Ekspor data ruang kerja Analitik Log di Azure Monitor

Ekspor data di ruang kerja Analitik Log memungkinkan Anda terus mengekspor data per tabel yang dipilih di ruang kerja Anda. Anda dapat mengekspor ke Akun Azure Storage atau Azure Event Hubs saat data tiba ke alur Azure Monitor. Artikel ini menyediakan detail tentang fitur ini dan langkah-langkah untuk mengonfigurasi ekspor data di ruang kerja Anda.

Gambaran Umum

Data di Analitik Log tersedia untuk periode retensi yang ditentukan di ruang kerja Anda. Ini digunakan dalam berbagai pengalaman yang disediakan di layanan Azure Monitor dan Azure. Ada beberapa kasus saat Anda perlu menggunakan alat lain:

• Kepatuhan penyimpanan yang dilindungi perubahan: Data tidak dapat diubah di Analitik Log setelah diserap, tetapi dapat dibersihkan. Ekspor ke kumpulan Akun Penyimpanan dengan kebijakan yang tidak dapat diubah untuk menjaga perubahan data tetap terlindungi.
• Integrasi dengan layanan Azure dan alat lainnya: Ekspor ke Azure Event Hubs saat data tiba dan diproses di Azure Monitor.
• Retensi jangka panjang data audit dan keamanan: Ekspor ke Akun Penyimpanan di wilayah ruang kerja. Atau Anda dapat mereplikasi data ke wilayah lain dengan menggunakan salah satu opsi redundansi Azure Storage termasuk GRS dan GZRS.

Setelah Anda mengonfigurasi aturan ekspor data di ruang kerja Analitik Log, data baru untuk tabel dalam aturan diekspor dari alur Azure Monitor ke Akun Penyimpanan atau Azure Event Hubs saat tiba. Lalu lintas ekspor data berada di jaringan backbone Azure dan tidak meninggalkan jaringan Azure.

Data diekspor tanpa filter. Misalnya, saat Anda mengonfigurasi aturan ekspor data untuk tabel SecurityEvent , semua data yang dikirim ke tabel SecurityEvent diekspor mulai dari waktu konfigurasi. Atau, Anda dapat memfilter atau memodifikasi data yang diekspor dengan mengonfigurasi transformasi di ruang kerja Anda, yang berlaku untuk data masuk, sebelum dikirim ke ruang kerja Log Analytics Anda dan untuk mengekspor tujuan.

Opsi ekspor lainnya

Ekspor data ruang kerja Analitik Log terus mengekspor data yang dikirim ke ruang kerja Analitik Log Anda. Ada opsi lain guna mengekspor data untuk skenario tertentu:

• Mengonfigurasi pengaturan diagnostik di sumber daya Azure. Log dikirim ke tujuan secara langsung. Pendekatan ini memiliki latensi yang lebih rendah dibandingkan dengan ekspor data di Analitik Log.
• Jadwalkan ekspor data berdasarkan kueri log yang Anda tentukan dengan API kueri Log Analytics. Gunakan Azure Data Factory, Azure Functions, atau Azure Logic Apps untuk mengatur kueri di ruang kerja Anda dan mengekspor data ke tujuan. Metode ini mirip dengan fitur ekspor data, tetapi Anda dapat menggunakannya untuk mengekspor data historis dari ruang kerja Anda dengan menggunakan filter dan agregasi. Metode ini tunduk pada batas kueri log dan tidak ditujukan untuk skala. Untuk informasi selengkapnya, lihat Mengekspor data dari ruang kerja Analitik Log ke Akun Penyimpanan dengan menggunakan Logic Apps.
• Ekspor satu kali ke komputer lokal dengan menggunakan skrip PowerShell. Untuk informasi selengkapnya, lihat Invoke-AzOperationalInsightsQueryExport.

Batasan

• Log kustom yang dibuat menggunakan HTTP Data Collector API tidak dapat diekspor, termasuk log berbasis teks yang digunakan oleh agen Log Analytics. Log kustom yang dibuat menggunakan aturan pengumpulan data, termasuk log berbasis teks, dapat diekspor.
• Ekspor data akan secara bertahap mendukung lebih banyak tabel, tetapi saat ini terbatas pada tabel yang ditentukan di bagian tabel yang didukung. Anda dapat menyertakan tabel yang belum didukung dalam aturan, tetapi tidak ada data yang akan diekspor untuk tabel tersebut hingga tabel didukung.
• Anda dapat menentukan hingga 10 aturan yang diaktifkan di ruang kerja Anda, masing-masing dapat menyertakan beberapa tabel. Anda dapat membuat lebih banyak aturan di ruang kerja dalam status dinonaktifkan.
• Tujuan harus berada di wilayah yang sama dengan ruang kerja Log Analytics.
• Akun Penyimpanan harus unik di seluruh aturan di ruang kerja.
• Nama tabel bisa 60 karakter saat Anda mengekspor ke Akun Penyimpanan. Mereka bisa menjadi 47 karakter saat Anda mengekspor ke Azure Event Hubs. Tabel dengan nama yang lebih panjang tidak akan diekspor.
• Ekspor ke Akun Penyimpanan Premium tidak didukung.

Kelengkapan data

Ekspor data dioptimalkan untuk memindahkan volume data besar ke tujuan Anda. Operasi ekspor mungkin gagal jika tujuan tidak memiliki kapasitas yang memadai atau tidak tersedia. Jika terjadi kegagalan, proses coba lagi berlanjut hingga 12 jam. Untuk informasi selengkapnya tentang batas tujuan dan pemberitahuan yang direkomendasikan, lihat Membuat atau memperbarui aturan ekspor data. Jika tujuan masih tidak tersedia setelah periode coba lagi, data akan dibuang. Dalam kasus tertentu, coba lagi dapat menyebabkan duplikasi sebagian kecil dari rekaman yang diekspor.

Rencana harga

Biaya ekspor data didasarkan pada jumlah byte yang diekspor ke tujuan dalam data berformat JSON, dan diukur dalam GB (10^9 byte). Perhitungan ukuran dalam kueri ruang kerja tidak dapat sesuai dengan biaya ekspor karena tidak menyertakan data berformat JSON. Anda dapat menggunakan PowerShell untuk menghitung ukuran total penagihan kontainer blob.

Untuk informasi selengkapnya, termasuk garis waktu penagihan ekspor data, lihat Harga Azure Monitor. Penagihan untuk Ekspor Data diaktifkan pada awal Oktober 2023.

Tujuan ekspor

Tujuan ekspor data harus tersedia sebelum Anda membuat aturan ekspor di ruang kerja Anda. Tujuan tidak harus dalam langganan yang sama dengan ruang kerja Anda. Saat Anda menggunakan Azure Lighthouse, Anda juga dapat mengirim data ke tujuan di penyewa Microsoft Entra lain.

Anda harus memiliki izin tulis ke ruang kerja dan tujuan untuk mengonfigurasi aturan ekspor data pada tabel apa pun di ruang kerja. Kebijakan akses bersama untuk kumpulan nama XML Azure Event Hubs menentukan izin yang dimiliki mekanisme streaming. Streaming ke Azure Event Hubs memerlukan izin mengelola, mengirim, dan mendengarkan. Untuk memperbarui pengaturan diagnostik untuk menyertakan streaming, Anda harus memiliki izin ListKey pada aturan otorisasi Azure Event Hubs tersebut.

Akun Penyimpanan

Hindari menggunakan Akun Penyimpanan yang ada yang memiliki data non-pemantauan lainnya, untuk mengontrol akses ke data dengan lebih baik, mencegah mencapai kegagalan batas laju masuk penyimpanan, dan latensi.

Untuk mengirim data ke Akun Penyimpanan yang tidak dapat diubah, atur kebijakan yang tidak dapat diubah untuk Akun Penyimpanan seperti yang dijelaskan dalam Mengatur dan mengelola kebijakan imutabilitas untuk Azure Blob Storage. Anda harus mengikuti semua langkah dalam artikel ini termasuk mengaktifkan penulisan blob penambahan yang dilindungi.

Akun Penyimpanan tidak boleh Premium, harus StorageV1 atau yang lebih baru, dan terletak di wilayah yang sama dengan ruang kerja Anda. Jika Anda perlu mereplikasi data Anda ke Akun Penyimpanan lain di wilayah lain, Anda dapat menggunakan salah satu opsi redundansi Azure Storage, termasuk GRS dan GZRS.

Data dikirim ke Akun Penyimpanan saat mencapai Azure Monitor dan diekspor ke tujuan yang terletak di wilayah ruang kerja. Kontainer dibuat untuk setiap tabel di Akun Penyimpanan dengan nama am- diikuti dengan nama tabel. Misalnya, tabel SecurityEvent akan dikirim ke kontainer bernama am-SecurityEvent.

Blob disimpan dalam folder 5 menit dalam struktur jalur berikut: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<tahun numerik> empat digit/m=<bulan> numerik dua digit/d=<dua digit hari> numerik/h=<jam jam> 24 jam dua digit/m=<dua digit menit> jam 60 menit/PT05M.json. Tambahan ke blob dibatasi hingga penulisan 50 K. Lebih banyak blob akan ditambahkan dalam folder sebagai PT05M_#.json*, di mana '#' adalah jumlah blob bertambah bertahas.

Catatan

Penambah ke blob ditulis berdasarkan bidang "TimeGenerated" dan terjadi saat menerima data sumber. Data yang tiba di Azure Monitor dengan penundaan, atau dicoba kembali setelah pembatasan tujuan, ditulis ke blob sesuai dengan TimeGenerated-nya.

Format blob dalam Akun Penyimpanan berada di baris JSON, di mana setiap rekaman dibatasi oleh baris baru, tanpa array rekaman luar dan tidak ada koma di antara rekaman JSON.

Event Hubs

Hindari menggunakan Pusat Aktivitas yang ada yang memiliki data non-pemantauan untuk mencegah mencapai kegagalan batas laju masuk namespace Layanan Event Hubs, dan latensi.

Data dikirim ke Pusat Aktivitas Anda saat mencapai Azure Monitor dan diekspor ke tujuan yang terletak di wilayah ruang kerja. Anda dapat membuat beberapa aturan ekspor ke namespace layanan Azure Event Hubs yang sama dengan menyediakan aturan yang berbeda Event Hub name . Event Hub name Saat tidak disediakan, Event Hub default dibuat untuk tabel yang Anda ekspor dengan nama am- diikuti dengan nama tabel. Misalnya, tabel SecurityEvent akan dikirim ke Pusat Aktivitas bernama am-SecurityEvent.

Jumlah Pusat Aktivitas yang didukung di tingkat namespace layanan Dasar dan Standar adalah 10. Saat Anda mengekspor lebih dari 10 tabel ke tingkat ini, pisahkan tabel antara beberapa aturan ekspor ke namespace layanan Azure Event Hubs yang berbeda atau berikan nama Pusat Aktivitas untuk mengekspor semua tabel ke dalamnya.

Catatan

• Tingkat namespace Layanan Pusat Aktivitas Dasar terbatas. Ini mendukung ukuran peristiwa yang lebih rendah dan tidak ada opsi Auto-inflate untuk meningkatkan dan meningkatkan jumlah unit throughput secara otomatis. Karena volume data ke ruang kerja Anda meningkat dari waktu ke waktu dan sebagai konsekuensinya penskalaan Event Hub diperlukan, gunakan tingkat Azure Event Hubs Standar, Premium, atau Khusus dengan fitur Inflate Otomatis diaktifkan. Untuk informasi selengkapnya, lihat Meningkatkan unit throughput Azure Event Hubs secara otomatis.
• Ekspor data tidak dapat menjangkau sumber daya Azure Event Hubs saat jaringan virtual diaktifkan. Anda harus memilih kotak centang Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses Akun Penyimpanan ini untuk melewati pengaturan firewall ini di Pusat Aktivitas untuk memberikan akses ke Azure Event Hubs Anda.

Kueri data yang diekspor

Mengekspor data dari ruang kerja ke Akun Penyimpanan membantu memenuhi berbagai skenario yang disebutkan dalam gambaran umum, dan dapat digunakan oleh alat yang dapat membaca blob dari Akun Penyimpanan. Metode berikut memungkinkan Anda mengkueri data menggunakan bahasa kueri Analitik Log, yang sama untuk Azure Data Explorer.

1. Gunakan Azure Data Explorer untuk mengkueri data di Azure Data Lake.
2. Gunakan Azure Data Explorer untuk menyerap data dari Akun Penyimpanan.
3. Gunakan ruang kerja Analitik Log untuk mengkueri data yang diserap menggunakan API Penyerapan Log . Data yang diserap adalah ke tabel log kustom dan bukan ke tabel asli.

Aktifkan ekspor data

Langkah-langkah berikut harus dilakukan untuk mengaktifkan ekspor data Log Analytics. Untuk informasi selengkapnya tentang masing-masing, lihat bagian berikut ini:

• Mendaftarkan penyedia sumber
• Perbolehkan layanan Microsoft tepercaya
• Membuat atau memperbarui aturan ekspor data

Mendaftarkan penyedia sumber

Penyedia sumber daya Azure Microsoft.Insights perlu didaftarkan dalam langganan Anda untuk mengaktifkan ekspor data Analitik Log.

Penyedia sumber daya ini mungkin sudah terdaftar untuk sebagian besar pengguna Azure Monitor. Untuk memverifikasi, buka Langganan di portal Microsoft Azure. Pilih langganan Anda lalu pilih Penyedia sumber daya di bawah bagian Pengaturan menu. Temukan Microsoft.Insights. Jika statusnya Terdaftar, maka itu sudah terdaftar. Jika tidak, pilih Daftar untuk mendaftarkannya.

Anda juga dapat menggunakan salah satu metode yang tersedia untuk mendaftarkan penyedia sumber daya seperti yang dijelaskan di penyedia dan jenis sumber daya Azure. Contoh perintah berikut menggunakan Azure CLI:

az provider register --namespace 'Microsoft.insights'

Contoh perintah berikut menggunakan PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Perbolehkan layanan Microsoft tepercaya

Jika Anda telah mengonfigurasi Akun Penyimpanan untuk mengizinkan akses dari jaringan yang dipilih, Anda perlu menambahkan pengecualian untuk memungkinkan Azure Monitor menulis ke akun. Dari Firewall dan jaringan virtual untuk Akun Penyimpanan Anda, pilih Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses Akun Penyimpanan ini.

Memantau tujuan

Penting

Tujuan ekspor data memiliki batas dan harus dipantau untuk meminimalkan pembatasan ekspor, kegagalan, dan latensi. Untuk informasi selengkapnya, lihat Skalabilitas Akun Penyimpanan dan kuota namespace Layanan Azure Event Hubs.

Metrik berikut tersedia untuk operasi dan pemberitahuan ekspor data

Nama metrik	Deskripsi
Byte Diekspor	Jumlah total byte yang diekspor ke tujuan dari ruang kerja Analitik Log dalam rentang waktu yang dipilih. Ukuran data yang diekspor adalah jumlah byte dalam data berformat JSON yang diekspor. 1 GB = 10^9 byte.
Kegagalan Ekspor	Jumlah total permintaan ekspor yang gagal ke tujuan dari ruang kerja Analitik Log dalam rentang waktu yang dipilih. Jumlah ini mencakup kegagalan upaya ekspor karena pembatasan sumber daya tujuan, kesalahan akses terlarang, atau kesalahan server apa pun. Proses coba lagi menangani upaya yang gagal dan jumlahnya bukan indikasi untuk data yang hilang.
Rekaman yang diekspor	Jumlah total rekaman yang diekspor dari ruang kerja Analitik Log dalam rentang waktu yang dipilih. Angka ini menghitung rekaman untuk operasi yang berakhir dengan keberhasilan.

Memantau Akun Penyimpanan

1. Gunakan Akun Penyimpanan terpisah untuk ekspor.

2. Mengonfigurasi pemberitahuan pada metrik:

   Cakupan	Namespace metrik	Metric	Agregasi	Ambang
   storage-name	Akun	Ingress	Jumlah total	80% dari ingress maksimum per periode evaluasi pemberitahuan. Misalnya, batasnya adalah 60 Gbps untuk tujuan umum v2 di US Barat. Ambang batas pemberitahuan adalah 1676 GiB per periode evaluasi 5 menit.

3. Tindakan remediasi pemberitahuan:

   • Gunakan Akun Penyimpanan terpisah untuk ekspor yang tidak dibagikan dengan data non-pemantauan.
   • Akun Azure Storage Standard mendukung batas masuk yang lebih tinggi berdasarkan permintaan. Untuk meminta peningkatan, hubungi Dukungan Azure.
   • Pisahkan tabel antara Akun Penyimpanan lainnya.

Memantau Azure Event Hubs

1. Mengonfigurasi peringatan pada metrik:

   Cakupan	Namespace metrik	Metric	Agregasi	Ambang
   namespaces-name	Metrik standar Azure Event Hubs	Byte masuk	Jumlah total	80% dari ingress maksimum per periode evaluasi pemberitahuan. Misalnya, batasnya adalah 1 MB/dtk per unit (TU atau PU) dan lima unit yang digunakan. Ambang batas adalah 228 MiB per periode evaluasi 5 menit.
   namespaces-name	Metrik standar Azure Event Hubs	Permintaan masuk	Hitung	80% peristiwa maksimum per periode evaluasi pemberitahuan. Misalnya, batasnya adalah 1.000/dtk per unit (TU atau PU) dan lima unit yang digunakan. Ambang batas adalah 1.200.000 per periode evaluasi 5 menit.
   namespaces-name	Metrik standar Azure Event Hubs	Kesalahan kuota terlampaui	Hitung	Antara 1% dari permintaan. Misalnya, permintaan per 5 menit adalah 600.000. Ambang batas adalah 6.000 per periode evaluasi 5 menit.

2. Tindakan remediasi pemberitahuan:

   • Gunakan namespace layanan Azure Event Hubs terpisah untuk ekspor yang tidak dibagikan dengan data non-pemantauan.
   • Konfigurasikan fitur Auto-inflate untuk meningkatkan dan meningkatkan jumlah unit throughput secara otomatis untuk memenuhi kebutuhan penggunaan.
   • Verifikasi peningkatan unit throughput untuk mengakomodasi volume data.
   • Pisahkan tabel di antara lebih banyak namespace layanan.
   • Gunakan tingkat Premium atau Khusus untuk throughput yang lebih tinggi.

Membuat atau memperbarui aturan ekspor data

Aturan ekspor data menentukan tujuan dan tabel tempat data diekspor. Provisi aturan membutuhkan waktu sekitar 30 menit sebelum operasi ekspor dimulai. Pertimbangan aturan ekspor data:

• Akun Penyimpanan harus unik di seluruh aturan di ruang kerja.
• Beberapa aturan dapat menggunakan namespace Layanan Pusat Aktivitas yang sama saat Anda mengirim ke Azure Event Hubs terpisah.
• Ekspor ke Akun Penyimpanan: Kontainer terpisah dibuat di Akun Penyimpanan untuk setiap tabel.
• Ekspor ke Azure Event Hubs: Jika nama Pusat Aktivitas tidak disediakan, Pusat Aktivitas terpisah dibuat untuk setiap tabel. Jumlah Pusat Aktivitas yang didukung di tingkat namespace layanan Dasar dan Standar adalah 10. Saat Anda mengekspor lebih dari 10 tabel ke tingkat ini, pisahkan tabel antara beberapa aturan ekspor ke namespace Layanan Pusat Aktivitas yang berbeda atau berikan nama Pusat Aktivitas dalam aturan untuk mengekspor semua tabel ke dalamnya.

Portal Azure

1. Pada menu ruang kerja Analitik Log di portal Azure, pilih Ekspor Data di bawah bagian Pengaturan. Pilih Aturan ekspor baru di bagian atas panel.

   

2. Ikuti langkah-langkahnya, lalu pilih Buat.

   

PowerShell

Gunakan perintah berikut untuk membuat aturan ekspor data ke Akun Penyimpanan dengan menggunakan PowerShell. Kontainer terpisah dibuat untuk setiap tabel.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas tertentu dengan menggunakan PowerShell. Semua tabel diekspor ke nama Pusat Aktivitas yang disediakan dan dapat difilter oleh bidang Jenis untuk memisahkan tabel.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas dengan menggunakan PowerShell. Saat nama Event Hub tertentu tidak disediakan, kontainer terpisah dibuat untuk setiap tabel, hingga jumlah Azure Event Hubs yang didukung di setiap tingkat Azure Event Hubs. Untuk mengekspor lebih banyak tabel, berikan nama Pusat Aktivitas dalam aturan. Atau Anda dapat mengatur aturan lain dan mengekspor tabel yang tersisa ke namespace layanan Azure Event Hubs lainnya.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure CLI

Gunakan perintah berikut untuk membuat aturan ekspor data ke Akun Penyimpanan dengan menggunakan CLI. Kontainer terpisah dibuat untuk setiap tabel.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Gunakan perintah berikut untuk membuat aturan ekspor data ke Event Hub tertentu dengan menggunakan CLI. Semua tabel diekspor ke nama Pusat Aktivitas yang disediakan dan dapat difilter oleh bidang Jenis untuk memisahkan tabel.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas dengan menggunakan CLI. Saat nama Event Hub tertentu tidak disediakan, kontainer terpisah dibuat untuk setiap tabel hingga jumlah Azure Event Hubs yang didukung untuk tingkat Azure Event Hubs Anda. Jika Anda memiliki lebih banyak tabel untuk diekspor, berikan nama Pusat Aktivitas untuk mengekspor sejumlah tabel. Atau Anda dapat mengatur aturan lain untuk mengekspor tabel yang tersisa ke namespace layanan Azure Event Hubs lainnya.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Gunakan permintaan berikut untuk membuat aturan ekspor data ke Akun Penyimpanan dengan menggunakan REST API. Kontainer terpisah dibuat untuk setiap tabel. Permintaan harus menggunakan otorisasi token pembawa dan aplikasi jenis konten/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Isi permintaan menentukan tujuan tabel. Contoh berikut adalah isi sampel untuk permintaan REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Contoh berikut adalah isi sampel untuk permintaan REST untuk Pusat Aktivitas.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Contoh berikut adalah isi sampel untuk permintaan REST untuk Pusat Aktivitas tempat nama Pusat Aktivitas disediakan. Dalam hal ini, semua data yang diekspor dikirim ke Event Hub ini.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Templat

Gunakan perintah berikut untuk membuat aturan ekspor data ke Akun Penyimpanan dengan menggunakan templat Azure Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas dengan menggunakan templat Resource Manager. Event Hub terpisah dibuat untuk setiap tabel.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas tertentu dengan menggunakan templat Resource Manager. Semua tabel diekspor ke sana.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Menampilkan konfigurasi aturan ekspor data

Portal Azure

1. Pada menu ruang kerja Analitik Log di portal Azure, pilih Ekspor Data di bawah bagian Pengaturan.

   

2. Pilih aturan untuk tampilan konfigurasi.

   

PowerShell

Gunakan perintah berikut untuk melihat konfigurasi aturan ekspor data dengan menggunakan PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

Gunakan perintah berikut untuk melihat konfigurasi aturan ekspor data dengan menggunakan CLI.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Gunakan permintaan berikut untuk melihat konfigurasi aturan ekspor data dengan menggunakan REST API. Permintaan harus menggunakan otorisasi token pembawa.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Templat

Opsi templat tidak berlaku.

Menonaktifkan atau memperbarui aturan ekspor

Portal Azure

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor untuk periode tertentu, seperti saat pengujian ditahan. Pada menu ruang kerja Analitik Log di portal Azure, pilih Ekspor Data di bawah bagian Pengaturan. Pilih tombol Status untuk menonaktifkan atau mengaktifkan aturan ekspor.

PowerShell

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor untuk periode tertentu, seperti saat pengujian ditahan. Gunakan perintah berikut untuk menonaktifkan atau memperbarui parameter aturan dengan menggunakan PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure CLI

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor untuk periode tertentu, seperti saat pengujian ditahan. Gunakan perintah berikut untuk menonaktifkan atau memperbarui parameter aturan dengan menggunakan CLI.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor untuk periode tertentu, seperti saat pengujian ditahan. Gunakan perintah berikut untuk menonaktifkan atau memperbarui parameter aturan dengan menggunakan REST API. Permintaan harus menggunakan otorisasi token pembawa.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Templat

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor saat pengujian dilakukan dan Anda tidak memerlukan data yang dikirim ke tujuan. Atur "enable": false dalam templat untuk menonaktifkan ekspor data.

Menghapus aturan ekspor

Portal Azure

Pada menu ruang kerja Analitik Log di portal Azure, pilih Ekspor Data di bawah bagian Pengaturan. Pilih elipsis di sebelah kanan aturan dan pilih Hapus.

PowerShell

Gunakan perintah berikut untuk menghapus aturan ekspor data dengan menggunakan PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

Gunakan perintah berikut untuk menghapus aturan ekspor data dengan menggunakan CLI.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Gunakan permintaan berikut untuk menghapus aturan ekspor data dengan menggunakan REST API. Permintaan harus menggunakan otorisasi token pembawa.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Templat

Opsi templat tidak berlaku.

Menampilkan semua aturan ekspor data di ruang kerja

Portal Azure

Pada menu ruang kerja Analitik Log di portal Azure, pilih Ekspor Data di bawah bagian Pengaturan untuk melihat semua aturan ekspor di ruang kerja.

PowerShell

Gunakan perintah berikut untuk menampilkan semua aturan ekspor data di ruang kerja dengan menggunakan PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure CLI

Gunakan perintah berikut untuk melihat semua aturan ekspor data di ruang kerja dengan menggunakan CLI.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Gunakan permintaan berikut untuk melihat semua aturan ekspor data di ruang kerja dengan menggunakan REST API. Permintaan harus menggunakan otorisasi token pembawa.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Templat

Opsi templat tidak berlaku.

Tabel yang tidak didukung

Jika aturan ekspor data menyertakan tabel yang tidak didukung, konfigurasi akan berhasil, tetapi tidak ada data yang akan diekspor untuk tabel tersebut. Jika tabel nantinya didukung, maka datanya akan diekspor pada saat itu.

Tabel yang didukung

Catatan

Kami sedang dalam proses menambahkan dukungan untuk lebih banyak tabel. Silakan periksa artikel ini secara teratur. Data harus berada di salah satu tabel ini agar muncul dalam Aturan Ekspor Data.

Tabel	Keterbatasan
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
Peringatan	Dukungan parsial. Penyerapan data untuk pemberitahuan Zabbix tidak didukung.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentevent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
Anomali
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNM Koneksi ivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSHybrid Koneksi ionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnet Koneksi ionEvents
AzureActivity	Dukungan parsial. Data yang tiba dari agen Analitik Log atau Agen Azure Monitor didukung penuh dalam ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
LogKeamanan Umum
ComputerGroup
ConfidentialWatchlist
ConfigurationData	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksClusterLibraries
DatabricksClusters
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksInstancePools
DatabricksJobs
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
Pemotongan DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
Info Perangkat
AcaraLogonPerangkat
Acara Jaringan Perangkat
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqtt Koneksi ions
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqtt Koneksi ions
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
DiperkayaMicrosoft365AuditLogs
ETWEvent	Dukungan parsial. Data yang tiba dari agen Analitik Log atau Agen Azure Monitor didukung penuh dalam ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
Kejadian	Dukungan parsial. Data yang tiba dari agen Analitik Log atau Agen Azure Monitor didukung penuh dalam ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkAplikasiEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Heartbeat
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
Aktivitas Kantor
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operasi	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatform Koneksi orActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
RED Koneksi ionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent	Dukungan parsial. Data yang tiba dari agen Analitik Log atau Agen Azure Monitor didukung penuh dalam ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
Insiden Keamanan
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent	Dukungan parsial. Data yang tiba dari agen Analitik Log atau Agen Azure Monitor didukung penuh dalam ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
ServiceFabricReliableActorEvent	Dukungan parsial. Data yang tiba dari agen Analitik Log atau Agen Azure Monitor didukung penuh dalam ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
ServiceFabricReliableServiceEvent	Dukungan parsial. Data yang tiba dari agen Analitik Log atau Agen Azure Monitor didukung penuh dalam ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
MasukLog
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXFailedIngestion
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog	Dukungan parsial. Data yang tiba dari agen Analitik Log atau Agen Azure Monitor didukung penuh dalam ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Pembaruan	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Penggunaan
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
W3CIISLog	Dukungan parsial. Data yang tiba dari agen Analitik Log atau Agen Azure Monitor didukung penuh dalam ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Watchlist
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement

Langkah berikutnya

Mengkueri data yang diekspor dari Azure Data Explorer