Ekspor data ruang kerja Analitik Log di Azure Monitor

Ekspor data di ruang kerja Analitik Log memungkinkan Anda terus mengekspor data per tabel yang dipilih di ruang kerja Anda. Anda dapat mengekspor ke Akun Azure Storage atau Azure Event Hubs saat data tiba ke alur Azure Monitor. Artikel ini menyediakan detail tentang fitur ini dan langkah-langkah untuk mengonfigurasi ekspor data di ruang kerja Anda.

Gambaran Umum

Data di Analitik Log tersedia untuk periode retensi yang ditentukan di ruang kerja Anda. Ini digunakan dalam berbagai pengalaman yang disediakan di layanan Azure Monitor dan Azure. Ada beberapa kasus saat Anda perlu menggunakan alat lain:

• Kepatuhan penyimpanan yang dilindungi perubahan: Data tidak dapat diubah di Analitik Log setelah diserap, tetapi dapat dibersihkan. Ekspor ke Akun Penyimpanan yang dikonfigurasi dengan kebijakan tidak dapat diubah untuk melindungi data dari perubahan.
• Integrasi dengan layanan Azure dan alat lainnya: Ekspor ke Azure Event Hubs saat data tiba dan diproses di Azure Monitor.
• Retensi jangka panjang data audit dan keamanan: Ekspor ke Akun Penyimpanan di wilayah ruang kerja. Atau Anda dapat mereplikasi data ke wilayah lain dengan menggunakan salah satu opsi redundansi Azure Storage termasuk GRS dan GZRS.

Setelah Anda mengonfigurasi aturan ekspor data di ruang kerja Analitik Log, data baru untuk tabel dalam aturan diekspor dari alur Azure Monitor ke Akun Penyimpanan atau Azure Event Hubs saat tiba. Lalu lintas ekspor data berada di jaringan backbone Azure dan tidak meninggalkan jaringan Azure.

Data diekspor tanpa filter. Misalnya, saat Anda mengonfigurasi aturan ekspor data untuk tabel SecurityEvent , semua data yang dikirim ke tabel SecurityEvent diekspor mulai dari waktu konfigurasi. Atau, Anda dapat memfilter atau memodifikasi data yang diekspor dengan mengonfigurasi transformasi di ruang kerja Anda, yang berlaku untuk data masuk, sebelum dikirim ke ruang kerja Log Analytics Anda dan untuk mengekspor tujuan.

Opsi ekspor lainnya

Ekspor data ruang kerja Analitik Log terus mengekspor data yang dikirim ke ruang kerja Analitik Log Anda. Ada opsi lain guna mengekspor data untuk skenario tertentu:

• Jika sumber daya Azure sudah mengirim log ke ruang kerja Analitik Log Anda melalui pengaturan log diagnostiknya sebelumnya, pertimbangkan untuk memperbarui pengaturan diagnostik pada sumber daya Azure secara langsung untuk menambahkan tujuan baru alih-alih menggunakan ekspor data secara berkala. Pendekatan ini memiliki latensi yang lebih rendah dibandingkan dengan ekspor data tetapi tidak mengirim data historis.
• Jadwalkan ekspor data berdasarkan kueri log yang Anda tentukan dengan API kueri Analitik Log. Gunakan Azure Data Factory, Azure Functions, atau Azure Logic Apps untuk mengatur kueri di ruang kerja Anda dan mengekspor data ke tujuan. Metode ini mirip dengan fitur ekspor data, tetapi Anda dapat menggunakannya untuk mengekspor data historis dari ruang kerja Anda dengan menggunakan filter dan agregasi. Metode ini tunduk pada batas kueri log dan tidak ditujukan untuk skala. Untuk informasi selengkapnya, lihat Mengekspor data dari ruang kerja Analitik Log ke Akun Penyimpanan dengan menggunakan Logic Apps.
• Gunakan ekspor satu kali ke komputer lokal dengan menggunakan skrip PowerShell. Untuk informasi selengkapnya, lihat Invoke-AzOperationalInsightsQueryExport.

Izin diperlukan

Tindakan	Izin diperlukan
Membuat atau memperbarui aturan ekspor data	Microsoft.OperationalInsights/workspaces/dataexports/write izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan yang sudah disediakan secara default untuk Kontributor Analitik Log, misalnya
Menghapus aturan ekspor data	Microsoft.OperationalInsights/workspaces/dataexports/delete izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan yang sudah disediakan secara default untuk Kontributor Analitik Log, misalnya
Ekspor ke Akun Penyimpanan	Microsoft.Storage/storageAccounts/blobServices/containers/write izin ke Akun Penyimpanan, sebagaimana disediakan oleh peran bawaan Kontributor Akun Penyimpanan misalnya
Ekspor ke Pusat Aktivitas	Microsoft.EventHub/namespaces/eventhubs/write, Microsoft.EventHub/namespaces/eventhubs/messages/write, Microsoft.EventHub/namespaces/authorizationRules/listkeys/action izin ke Pusat Aktivitas, seperti yang disediakan oleh peran bawaan Pemilik Data Azure Event Hubs misalnya
Log kueri dalam tabel	Microsoft.OperationalInsights/workspaces/query/<table>/read izin ke ruang kerja Analitik Log, seperti yang diberikan oleh peran bawaan Pembaca Analitik Log, misalnya
Log kueri dalam tabel (tindakan tabel)	Microsoft.OperationalInsights/workspaces/tables/query/read izin ke ruang kerja Analitik Log, seperti yang diberikan oleh peran bawaan Pembaca Analitik Log, misalnya

Batasan

• Log kustom yang dibuat menggunakan HTTP Data Collector API tidak dapat diekspor, termasuk log berbasis teks yang digunakan oleh agen Log Analytics. Log kustom yang dibuat menggunakan aturan pengumpulan data, termasuk log berbasis teks, dapat diekspor.
• Ekspor data akan secara bertahap mendukung lebih banyak tabel. Lihat bagian Tabel yang tidak didukung .
• Jumlah maksimum aturan aktif per ruang kerja adalah 10, masing-masing dapat menyertakan beberapa tabel.
• Akun penyimpanan harus unik pada semua aturan di ruang kerja.
• Paket tabel yang didukung adalah Analitik dan Dasar. Rencana tambahan tidak didukung.
• Tujuan harus berada di wilayah yang sama dengan ruang kerja Log Analytics.
• Ekspor ke Akun Penyimpanan Premium tidak didukung.

Kelengkapan data

Ekspor data dioptimalkan untuk memindahkan volume data besar ke tujuan Anda. Jika terjadi tujuan dengan skala atau ketersediaan yang tidak mencukupi, proses coba lagi berlanjut hingga 12 jam dan dapat mengakibatkan sebagian kecil dari rekaman yang diekspor diduplikasi. Ikuti rekomendasi untuk tujuan Akun Penyimpanan dan Pusat Aktivitas untuk meningkatkan keandalan. Jika tujuan masih tidak tersedia setelah periode coba lagi, data akan dibuang.

Untuk informasi selengkapnya tentang batas tujuan dan pemberitahuan yang direkomendasikan, lihat Membuat atau memperbarui aturan ekspor data.

Rencana harga

Biaya ekspor data didasarkan pada jumlah byte yang diekspor ke tujuan dalam data berformat JSON, dan diukur dalam GB (10^9 byte). Perhitungan ukuran ekspor data tidak dapat dilakukan dengan kueri ruang kerja karena perhitungan ukuran tidak menyertakan overhead pemformatan JSON. Gunakan metode dalam sampel skrip PowerShell ini untuk menghitung ukuran total penagihan kontainer blob. Saat ini tidak ada biaya untuk ekspor ke sovereign cloud. Pemberitahuan akan dikirim sebelum diaktifkan.

Untuk informasi selengkapnya, termasuk garis waktu penagihan ekspor data, lihat Harga Azure Monitor. Penagihan untuk Ekspor Data diaktifkan pada awal Oktober 2023.

Tujuan ekspor

Tujuan ekspor data harus tersedia sebelum Anda membuat aturan ekspor di ruang kerja Anda. Tujuan dapat berada di langganan yang berbeda. Dengan Azure Lighthouse, Anda juga dapat mengirim data ke tujuan di penyewa Microsoft Entra lain.

Akun Penyimpanan

Mencegah kegagalan ingress penyimpanan karena latensi atau melebihi batas laju dengan menggunakan Akun Penyimpanan yang ada yang tidak memiliki data non-pemantauan lainnya. Ini membantu Anda mengontrol akses ke data dengan lebih baik dan meningkatkan keandalan ekspor data.

Untuk mengirim data ke Akun Penyimpanan yang tidak dapat diubah, atur kebijakan yang tidak dapat diubah untuk Akun Penyimpanan seperti yang dijelaskan dalam Mengatur dan mengelola kebijakan imutabilitas untuk Azure Blob Storage. Anda harus mengikuti semua langkah dalam artikel ini termasuk mengaktifkan penulisan blob penambahan yang dilindungi.

Akun Penyimpanan tidak boleh Premium, harus StorageV1 atau yang lebih baru, dan terletak di wilayah yang sama dengan ruang kerja Anda. Jika Anda perlu mereplikasi data Anda ke Akun Penyimpanan lain di wilayah lain, gunakan salah satu opsi redundansi Azure Storage, termasuk GRS dan GZRS.

Data dikirim ke Akun Penyimpanan saat mencapai Azure Monitor dan diekspor ke tujuan yang terletak di wilayah ruang kerja. Kontainer dibuat untuk setiap tabel di Akun Penyimpanan dengan nama am- diikuti dengan nama tabel. Misalnya, tabel SecurityEvent akan dikirim ke kontainer bernama am-SecurityEvent.

Blob disimpan dalam folder 5 menit dalam struktur jalur berikut: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<empat digit tahun numerik>/m=<dua digit bulan numerik>/d=<dua digit hari numerik>/h=<dua digit jam pada format 24 jam>/m=<dua digit menit format 60 menit>/PT05M.json. Tambahan ke blob dibatasi hingga 50 ribu penulisan. Lebih banyak blob akan ditambahkan dalam folder sebagai PT05M_#.json*, di mana '#' adalah hitungan blob yang meningkat.

Catatan

Penambahan ke blob dicatat berdasarkan bidang "TimeGenerated" dan terjadi saat menerima data sumber. Data yang tiba di Azure Monitor dengan penundaan, atau dicoba kembali setelah pembatasan tujuan, ditulis ke blob sesuai dengan TimeGenerated-nya.

Format blob dalam Akun Penyimpanan berada di baris JSON, di mana setiap rekaman dibatasi oleh baris baru, tanpa array rekaman luar dan tidak ada koma di antara rekaman JSON.

Pusat Aktivitas

Hindari menggunakan Pusat Aktivitas yang memiliki data non-pemantauan yang sudah ada. Praktik terbaik ini membantu mencegah kegagalan masuk karena latensi atau melebihi batas laju.

Data dikirim ke Pusat Aktivitas Anda saat mencapai Azure Monitor dan diekspor ke tujuan yang terletak di wilayah ruang kerja. Buat beberapa aturan ekspor ke namespace Event Hub yang sama dengan menyediakan Event Hub name yang berbeda dalam aturan tersebut. Ketika Event Hub name tidak disediakan, Event Hub default dibuat untuk tabel yang Anda ekspor dengan nama am- diikuti dengan nama tabel. Misalnya, tabel SecurityEvent akan dikirim ke Pusat Aktivitas bernama am-SecurityEvent.

Jumlah Pusat Aktivitas yang didukung di tingkat namespace layanan Dasar dan Standar adalah 10. Saat Anda mengekspor lebih dari 10 tabel ke tingkat-tingkat ini, pisahkan tabel di antara beberapa aturan ekspor ke namespace Event Hubs yang berbeda atau tentukan nama Pusat Aktivitas agar semua tabel diekspor ke sana.

Catatan

• Tingkat namespace Layanan Pusat Aktivitas Dasar terbatas. Ini mendukung ukuran peristiwa yang lebih rendah dan tidak ada opsi Auto-inflate untuk secara otomatis meningkatkan dan memperbesar jumlah unit throughput. Karena volume data ke ruang kerja Anda meningkat dari waktu ke waktu dan sebagai konsekuensinya penskalaan Event Hub diperlukan, gunakan tingkat Event Hubs Standar, Premium, atau Dedicated dengan fitur Auto-inflate yang diaktifkan. Untuk informasi selengkapnya, lihat Meningkatkan unit throughput Azure Event Hubs secara otomatis.
• Ekspor data tidak dapat menjangkau sumber daya Azure Event Hubs saat jaringan virtual diaktifkan. Anda harus memilih kotak centang Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses Akun Penyimpanan ini untuk melewati pengaturan firewall ini guna memberikan akses ke Azure Event Hubs Anda.

Kueri data yang diekspor

Mengekspor data dari ruang kerja ke Akun Penyimpanan membantu memenuhi berbagai skenario yang disebutkan dalam gambaran umum, dan dapat digunakan oleh alat yang dapat membaca blob dari Akun Penyimpanan. Metode berikut memungkinkan Anda mengkueri data menggunakan bahasa kueri Analitik Log, yang sama untuk Azure Data Explorer.

1. Gunakan Azure Data Explorer untuk mengkueri data di Azure Data Lake.
2. Gunakan Azure Data Explorer untuk menyerap data dari Akun Penyimpanan.
3. Gunakan ruang kerja Analitik Log untuk mem-query data yang diambil menggunakan API Penyerapan Log. Data yang diserap dikirim ke tabel log kustom dan bukan ke tabel asli.

Aktifkan ekspor data

Langkah-langkah berikut harus dilakukan untuk mengaktifkan ekspor data Log Analytics.

• Mendaftarkan penyedia sumber daya
• Perbolehkan layanan Microsoft tepercaya
• Memantau tujuan (Disarankan)
• Membuat atau memperbarui aturan ekspor data

Mendaftarkan penyedia sumber

Penyedia sumber daya Azure Microsoft.Insights perlu didaftarkan dalam langganan Anda untuk mengaktifkan ekspor data Analitik Log.

Penyedia sumber daya ini mungkin sudah terdaftar untuk sebagian besar pengguna Azure Monitor. Untuk memverifikasi, buka Langganan di portal Microsoft Azure. Pilih langganan Anda lalu pilih Penyedia sumber daya di bawah bagian Pengaturan di menu. Temukan Microsoft.Insights. Jika statusnya Terdaftar, maka itu sudah terdaftar. Jika tidak, pilih Daftar untuk mendaftarkannya.

Anda juga dapat menggunakan salah satu metode yang tersedia untuk mendaftarkan penyedia sumber daya seperti yang dijelaskan di penyedia dan jenis sumber daya Azure. Contoh perintah berikut menggunakan Azure CLI:

az provider register --namespace 'Microsoft.insights'

Contoh perintah berikut menggunakan PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Perbolehkan layanan Microsoft tepercaya

Jika Anda telah mengonfigurasi Akun Penyimpanan untuk mengizinkan akses dari jaringan yang dipilih, Anda perlu menambahkan pengecualian untuk memungkinkan Azure Monitor menulis ke akun. Dari Firewall dan jaringan virtual untuk Akun Penyimpanan Anda, pilih Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses Akun Penyimpanan ini.

Memantau tujuan

Penting

Tujuan ekspor memiliki batas dan harus dipantau untuk meminimalkan pembatasan, kegagalan, dan latensi. Untuk informasi selengkapnya, lihat Skalabilitas Akun Penyimpanan dan kuota namespace Event Hubs.

Metrik berikut tersedia untuk operasi dan pemberitahuan ekspor data

Nama metrik	Deskripsi
Byte-Byte Diekspor	Jumlah total byte yang diekspor ke tujuan dari ruang kerja Analitik Log dalam rentang waktu yang dipilih. Ukuran data yang diekspor adalah jumlah byte dalam data berformat JSON yang diekspor. 1 GB = 10^9 byte.
Kegagalan Ekspor	Jumlah total permintaan ekspor yang gagal ke tujuan dari ruang kerja Analitik Log dalam rentang waktu yang dipilih. Jumlah ini mencakup kegagalan upaya ekspor karena pembatasan sumber daya tujuan, kesalahan akses terlarang, atau kesalahan server apa pun. Proses coba lagi menangani upaya yang gagal dan jumlahnya bukan indikasi untuk data yang hilang.
Rekaman yang diekspor	Jumlah total rekaman yang diekspor dari ruang kerja Analitik Log dalam rentang waktu yang dipilih. Angka ini menghitung catatan untuk operasi yang berhasil.

Memantau Akun Penyimpanan

1. Gunakan Akun Penyimpanan terpisah untuk ekspor.

2. Konfigurasikan peringatan pada metrik.

   Cakupan	Metrik namespace	Metrik	Agregasi	Ambang
   nama penyimpanan	Akun	Masuk	Jumlah total	80% dari ingress maksimum per periode evaluasi peringatan. Misalnya, batasnya adalah 60 Gbps untuk tujuan umum versi 2 di Barat AS. Ambang batas pemberitahuan adalah 1676 GiB per periode evaluasi 5 menit.

3. Tindakan remediasi peringatan:

   • Gunakan Akun Penyimpanan yang terpisah untuk ekspor yang tidak dibagikan dengan data yang bukan untuk pemantauan.
   • Akun Azure Storage Standard mendukung batas masuk yang lebih tinggi berdasarkan permintaan. Untuk meminta peningkatan, hubungi Dukungan Azure.
   • Pisahkan tabel antara Akun Penyimpanan lainnya.

Memantau Azure Event Hubs

1. Mengonfigurasi peringatan pada metrik:

   Cakupan	Metrik namespace	Metrik	Agregasi	Ambang
   nama ruang nama	Metrik standar Azure Event Hubs	Data yang diterima	Jumlah total	80% dari ingress maksimum per periode evaluasi peringatan. Misalnya, batasnya adalah 1 MB/dtk per unit (TU atau PU) dan lima unit yang digunakan. Ambang batas adalah 228 MiB per periode evaluasi 5 menit.
   nama ruang nama	Metrik standar Azure Event Hubs	Permintaan masuk	Hitung	80% peristiwa maksimum per periode evaluasi peringatan. Misalnya, batasnya adalah 1.000/dtk untuk setiap unit (TU atau PU) dan penggunaan lima unit. Ambang batas adalah 1.200.000 per periode evaluasi 5 menit.
   nama ruang nama	Metrik standar Azure Event Hubs	Kesalahan kuota terlampaui	Hitung	Sekitar 1% dari permintaan. Misalnya, permintaan per 5 menit adalah 600.000. Ambang batas adalah 6.000 per periode evaluasi 5 menit.

2. Tindakan remediasi peringatan:

   • Gunakan namespace Event Hubs yang terpisah untuk ekspor yang tidak digunakan bersama dengan data non-pemantauan.
   • Konfigurasikan fitur Auto-inflate untuk meningkatkan dan meningkatkan jumlah unit throughput secara otomatis untuk memenuhi kebutuhan penggunaan.
   • Periksa peningkatan unit throughput untuk mengakomodasi volume data.
   • Pisahkan tabel di antara lebih banyak namespace.
   • Gunakan tingkat Premium atau Khusus untuk throughput yang lebih tinggi.

Membuat atau memperbarui aturan ekspor data

Aturan ekspor data menentukan tujuan dan tabel tempat data diekspor. Provisi aturan membutuhkan waktu sekitar 30 menit sebelum operasi ekspor dimulai. Pertimbangan aturan ekspor data:

• Akun penyimpanan harus unik pada semua aturan di ruang kerja.
• Beberapa aturan dapat menggunakan namespace Event Hubs yang sama saat Anda mengirim ke Event Hubs terpisah.
• Ekspor ke Akun Penyimpanan: Kontainer terpisah dibuat di Akun Penyimpanan untuk setiap tabel.
• Ekspor ke Event Hubs: Jika nama Event Hub tidak disediakan, Event Hub terpisah dibuat untuk setiap tabel. Jumlah Pusat Aktivitas yang didukung di tingkat namespace layanan Dasar dan Standar adalah 10. Saat Anda mengekspor lebih dari 10 tabel ke tingkat tersebut, pisahkan tabel di antara beberapa aturan ekspor ke namespace Event Hubs yang berbeda atau berikan nama Event Hub dalam aturan untuk mengekspor semua tabel ke dalamnya.

Portal Azure

1. Pada menu Log Analytics workspace di portal Azure, pilih Data Export di bawah bagian Pengaturan. Pilih Aturan ekspor baru di bagian atas panel.

   

2. Ikuti langkah-langkahnya, lalu pilih Buat. Hanya tabel dengan data di dalamnya yang ditampilkan di bawah tab "Sumber".

   

PowerShell

Gunakan perintah berikut untuk membuat aturan ekspor data ke Akun Penyimpanan dengan menggunakan PowerShell. Kontainer terpisah dibuat untuk setiap tabel.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas tertentu dengan menggunakan PowerShell. Semua tabel diekspor ke nama Pusat Aktivitas yang disediakan dan dapat difilter oleh bidang Jenis untuk memisahkan tabel.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas dengan menggunakan PowerShell. Saat nama Event Hub tertentu tidak disediakan, kontainer terpisah dibuat untuk setiap tabel, hingga jumlah Event Hub yang didukung dalam setiap tingkatan. Untuk mengekspor lebih banyak tabel, berikan nama Pusat Aktivitas dalam aturan. Atau Anda dapat mengatur aturan lain dan mengekspor tabel yang tersisa ke namespace layanan Azure Event Hubs lainnya.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure CLI

Gunakan perintah berikut untuk membuat aturan ekspor data ke Akun Penyimpanan dengan menggunakan CLI. Kontainer terpisah dibuat untuk setiap tabel.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Gunakan perintah berikut untuk membuat aturan ekspor data ke Event Hub tertentu dengan menggunakan CLI. Semua tabel diekspor ke nama Pusat Aktivitas yang disediakan dan dapat difilter oleh bidang Jenis untuk memisahkan tabel.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas dengan menggunakan CLI. Saat nama Event Hub tertentu tidak disediakan, kontainer terpisah dibuat untuk setiap tabel hingga jumlah Event Hubs yang didukung sesuai tier Event Hubs Anda. Jika Anda memiliki lebih banyak tabel untuk diekspor, berikan nama Pusat Aktivitas untuk mengekspor sejumlah tabel. Atau Anda dapat mengatur aturan lain untuk mengekspor tabel yang tersisa ke namespace layanan Azure Event Hubs lainnya.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

ISTIRAHAT

Gunakan permintaan berikut untuk membuat aturan ekspor data ke Akun Penyimpanan dengan menggunakan REST API. Kontainer terpisah dibuat untuk setiap tabel. Permintaan harus menggunakan otorisasi token pembawa dan jenis konten application/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Isi permintaan menentukan tujuan tabel. Contoh berikut adalah isi sampel untuk permintaan REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Contoh berikut adalah isi sampel untuk permintaan REST untuk Pusat Aktivitas.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Contoh berikut adalah isi sampel untuk permintaan REST untuk Pusat Aktivitas tempat nama Pusat Aktivitas disediakan. Dalam hal ini, semua data yang diekspor dikirim ke sana.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Template

Gunakan perintah berikut untuk membuat aturan ekspor data ke Akun Penyimpanan dengan menggunakan templat Azure Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas dengan menggunakan templat Resource Manager. Event Hub terpisah dibuat untuk setiap tabel.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Gunakan perintah berikut untuk membuat aturan ekspor data ke Pusat Aktivitas tertentu dengan menggunakan templat Resource Manager. Semua tabel diekspor ke sana.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Menampilkan konfigurasi aturan ekspor data

Portal Azure

1. Pada menu Log Analytics workspace di portal Azure, pilih Data Export di bawah bagian Pengaturan.

   

2. Pilih aturan untuk tampilan konfigurasi.

   

PowerShell

Gunakan perintah berikut untuk melihat konfigurasi aturan ekspor data dengan menggunakan PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

Gunakan perintah berikut untuk melihat konfigurasi aturan ekspor data dengan menggunakan CLI.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

ISTIRAHAT

Gunakan permintaan berikut untuk melihat konfigurasi aturan ekspor data dengan menggunakan REST API. Permintaan harus menggunakan otorisasi token pembawa.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Template

Opsi templat tidak berlaku.

Menonaktifkan atau memperbarui aturan ekspor

Portal Azure

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor untuk periode tertentu, seperti saat pengujian ditahan. Pada menu Log Analytics workspace di portal Azure, pilih Data Export di bawah bagian Pengaturan. Pilih tombol Status untuk menonaktifkan atau mengaktifkan aturan ekspor.

PowerShell

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor untuk periode tertentu, seperti saat pengujian ditahan. Gunakan perintah berikut untuk menonaktifkan atau memperbarui parameter aturan dengan menggunakan PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure CLI

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor untuk periode tertentu, seperti saat pengujian ditahan. Gunakan perintah berikut untuk menonaktifkan atau memperbarui parameter aturan dengan menggunakan CLI.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

ISTIRAHAT

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor untuk periode tertentu, seperti saat pengujian ditahan. Gunakan perintah berikut untuk menonaktifkan atau memperbarui parameter aturan dengan menggunakan REST API. Permintaan harus menggunakan otorisasi token pembawa.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Template

Anda dapat menonaktifkan aturan ekspor untuk menghentikan ekspor saat pengujian dilakukan dan Anda tidak memerlukan data yang dikirim ke tujuan. Atur "enable": false dalam templat untuk menonaktifkan ekspor data.

Menghapus aturan ekspor

Portal Azure

Pada menu Log Analytics workspace di portal Azure, pilih Data Export di bawah bagian Pengaturan. Pilih elipsis di sebelah kanan aturan dan pilih Hapus.

PowerShell

Gunakan perintah berikut untuk menghapus aturan ekspor data dengan menggunakan PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

Gunakan perintah berikut untuk menghapus aturan ekspor data dengan menggunakan CLI.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

ISTIRAHAT

Gunakan permintaan berikut untuk menghapus aturan ekspor data dengan menggunakan REST API. Permintaan harus menggunakan otorisasi token pembawa.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Template

Opsi templat tidak berlaku.

Menampilkan semua aturan ekspor data di ruang kerja

Portal Azure

Pada menu Log Analytics workspace di portal Azure, pilih Data Ekspor di bawah bagian Pengaturan untuk melihat semua aturan ekspor di ruang kerja.

PowerShell

Gunakan perintah berikut untuk menampilkan semua aturan ekspor data di ruang kerja dengan menggunakan PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure CLI

Gunakan perintah berikut untuk melihat semua aturan ekspor data di ruang kerja dengan menggunakan CLI.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

ISTIRAHAT

Gunakan permintaan berikut untuk melihat semua aturan ekspor data di ruang kerja dengan menggunakan REST API. Permintaan harus menggunakan otorisasi token pembawa.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2023-09-01

Template

Opsi templat tidak berlaku.

Tabel yang tidak didukung

Catatan

Jika aturan ekspor data menyertakan tabel yang tidak didukung, konfigurasi akan berhasil, tetapi tidak ada data yang akan diekspor untuk tabel tersebut. Ketika tabel didukung, ekspor data akan dimulai. Kami sedang dalam proses menambahkan dukungan untuk lebih banyak tabel. Silakan periksa artikel ini secara teratur.

Tabel	Keterbatasan
Peringatan	Dukungan parsial. Penyerapan data untuk pemberitahuan Zabbix tidak didukung.
Sejarah Peringatan
AzureActivity	Dukungan parsial. Data yang tiba oleh agen Log Analytics atau Azure Monitor Agent sepenuhnya didukung untuk ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
AzureDiagnostics
PerubahanKonfigurasi	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
DataKonfigurasi	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
Databricks DatabricksSQL
DatabricksSQL
Peluncuran Aplikasi Perangkat
DeviceCalendar
DeviceConnectSession
DeviceEtw	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
DeviceHeartbeat
ETWEvent	Dukungan parsial. Data yang tiba oleh agen Log Analytics atau Azure Monitor Agent sepenuhnya didukung untuk ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
Kejadian	Dukungan parsial. Data yang tiba oleh agen Log Analytics atau Azure Monitor Agent sepenuhnya didukung untuk ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
NetworkSessions
Operasi	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
Status Perlindungan
SecurityEvent	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
Peristiwa Operasional ServiceFabric	Dukungan parsial. Data yang tiba oleh agen Log Analytics atau Azure Monitor Agent sepenuhnya didukung untuk ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
ServiceFabricReliableActorEvent	Dukungan parsial. Data yang tiba oleh agen Log Analytics atau Azure Monitor Agent sepenuhnya didukung untuk ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
ServiceFabricReliableServiceEvent	Dukungan parsial. Data yang tiba oleh agen Log Analytics atau Azure Monitor Agent sepenuhnya didukung untuk ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.
Syslog	Dukungan parsial. Beberapa data diserap melalui layanan internal yang tidak didukung dalam ekspor. Saat ini, bagian ini hilang dalam ekspor.
W3CIISLog	Dukungan parsial. Data yang tiba oleh agen Log Analytics atau Azure Monitor Agent sepenuhnya didukung untuk ekspor. Data yang tiba melalui agen ekstensi Diagnostik dikumpulkan melalui penyimpanan. Jalur ini tidak didukung dalam ekspor.

Langkah berikutnya

Mengkueri data yang diekspor dari Azure Data Explorer