Datenexport im Log Analytics-Arbeitsbereich in Azure Monitor

Der Datenexport in einem Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten nach ausgewählten Tabellen in Ihrem Arbeitsbereich fortlaufend zu exportieren. Sie können in ein Azure Storage-Konto oder in Azure Event Hubs exportieren, wenn die Daten in einer Azure Monitor-Pipeline eintreffen. In diesem Artikel werden dieses Feature und die Schritte zum Konfigurieren des Datenexports in Ihren Arbeitsbereichen ausführlich beschrieben.

Übersicht

Daten in Log Analytics sind für den in Ihrem Arbeitsbereich definierten Aufbewahrungszeitraum verfügbar. Sie werden in verschiedenen Umgebungen in Azure Monitor und Azure-Diensten verwendet. Es gibt Fälle, in denen Sie andere Tools verwenden müssen:

• Compliance eines manipulationsgeschützten Speichers: Daten können in Log Analytics nach der Erfassung gelöscht, aber nicht mehr geändert werden. Exportieren Sie Daten in ein Speicherkonto mit Unveränderlichkeitsrichtlinien, um sie vor Manipulation zu schützen.
• Integration in Azure-Dienste und andere Tools: Exportieren Sie Daten in Event Hubs, sobald sie in Azure Monitor eintreffen und verarbeitet wurden.
• Langfristige Aufbewahrung von Überwachungs- und Sicherheitsdaten: Exportieren Sie Daten in ein Speicherkonto in der Region des Arbeitsbereichs. Sie können Daten auch mithilfe einer der Azure Storage-Redundanzoptionen (einschließlich GRS und GZRS) in anderen Regionen replizieren.

Nach dem Konfigurieren von Datenexportregeln in einem Log Analytics-Arbeitsbereich werden neue Daten für Tabellen in Regeln bei ihrem Eintreffen aus der Azure Monitor-Pipeline in Ihr Speicherkonto oder Ihre Event Hubs exportiert. Der Datenverkehr beim Datenexport erfolgt über das Azure-Backbone-Netzwerk und verlässt das Azure-Netzwerk nicht.

Daten werden ohne Filter exportiert. Wenn Sie z. B. eine Datenexportregel für eine Tabelle SecurityEvent konfigurieren, werden alle Daten, die an die Tabelle SecurityEvent gesendet werden, ab dem Zeitpunkt der Konfiguration exportiert. Alternativ können Sie exportierte Daten filtern oder ändern, indem Sie Transformationen in Ihrem Arbeitsbereich konfigurieren, die auf eingehende Daten angewendet werden, bevor sie an Ihre Log Analytics-Arbeitsbereiche sowie an Exportziele gesendet werden.

Weitere Exportoptionen

Mit dem Datenexport im Log Analytics-Arbeitsbereich werden Daten, die an Ihren Log Analytics-Arbeitsbereich gesendet werden, fortlaufend exportiert. Es gibt weitere Möglichkeiten zum Exportieren von Daten für bestimmte Szenarien:

• Konfigurieren von Diagnoseeinstellungen in Azure-Ressourcen. Protokolle werden direkt an ein Ziel gesendet. Dieses Verfahren weist im Vergleich zum Datenexport in Log Analytics eine geringere Latenz auf.
• Planen des Exports von Daten basierend auf einer Protokollabfrage, die Sie mit der Log Analytics-Abfrage-API definieren. Verwenden von Azure Data Factory, Azure Functions oder Azure Logic Apps, um Abfragen in Ihrem Arbeitsbereich zu orchestrieren und Daten an ein Ziel zu exportieren. Diese Methode ähnelt dem Feature zum Exportieren von Daten, ermöglicht es Ihnen jedoch, historische Daten aus Ihrem Arbeitsbereich mithilfe von Filtern und Aggregationen zu exportieren. Diese Methode unterliegt Beschränkungen für Protokollabfragen und ist nicht für die Skalierung vorgesehen. Weitere Informationen finden Sie unter Exportieren von Daten aus einem Log Analytics-Arbeitsbereich in ein Speicherkonto mithilfe von Logic Apps.
• Einmaliger Export auf einen lokalen Computer mithilfe eines PowerShell-Skripts. Weitere Informationen finden Sie unter Invoke-AzOperationalInsightsQueryExport.

Einschränkungen

• Benutzerdefinierte Protokolle, die mit der HTTP-Datensammler-API erstellt wurden, können nicht exportiert werden, einschließlich textbasierter Protokolle, die vom Log Analytics-Agent genutzt werden. Benutzerdefinierte Protokolle, die mithilfe von Datensammlungsregeln erstellt wurden – einschließlich textbasierter Protokolle –, können exportiert werden.
• Der Datenexport wird nach und nach weitere Tabellen unterstützen, ist aber derzeit auf die im Abschnitt unterstützte Tabellen angegebenen Tabellen beschränkt. Sie können Tabellen einschließen, die noch nicht in Regeln unterstützt werden. Für diese Tabellen werden allerdings erst Daten exportiert, wenn sie unterstützt werden.
• Sie können in Ihrem Arbeitsbereich bis zu 10 aktivierte Regeln definieren, von denen jede mehrere Tabellen enthalten kann. Sie können noch weitere Regeln im deaktivierten Zustand im Arbeitsbereich erstellen.
• Die Ziele müssen sich in derselben Region befinden wie der Log Analytics-Arbeitsbereich.
• Das Speicherkonto muss für alle Regeln im Arbeitsbereich eindeutig sein.
• Beim Exportierten in ein Speicherkonto können Tabellennamen 60 Zeichen lang sein. Beim Exportierten in Event Hubs können sie 47 Zeichen lang sein. Tabellen mit längeren Namen werden nicht exportiert.
• Der Export in ein Storage Premium-Konto wird nicht unterstützt.

Datenvollständigkeit

Der Datenexport wird optimiert, um große Datenmengen an Ihre Ziele zu verschieben. Der Exportvorgang schlägt möglicherweise fehl, wenn das Ziel nicht über genügend Kapazität verfügt oder nicht verfügbar ist. Im Falle eines Fehlers wird der Wiederholungsversuchvorgang bis zu 12 Stunden lang fortgesetzt. Weitere Informationen zu Zielgrenzwerten und empfohlenen Warnungen finden Sie unter Erstellen oder Aktualisieren einer Datenexportregel. Wenn die Ziele nach Ablauf des Wiederholungsversuchzeitraums weiterhin nicht verfügbar sind, werden die Daten verworfen. In bestimmten Fällen kann ein Wiederholungsversuch eine Duplizierung eines Bruchteils der exportierten Datensätze verursachen.

Preismodell

Die Datenexportgebühren basieren auf der Anzahl der Bytes, die in JSON-formatierten Daten an Ziele exportiert werden, und werden in GB (10^9 Bytes) gemessen. Die Größenberechnung in der Arbeitsbereichsabfrage kann nicht mit Exportgebühren übereinstimmen, da sie die JSON-formatierten Daten nicht enthält. Sie können PowerShell zum Berechnen der Gesamtabrechnungsgröße eines Blobcontainers verwenden.

Weitere Informationen, einschließlich der Abrechnungszeitachse für den Datenexport, finden Sie unter Azure Monitor – Preise. Die Abrechnung für den Datenexport wurde Anfang Oktober 2023 aktiviert.

Exportziele

Das Datenexportziel muss verfügbar sein, bevor Sie Exportregeln in Ihrem Arbeitsbereich erstellen. Das Ziel muss sich nicht im gleichen Abonnement befinden wie Ihr Arbeitsbereich. Wenn Sie Azure Lighthouse verwenden, können Daten auch an Ziele in einem anderen Microsoft Entra-Mandanten gesendet werden.

Sie müssen über Schreibberechtigungen für den Arbeitsbereich und das Ziel verfügen, um eine Datenexportregel für eine beliebige Tabelle in einem Arbeitsbereich konfigurieren zu können. Die SAS-Richtlinie für den Event Hubs-Namespace definiert die Berechtigungen für den Streamingmechanismus. Für das Streaming an Event Hubs werden Berechtigungen für das Verwalten, Senden und Lauschen benötigt. Um die Exportregel zu aktualisieren, müssen Sie über die ListKey-Berechtigung für diese Event Hubs-Autorisierungsregel verfügen.

Speicherkonto

Verwenden Sie kein vorhandenes Speicherkonto, das andere, nicht überwachungsrelevante Daten enthält, um den Zugriff auf die Daten besser steuern zu können und ein Erreichen der maximalen Speichererfassungsrate sowie Fehler und Wartezeit zu vermeiden.

Legen Sie die Unveränderlichkeitsrichtlinie für das Speicherkonto wie unter Festlegen und Verwalten von Unveränderlichkeitsrichtlinien für Azure Blob Storage beschrieben fest, um Daten an ein unveränderliches Speicherkonto zu senden. Führen Sie alle Schritte in diesem Artikel aus – einschließlich der Aktivierung von Schreibvorgängen in geschützten Anfügeblobs.

Das Speicherkonto darf nicht Premium sein, sondern muss StorageV1 oder höher sein und sich in derselben Region wie Ihr Arbeitsbereich befinden. Wenn Sie Ihre Daten in anderen Speicherkonten in anderen Regionen replizieren müssen, können Sie eine der Azure Storage-Redundanzoptionen verwenden, einschließlich GRS (georedundanter Speicher) und GZRS (geozonenredundanter Speicher).

Bei Azure Monitor eingehende Daten werden an Speicherkonten gesendet und in Ziele in einer Arbeitsbereichsregion exportiert. Für jede Tabelle im Speicherkonto wird ein Container mit dem Namen am-, gefolgt vom Namen der Tabelle, erstellt. Beispielsweise würde die Tabelle SecurityEvent an einen Container mit dem Namen am-SecurityEvent senden.

Blobs werden in Fünf-Minuten-Ordnern in der folgenden Pfadstruktur gespeichert: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<Ressourcengruppe>/providers/microsoft.operationalinsights/workspaces/<Arbeitsbereich>/y=<Jahr (vierstellige Zahl)>/m=<Monat (zweistellige Zahl)>/d=<Tag (zweistellige Zahl)>/h=<Stunde im 24-Stunden-Format (zweistellige Zahl)>/m=<Minute im 60-Minuten-Format (zweistellige Zahl)>/PT05M.json. Anhänge an Blobs sind auf 50.000 Schreibvorgänge beschränkt. Weitere Blobs werden im Ordner als PT05M_#.json* hinzugefügt, wobei # der inkrementellen Blobanzahl entspricht.

Hinweis

Anhänge an Blobs werden basierend auf dem Feld „TimeGenerated“ geschrieben und erfolgen beim Eingang von Quelldaten. Daten, die mit Verzögerung in Azure Monitor eintreffen oder nach der Drosselung von Zielen wiederholt werden, werden gemäß ihrem TimeGenerated-Wert in Blobs geschrieben.

Das Format von Blobs in einem Speicherkonto ist JSON-Zeilen. Das bedeutet, dass die einzelnen Datensätze jeweils durch einen Zeilenumbruch getrennt sind und dass kein externes Datensatzarray und keine Kommas zwischen JSON-Datensätzen verwendet werden.

Event Hubs

Verwenden Sie keinen vorhandenen Event Hub, der nicht überwachungsrelevante Daten enthält, um ein Erreichen der maximalen Erfassungsrate des Event Hubs-Namespace sowie Fehler und Wartezeit zu vermeiden.

Bei Azure Monitor eingehende Daten werden an Ihren Event Hub gesendet und in Ziele in einer Arbeitsbereichsregion exportiert. Sie können mehrere Exportregeln für denselben Event Hubs-Namespace erstellen, indem Sie in der Regel einen anderen Event Hub-Namen (Event Hub name) angeben. Ohne Angabe von Event Hub name wird für Tabellen, die Sie exportieren, ein standardmäßiger Event Hub erstellt, dessen Name sich aus am- und dem Namen der Tabelle zusammensetzt. Beispielsweise würde die Tabelle SecurityEvent an einen Event Hub mit dem Namen am-SecurityEvent gesendet.

In den Namespacetarifen „Basic“ und „Standard“ werden zehn Event Hubs unterstützt. Wenn Sie mehr als zehn Tabellen in diese Tarifstufen exportieren, teilen Sie die Tabellen entweder auf mehrere Exportregeln für verschiedene Event Hubs-Namespaces auf, oder geben Sie einen Event Hub-Namen an, um alle Tabellen in diesen Event Hub zu exportieren.

Hinweis

• Der Event Hubs-Namespacetarif „Basic“ ist eingeschränkt. Er unterstützt eine geringere Ereignisgröße und keine automatische Vergrößerung, um automatisch hochzuskalieren und die Anzahl von Durchsatzeinheiten zu erhöhen. Da das Datenvolumen in Ihrem Arbeitsbereich mit der Zeit zunimmt und eine Event Hub-Skalierung erforderlich macht, verwenden Sie die Event Hubs-Tarife „Standard“, „Premium“ oder „Dedicated“ mit aktiviertem Feature Automatische Vergrößerung. Weitere Informationen finden Sie unter Automatisches Hochskalieren von Azure Event Hubs-Durchsatzeinheiten.
• Datenexport kann Event Hubs-Ressourcen nicht erreichen, wenn virtuelle Netzwerke aktiviert sind. Sie müssen das Kontrollkästchen Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto aktivieren, um diese Firewalleinstellung in einem Event Hub zu umgehen und Zugriff auf Ihre Event Hubs zu gewähren.

Abfragen exportierter Daten

Das Exportieren von Daten aus Arbeitsbereichen in Speicherkonten trägt dazu bei, verschiedene Szenarien zu erfüllen, die in der Übersicht erwähnt werden, und sie können von Tools verwendet werden, die Blobs aus Speicherkonten lesen können. Mit den folgenden Methoden können Sie Daten mithilfe der Log Analytics-Abfragesprache abfragen, die für Azure Data Explorer identisch ist.

1. Verwenden Sie Azure Data Explorer, um Daten in Azure Data Lake abzufragen.
2. Verwenden Sie Azure Data Explorer, um Daten aus einem Speicherkonto zu erfassen.
3. Verwenden Sie einen Log Analytics-Arbeitsbereich, um erfasste Daten mithilfe der Protokollerfassungs-API abzufragen. Erfasste Daten werden in einer benutzerdefinierten Protokolltabelle und nicht in der ursprünglichen Tabelle erfasst.

Aktivieren des Datenexports

Die folgenden Schritte müssen ausgeführt werden, um den Log Analytics-Datenexport zu aktivieren. Weitere Informationen zu den einzelnen Schritten finden Sie in den folgenden Abschnitten:

• Registrieren des Ressourcenanbieters
• Zulassen vertrauenswürdiger Microsoft-Dienste
• Erstellen oder Aktualisieren einer Datenexportregel

Registrieren des Ressourcenanbieters

Der Azure-Ressourcenanbieter Microsoft.Insights muss in Ihrem Abonnement registriert werden, um den Log Analytics-Datenexport zu ermöglichen.

Dieser Ressourcenanbieter ist bei den meisten Azure Monitor-Benutzern wahrscheinlich bereits registriert. Um dies zu überprüfen, gehen Sie im Azure-Portal zu Abonnements. Wählen Sie Ihr Abonnement und dann im Abschnitt Einstellungen des Menüs die Option Ressourcenanbieter aus. Suchen Sie nach Microsoft.Insights. Wenn der Status Registriert lautet, ist die Registrierung bereits erfolgt. Andernfalls wählen Sie Registrieren aus, um die Registrierung vorzunehmen.

Sie können auch eine der verfügbaren Methoden zum Registrieren eines Ressourcenanbieters verwenden, die unter Azure-Ressourcenanbieter und -typen beschrieben sind. Der folgende Beispielbefehl verwendet die Azure CLI:

az provider register --namespace 'Microsoft.insights'

Der folgende Beispielbefehl verwendet PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Zulassen vertrauenswürdiger Microsoft-Dienste

Wenn Sie Ihr Speicherkonto so konfiguriert haben, dass der Zugriff von ausgewählten Netzwerken aus möglich ist, müssen Sie eine Ausnahme hinzufügen, damit Azure Monitor in das Konto schreiben darf. Aktivieren Sie auf der Registerkarte Firewalls und virtuelle Netzwerke für Ihr Speicherkonto das Kontrollkästchen Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto.

Überwachen von Zielen

Wichtig

Exportziele haben Grenzwerte und sollten überwacht werden, um Drosselungen, Fehler und Wartezeiten zu minimieren. Weitere Informationen finden Sie unter Skalierbarkeit des Speicherkontos und Event Hubs-Namespacekontingente.

Die folgenden Metriken sind für Datenexportvorgänge und Warnungen verfügbar.

Metrikname	Beschreibung
Exportierte Bytes	Gesamtanzahl der an das Ziel im Log Analytics-Arbeitsbereich innerhalb des ausgewählten Zeitbereichs exportierten Bytes. Die Größe der exportierten Daten ist die Anzahl von Bytes bei den exportierten Daten im JSON-Format. 1 GB = 10^9 Byte
Exportfehler	Gesamtanzahl der fehlerhaften Exportanforderungen an das Ziel aus den Log Analytics-Arbeitsbereich innerhalb des ausgewählten Zeitbereichs. Diese Zahl umfasst fehlgeschlagene Exportversuche aufgrund einer Einschränkung der Zielressource, eines unzulässigen Zugriffsfehlers oder eines Serverfehlers. Bei einem Wiederholungsvorgang werden fehlgeschlagene Versuche behandelt und die Zahl ist kein Hinweis auf fehlende Daten.
Exportierte Datensätze	Gesamtanzahl der aus dem Log Analytics-Arbeitsbereich innerhalb des ausgewählten Zeitbereichs exportierten Datensätze. Diese Zahl umfasst Datensätze für Vorgänge, die mit Erfolg beendet wurden.

Überwachen eines Speicherkontos

1. Verwenden Sie ein separates Speicherkonto für den Export.

2. Konfigurieren Sie eine Warnung für die Metrik:

   `Scope`	Metriknamespace	Metrik	Aggregation	Schwellenwert
   Speichername	Konto	Eingehende Daten	Sum	80 % des maximalen Eingangs pro Warnungsauswertungszeitraum. Beispiel: Der Grenzwert für „Universell v2“ in „USA, Westen“ beträgt 60 GBit/s. Der Warnungsschwellenwert liegt bei 1676 GiB pro fünfminütigem Auswertungszeitraum.

3. Aktionen zur Warnungsbehebung:

   • Verwenden Sie für den Export ein separates Speicherkonto, das nicht für nicht überwachungsrelevante Daten genutzt wird.
   • Azure Storage-Standardkonten unterstützen höhere Eingangsgrenzwerte bei Anforderung. Wenden Sie sich dazu an den Azure-Support.
   • Teilen Sie Tabellen auf mehrere Storage-Konten auf.

Überwachen von Event Hubs

1. Konfigurieren Sie Warnungen für die folgenden Metriken:

   `Scope`	Metriknamespace	Metrik	Aggregation	Schwellenwert
   Namespacesname	Event Hubs-Standardmetriken	Eingehende Bytes	Sum	80 % des maximalen Eingangs pro Warnungsauswertungszeitraum. Beispiel: Der Grenzwert beträgt 1 MB/s pro Einheit (TU oder PU) und fünf verwendete Einheiten. Der Schwellenwert liegt bei 228 MiB pro fünfminütigem Auswertungszeitraum.
   Namespacesname	Event Hubs-Standardmetriken	Eingehende Anforderungen	Anzahl	80 % der maximalen Ereignisse pro Warnungsauswertungszeitraum. Beispiel: Der Grenzwert beträgt 1.000/s pro Einheit (TU oder PU) und fünf verwendete Einheiten. Der Schwellenwert liegt bei 1.200.000 pro fünfminütigem Auswertungszeitraum.
   Namespacesname	Event Hubs-Standardmetriken	Fehler aufgrund von Kontingentüberschreitung	Anzahl	1 % der Anforderung. Pro 5 Minuten beispielsweise 600.000 Anforderungen. Der Schwellenwert liegt bei 6.000 pro fünfminütigem Auswertungszeitraum.

2. Aktionen zur Warnungsbehebung:

   • Verwenden Sie für den Export einen separaten Event Hubs-Namespace, der nicht für nicht überwachungsrelevante Daten genutzt wird.
   • Konfigurieren Sie das Feature Automatische Vergrößerung, um die Anzahl der Durchsatzeinheiten automatisch zu erhöhen und so den Nutzungsanforderungen gerecht zu werden.
   • Überprüfen Sie die Erhöhung der Durchsatzeinheiten, um das Datenvolumen zu bewältigen.
   • Teilen Sie Tabellen auf mehrere Namespaces auf.
   • Verwenden Sie die Tarife „Premium“ oder „Dedicated“ für einen höheren Durchsatz.

Erstellen oder Aktualisieren einer Datenexportregel

Eine Datenexportregel definiert das Ziel und die Tabellen, für die Daten exportiert werden. Die Regelbereitstellung dauert etwa 30 Minuten vor dem Initiieren des Exportvorgangs. Überlegungen zum Datenexport:

• Das Speicherkonto muss für alle Regeln im Arbeitsbereich eindeutig sein.
• Beim Senden an separate Event Hubs können mehrere Regeln denselben Event Hubs-Namespace verwenden.
• In ein Speicherkonto exportieren: Im Speicherkonto wird für jede Tabelle ein separater Container erstellt.
• In Event Hubs exportieren: Wenn kein Event Hub-Name angegeben ist, wird für jede Tabelle ein separater Event Hub erstellt. In den Namespacetarifen „Basic“ und „Standard“ werden zehn Event Hubs unterstützt. Wenn Sie mehr als zehn Tabellen in diese Tarifstufen exportieren, teilen Sie die Tabellen entweder auf mehrere Exportregeln für verschiedene Event Hubs-Namespaces auf, oder geben Sie in der Regel einen Event Hub-Namen an, um alle Tabellen in diesen Event Hub zu exportieren.

Azure portal

1. Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus. Wählen Sie im oberen Bereich die Option Neue Exportregel aus.

   

2. Führen Sie die Schritte aus, und wählen Sie dann Erstellen aus.

   

PowerShell

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell eine Datenexportregel für ein Speicherkonto zu erstellen. Für jede Tabelle wird ein separater Container erstellt.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell eine Datenexportregel für einen bestimmten Event Hub zu erstellen. Alle Tabellen werden in den angegebenen Event Hub-Namen exportiert und können nach dem Feld Typ gefiltert werden, um Tabellen zu trennen.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell eine Datenexportregel für einen Event Hub zu erstellen. Ohne Angabe eines bestimmten Event Hub-Namens wird für jede Tabelle ein separater Container erstellt, bis die Anzahl unterstützter Event Hubs im jeweiligen Event Hubs-Tarif erreicht ist. Um weitere Tabellen zu exportieren, geben Sie einen Event Hub-Namen in der Regel an. Sie können auch eine weitere Regel festlegen und die verbleibenden Tabellen in einen anderen Event Hubs-Namespace exportieren.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um mithilfe der CLI eine Datenexportregel für ein Speicherkonto zu erstellen. Für jede Tabelle wird ein separater Container erstellt.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Verwenden Sie den folgenden Befehl, um mithilfe der CLI eine Datenexportregel für einen bestimmten Event Hub zu erstellen. Alle Tabellen werden in den angegebenen Event Hub-Namen exportiert und können nach dem Feld Typ gefiltert werden, um Tabellen zu trennen.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Verwenden Sie den folgenden Befehl, um mithilfe der CLI eine Datenexportregel für einen Event Hub zu erstellen. Ohne Angabe eines bestimmten Event Hub-Namens wird für jede Tabelle ein separater Container erstellt, bis die Anzahl unterstützter Event Hubs für Ihren Event Hubs-Tarif erreicht ist. Wenn weitere Tabellen exportiert werden müssen, geben Sie einen Event Hub-Namen an, um eine beliebige Anzahl von Tabellen zu exportieren. Sie können auch eine weitere Regel festlegen, um die verbleibenden Tabellen in einen anderen Event Hubs-Namespace zu exportieren.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Verwenden Sie die folgende Anforderung, um mithilfe der REST-API eine Datenexportregel für ein Speicherkonto zu erstellen. Für jede Tabelle wird ein separater Container erstellt. Die Anforderung sollte die Bearertokenautorisierung und den Inhaltstyp „application/json“ verwenden.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Der Anforderungstext gibt das Tabellenziel an. Nachfolgend sehen Sie einen Beispieltext für die REST-Anforderung.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Im Folgenden sehen Sie einen Beispieltext für die REST-Anforderung für einen Event Hub:

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Es folgt ein Beispieltext für die REST-Anforderung für einen Event Hub, bei dem der Event Hub-Name angegeben wird. In diesem Fall werden alle exportierten Daten an diesen Event Hub gesendet.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Vorlage

Verwenden Sie den folgenden Befehl, um mithilfe einer Azure Resource Manager-Vorlage eine Datenexportregel für ein Speicherkonto zu erstellen:

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Verwenden Sie den folgenden Befehl, um mithilfe einer Resource Manager-Vorlage eine Datenexportregel für einen Event Hub zu erstellen. Für jede Tabelle wird ein separater Event Hub erstellt.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Verwenden Sie den folgenden Befehl, um mithilfe einer Resource Manager-Vorlage eine Datenexportregel für einen bestimmten Event Hub zu erstellen. Alle Tabellen werden in diesen Event Hub exportiert.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Anzeigen der Konfiguration der Datenexportregel

Azure portal

1. Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus.

   

2. Wählen Sie eine Regel für eine Konfigurationsansicht aus.

   

PowerShell

Verwenden Sie den folgenden Befehl, um die Konfiguration einer Datenexportregel mithilfe von PowerShell anzuzeigen.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um die Konfiguration einer Datenexportregel mithilfe der CLI anzuzeigen.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Verwenden Sie die folgende Anforderung, um die Konfiguration einer Datenexportregel mithilfe der REST-API anzuzeigen. Die Anforderung sollte die Bearertokenautorisierung verwenden.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Vorlage

Die Vorlagenoption trifft nicht zu.

Deaktivieren oder Aktualisieren einer Exportregel

Azure portal

Sie können Exportregeln deaktivieren, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus. Wählen Sie die Umschaltfläche Status aus, um die Exportregel zu deaktivieren oder zu aktivieren.

PowerShell

Sie können Exportregeln deaktivieren, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Verwenden Sie den folgenden Befehl, um Regelparameter mithilfe von PowerShell zu deaktivieren oder zu aktualisieren.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure-Befehlszeilenschnittstelle

Sie können Exportregeln deaktivieren, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Verwenden Sie den folgenden Befehl, um Regelparameter mithilfe der CLI zu deaktivieren oder zu aktualisieren.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Sie können Exportregeln deaktivieren, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Verwenden Sie den folgenden Befehl, um Regelparameter mithilfe der REST-API zu deaktivieren oder zu aktualisieren. Die Anforderung sollte die Bearertokenautorisierung verwenden.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Vorlage

Sie können Exportregeln deaktivieren, um den Export zu beenden, wenn Tests durchgeführt werden und keine Daten an das Ziel gesendet werden müssen. Legen Sie "enable": false in der Vorlage fest, um einen Datenexport zu deaktivieren.

Löschen einer Exportregel

Azure portal

Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus. Wählen Sie die Auslassungspunkte rechts neben der Regel und dann Löschen aus.

PowerShell

Verwenden Sie den folgenden Befehl, um eine Datenexportregel mithilfe von PowerShell zu löschen.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um eine Datenexportregel mithilfe der CLI zu löschen.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Verwenden Sie die folgende Anforderung, um eine Datenexportregel mithilfe der REST-API zu löschen. Die Anforderung sollte die Bearertokenautorisierung verwenden.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Vorlage

Die Vorlagenoption trifft nicht zu.

Anzeigen aller Datenexportregeln in einem Arbeitsbereich

Azure portal

Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus, um alle Exportregeln im Arbeitsbereich anzuzeigen.

PowerShell

Verwenden Sie den folgenden Befehl, um alle Datenexportregeln in einem Arbeitsbereich mithilfe von PowerShell anzuzeigen.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um alle Datenexportregeln in einem Arbeitsbereich mithilfe der CLI anzuzeigen.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Verwenden Sie die folgende Anforderung, um alle Datenexportregeln in einem Arbeitsbereich mithilfe der REST-API anzuzeigen. Die Anforderung sollte die Bearertokenautorisierung verwenden.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Vorlage

Die Vorlagenoption trifft nicht zu.

Nicht unterstützte Tabellen

Wenn die Datenexportregel eine nicht unterstützte Tabelle umfasst, wird die Konfiguration erfolgreich ausgeführt, es werden jedoch für diese Tabelle keine Daten exportiert. Wenn die Tabelle zu einem späteren Zeitpunkt unterstützt wird, werden die entsprechenden Daten dann exportiert.

Unterstützte Tabellen

Hinweis

Wir sind dabei, Unterstützung für weitere Tabellen hinzuzufügen. Überprüfen Sie diesen Artikel regelmäßig. Daten müssen sich in einer dieser Tabellen befinden, damit sie in einer Datenexportregel angezeigt werden.

Tabelle	Einschränkungen
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
Warnung	Teilweise unterstützt. Die Datenerfassung für Zabbix-Warnungen wird nicht unterstützt.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
Anomalien
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureActivity	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidentialWatchlist
ConfigurationData	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksClusterLibraries
DatabricksClusters
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksInstancePools
DatabricksJobs
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
Ereignis	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Heartbeat
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Vorgang	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
ServiceFabricReliableActorEvent	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
ServiceFabricReliableServiceEvent	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXFailedIngestion
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
syslog	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Aktualisieren	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Verwendung
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
W3CIISLog	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Watchlist
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement

Nächste Schritte

Abfragen der exportierten Daten aus Azure Data Explorer