Exportación de datos del área de trabajo de Log Analytics en Azure Monitor
La exportación de datos de un área de trabajo de Log Analytics le permite exportar continuamente datos de las tablas seleccionadas del área de trabajo. Puede exportar a una cuenta de Azure Storage o a Azure Event Hubs a medida que llegan los datos a una canalización de Azure Monitor. En este artículo se ofrecen detalles sobre esta característica y pasos para configurar la exportación de datos en las áreas de trabajo.
Introducción
Los datos de Log Analytics están disponibles durante el período de retención definido en el área de trabajo. Se usa en varias experiencias proporcionadas en Azure Monitor y otros servicios de Azure. Hay casos en los que necesita usar otras herramientas:
- Cumplimiento con el almacenamiento protegido contra manipulación: los datos no se pueden modificar en Log Analytics después de su ingesta, pero se pueden purgar. Expórtelos a una cuenta de almacenamiento que tenga establecidas las directivas de inmutabilidad para proteger los datos de posibles alteraciones.
- Integración con los servicios de Azure y otras herramientas: exportación a Event Hubs a medida que llegan los datos y se procesan en Azure Monitor.
- Retención a largo plazo de los datos de auditoría y seguridad: exportación a una cuenta de almacenamiento en la región del área de trabajo. O bien, puede replicar los datos en otras regiones mediante cualquiera de las opciones de redundancia de Azure Storage, entre ellas, GRS y GZRS.
Después de configurar las reglas de exportación de datos en el área de trabajo de Log Analytics, los nuevos datos de las tablas de las reglas se exportan desde la canalización de Azure Monitor a su cuenta de almacenamiento o Event Hubs a medida que llegan. El tráfico de exportación de datos está en la red troncal de Azure y no sale de la red de Azure.
Los datos se exportan sin filtro. Por ejemplo, al configurar una regla de exportación de datos para la tabla SecurityEvent, se exportan todos los datos enviados a la tabla SecurityEvent a partir de la hora de configuración. Como alternativa, puede filtrar o modificar los datos exportados mediante la configuración de transformaciones en el área de trabajo, que se aplican a los datos entrantes, antes de que se envíen a las áreas de trabajo de Log Analytics y a los destinos de exportación.
Otras opciones de exportación
La exportación continua de datos del área de trabajo de Log Analytics exporta continuamente los datos que se envían al área de trabajo de Log Analytics. Hay otras opciones para exportar datos para escenarios concretos:
- Establezca la configuración diagnóstico en los recursos de Azure. Los registros se envían directamente a un destino. Este enfoque tiene una latencia menor en comparación con la exportación de datos de Log Analytics.
- Programe la exportación de datos en función de una consulta de registro que defina con la API de consulta de Log Analytics. Utilice Azure Data Factory, Azure Functions o Azure Logic Apps para orquestar las consultas en el área de trabajo y exportar los datos a un destino. Este método es similar a la característica de exportación de datos, pero puede usarla para exportar datos históricos desde el área de trabajo mediante filtros y agregaciones. Este método está sujeto a los límites de las consultas de registros y no está pensado para modificar la escala. Para obtener más información, consulte Exportación de datos de un área de trabajo de Log Analytics a la cuenta de almacenamiento mediante Logic Apps.
- Exportación única a una máquina local mediante un script de PowerShell. Para más información, consulte Invoke-AzOperationalInsightsQueryExport.
Limitaciones
- Los registros personalizados creados mediante la API del recopilador de datos HTTP no se pueden exportar, incluidos los registros basados en texto consumidos por el agente de Log Analytics. Se pueden exportar los registros personalizados creados mediante reglas de recopilación de datos, incluidos los registros basados en texto.
- La exportación de datos admitirá gradualmente más tablas, pero actualmente se limita a las especificadas en la sección tablas admitidas. Puede incluir tablas que aún no se admitan en las reglas, pero no se exportarán datos hasta que se admitan las tablas.
- Puede definir hasta 10 reglas habilitadas en el área de trabajo y cada una de ellas puede incluir varias tablas. Puede crear más reglas en el área de trabajo en estado deshabilitado.
- Los destinos deben estar en la misma región que el área de trabajo de Log Analytics.
- La cuenta de almacenamiento debe ser única en todas las reglas del área de trabajo.
- Los nombres de tabla pueden tener hasta 60 caracteres en la exportación a una cuenta de almacenamiento. Pueden tener hasta 47 caracteres al exportar a Event Hubs. Las tablas con nombres más largos no se exportarán.
- No se admite la exportación a la cuenta Premium Storage.
Integridad de los datos
La exportación de datos está optimizada para mover un gran volumen de datos a los destinos. En caso de destino con una escala o disponibilidad insuficientes, un proceso de reintento continúa durante hasta 12 horas y puede ser un resultado con una fracción de duplicación de los registros exportados. Siga las recomendaciones para los destinos de Cuenta de almacenamiento y Event Hubs para mejorar la confiabilidad. Para más información sobre los límites de destino y las alertas recomendadas, vea Creación o actualización de una regla de exportación de datos. Si los destinos siguen sin estar disponibles después del período de reintento, se descartarán los datos.
Modelo de precios
Los cargos de exportación de datos se basan en el número de bytes exportados a destinos en datos con formato JSON y se miden en GB (10^9 bytes). El cálculo de tamaño en la consulta del área de trabajo no se puede corresponder con los cargos de exportación, ya que no incluye los datos con formato JSON. Puede usar PowerShell para calcular el tamaño total de facturación de un contenedor de blobs.
Para más información, incluida la escala de tiempo de facturación de la exportación de datos, consulte Precios de Azure Monitor. La facturación para la exportación de datos se habilitó a principios de octubre de 2023.
Destinos de la exportación
El destino de exportación de los datos debe estar disponible antes de crear reglas de exportación en el área de trabajo. No es necesario que el destino esté en la misma suscripción que el área de trabajo. Cuando se usa Azure Lighthouse, también se pueden enviar datos a destinos que estén en otro inquilino de Microsoft Entra.
Debe tener permisos de escritura en el área de trabajo y el destino para poder configurar una regla de exportación de datos en cualquier tabla del área de trabajo. La directiva de acceso compartido del espacio de nombres de Event Hubs, define los permisos que tiene el mecanismo de transmisión. Para transmitir a Event Hubs, se necesitan permisos de administración, envío y escucha. Para actualizar la regla de exportación, debe tener el permiso ListKey en esa regla de autorización de Event Hubs.
Cuenta de almacenamiento
No use una cuenta de almacenamiento existente que tenga otros datos que no son de supervisión para controlar mejor el acceso a los datos, evitar alcanzar el límite de velocidad de entrada de almacenamiento, los errores y la latencia.
Para enviar los datos a la cuenta de almacenamiento inmutable, establezca la directiva de inmutabilidad para la cuenta de almacenamiento, tal como se escribe en Configuración de directivas de inmutabilidad para versiones de blobs. Debe seguir todos los pasos que se indican en este artículo, incluida la habilitación de las operaciones de escritura en blobs en anexos protegidos.
La cuenta de Storage no puede ser Premium, debe tener la versión StorageV1 o posterior y estar en la misma región que el área de trabajo. Si tiene que replicar los datos en otras cuentas de almacenamiento de otras regiones, puede usar cualquiera de las opciones de redundancia de Azure Storage, incluidos GRS y GZRS.
Los datos se envían a las cuentas de almacenamiento a medida que llegan a Azure Monitor y se exportan a destinos ubicados en la región del área de trabajo. Se crea un contenedor para cada tabla en la cuenta de almacenamiento denominado am- seguido del nombre de la tabla. Por ejemplo, la tabla SecurityEvent se enviaría a un contenedor denominado am-SecurityEvent.
Los blobs se almacenan en carpetas de cinco minutos con la siguiente estructura de ruta de acceso: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<grupo-de-recursos>/providers/microsoft.operationalinsights/workspaces/<área-de-trabajo>/y=<cuatro-dígitos-del-año>/m=<dos-dígitos-del-mes>/d=<dos-dígitos-del-día>/h=<dos-dígitos-de-la-hora-en-un-reloj-de-24-horas>/m=<dos-dígitos-de-los-minutos>/PT05M.json. Los anexos a blobs están limitados a 50 000 escrituras. Se agregarán más blobs en la carpeta con el formato PT05M_#.json*, donde "#" es el número incremental de blobs.
Nota
Los anexos a blobs se escriben en función del campo "TimeGenerated" y se producen al recibir datos de origen. Los datos que llegan a Azure Monitor con retraso o se reintentan tras la limitación de destinos, se escriben en blobs según su TimeGenerated.
El formato de los blobs de la cuenta de almacenamiento está en las líneas JSON, donde cada registro está delimitado por una nueva línea, sin matriz de registros externa y sin comas entre los registros JSON.
Event Hubs
No use un centro de eventos existente que tenga datos que no son de supervisión para evitar que se alcance el límite de velocidad de entrada de un espacio de nombres de Event Hubs, los errores y la latencia.
Los datos se envían al centro de eventos a medida que llegan a Azure Monitor y se exportan a destinos ubicados en la región del área de trabajo. Puede crear varias reglas de exportación en el mismo espacio de nombres de Event Hubs; para ello, proporcione diferentes elementos Event Hub name
en la regla. Cuando no se proporciona un elemento Event Hub name
, se crea un centro de eventos predeterminado para las tablas que se exportan con el nombre am- seguido del nombre de la tabla. Por ejemplo, la tabla SecurityEvent se enviaría a un centro de eventos llamado am-SecurityEvent.
El número de Event Hubs admitidos en los niveles de espacios de nombres "Básico" y "Estándar" es 10. Para exportar más de 10 tablas a estos niveles, divida las tablas entre varias reglas de exportación a distintos espacios de nombres de Event Hubs, o bien proporcione el nombre de un centro de eventos para exportar todas las tablas al mismo.
Nota:
- El nivel de espacio de nombres Básico de Event Hubs está limitado. Admite un tamaño de evento menor y no admite la opción de inflado automático para escalar verticalmente y aumentar el número de unidades de procesamiento de forma automática. Dado que el volumen de datos del área de trabajo aumenta con el tiempo y, por tanto, es necesario el escalado del centro de eventos, use los niveles "Estándar", "Premium" o "Dedicado" de Event Hubs con la característica Inflado automático habilitada. Para obtener más información, consulte Escalado vertical automático de unidades de procesamiento de Azure Event Hubs.
- La exportación de datos no puede acceder a los recursos de Event Hubs cuando las redes virtuales están habilitadas. Debe activar la casilla Permita que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento para omitir esta configuración de firewall en un centro de eventos para conceder acceso a Event Hubs.
Consulta de los datos exportados
La exportación de datos de áreas de trabajo a cuentas de almacenamiento ayuda a satisfacer varios escenarios mencionados en la sección de información general y las herramientas que pueden leer blobs de cuentas de almacenamiento pueden consumir dicha función. Los métodos siguientes permiten consultar datos mediante el lenguaje de consulta de Log Analytics, que es el mismo para Azure Data Explorer.
- Use Azure Data Explorer para consultar datos en Azure Data Lake.
- Use Azure Data Explorer para ingerir datos de una cuenta de almacenamiento.
- Use el área de trabajo de Log Analytics para consultar datos ingeridos mediante la API de ingesta de registros. Los datos ingeridos son para una tabla de registro personalizada y no la tabla original.
Habilitación de la exportación de datos
Para habilitar la exportación de datos de Log Analytics, hay que seguir los pasos que se detallan a continuación. Para obtener más información sobre cada opción, consulte las secciones siguientes:
- Registrar el proveedor de recursos
- Habilitación de los servicios de Microsoft de confianza
- Creación o actualización de una regla de exportación de datos
Registrar el proveedor de recursos
Se debe registrar en la suscripción el proveedor de recursos de Azure Microsoft.Insights para habilitar la exportación de datos de Log Analytics.
Probablemente, este proveedor de recursos ya esté registrado para la mayoría de los usuarios de Azure Monitor. Para comprobarlo, vaya a Suscripciones en Azure Portal. Seleccione la suscripción y, a continuación, seleccione Proveedores de recursos en la sección Configuración del menú. Busque Microsoft.Insights. Si su estado es Registrado, entonces ya está registrado. Si no es así, seleccione Registrar para registrarlo.
También puede usar cualquiera de los métodos disponibles para registrar un proveedor de recursos, tal y como se describe en Tipos y proveedores de recursos de Azure. El siguiente comando de ejemplo usa la CLI de Azure:
az provider register --namespace 'Microsoft.insights'
El siguiente comando de ejemplo usa PowerShell:
Register-AzResourceProvider -ProviderNamespace Microsoft.insights
Habilitación de los servicios de Microsoft de confianza
Si ha configurado la cuenta de almacenamiento para permitir el acceso desde las redes seleccionadas, tiene que agregar una excepción para permitir que Azure Monitor escriba en la cuenta. En la opción Firewalls y redes virtuales de la cuenta de almacenamiento, asegúrese de que la opción Permita que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento.
Supervisión de destinos
Importante
Los destinos de exportación tienen restricciones y deben supervisarse para minimizar la limitación, los errores y la latencia. Para más información, consulte la escalabilidad de la cuenta de almacenamiento y las cuotas de los espacios de nombres de Event Hubs.
Las métricas siguientes están disponibles para la operación de exportación de datos y las alertas
Nombre de métrica | Descripción |
---|---|
Bytes exportados | Número total de bytes exportados al destino desde el área de trabajo de Log Analytics dentro del intervalo de tiempo seleccionado. El tamaño de los datos exportados es el número de bytes de los datos exportados con formato JSON. 1 GB = 10^9 bytes |
Errores de importación | Número total de solicitudes de exportación fallidas al destino desde el área de trabajo de Log Analytics dentro del intervalo de tiempo seleccionado. Este número incluye los intentos de exportación fallidos debido a la limitación de recursos de destino, error de acceso prohibido o cualquier error del servidor. Un proceso de reintento controla los intentos fallidos y el número no indica los datos que faltan. |
Registros exportados | Número total de registros exportados desde el área de trabajo de Log Analytics dentro del intervalo de tiempo seleccionado. Este número cuenta los registros de las operaciones que finalizaron con éxito. |
Supervisión de una cuenta de almacenamiento
Use una cuenta de almacenamiento independiente para la exportación.
Configure una alerta sobre la métrica:
Ámbito Espacio de nombres de métricas Métrica Agregación Umbral storage-name Cuenta Entrada Sum 80 % de entrada máxima por período de evaluación de alertas. Por ejemplo: el límite es de 60 Gbps para la versión 2 de uso general en la región Oeste de EE. UU. El umbral de alertas es de 1676 GiB por cada período de evaluación de 5 minutos. Acciones de corrección de las alertas:
- Use una cuenta de almacenamiento independiente para la exportación que no se comparta con datos que no sean de supervisión.
- Las cuentas Estándar de Azure Storage admiten límites de entrada más altos por solicitud. Para solicitar un aumento, póngase en contacto con Soporte técnico de Azure.
- Divida las tablas entre más cuentas de almacenamiento.
Supervisión de Event Hubs
Configure las alertas en las métricas:
Ámbito Espacio de nombres de métricas Métrica Agregación Umbral namespaces-name Métricas estándar del centro de eventos Bytes de entrada Sum 80 % de entrada máxima por período de evaluación de alertas. Por ejemplo, el límite es de 1 MB/s por unidad (TU o PU) y cinco unidades utilizadas. El umbral es de 228 MiB por cada período de evaluación de 5 minutos. namespaces-name Métricas estándar del centro de eventos Solicitudes entrantes Count 80 % del número máximo de eventos por período de evaluación de alertas. Por ejemplo, el límite es de 1000/s por unidad (TU o PU) y cinco unidades utilizadas. El umbral es de 1 200 000 por cada período de evaluación de 5 minutos. namespaces-name Métricas estándar del centro de eventos Errores de cuota superada Count 1 % de la solicitud. Por ejemplo, las solicitudes por cada período de 5 minutos son 600 000. El umbral es de 6000 por cada período de evaluación de 5 minutos. Acciones de corrección de las alertas:
- Utilice un espacio de nombres de Event Hubs independiente para la exportación que no se comparta con datos que no sean de supervisión.
- Configure la característica Inflado automático para escalar verticalmente y aumentar el número de unidades de procesamiento de forma automática para satisfacer las necesidades de uso.
- Compruebe el aumento de las unidades de procesamiento para dar cabida al volumen de datos.
- Divida las tablas entre más espacios de nombres.
- Utilice los niveles "Premium" o "Dedicado" para obtener un mayor rendimiento.
Creación o actualización de una regla de exportación de datos
Una regla de exportación de datos define el destino y las tablas cuyos datos se exportan. El aprovisionamiento de reglas tarda unos 30 minutos antes de que se inicie la operación de exportación. Consideraciones sobre las reglas de exportación de datos:
- La cuenta de almacenamiento debe ser única en todas las reglas del área de trabajo.
- Varias reglas pueden usar el mismo espacio de nombres de Event Hubs cuando se envía a Event Hubs independientes.
- Exportación a una cuenta de almacenamiento: se crea un contenedor independiente en la cuenta de almacenamiento para cada tabla.
- Exportación a Event Hubs: si no se proporciona el nombre de un centro de eventos, se crea un centro de eventos independiente para cada tabla. El número de Event Hubs admitidos en los niveles de espacios de nombres "Básico" y "Estándar" es 10. Para exportar más de 10 tablas a estos niveles, divida las tablas entre varias reglas de exportación a distintos espacios de nombres de Event Hubs, o bien proporcione el nombre de un centro de eventos en la regla para exportar todas las tablas al mismo.
En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración. Seleccione Nueva regla de exportación en la parte superior del panel.
Siga los pasos y, a continuación, seleccione Crear. Solo las tablas con datos en ellas se muestran en la pestaña "Origen".
Consulta de la configuración de la regla de exportación de datos
Deshabilitación o actualización de una regla de exportación
Puede deshabilitar las reglas de exportación para detener la exportación durante un período determinado; por ejemplo, cuando se realizan pruebas. En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración. Seleccione el botón de alternancia Estado para deshabilitar o habilitar la regla de exportación.
Eliminación de una regla de exportación
En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración. Seleccione los puntos suspensivos situados a la derecha de la regla y seleccione Eliminar.
Consulta de todas las reglas de exportación de datos en un área de trabajo
En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración para ver todas las reglas de exportación del área de trabajo.
Tablas no admitidas
Si la regla de exportación de datos incluye una tabla no admitida, la configuración se realizará correctamente, pero no se exportará ningún dato de esa tabla. Si la tabla se admite posteriormente, sus datos se exportarán en ese momento.
Tablas admitidas
Nota:
Estamos en un proceso de agregar compatibilidad con más tablas. Consulte este artículo con regularidad.
Tabla | Limitaciones |
---|---|
AACAudit | |
AACHttpRequest | |
AADB2CRequestLogs | |
AADCustomSecurityAttributeAuditLogs | |
AADDomainServicesAccountLogon | |
AADDomainServicesAccountManagement | |
AADDomainServicesDirectoryServiceAccess | |
AADDomainServicesDNSAuditsDynamicUpdates | |
AADDomainServicesDNSAuditsGeneral | |
AADDomainServicesLogonLogoff | |
AADDomainServicesPolicyChange | |
AADDomainServicesPrivilegeUse | |
AADManagedIdentitySignInLogs | |
AADNonInteractiveUserSignInLogs | |
AADProvisioningLogs | |
AADRiskyServicePrincipals | |
AADRiskyUsers | |
AADServicePrincipalRiskEvents | |
AADServicePrincipalSignInLogs | |
AADUserRiskEvents | |
ABSBotRequests | |
ACICollaborationAudit | |
ACRConnectedClientList | |
ACSAuthIncomingOperations | |
ACSBillingUsage | |
ACSCallAutomationIncomingOperations | |
ACSCallAutomationMediaSummary | |
ACSCallClientMediaStatsTimeSeries | |
ACSCallClientOperations | |
ACSCallClosedCaptionsSummary | |
ACSCallDiagnostics | |
ACSCallRecordingIncomingOperations | |
ACSCallRecordingSummary | |
ACSCallSummary | |
ACSCallSurvey | |
ACSChatIncomingOperations | |
ACSEmailSendMailOperational | |
ACSEmailStatusUpdateOperational | |
ACSEmailUserEngagementOperational | |
ACSJobRouterIncomingOperations | |
ACSNetworkTraversalDiagnostics | |
ACSNetworkTraversalIncomingOperations | |
ACSRoomsIncomingOperations | |
ACSSMSIncomingOperations | |
ADAssessmentRecommendation | |
AddonAzureBackupAlerts | |
AddonAzureBackupJobs | |
AddonAzureBackupPolicy | |
AddonAzureBackupProtectedInstance | |
AddonAzureBackupStorage | |
ADFActivityRun | |
ADFAirflowSchedulerLogs | |
ADFAirflowTaskLogs | |
ADFAirflowWebLogs | |
ADFAirflowWorkerLogs | |
ADFPipelineRun | |
ADFSandboxActivityRun | |
ADFSandboxPipelineRun | |
ADFSSignInLogs | |
ADFSSISIntegrationRuntimeLogs | |
ADFSSISPackageEventMessageContext | |
ADFSSISPackageEventMessages | |
ADFSSISPackageExecutableStatistics | |
ADFSSISPackageExecutionComponentPhases | |
ADFSSISPackageExecutionDataStatistics | |
ADFTriggerRun | |
ADPAudit | |
ADPDiagnostics | |
ADPRequests | |
ADReplicationResult | |
ADSecurityAssessmentRecommendation | |
ADTDataHistoryOperation | |
ADTDigitalTwinsOperation | |
ADTEventRoutesOperation | |
ADTModelsOperation | |
ADTQueryOperation | |
ADXCommand | |
ADXIngestionBatching | |
ADXJournal | |
ADXQuery | |
ADXTableDetails | |
ADXTableUsageStatistics | |
AegDataPlaneRequests | |
AegDeliveryFailureLogs | |
AegPublishFailureLogs | |
AEWAssignmentBlobLogs | |
AEWAuditLogs | |
AEWComputePipelinesLogs | |
AFSAuditLogs | |
AGCAccessLogs | |
AgriFoodApplicationAuditLogs | |
AgriFoodFarmManagementLogs | |
AgriFoodFarmOperationLogs | |
AgriFoodInsightLogs | |
AgriFoodJobProcessedLogs | |
AgriFoodModelInferenceLogs | |
AgriFoodProviderAuthLogs | |
AgriFoodSatelliteLogs | |
AgriFoodSensorManagementLogs | |
AgriFoodWeatherLogs | |
AGSGrafanaLoginEvents | |
AGWAccessLogs | |
AGWFirewallLogs | |
AGWPerformanceLogs | |
AHDSDicomAuditLogs | |
AHDSDicomDiagnosticLogs | |
AHDSMedTechDiagnosticLogs | |
AirflowDagProcessingLogs | |
AKSAudit | |
AKSAuditAdmin | |
AKSControlPlane | |
ALBHealthEvent | |
Alerta | La compatibilidad es parcial. No se admite la ingesta de datos para alertas de Zabbix. |
AlertEvidence | |
AlertInfo | |
AmlComputeClusterEvent | |
AmlComputeCpuGpuUtilization | |
AmlComputeInstanceEvent | |
AmlComputeJobEvent | |
AmlDataLabelEvent | |
AmlDataSetEvent | |
AmlDataStoreEvent | |
AmlDeploymentEvent | |
AmlEnvironmentEvent | |
AmlInferencingEvent | |
AmlModelsEvent | |
AmlOnlineEndpointConsoleLog | |
AmlOnlineEndpointEventLog | |
AmlOnlineEndpointTrafficLog | |
AmlPipelineEvent | |
AmlRegistryReadEventsLog | |
AmlRegistryWriteEventsLog | |
AmlRunEvent | |
AmlRunStatusChangedEvent | |
AMSKeyDeliveryRequests | |
AMSLiveEventOperations | |
AMSMediaAccountHealth | |
AMSStreamingEndpointRequests | |
AMWMetricsUsageDetails | |
ANFFileAccess | |
Anomalías | |
AOIDatabaseQuery | |
AOIDigestion | |
AOIStorage | |
ApiManagementGatewayLogs | |
ApiManagementWebSocketConnectionLogs | |
AppAvailabilityResults | |
AppBrowserTimings | |
AppCenterError | |
AppDependencies | |
AppEnvSpringAppConsoleLogs | |
AppEvents | |
AppExceptions | |
AppMetrics | |
AppPageViews | |
AppPerformanceCounters | |
AppPlatformBuildLogs | |
AppPlatformContainerEventLogs | |
AppPlatformIngressLogs | |
AppPlatformLogsforSpring | |
AppPlatformSystemLogs | |
AppRequests | |
AppServiceAntivirusScanAuditLogs | |
AppServiceAppLogs | |
AppServiceAuditLogs | |
AppServiceAuthenticationLogs | |
AppServiceConsoleLogs | |
AppServiceEnvironmentPlatformLogs | |
AppServiceFileAuditLogs | |
AppServiceHTTPLogs | |
AppServiceIPSecAuditLogs | |
AppServicePlatformLogs | |
AppServiceServerlessSecurityPluginData | |
AppSystemEvents | |
AppTraces | |
ArcK8sAudit | |
ArcK8sAuditAdmin | |
ArcK8sControlPlane | |
ASCAuditLogs | |
ASCDeviceEvents | |
ASimAuditEventLogs | |
ASimAuthenticationEventLogs | |
ASimDhcpEventLogs | |
ASimDnsActivityLogs | |
ASimFileEventLogs | |
ASimNetworkSessionLogs | |
ASimProcessEventLogs | |
ASimRegistryEventLogs | |
ASimUserManagementActivityLogs | |
ASimWebSessionLogs | |
ASRJobs | |
ASRReplicatedItems | |
ATCExpressRouteCircuitIpfix | |
AuditLogs | |
AutoscaleEvaluationsLog | |
AutoscaleScaleActionsLog | |
AVNMConnectivityConfigurationChange | |
AVNMIPAMPoolAllocationChange | |
AVNMNetworkGroupMembershipChange | |
AVNMRuleCollectionChange | |
AVSSyslog | |
AWSCloudTrail | |
AWSCloudWatch | |
AWSGuardDuty | |
AWSVPCFlow | |
AZFWApplicationRule | |
AZFWApplicationRuleAggregation | |
AZFWDnsQuery | |
AZFWFatFlow | |
AZFWFlowTrace | |
AZFWIdpsSignature | |
AZFWInternalFqdnResolutionFailure | |
AZFWNatRule | |
AZFWNatRuleAggregation | |
AZFWNetworkRule | |
AZFWNetworkRuleAggregation | |
AZFWThreatIntel | |
AZKVAuditLogs | |
AZKVPolicyEvaluationDetailsLogs | |
AZMSApplicationMetricLogs | |
AZMSArchiveLogs | |
AZMSAutoscaleLogs | |
AZMSCustomerManagedKeyUserLogs | |
AZMSDiagnosticErrorLogs | |
AZMSHybridConnectionsEvents | |
AZMSKafkaCoordinatorLogs | |
AZMSKafkaUserErrorLogs | |
AZMSOperationalLogs | |
AZMSRunTimeAuditLogs | |
AZMSVnetConnectionEvents | |
AzureAssessmentRecommendation | |
AzureAttestationDiagnostics | |
AzureBackupOperations | |
AzureDevOpsAuditing | |
AzureLoadTestingOperation | |
AzureMetricsV2 | |
BehaviorAnalytics | |
CassandraAudit | |
CassandraLogs | |
CCFApplicationLogs | |
CDBCassandraRequests | |
CDBControlPlaneRequests | |
CDBDataPlaneRequests | |
CDBGremlinRequests | |
CDBMongoRequests | |
CDBPartitionKeyRUConsumption | |
CDBPartitionKeyStatistics | |
CDBQueryRuntimeStatistics | |
ChaosStudioExperimentEventLogs | |
CHSMManagementAuditLogs | |
CIEventsAudit | |
CIEventsOperational | |
CloudAppEvents | |
CommonSecurityLog | |
ComputerGroup | |
ConfidentialWatchlist | |
ConfigurationData | La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación. |
ContainerAppConsoleLogs | |
ContainerAppSystemLogs | |
ContainerEvent | |
ContainerImageInventory | |
ContainerInstanceLog | |
ContainerInventory | |
ContainerLog | |
ContainerLogV2 | |
ContainerNodeInventory | |
ContainerRegistryLoginEvents | |
ContainerRegistryRepositoryEvents | |
ContainerServiceLog | |
CoreAzureBackup | |
DatabricksAccounts | |
DatabricksBrickStoreHttpGateway | |
DatabricksCapsule8Dataplane | |
DatabricksClamAVScan | |
DatabricksCloudStorageMetadata | |
DatabricksClusterLibraries | |
DatabricksClusters | |
DatabricksDashboards | |
DatabricksDataMonitoring | |
DatabricksDBFS | |
DatabricksDeltaPipelines | |
DatabricksFeatureStore | |
DatabricksFilesystem | |
DatabricksGenie | |
DatabricksGitCredentials | |
DatabricksGlobalInitScripts | |
DatabricksIAMRole | |
DatabricksIngestion | |
DatabricksInstancePools | |
DatabricksJobs | |
DatabricksLineageTracking | |
DatabricksMarketplaceConsumer | |
DatabricksMLflowAcledArtifact | |
DatabricksMLflowExperiment | |
DatabricksModelRegistry | |
DatabricksNotebook | |
DatabricksPartnerHub | |
DatabricksPredictiveOptimization | |
DatabricksRemoteHistoryService | |
DatabricksRepos | |
DatabricksSecrets | |
DatabricksServerlessRealTimeInference | |
DatabricksSQLPermissions | |
DatabricksSSH | |
DatabricksUnityCatalog | |
DatabricksWebTerminal | |
DatabricksWorkspace | |
DatabricksWorkspaceLogs | |
DataTransferOperations | |
DataverseActivity | |
DCRLogErrors | |
DCRLogTroubleshooting | |
DevCenterBillingEventLogs | |
DevCenterDiagnosticLogs | |
DevCenterResourceOperationLogs | |
DeviceEvents | |
DeviceFileCertificateInfo | |
DeviceFileEvents | |
DeviceImageLoadEvents | |
DeviceInfo | |
DeviceLogonEvents | |
DeviceNetworkEvents | |
DeviceNetworkInfo | |
DeviceProcessEvents | |
DeviceRegistryEvents | |
DeviceTvmSecureConfigurationAssessment | |
DeviceTvmSecureConfigurationAssessmentKB | |
DeviceTvmSoftwareInventory | |
DeviceTvmSoftwareVulnerabilities | |
DeviceTvmSoftwareVulnerabilitiesKB | |
DnsEvents | |
DnsInventory | |
DNSQueryLogs | |
DSMAzureBlobStorageLogs | |
DSMDataClassificationLogs | |
DSMDataLabelingLogs | |
Dynamics365Activity | |
DynamicSummary | |
EGNFailedMqttConnections | |
EGNFailedMqttPublishedMessages | |
EGNFailedMqttSubscriptions | |
EGNMqttDisconnections | |
EGNSuccessfulMqttConnections | |
EmailAttachmentInfo | |
EmailEvents | |
EmailPostDeliveryEvents | |
EmailUrlInfo | |
EnrichedMicrosoft365AuditLogs | |
ETWEvent | La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación. |
Evento | La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación. |
ExchangeAssessmentRecommendation | |
ExchangeOnlineAssessmentRecommendation | |
FailedIngestion | |
FunctionAppLogs | |
GCPAuditLogs | |
GoogleCloudSCC | |
HDInsightAmbariClusterAlerts | |
HDInsightAmbariSystemMetrics | |
HDInsightGatewayAuditLogs | |
HDInsightHadoopAndYarnLogs | |
HDInsightHadoopAndYarnMetrics | |
HDInsightHBaseLogs | |
HDInsightHBaseMetrics | |
HDInsightHiveAndLLAPLogs | |
HDInsightHiveAndLLAPMetrics | |
HDInsightHiveQueryAppStats | |
HDInsightHiveTezAppStats | |
HDInsightJupyterNotebookEvents | |
HDInsightKafkaLogs | |
HDInsightKafkaMetrics | |
HDInsightOozieLogs | |
HDInsightRangerAuditLogs | |
HDInsightSecurityLogs | |
HDInsightSparkApplicationEvents | |
HDInsightSparkBlockManagerEvents | |
HDInsightSparkEnvironmentEvents | |
HDInsightSparkExecutorEvents | |
HDInsightSparkExtraEvents | |
HDInsightSparkJobEvents | |
HDInsightSparkLogs | |
HDInsightSparkSQLExecutionEvents | |
HDInsightSparkStageEvents | |
HDInsightSparkStageTaskAccumulables | |
HDInsightSparkTaskEvents | |
HDInsightStormLogs | |
HDInsightStormMetrics | |
HDInsightStormTopologyMetrics | |
HealthStateChangeEvent | |
Latido | |
HuntingBookmark | |
IdentityDirectoryEvents | |
IdentityInfo | |
IdentityLogonEvents | |
IdentityQueryEvents | |
InsightsMetrics | La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación. |
IntuneAuditLogs | |
IntuneDeviceComplianceOrg | |
IntuneDevices | |
IntuneOperationalLogs | |
KubeEvents | |
KubeHealth | |
KubeMonAgentEvents | |
KubeNodeInventory | |
KubePodInventory | |
KubePVInventory | |
KubeServices | |
LAQueryLogs | |
LASummaryLogs | |
LinuxAuditLog | |
LogicAppWorkflowRuntime | |
McasShadowItReporting | |
MCCEventLogs | |
MCVPAuditLogs | |
MCVPOperationLogs | |
MDCFileIntegrityMonitoringEvents | |
MDECustomCollectionDeviceFileEvents | |
MicrosoftAzureBastionAuditLogs | |
MicrosoftDataShareReceivedSnapshotLog | |
MicrosoftDataShareSentSnapshotLog | |
MicrosoftDataShareShareLog | |
MicrosoftGraphActivityLogs | |
MicrosoftHealthcareApisAuditLogs | |
MicrosoftPurviewInformationProtection | |
MNFDeviceUpdates | |
MNFSystemSessionHistoryUpdates | |
MNFSystemStateMessageUpdates | |
NCBMBreakGlassAuditLogs | |
NCBMSecurityDefenderLogs | |
NCBMSecurityLogs | |
NCBMSystemLogs | |
NCCKubernetesLogs | |
NCCVMOrchestrationLogs | |
NCSStorageAlerts | |
NCSStorageLogs | |
NetworkAccessTraffic | |
NetworkMonitoring | |
NGXOperationLogs | |
NSPAccessLogs | |
NTAInsights | |
NTAIpDetails | |
NTANetAnalytics | |
NTATopologyDetails | |
NWConnectionMonitorDestinationListenerResult | |
NWConnectionMonitorDNSResult | |
NWConnectionMonitorPathResult | |
NWConnectionMonitorTestResult | |
OEPAirFlowTask | |
OEPAuditLogs | |
OEPDataplaneLogs | |
OEPElasticOperator | |
OEPElasticsearch | |
OfficeActivity | |
OLPSupplyChainEntityOperations | |
OLPSupplyChainEvents | |
Operación | La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación. |
Perf | |
PFTitleAuditLogs | |
PowerAppsActivity | |
PowerAutomateActivity | |
PowerBIActivity | |
PowerBIAuditTenant | |
PowerBIDatasetsTenant | |
PowerBIDatasetsWorkspace | |
PowerBIReportUsageWorkspace | |
PowerPlatformAdminActivity | |
PowerPlatformConnectorActivity | |
PowerPlatformDlpActivity | |
ProjectActivity | |
PurviewDataSensitivityLogs | |
PurviewScanStatusLogs | |
PurviewSecurityLogs | |
REDConnectionEvents | |
RemoteNetworkHealthLogs | |
ResourceManagementPublicAccessLogs | |
SCCMAssessmentRecommendation | |
SCOMAssessmentRecommendation | |
SecureScoreControls | |
SecureScores | |
SecurityAlert | |
SecurityAttackPathData | |
SecurityBaseline | |
SecurityBaselineSummary | |
SecurityDetection | |
SecurityEvent | |
SecurityIncident | |
SecurityIoTRawEvent | |
SecurityNestedRecommendation | |
SecurityRecommendation | |
SecurityRegulatoryCompliance | |
SentinelAudit | |
SentinelHealth | |
ServiceFabricOperationalEvent | La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación. |
ServiceFabricReliableActorEvent | La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación. |
ServiceFabricReliableServiceEvent | La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación. |
SfBAssessmentRecommendation | |
SharePointOnlineAssessmentRecommendation | |
SignalRServiceDiagnosticLogs | |
SigninLogs | |
SPAssessmentRecommendation | |
SQLAssessmentRecommendation | |
SqlAtpStatus | |
SQLSecurityAuditEvents | |
SqlVulnerabilityAssessmentScanStatus | |
StorageBlobLogs | |
StorageCacheOperationEvents | |
StorageCacheUpgradeEvents | |
StorageCacheWarningEvents | |
StorageFileLogs | |
StorageMalwareScanningResults | |
StorageMoverCopyLogsFailed | |
StorageMoverCopyLogsTransferred | |
StorageMoverJobRunLogs | |
StorageQueueLogs | |
StorageTableLogs | |
SucceededIngestion | |
SynapseBigDataPoolApplicationsEnded | |
SynapseBuiltinSqlPoolRequestsEnded | |
SynapseDXCommand | |
SynapseDXFailedIngestion | |
SynapseDXIngestionBatching | |
SynapseDXQuery | |
SynapseDXSucceededIngestion | |
SynapseDXTableDetails | |
SynapseDXTableUsageStatistics | |
SynapseGatewayApiRequests | |
SynapseIntegrationActivityRuns | |
SynapseIntegrationPipelineRuns | |
SynapseIntegrationTriggerRuns | |
SynapseLinkEvent | |
SynapseRbacOperations | |
SynapseScopePoolScopeJobsEnded | |
SynapseScopePoolScopeJobsStateChange | |
SynapseSqlPoolDmsWorkers | |
SynapseSqlPoolExecRequests | |
SynapseSqlPoolRequestSteps | |
SynapseSqlPoolSqlRequests | |
SynapseSqlPoolWaits | |
Syslog | |
ThreatIntelligenceIndicator | |
TSIIngress | |
UCClient | |
UCClientReadinessStatus | |
UCClientUpdateStatus | |
UCDeviceAlert | |
UCDOAggregatedStatus | |
UCDOStatus | |
UCServiceUpdateStatus | |
UCUpdateAlert | |
Actualizar | La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación. |
UpdateRunProgress | |
UpdateSummary | |
UrlClickEvents | |
Uso | |
UserAccessAnalytics | |
UserPeerAnalytics | |
VCoreMongoRequests | |
VIAudit | |
VIIndexing | |
VMConnection | La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación. |
W3CIISLog | La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación. |
WaaSDeploymentStatus | |
WaaSInsiderStatus | |
WaaSUpdateStatus | |
Watchlist | |
WebPubSubConnectivity | |
WebPubSubHttpRequest | |
WebPubSubMessaging | |
Windows365AuditLogs | |
WindowsClientAssessmentRecommendation | |
WindowsEvent | |
WindowsFirewall | |
WindowsServerAssessmentRecommendation | |
WireData | La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación. |
WorkloadDiagnosticLogs | |
WUDOAggregatedStatus | |
WUDOStatus | |
WVDAgentHealthStatus | |
WVDAutoscaleEvaluationPooled | |
WVDCheckpoints | |
WVDConnectionGraphicsDataPreview | |
WVDConnectionNetworkData | |
WVDConnections | |
WVDErrors | |
WVDFeeds | |
WVDHostRegistrations | |
WVDManagement | |
WVDSessionHostManagement |
Pasos siguientes
Consulta de datos exportados desde Azure Monitor mediante Azure Data Explorer