Créer et modifier des règles de collecte de données dans Azure Monitor

Article
07/22/2024

Plusieurs méthodes permettent de créer une règle de collecte des données (DCR) dans Azure Monitor. Dans certains cas, Azure Monitor crée et gère la DCR en fonction des paramètres que vous configurez dans le portail Azure. Dans d'autres cas, vous devrez peut-être créer vos propres DCR pour personnaliser des scénarios particuliers.

Cet article décrit les différentes méthodes de création et de modification d'une DCR. Pour le contenu de la DCR elle-même, reportez-vous à Structure d'une règle de collecte de données dans Azure Monitor.

Autorisations

Vous devez disposer des autorisations suivantes pour créer des DCR et des associations :

Rôle intégré	Étendues	Motif
Contributeur de surveillance	Abonnement et/ou Groupe de ressources et/ou Une règle de collecte de données existante	Créez ou modifiez des DCR, attribuez des règles à la machine, déployez des associations.
Contributeur de machine virtuelle Administrateur des ressources de la machine connectée à Azure	Machines virtuelles, groupes de machines virtuelles identiques Serveurs avec Azure Arc	Déployez des extensions d’agent sur la machine virtuelle.
Tout rôle avec l’action Microsoft.Resources/deployments/*	Abonnement et/ou Groupe de ressources et/ou Une règle de collecte de données existante	Déployer des modèles Azure Resource Manager.

Méthodes automatisées pour créer une DCR

Le tableau suivant répertorie les méthodes permettant de créer des scénarios de collecte de données à l'aide du portail Azure, où le DCR est créé pour vous. Dans ces cas, vous n'avez pas besoin d'interagir directement avec la DCR concernée.

Scénario	Ressources	Description
Surveiller une machine virtuelle	Activer la vue d’ensemble de VM Insights	Lorsque vous activez l'aperçu des machines virtuelles sur une machine virtuelle, l'agent Azure Monitor est installé et une DCR est créée pour collecter un ensemble prédéfini de compteurs de performances. Vous ne devez pas modifier cette DCR.
Container Insights	Activer Container Insights	Lorsque vous activez Container Insights sur un cluster Kubernetes, une version conteneurisée de l'agent Azure Monitor est installée et une DCR est créée pour collecter des données selon la configuration que vous avez sélectionnée. Vous devrez peut-être modifier cette DCR pour ajouter une transformation.
Transformation de l’espace de travail	Ajouter une transformation dans une règle de collecte de données d'espace de travail en utilisant le portail Azure	Créer une transformation pour toute table prise en charge dans un espace de travail Log Analytics. La transformation est définie dans une règle de collecte de données qui est ensuite associée à l’espace de travail. Elle est appliquée à toutes les données envoyées à cette table depuis une charge de travail héritée qui n’utilise pas déjà de règle de collecte de données.

Créer une DCR

Azure fournit un plan de configuration de collecte de données basé sur le cloud centralisé pour les machines virtuelles, les groupes de machines virtuelles identiques, les machines locales et les métriques Prometheus à partir de conteneurs.

Cet article explique comment créer une règle de collecte de données (DCR) à partir de zéro. Il existe d’autres solutions d’insights qui fournissent des expériences de création de DCR telles que Sentinel, VM Insights et Application Insights qui créent des DCR dans le cadre de leur propre flux de travail. Parfois, les DCR créées dans ces solutions peuvent entrer en conflit. Il existe trois tables auxquelles les événements Windows peuvent être envoyés. Les événements d’audit de sécurité Sentinel vont à SecurityEvents, les événements du connecteur WEF vont à la table WindowsEvent. Si vous utilisez la collection d’événements Windows faite à partir de zéro, les résultats vont à la table d’événements.

Pour créer une règle de collecte de données à l’aide des modèles Azure CLI, PowerShell, API ou ARM, créez un fichier JSON, en commençant par l’un des exemples de règle de collecte de données. Utilisez les informations contenues dans Structure d’une règle de collecte de données dans Azure Monitor pour modifier le fichier JSON pour votre environnement et vos exigences particuliers.

Important

Créez votre règle de collecte de données dans la même région que votre espace de travail Log Analytics ou votre espace de travail Azure Monitor de destination. Vous pouvez associer la règle de collecte de données à des machines ou à des conteneurs depuis tout abonnement ou groupe de ressources dans le locataire. Pour envoyer des données entre locataires, vous devez d’abord activer Azure Lighthouse.

Dans le menu Moniteur, sélectionnez Règles de collecte de données>Créer pour ouvrir la page de création d’une nouvelle règle de collecte de données.

Configurez les paramètres à chaque étape de l’Assistant, comme indiqué ci-dessous.

Concepts de base

Élément à l’écran	Description
Nom de la règle	Entrer un nom pour la règle de collecte de données.
Abonnement	Associer la règle de collecte de données à un abonnement.
Groupe de ressources	Associer la règle de collecte de données à un groupe de ressources.
Région	Créez votre règle de collecte de données dans la même région que votre espace de travail Log Analytics de destination. Vous pouvez associer la règle de collecte de données aux machines de tout abonnement ou groupe de ressources dans le locataire.
Type de plateforme	Sélectionnez Windows ou Linux, ou Tout, ce qui permet à la fois les plateformes Windows et Linux.
Point de terminaison de collecte de données	Pour collecter des données syslog Linux, des journaux IIS, des journaux texte personnalisés ou des journaux JSON personnalisés, sélectionnez un point de terminaison de collecte de données existant ou créez un nouveau point de terminaison. Vous n’avez pas besoin d’un point de terminaison pour collecter les compteurs de niveau de performance et les journaux des évènements Windows. Dans cet onglet, vous ne pouvez sélectionner qu’un point de terminaison de collecte de données de la même région que la règle de collecte de données. L’agent envoie les données collectées à ce point de terminaison de collecte de données. Pour plus d’informations, consultez Composants d’un point de terminaison de collecte de données.

Ressources

Élément à l’écran	Description
+ Ajouter des ressources	Associer des machines virtuelles, des Virtual Machine Scale Sets et Azure Arc pour serveurs à la règle de collecte de données. Le Portail Azure installe l’agent Azure Monitor sur les ressources sur lesquelles l’agent n’est pas déjà installé.
Activer les points de terminaison de collecte de données	Si la machine que vous surveillez ne se trouve pas dans la même région que votre espace de travail Log Analytics de destination, activez les points de terminaison de collecte de données et sélectionnez un point de terminaison dans la région de l’ordinateur surveillé pour collecter des données syslog Linux, des journaux IIS, des journaux de texte personnalisés ou des journaux JSON personnalisés. Si l’ordinateur surveillé se trouve dans la même région que votre espace de travail Log Analytics de destination ou si vous collectez des compteurs de niveau de performance et des journaux d’évènement Windows, ne sélectionnez pas de point de terminaison de collecte de données dans l’onglet Ressources. Le point de terminaison de collecte de données dans l’onglet Ressources est le point de terminaison d’accès à la configuration, comme décrit dans Composants d’un point de terminaison de collecte de données. Si vous avez besoin d’un isolement réseau à l’aide de liaisons privées, sélectionnez des points de terminaison existants dans la même région pour les ressources respectives ou créez un point de terminaison.
Identité d’extension d’agent	Utiliser une identité managée affectée par le système ou sélectionner une identité affectée par l’utilisateur existante affectée à la machine virtuelle. Pour plus d’informations, consultez Types d’identités managées.

Collecter et livrer

Dans l’onglet Collecter et remettre, sélectionnez Ajouter une source de données et configurez les paramètres dans les onglets Source et Destination, comme indiqué ci-dessous.

Élément à l’écran	Description
Source de données	Sélectionner un Type de source de données et définir les champs associés en fonction du type de source de données que vous sélectionnez. Pour plus d’informations sur la collecte de données depuis les différents types de sources de données, consulter Collecter des données avec l’agent Azure Monitor
Destination	Ajouter une ou plusieurs destinations pour chaque source. Vous pouvez sélectionner plusieurs destinations du même type ou de différents types.

Vérifier + créer

Passez en revue les détails de la règle de collecte de données et sélectionnez Créer pour créer la règle de collecte de données.

Remarque

L’envoi de données vers les destinations peut prendre jusqu’à 5 minutes lorsque vous créez une règle de collecte de données en utilisant l’Assistant Règle de collecte de données.

utilisez la commande az monitor data-collection rule create pour créer une DCR à partir de votre fichier JSON à l'aide d'Azure CLI, comme indiqué dans l'exemple suivant.

az monitor data-collection rule create --location 'eastus' --resource-group 'my-resource-group' --name 'myDCRName' --rule-file 'C:\MyNewDCR.json' --description 'This is my new DCR'

Utilisez la cmdlet New-AzDataCollectionRule pour créer la DCR à partir de votre fichier JSON en utilisant PowerShell comme indiqué dans l'exemple suivant.

New-AzDataCollectionRule -Location 'east-us' -ResourceGroupName 'my-resource-group' -RuleName 'myDCRName' -RuleFile 'C:\MyNewDCR.json' -Description 'This is my new DCR'

Règles de collecte de données

Action	Commande
Obtenir les règles	Get-AzDataCollectionRule
Créer une règle	New-AzDataCollectionRule
Mettre à jour une règle	Update-AzDataCollectionRule
Supprimer une règle	Remove-AzDataCollectionRule
Mettre à jour « Balises » pour une règle	Update-AzDataCollectionRule

Associations de règles de collecte de données

Action	Commande
Obtenir des associations	Get-AzDataCollectionRuleAssociation
Créer une association	New-AzDataCollectionRuleAssociation
Supprimer une association	Remove-AzDataCollectionRuleAssociation

Utilisez la DCR create API pour créer la DCR à partir de votre fichier JSON. Vous pouvez utiliser toute méthode pour appeler une API REST, comme le présentent les exemples suivants.

$ResourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
$FilePath = ".\my-dcr.json"
$DCRContent = Get-Content $FilePath -Raw 
Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method PUT -Payload $DCRContent

ResourceId="/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
FilePath="my-dcr.json"
az rest --method put --url $ResourceId"?api-version=2022-06-01" --body @$FilePath

Consultez les références suivantes pour définir des contrôleurs de domaine et des associations dans un modèle.

Utilisez le modèle suivant pour créer une DCR à l’aide d’informations à partir de la structure d’une règle de collecte de données dans Azure Monitor et des exemples de règles de collecte de données (DCR) dans Azure Monitor pour définir le dcr-properties.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "dataCollectionRuleName": {
            "type": "string",
            "metadata": {
                "description": "Specifies the name of the Data Collection Rule to create."
            }
        },
        "location": {
            "type": "string",
            "metadata": {
                "description": "Specifies the location in which to create the Data Collection Rule."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "[parameters('dataCollectionRuleName')]",
            "location": "[parameters('location')]",
            "apiVersion": "2021-09-01-preview",
            "properties": {
                "<dcr-properties>"
            }
        }
    ]
}

Association DCR -Machine virtuelle Azure

L’exemple suivant crée une association entre une machine virtuelle Azure et une règle de collecte de données.

Fichier de modèle Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Fichier de modèle ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Fichier de paramètres

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Association DCR -Serveur avec Arc

L’exemple suivant crée une association entre un serveur avec Azure Arc et une règle de collecte de données.

Fichier de modèle Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Fichier de modèle ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.HybridCompute/machines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this Arc server.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Fichier de paramètres

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-hybrid-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Modifier une DCR

Pour modifier une DCR, vous pouvez utiliser l'une des méthodes décrites dans la section précédente pour créer une DCR à l'aide d'une version modifiée du JSON.

Si vous avez besoin de récupérer le JSON pour une DCR existante, vous pouvez le copier à partir de la Vue JSON pour la DCR dans le portail Azure. Vous pouvez également la récupérer à l'aide d'un appel d'API, comme indiqué dans l'exemple PowerShell suivant.

$ResourceId = "<ResourceId>" # Resource ID of the DCR to edit
$FilePath = "<FilePath>" # Store DCR content in this file
$DCR = Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method GET
$DCR.Content | ConvertFrom-Json | ConvertTo-Json -Depth 20 | Out-File -FilePath $FilePath

Pour obtenir un tutoriel qui décrit le processus de récupération et de modification d'une DCR existante, reportez-vous à Tutoriel : Modifier une règle de collecte de données (DCR).

Partager via