Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a DCR-ek JSON-struktúráját ismerteti azokra az esetekre, amikor közvetlenül a definíciójukkal kell dolgoznia.
- Az itt ismertetett JSON-val kapcsolatos részletekért tekintse meg az Adatgyűjtési szabályok (DCR-ek) létrehozását és szerkesztését az Azure Monitorban .
- Tekintse meg a mintaadatgyűjtő szabályokat (DCR-eket) az Azure Monitorban a különböző forgatókönyvekhez készült mintákkal kapcsolatban.
Tulajdonságok
Az alábbi táblázat a DCR legfelső szintjén található tulajdonságokat ismerteti.
| Ingatlan | Leírás |
|---|---|
description |
A felhasználó által definiált adatgyűjtési szabály opcionális leírása. |
dataCollectionEndpointId |
A DCR által használt adatgyűjtési végpont (DCE) erőforrás-azonosítója, ha a DCR létrehozásakor adott meg egyet. Ez a tulajdonság nem található olyan DCR-ekben, amelyek nem használnak DCE-t. |
endpoints
1 |
logsIngestion A DCR végpontjainak és metricsIngestion URL-címének tartalma. Ez a szakasz és annak tulajdonságai automatikusan létrejönnek, amikor a DCR létrejön, de csak akkor, ha a DCR attribútuma kind értékű.Direct |
immutableId |
Az adatgyűjtési szabály egyedi azonosítója. Ez a tulajdonság és annak értéke automatikusan létrejön a DCR létrehozásakor. |
kind |
Megadja a DCR által használt adatgyűjtési forgatókönyvet. Ezt a paramétert az alábbiakban ismertetjük. |
1 Ez a tulajdonság nem lett létrehozva a 2024. március 31. előtt létrehozott DCR-ekhez. Az ezen dátum előtt létrehozott adatgyűjtési kérelmekhez meg kellett adni egy adatgyűjtési végpontot (DCE) és a dataCollectionEndpointId tulajdonságot. Ha ezeket a beágyazott DCE-eket szeretné használni, létre kell hoznia egy új DCR-t.
Kedves
A kind DCR tulajdonsága határozza meg a DCR által használt gyűjtemény típusát. Minden típusú DCR más struktúrával és tulajdonságokkal rendelkezik.
Az alábbi táblázat a DCR-ek különböző típusait és azok részleteit sorolja fel.
| Kedves | Leírás |
|---|---|
Direct |
Közvetlen betöltés a Logs ingestion API használatával. A végpontok csak akkor jönnek létre a DCR-hez, ha ezt a fajta értéket használják. |
AgentDirectToStore |
Összegyűjtött adatok küldése az Azure Storage-ba és az Event Hubsba. |
AgentSettings |
Az Azure Monitor-ügynök paramétereinek konfigurálása. |
Linux |
Események és teljesítményadatok gyűjtése Linux-gépekről. |
PlatformTelemetry |
Platformmetrikák exportálása. |
Windows |
Események és teljesítményadatok gyűjtése Windows rendszerű gépekről. |
WorkspaceTransforms |
Munkaterület-átalakítási DCR. Ez a DCR nem tartalmaz bemeneti streamet. |
A DCR-adatfolyam áttekintése
A DCR alapfolyamata az alábbi ábrán látható. Az összetevőket a következő szakaszok ismertetik.
Bemeneti streamek
A DCR bemeneti adatfolyam-szakasza határozza meg az összegyűjtött bejövő adatokat. A bejövő streamnek két típusa van az adott adatgyűjtési forgatókönyvtől függően. A legtöbb adatgyűjtési forgatókönyv az egyik bemeneti adatfolyamot használja, míg mások mindkettőt.
Megjegyzés:
A munkaterület-átalakítási DCR-ek nem rendelkeznek bemeneti adatfolyamkal.
| Bemeneti adatfolyam | Leírás |
|---|---|
dataSources |
Ismert adattípus. Ezeket az adatokat gyakran az Azure Monitor-ügynök dolgozza fel, és egy ismert adattípus használatával kézbesíti az Azure Monitornak. |
streamDeclarations |
A DCR-ben definiálandó egyéni adatok. |
A Logs ingestion API-ból küldött adatok a bejövő adatok sémáját használják streamDeclaration . Ennek az az oka, hogy az API olyan egyéni adatokat küld, amelyek bármilyen sémával rendelkezhetnek.
Az AMA-ból származó szöveges naplók olyan adatgyűjtési példák, amelyekhez mind dataSources, mind streamDeclarations szükséges. Az adatforrás tartalmazza a konfigurációt
Adatforrások
Az adatforrások az adatok monitorozásának egyedi forrásai, amelyek mindegyike saját formátummal és módszerrel rendelkezik az adatok felfedéséhez. Minden adatforrástípus egyedi paraméterkészlettel rendelkezik, amelyet minden adatforráshoz konfigurálni kell. Az adatforrás által visszaadott adatok általában ismert típusúak, ezért a sémát nem kell definiálni a DCR-ben.
Például egy virtuális gépről az Azure Monitor-ügynökkel (AMA) gyűjtött események és teljesítményadatok olyan adatforrásokat használnak, mint az windowsEventLogs és performanceCounters. Megadhatja az összegyűjteni kívánt események és teljesítményszámlálók feltételeit, de magának az adatoknak a szerkezetét nem kell meghatároznia, mivel ez a lehetséges bejövő adatok ismert sémája.
Gyakori paraméterek
Minden adatforrástípus a következő gyakori paraméterekkel rendelkezik.
| Paraméter | Leírás |
|---|---|
name |
Az adatforrás azonosítására szolgáló név a DCR-ben. |
streams |
Az adatforrás által gyűjtött streamek listája. Ha ez egy szabványos adattípus, például Windows-esemény, akkor a stream a formátumban Microsoft-<TableName> lesz. Ha egyéni típusról van szó, akkor a Custom-<TableName> formátumban lesz |
Érvényes adatforrástípusok
A jelenleg elérhető adatforrástípusok az alábbi táblázatban találhatók.
| Adatforrás típusa | Leírás | Adatfolyamok | Paraméterek |
|---|---|---|---|
eventHub |
Adatok az Azure Event Hubsból. | Egyéni1 |
consumerGroup - Az eseményközpont azon fogyasztói csoportja, amelyből adatokat gyűjthet. |
iisLogs |
IIS-naplók Windows rendszerű gépekről | Microsoft-W3CIISLog |
logDirectories - Könyvtár, ahol az IIS-naplók az ügyfélen vannak tárolva. |
logFiles |
Szöveg vagy json-napló virtuális gépen | Egyéni1 |
filePatterns - Az ügyféltől begyűjtendő naplófájlok mappája és fájlmintája.format
-
json vagy szöveg |
performanceCounters |
Teljesítményszámlálók Windows és Linux rendszerű virtuális gépekhez | Microsoft-PerfMicrosoft-InsightsMetrics |
samplingFrequencyInSeconds – A teljesítményadatok mintavételének gyakorisága.counterSpecifiers - Összegyűjtendő objektumok és számlálók. |
prometheusForwarder |
A Kubernetes-fürtből gyűjtött Prometheus-adatok. | Microsoft-PrometheusMetrics |
streams - Gyűjtendő streameklabelIncludeFilter - A címkebefoglalási szűrők listája név-érték párként. Jelenleg csak a "microsoft_metrics_include_label" támogatott. |
syslog |
Syslog-események Linux rendszerű virtuális gépeken Gyakori eseményformátumú események biztonsági berendezéseken |
Microsoft-SyslogMicrosoft-CommonSecurityLog CEF esetén |
facilityNames - Gyűjtendő létesítményeklogLevels – Gyűjtendő naplószintek |
windowsEventLogs |
Windows eseménynapló virtuális gépeken | Microsoft-Event |
xPathQueries - XPaths, amely megadja a gyűjtendő események feltételeit. |
extension |
Az Azure Monitor-ügynök által használt bővítményalapú adatforrás. | Bővítmények szerint változik |
extensionName - A bővítmény neveextensionSettings - A bővítmény által megkövetelt egyes beállítások értékei |
1 Ezek az adatforrások adatforrást és streamdeklarációt is használnak, mivel az általuk gyűjtött adatok sémája eltérő lehet. Az adatforrásban használt adatfolyamnak a streamdeklarációban definiált egyéni adatfolyamnak kell lennie.
Adatfolyam deklarációk
A Log Analytics-munkaterületre küldött különböző adattípusok deklarálása. Minden stream egy objektum, amelynek kulcsa a stream nevét jelöli, amelynek a Custom --val kell kezdődnie. A stream az elküldött JSON-adatokban található legfelső szintű tulajdonságok teljes listáját tartalmazza. A végpontra küldött adatok alakjának nem kell megegyeznie a céltábla alakjával. Ehelyett a bemeneti adatokra alkalmazott átalakítás kimenetének meg kell egyeznie a célalakzatkal.
Adattípusok
A tulajdonságokhoz rendelhető lehetséges adattípusok a következők:
stringintlongrealbooleandynamic-
datetime.
Célpontok
A destinations szakasz tartalmaz egy bejegyzést minden olyan célhelyhez, ahol az adatok el lesznek küldve. Ezek a célhelyek megegyeznek a dataFlows szakaszban található bemeneti adatfolyamokkal.
Gyakori paraméterek
| Paraméterek | Leírás |
|---|---|
name |
Név, amely a dataSources szakaszban a célhely azonosítására szolgál. |
Érvényes célhelyek
A jelenleg elérhető célhelyek az alábbi táblázatban találhatók.
| Úti cél | Leírás | Kötelező paraméterek |
|---|---|---|
logAnalytics |
Log Analytics-munkaterület |
workspaceResourceId - A munkaterület erőforrás-azonosítója.workspaceID - A munkaterület azonosítójaEz csak a munkaterületet adja meg, nem azt a táblát, ahol az adatok el lesznek küldve. Ha ismert célhely, akkor nincs szükség tábla megadására. Egyéni táblák esetén a tábla az adatforrásban van megadva. |
azureMonitorMetrics |
Azure Monitor-metrikák | Nincs szükség konfigurációra, mivel az előfizetéshez csak egyetlen metrikatároló tartozik. |
storageTablesDirect |
Azure táblatároló |
storageAccountResourceId - A tárfiók erőforrás-azonosítójatableName - A tábla neve |
storageBlobsDirect |
Azure Blob-tároló |
storageAccountResourceId - A tárfiók erőforrás-azonosítójacontainerName - A blobtároló neve |
eventHubsDirect |
Event Hubs |
eventHubsDirect - Az eseményközpont erőforrás-azonosítója. |
Fontos
Egy stream csak egy Log Analytics-munkaterületre küldhető egy DCR-ben. Egyetlen streamhez több dataFlow bejegyzés is tartozhat, ha ugyanazon a munkaterületen különböző táblákat használnak. Ha egyetlen streamből több Log Analytics-munkaterületre szeretne adatokat küldeni, hozzon létre egy külön DCR-t minden munkaterülethez.
Adatfolyamok
Az adatfolyamokat egyeztetik a bemeneti és kimeneti áramlatokkal. Minden adatforrás megadhat egy átalakítást, bizonyos esetekben pedig egy adott táblát a Log Analytics-munkaterületen.
Adatfolyam tulajdonságai
| Szakasz | Leírás |
|---|---|
streams |
A bemeneti adatfolyamok részben definiált egy vagy több adatfolyam. Ha több adatforrást szeretne ugyanabba a célhelyre küldeni, több adatfolyamot is felvehet egyetlen adatfolyamba. Csak akkor használjon egyetlen adatfolyamot, ha az adatfolyam átalakítást is tartalmaz. Egy streamet több adatfolyam is használhat, ha egy adott adatforrást több táblába szeretne küldeni ugyanabban a Log Analytics-munkaterületen. |
destinations |
Egy vagy több célhely a destinations fenti szakaszból. Több célhely is engedélyezve van több homing-forgatókönyv esetén. |
transformKql |
A bejövő streamre alkalmazott opcionális átalakítás . Az átalakításnak ismernie kell a céltábla sémájában lévő bejövő és kimeneti adatok sémáját. Ha átalakítást használ, az adatfolyamnak csak egyetlen adatfolyamot kell használnia. |
outputStream |
Az adatok arra az adott táblára kerülnek, amelyet a destination tulajdonság alatt a munkaterületen megadtak. Az érték formátuma outputStreamMicrosoft-[tableName] akkor jelenik meg, ha az adatok be vannak osztva egy standard táblába, vagy Custom-[tableName] amikor adatokat töltéskor egy egyéni táblába. Streamenként csak egy célhely engedélyezett.Ez a tulajdonság nem használható az Azure Monitor ismert adatforrásaihoz, például eseményekhez és teljesítményadatokhoz, mivel ezek előre definiált táblákba kerülnek. |
Következő lépések
Adatgyűjtési szabályok és létrehozásuk módszereinek áttekintése