Datenexport im Log Analytics-Arbeitsbereich in Azure Monitor

Der Datenexport in einem Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten nach ausgewählten Tabellen in Ihrem Arbeitsbereich fortlaufend zu exportieren. Sie können in ein Azure Storage-Konto oder in Azure Event Hubs exportieren, wenn die Daten in einer Azure Monitor-Pipeline eintreffen. In diesem Artikel werden dieses Feature und die Schritte zum Konfigurieren des Datenexports in Ihren Arbeitsbereichen ausführlich beschrieben.

Übersicht

Daten in Log Analytics sind für den in Ihrem Arbeitsbereich definierten Aufbewahrungszeitraum verfügbar. Es wird in verschiedenen Erfahrungen in Azure Monitor und Azure-Diensten verwendet. Es gibt Fälle, in denen Sie andere Tools verwenden müssen:

• Compliance eines manipulationsgeschützten Speichers: Daten können in Log Analytics nach der Erfassung gelöscht, aber nicht mehr geändert werden. Exportieren Sie Daten in ein Speicherkonto mit Unveränderlichkeitsrichtlinien, um sie vor Manipulation zu schützen.
• Integration in Azure-Dienste und andere Tools: Exportieren Sie Daten in Event Hubs, sobald sie in Azure Monitor eintreffen und verarbeitet wurden.
• Langfristige Aufbewahrung von Überwachungs- und Sicherheitsdaten: Exportieren Sie Daten in ein Speicherkonto in der Region des Arbeitsbereichs. Sie können Daten auch mithilfe einer der Azure Storage-Redundanzoptionen (einschließlich GRS und GZRS) in anderen Regionen replizieren.

Nach dem Konfigurieren von Datenexportregeln in einem Log Analytics-Arbeitsbereich werden neue Daten für Tabellen in Regeln bei ihrem Eintreffen aus der Azure Monitor-Pipeline in Ihr Speicherkonto oder Ihre Event Hubs exportiert. Der Datenverkehr beim Datenexport erfolgt über das Azure-Backbone-Netzwerk und verlässt das Azure-Netzwerk nicht.

Daten werden ohne Filter exportiert. Wenn Sie z. B. eine Datenexportregel für eine Tabelle SecurityEvent konfigurieren, werden alle Daten, die an die Tabelle SecurityEvent gesendet werden, ab dem Zeitpunkt der Konfiguration exportiert. Alternativ können Sie exportierte Daten filtern oder ändern, indem Sie Transformationen in Ihrem Arbeitsbereich konfigurieren, die auf eingehende Daten angewendet werden, bevor sie an Ihre Log Analytics-Arbeitsbereiche sowie an Exportziele gesendet werden.

Weitere Exportoptionen

Mit dem Datenexport im Log Analytics-Arbeitsbereich werden Daten, die an Ihren Log Analytics-Arbeitsbereich gesendet werden, fortlaufend exportiert. Es gibt weitere Möglichkeiten zum Exportieren von Daten für bestimmte Szenarien:

• Wenn eine Azure-Ressource Protokolle über ihre Diagnoseprotokolleinstellungen bereits an Ihren Log Analytics-Arbeitsbereich sendet, sollten Sie die Diagnoseeinstellungen in der Azure-Ressource direkt aktualisieren, um das neue Ziel hinzuzufügen, anstatt regelmäßig einen Datenexport zu verwenden. Dieser Ansatz hat eine geringere Latenz im Vergleich zu einem Datenexport, sendet aber keine historischen Daten.
• Planen Sie einen Export von Daten basierend auf einer Protokollabfrage, die Sie mit der Log Analytics-Abfrage-API definieren. Verwenden von Azure Data Factory, Azure Functions oder Azure Logic Apps, um Abfragen in Ihrem Arbeitsbereich zu orchestrieren und Daten an ein Ziel zu exportieren. Diese Methode ähnelt dem Feature zum Exportieren von Daten, ermöglicht es Ihnen jedoch, historische Daten aus Ihrem Arbeitsbereich mithilfe von Filtern und Aggregationen zu exportieren. Diese Methode unterliegt Beschränkungen für Protokollabfragen und ist nicht für die Skalierung vorgesehen. Weitere Informationen finden Sie unter Exportieren von Daten aus einem Log Analytics-Arbeitsbereich in ein Speicherkonto mithilfe von Logic Apps.
• Verwenden Sie einen einmaligen Export auf einen lokalen Computer mithilfe eines PowerShell-Skripts. Weitere Informationen finden Sie unter Invoke-AzOperationalInsightsQueryExport.

Erforderliche Berechtigungen

Maßnahme	Erforderliche Berechtigungen
Datenexportregel erstellen oder aktualisieren	Microsoft.OperationalInsights/workspaces/dataexports/write-Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden
Datenexportregel löschen	Microsoft.OperationalInsights/workspaces/dataexports/delete-Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden
In Speicherkonto exportieren	Microsoft.Storage/storageAccounts/blobServices/containers/write-Berechtigungen für das Speicherkonto, wie beispielsweise von der integrierten Rolle „Speicherkontomitwirkender“ bereitgestellt
In Event Hub exportieren	Berechtigungen Microsoft.EventHub/namespaces/eventhubs/write, Microsoft.EventHub/namespaces/eventhubs/messages/write, Microsoft.EventHub/namespaces/authorizationRules/listkeys/action für Event Hub, wie beispielsweise von den integrierten Rollen „Azure Event Hubs-Datenbesitzer“ bereitgestellt
Abfrageprotokolle in einer Tabelle	Microsoft.OperationalInsights/workspaces/query/<table>/read-Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie z. B. von der integrierten Rolle „Log Analytics-Leser“ bereitgestellt werden
Abfrageprotokolle in einer Tabelle (Tabellenaktion)	Microsoft.OperationalInsights/workspaces/tables/query/read-Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie z. B. von der integrierten Rolle „Log Analytics-Leser“ bereitgestellt werden

Einschränkungen

• Benutzerdefinierte Protokolle, die mit der HTTP-Datensammler-API erstellt wurden, können nicht exportiert werden, einschließlich textbasierter Protokolle, die vom Log Analytics-Agent genutzt werden. Benutzerdefinierte Protokolle, die mithilfe von Datensammlungsregeln erstellt wurden – einschließlich textbasierter Protokolle –, können exportiert werden.
• Der Datenexport unterstützt schrittweise weitere Tabellen. Siehe Abschnitt "Nicht unterstützte Tabellen ".
• Die maximale Anzahl aktiver Regeln pro Arbeitsbereich beträgt 10, jede kann mehrere Tabellen enthalten.
• Das Speicherkonto muss für alle Regeln im Arbeitsbereich eindeutig sein.
• Unterstützte Tabellenpläne sind Analytics und Basic. Hilfsplan wird nicht unterstützt.
• Die Ziele müssen sich in derselben Region befinden wie der Log Analytics-Arbeitsbereich.
• Der Export in ein Storage Premium-Konto wird nicht unterstützt.

Datenvollständigkeit

Der Datenexport ist optimiert, um große Datenvolumes an Ihre Ziele zu verschieben. Im Falle eines Zielsystems mit unzureichender Skalierung oder Verfügbarkeit wird ein Wiederholungsprozess bis zu 12 Stunden fortgesetzt und kann dazu führen, dass ein Bruchteil der exportierten Datensätze dupliziert wird. Beachten Sie die Empfehlungen für Speicherkonto- und Event Hubs-Ziele, um die Zuverlässigkeit zu verbessern. Wenn die Ziele nach Ablauf des Wiederholungsversuchzeitraums weiterhin nicht verfügbar sind, werden die Daten verworfen.

Weitere Informationen zu Zielgrenzwerten und empfohlenen Warnungen finden Sie unter Erstellen oder Aktualisieren einer Datenexportregel.

Preismodell

Die Datenexportgebühren basieren auf der Anzahl der Bytes, die in JSON-formatierten Daten an Ziele exportiert werden, und werden in GB (10^9 Bytes) gemessen. Datenexportgrößenberechnungen können nicht mit einer Arbeitsbereichsabfrage durchgeführt werden, da die Größenberechnung keinen JSON-Formatierungsaufwand enthält. Verwenden Sie die Methode in diesem PowerShell-Beispielskript, um die Gesamtabrechnungsgröße eines BLOB-Containers zu berechnen. Zurzeit fallen keine Kosten für den Export in unabhängige Clouds an. Eine Benachrichtigung wird vor der Aktivierung gesendet.

Weitere Informationen, einschließlich der Abrechnungszeitachse für den Datenexport, finden Sie unter Azure Monitor – Preise. Die Abrechnung für den Datenexport wurde Anfang Oktober 2023 aktiviert.

Exportziele

Das Datenexportziel muss verfügbar sein, bevor Sie Exportregeln in Ihrem Arbeitsbereich erstellen. Ziele können in verschiedenen Abonnements enthalten sein. Mit Azure Lighthouse ist es auch möglich, Daten an Ziele in einem anderen Microsoft Entra-Mandanten zu senden.

Speicherkonto

Speicheringressfehler aufgrund von Latenz oder dem Überschreiten von Rate-Limits verhindern, indem Sie ein bestehendes Speicherkonto verwenden, das keine anderen Nicht-Überwachungsdaten enthält. Dadurch können Sie den Zugriff auf die Daten besser steuern und die Zuverlässigkeit des Datenexports verbessern.

Legen Sie die Unveränderlichkeitsrichtlinie für das Speicherkonto wie unter Festlegen und Verwalten von Unveränderlichkeitsrichtlinien für Azure Blob Storage beschrieben fest, um Daten an ein unveränderliches Speicherkonto zu senden. Sie müssen alle Schritte in diesem Artikel ausführen, einschließlich der Aktivierung von Schreibvorgängen in geschützten Anfügeblobs.

Das Speicherkonto darf nicht Premium sein, sondern muss StorageV1 oder höher sein und sich in derselben Region wie Ihr Arbeitsbereich befinden. Wenn Sie Ihre Daten in andere Speicherkonten in anderen Regionen replizieren müssen, verwenden Sie eine der Azure Storage-Redundanzoptionen, einschließlich GRS und GZRS.

Bei Azure Monitor eingehende Daten werden an Speicherkonten gesendet und in Ziele in einer Arbeitsbereichsregion exportiert. Für jede Tabelle im Speicherkonto wird ein Container mit dem Namen am-, gefolgt vom Namen der Tabelle, erstellt. Beispielsweise würde die Tabelle SecurityEvent an einen Container mit dem Namen am-SecurityEvent senden.

Blobs werden in Fünf-Minuten-Ordnern in der folgenden Pfadstruktur gespeichert: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<Ressourcengruppe>/providers/microsoft.operationalinsights/workspaces/<Arbeitsbereich>/y=<Jahr (vierstellige Zahl)>/m=<Monat (zweistellige Zahl)>/d=<Tag (zweistellige Zahl)>/h=<Stunde im 24-Stunden-Format (zweistellige Zahl)>/m=<Minute im 60-Minuten-Format (zweistellige Zahl)>/PT05M.json. Anhänge an Blobs sind auf 50.000 Schreibvorgänge beschränkt. Weitere Blobs werden im Ordner als PT05M_#.json* hinzugefügt, wobei # der inkrementellen Blobanzahl entspricht.

Hinweis

Anhänge an Blobs werden basierend auf dem Feld „TimeGenerated“ geschrieben und erfolgen beim Eingang von Quelldaten. Daten, die mit Verzögerung in Azure Monitor eintreffen oder nach der Drosselung von Zielen wiederholt werden, werden gemäß ihrem TimeGenerate-Wert in Blobs geschrieben.

Das Format von Blobs in einem Speicherkonto ist JSON-Zeilen. Das bedeutet, dass die einzelnen Datensätze jeweils durch einen Zeilenumbruch getrennt sind und dass kein externes Datensatzarray und keine Kommas zwischen JSON-Datensätzen verwendet werden.

Ereignis-Hubs

Vermeiden Sie die Verwendung eines Event Hubs mit vorhandenen Daten, die nicht überwacht werden. Diese bewährte Methode trägt dazu bei, Eindringungsfehler aufgrund von Latenz oder Überschreitung von Ratenbegrenzungen zu verhindern.

Daten, die bei Azure Monitor eingehen, werden an Ihren Event Hub gesendet und in Ziele in einer Region des Arbeitsbereichs exportiert. Erstellen Sie mehrere Exportregeln für denselben Event Hubs-Namespace, indem Sie in der Regel einen anderen Event Hub-Namen (Event Hub name) angeben. Ohne Angabe von Event Hub name wird für Tabellen, die Sie exportieren, ein standardmäßiger Event Hub erstellt, dessen Name sich aus am- und dem Namen der Tabelle zusammensetzt. Beispielsweise würde die Tabelle SecurityEvent an einen Event Hub mit dem Namen am-SecurityEvent gesendet.

In den Namespacetarifen „Basic“ und „Standard“ werden zehn Event Hubs unterstützt. Wenn Sie mehr als zehn Tabellen in diese Tarifstufen exportieren, teilen Sie die Tabellen entweder auf mehrere Exportregeln für verschiedene Event Hubs-Namespaces auf, oder geben Sie einen Event Hub-Namen an, um alle Tabellen in diesen Event Hub zu exportieren.

Hinweis

• Der Event Hubs-Namespacetarif „Basic“ ist eingeschränkt. Es unterstützt eine geringere Ereignisgröße und bietet keine Auto-Inflation-Option, um automatisch hochzuskalieren und die Anzahl der Durchsatzeinheiten zu erhöhen. Da das Datenvolumen in Ihrem Arbeitsbereich mit der Zeit zunimmt und daher eine Event Hub-Skalierung erforderlich ist, verwenden Sie die Event Hubs-Tarife „Standard“, „Premium“ oder „Dedicated“ mit aktivierter Funktion Automatische Vergrößerung. Weitere Informationen finden Sie unter Automatisches Hochskalieren von Azure Event Hubs-Durchsatzeinheiten.
• Datenexport kann Event Hubs-Ressourcen nicht erreichen, wenn virtuelle Netzwerke aktiviert sind. Sie müssen das Kontrollkästchen Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto aktivieren, um diese Firewalleinstellung in einem Event Hub zu umgehen und Zugriff auf Ihre Event Hubs zu gewähren.

Abfragen exportierter Daten

Das Exportieren von Daten aus Arbeitsbereichen in Speicherkonten trägt dazu bei, verschiedene Szenarien zu erfüllen, die in der Übersicht erwähnt werden, und sie können von Tools verwendet werden, die Blobs aus Speicherkonten lesen können. Mit den folgenden Methoden können Sie Daten mithilfe der Log Analytics-Abfragesprache abfragen, die für Azure Data Explorer identisch ist.

1. Verwenden Sie Azure Data Explorer, um Daten in Azure Data Lake abzufragen.
2. Verwenden Sie Azure Data Explorer, um Daten aus einem Speicherkonto zu erfassen.
3. Verwenden Sie einen Log Analytics-Arbeitsbereich, um erfasste Daten mithilfe der Protokollerfassungs-API abzufragen. Aufgenommene Daten werden an eine benutzerdefinierte Protokolltabelle und nicht an die ursprüngliche Tabelle gesendet.

Aktivieren des Datenexports

Die folgenden Schritte müssen ausgeführt werden, um den Log Analytics-Datenexport zu aktivieren.

• Registrieren des Ressourcenanbieters
• Zulassen vertrauenswürdiger Microsoft-Dienste
• Überwachen von Zielen (empfohlen)
• Erstellen oder Aktualisieren einer Datenexportregel

Registrieren des Ressourcenanbieters

Der Azure-Ressourcenanbieter Microsoft.Insights muss in Ihrem Abonnement registriert werden, um den Log Analytics-Datenexport zu ermöglichen.

Dieser Ressourcenanbieter ist bei den meisten Azure Monitor-Benutzern wahrscheinlich bereits registriert. Um dies zu überprüfen, gehen Sie im Azure-Portal zu Abonnements. Wählen Sie Ihr Abonnement und dann im Abschnitt Einstellungen des Menüs die Option Ressourcenanbieter aus. Suchen Sie nach Microsoft.Insights. Wenn der Status Registriert lautet, ist die Registrierung bereits erfolgt. Andernfalls wählen Sie Registrieren aus, um die Registrierung vorzunehmen.

Sie können auch eine der verfügbaren Methoden zum Registrieren eines Ressourcenanbieters verwenden, die unter Azure-Ressourcenanbieter und -typen beschrieben sind. Der folgende Beispielbefehl verwendet die Azure CLI:

az provider register --namespace 'Microsoft.insights'

Der folgende Beispielbefehl verwendet PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Zulassen vertrauenswürdiger Microsoft-Dienste

Wenn Sie Ihr Speicherkonto so konfiguriert haben, dass der Zugriff von ausgewählten Netzwerken aus möglich ist, müssen Sie eine Ausnahme hinzufügen, damit Azure Monitor in das Konto schreiben darf. Aktivieren Sie auf der Registerkarte Firewalls und virtuelle Netzwerke für Ihr Speicherkonto das Kontrollkästchen Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto.

Ziele überwachen

Wichtig

Exportziele haben Grenzwerte und sollten überwacht werden, um Drosselungen, Fehler und Wartezeiten zu minimieren. Weitere Informationen finden Sie unter Skalierbarkeit des Speicherkontos und Event Hubs-Namespacekontingente.

Die folgenden Metriken sind für Datenexportvorgänge und Warnungen verfügbar.

Metrikname	Beschreibung
Exportierte Bytes	Gesamtanzahl der exportierten Bytes aus dem Log Analytics-Arbeitsbereich an das Ziel innerhalb des ausgewählten Zeitbereichs. Die Größe der exportierten Daten ist die Anzahl von Bytes bei den exportierten Daten im JSON-Format. 1 GB = 10^9 Byte
Exportfehler	Gesamtanzahl der fehlerhaften Exportanforderungen an das Ziel aus den Log Analytics-Arbeitsbereich innerhalb des ausgewählten Zeitbereichs. Diese Zahl umfasst fehlgeschlagene Exportversuche aufgrund einer Einschränkung der Zielressource, eines unzulässigen Zugriffsfehlers oder eines Serverfehlers. Bei einem Wiederholungsvorgang werden fehlgeschlagene Versuche behandelt, und die Zahl ist kein Hinweis auf fehlende Daten.
Exportierte Datensätze	Gesamtanzahl der aus dem Log Analytics-Arbeitsbereich innerhalb des ausgewählten Zeitbereichs exportierten Datensätze. Diese Zahl umfasst Datensätze für Vorgänge, die mit Erfolg beendet wurden.

Überwachen eines Speicherkontos

1. Verwenden Sie ein separates Speicherkonto für den Export.

2. Konfigurieren Sie eine Warnung für die Metrik:

   Umfang	Metrik-Namensraum	Metrik	Aggregierung	Schwellenwert
   Speichername	Konto	Eingehende Daten	Summe	80 % des maximalen Eingangs pro Warnungsauswertungszeitraum. Zum Beispiel beträgt der Grenzwert für Allgemeinzweck v2 in West-USA 60 GBit/s. Der Warnungsschwellenwert liegt bei 1676 GiB pro fünfminütigem Auswertungszeitraum.

3. Aktionen zur Warnungsbehebung:

   • Verwenden Sie für den Export ein separates Speicherkonto, das nicht für nicht überwachungsrelevante Daten genutzt wird.
   • Azure Storage-Standardkonten unterstützen höhere Eingangsgrenzwerte bei Anforderung. Um eine Erhöhung anzufordern, wenden Sie sich an den Azure-Support.
   • Teilen Sie Tabellen auf mehrere Storage-Konten auf.

Überwachen von Event Hubs

1. Konfigurieren Sie Warnungen für die folgenden Metriken:

   Umfang	Metrik-Namensraum	Metrik	Aggregierung	Schwellenwert
   Namespacename	Event Hubs-Standardmetriken	Eingehende Bytes	Summe	80 % des maximalen Eingangs pro Warnungsauswertungszeitraum. Beispiel: Der Grenzwert beträgt 1 MB/s pro Einheit (TU oder PU) und fünf verwendete Einheiten. Der Schwellenwert liegt bei 228 MiB pro fünfminütigem Auswertungszeitraum.
   Namespacename	Event Hubs-Standardmetriken	Eingehende Anforderungen	Anzahl	80 % der maximalen Ereignisse pro Warnungsauswertungszeitraum. Beispiel: Der Grenzwert beträgt 1.000/s pro Einheit (TU oder PU) und fünf verwendete Einheiten. Der Schwellenwert liegt bei 1.200.000 pro fünfminütigem Auswertungszeitraum.
   Namespacename	Event Hubs-Standardmetriken	Fehler aufgrund von Kontingentüberschreitung	Anzahl	1 % der Anforderung. Beispielsweise beträgt die Anzahl der Anforderungen pro 5 Minuten 600.000. Der Schwellenwert liegt bei 6.000 pro fünfminütigem Auswertungszeitraum.

2. Aktionen zur Warnungsbehebung:

   • Verwenden Sie für den Export einen separaten Event Hubs-Namespace, der nicht für nicht überwachungsrelevante Daten genutzt wird.
   • Konfigurieren Sie die Funktion Automatische Skalierung, um die Anzahl der Durchsatzeinheiten automatisch zu erhöhen und den Nutzungsanforderungen gerecht zu werden.
   • Überprüfen Sie die Erhöhung der Durchsatzeinheiten, um das Datenvolumen zu bewältigen.
   • Teilen Sie Tabellen auf mehrere Namespaces auf.
   • Verwenden Sie die Tarife „Premium“ oder „Dedicated“ für einen höheren Durchsatz.

Erstellen oder Aktualisieren einer Datenexportregel

Eine Datenexportregel definiert das Ziel und die Tabellen, für die Daten exportiert werden. Die Regelbereitstellung dauert etwa 30 Minuten vor dem Initiieren des Exportvorgangs. Überlegungen zu Datenexportregeln:

• Das Speicherkonto muss für alle Regeln im Arbeitsbereich eindeutig sein.
• Beim Senden an separate Event Hubs können mehrere Regeln denselben Event Hubs-Namespace verwenden.
• In ein Speicherkonto exportieren: Im Speicherkonto wird für jede Tabelle ein separater Container erstellt.
• In Event Hubs exportieren: Wenn kein Event Hub-Name angegeben ist, wird für jede Tabelle ein separater Event Hub erstellt. In den Namespacetarifen „Basic“ und „Standard“ werden zehn Event Hubs unterstützt. Wenn Sie mehr als zehn Tabellen in diese Tarifstufen exportieren, teilen Sie die Tabellen entweder auf mehrere Exportregeln für verschiedene Event Hubs-Namespaces auf, oder geben Sie in der Regel einen Event Hub-Namen an, um alle Tabellen in diesen Event Hub zu exportieren.

Azure-Portal

1. Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus. Wählen Sie im oberen Bereich die Option Neue Exportregel aus.

   

2. Führen Sie die Schritte aus, und wählen Sie dann Erstellen aus. Nur die Tabellen, in denen sich Daten befinden, werden auf der Registerkarte „Quelle“ angezeigt.

   

PowerShell

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell eine Datenexportregel für ein Speicherkonto zu erstellen. Für jede Tabelle wird ein separater Container erstellt.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell eine Datenexportregel für einen bestimmten Event Hub zu erstellen. Alle Tabellen werden in den angegebenen Event Hub-Namen exportiert und können nach dem Feld Typ gefiltert werden, um Tabellen zu trennen.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell eine Datenexportregel für einen Event Hub zu erstellen. Ohne Angabe eines bestimmten Event Hub-Namens wird für jede Tabelle ein separater Container erstellt, bis die Anzahl unterstützter Event Hubs im jeweiligen Event Hubs-Tarif erreicht ist. Um weitere Tabellen zu exportieren, geben Sie einen Event Hub-Namen in der Regel an. Sie können auch eine weitere Regel festlegen und die verbleibenden Tabellen in einen anderen Event Hubs-Namespace exportieren.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um mithilfe der CLI eine Datenexportregel für ein Speicherkonto zu erstellen. Für jede Tabelle wird ein separater Container erstellt.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Verwenden Sie den folgenden Befehl, um mithilfe der CLI eine Datenexportregel für einen bestimmten Event Hub zu erstellen. Alle Tabellen werden in den angegebenen Event Hub-Namen exportiert und können nach dem Feld Typ gefiltert werden, um Tabellen zu trennen.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Verwenden Sie den folgenden Befehl, um mithilfe der CLI eine Datenexportregel für einen Event Hub zu erstellen. Ohne Angabe eines bestimmten Event Hub-Namens wird für jede Tabelle ein separater Container erstellt, bis die Anzahl unterstützter Event Hubs für Ihren Event Hubs-Tarif erreicht ist. Wenn weitere Tabellen exportiert werden müssen, geben Sie einen Event Hub-Namen an, um eine beliebige Anzahl von Tabellen zu exportieren. Sie können auch eine weitere Regel festlegen, um die verbleibenden Tabellen in einen anderen Event Hubs-Namespace zu exportieren.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

PAUSE

Verwenden Sie die folgende Anforderung, um mithilfe der REST-API eine Datenexportregel für ein Speicherkonto zu erstellen. Für jede Tabelle wird ein separater Container erstellt. Die Anforderung sollte die Bearertokenautorisierung und den Inhaltstyp „application/json“ verwenden.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Die Anfrage spezifiziert das Ziel der Tabelle. Nachfolgend sehen Sie einen Beispieltext für die REST-Anforderung.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Im Folgenden sehen Sie einen Beispieltext für die REST-Anforderung für einen Event Hub:

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Es folgt ein Beispieltext für die REST-Anforderung für einen Event Hub, bei dem der Event Hub-Name angegeben wird. In diesem Fall werden alle exportierten Daten dorthin gesendet.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Vorlage

Verwenden Sie den folgenden Befehl, um mithilfe einer Azure Resource Manager-Vorlage eine Datenexportregel für ein Speicherkonto zu erstellen:

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Verwenden Sie den folgenden Befehl, um mithilfe einer Resource Manager-Vorlage eine Datenexportregel für einen Event Hub zu erstellen. Für jede Tabelle wird ein separater Event Hub erstellt.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Verwenden Sie den folgenden Befehl, um mithilfe einer Resource Manager-Vorlage eine Datenexportregel für einen bestimmten Event Hub zu erstellen. Alle Tabellen werden darin exportiert.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Anzeigen der Konfiguration der Datenexportregel

Azure-Portal

1. Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus.

   

2. Wählen Sie eine Regel für eine Konfigurationsansicht aus.

   

PowerShell

Verwenden Sie den folgenden Befehl, um die Konfiguration einer Datenexportregel mithilfe von PowerShell anzuzeigen.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um die Konfiguration einer Datenexportregel mithilfe der CLI anzuzeigen.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

PAUSE

Verwenden Sie die folgende Anforderung, um die Konfiguration einer Datenexportregel mithilfe der REST-API anzuzeigen. Die Anforderung sollte die Bearertokenautorisierung verwenden.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Vorlage

Die Vorlagenoption trifft nicht zu.

Deaktivieren oder Aktualisieren einer Exportregel

Azure-Portal

Sie können Exportregeln deaktivieren, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus. Wählen Sie die Umschaltfläche Status aus, um die Exportregel zu deaktivieren oder zu aktivieren.

PowerShell

Sie können Exportregeln deaktivieren, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Verwenden Sie den folgenden Befehl, um Regelparameter mithilfe von PowerShell zu deaktivieren oder zu aktualisieren.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure-Befehlszeilenschnittstelle

Sie können Exportregeln deaktivieren, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Verwenden Sie den folgenden Befehl, um Regelparameter mithilfe der CLI zu deaktivieren oder zu aktualisieren.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

PAUSE

Sie können Exportregeln deaktivieren, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Verwenden Sie den folgenden Befehl, um Regelparameter mithilfe der REST-API zu deaktivieren oder zu aktualisieren. Die Anforderung sollte die Bearertokenautorisierung verwenden.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Vorlage

Sie können Exportregeln deaktivieren, um den Export zu beenden, wenn Tests durchgeführt werden und keine Daten an das Ziel gesendet werden müssen. Legen Sie "enable": false in der Vorlage fest, um einen Datenexport zu deaktivieren.

Löschen einer Exportregel

Azure-Portal

Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus. Wählen Sie die Auslassungspunkte rechts neben der Regel und dann Löschen aus.

PowerShell

Verwenden Sie den folgenden Befehl, um eine Datenexportregel mithilfe von PowerShell zu löschen.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um eine Datenexportregel mithilfe der CLI zu löschen.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

PAUSE

Verwenden Sie die folgende Anforderung, um eine Datenexportregel mithilfe der REST-API zu löschen. Die Anforderung sollte die Bearertokenautorisierung verwenden.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Vorlage

Die Vorlagenoption trifft nicht zu.

Anzeigen aller Datenexportregeln in einem Arbeitsbereich

Azure-Portal

Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport unter dem Abschnitt Einstellungen aus, um alle Exportregeln im Arbeitsbereich anzuzeigen.

PowerShell

Verwenden Sie den folgenden Befehl, um alle Datenexportregeln in einem Arbeitsbereich mithilfe von PowerShell anzuzeigen.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um alle Datenexportregeln in einem Arbeitsbereich mithilfe der CLI anzuzeigen.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

PAUSE

Verwenden Sie die folgende Anforderung, um alle Datenexportregeln in einem Arbeitsbereich mithilfe der REST-API anzuzeigen. Die Anforderung sollte die Bearertokenautorisierung verwenden.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2023-09-01

Vorlage

Die Vorlagenoption trifft nicht zu.

Nicht unterstützte Tabellen

Hinweis

Wenn die Datenexportregel eine nicht unterstützte Tabelle umfasst, wird die Konfiguration erfolgreich ausgeführt, es werden jedoch für diese Tabelle keine Daten exportiert. Wenn die Tabelle unterstützt wird, wird der Datenexport gestartet. Wir sind dabei, Unterstützung für weitere Tabellen hinzuzufügen. Überprüfen Sie diesen Artikel regelmäßig.

Tabelle	Einschränkungen
Warnung	Teilweise unterstützt. Die Datenerfassung für Zabbix-Warnungen wird nicht unterstützt.
Alarmverlauf
AzureActivity	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
Konfigurationsänderung	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
Konfigurationsdaten	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
DatabricksDatabricksSQL
DatabricksSQL
DeviceAppLaunch
DeviceCalendar
DeviceConnectSession
DeviceEtw	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
DeviceHeartbeat
ETWEvent	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
Ereignis	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
Netzwerksitzungen
Vorgang	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
Schutzstatus
SecurityEvent	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
ServiceFabric-Betriebsereignis	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
ServiceFabricReliableActorEvent	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
ServiceFabricReliableServiceEvent	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.
Syslog	Teilweise unterstützt. Einige Daten werden durch interne Dienste erfasst, die beim Export nicht unterstützt werden. Derzeit fehlt dieser Teil im Export.
W3CIISLog	Teilweise unterstützt. Daten, die vom Log Analytics-Agent oder vom Azure Monitor-Agent eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export nicht unterstützt.

Nächste Schritte

Abfragen der exportierten Daten aus Azure Data Explorer