearbeiten einer vorhandenen DCR erläutert wird, finden Sie unter Tutorial: Bearbeiten einer Datensammlungsregel (Data Collection Rule, DCR).

Nächste Schritte

• Weitere Informationen über die detaillierte Struktur einer Datensammlungsregel
• Weitere Informationen über die Details von Transformationen in einer Datensammlungsregel