Esportazione dei dati dell'area di lavoro Log Analytics in Monitoraggio di Azure

L'esportazione dei dati in un'area di lavoro di Log Analytics consente di esportare continuamente i dati per ogni tabella selezionata nell'area di lavoro. È possibile eseguire l'esportazione in un account di Archiviazione di Azure o in Hub eventi di Azure man mano che i dati arrivano a una pipeline di Monitoraggio di Azure. Questo articolo fornisce informazioni dettagliate su questa funzionalità e i passaggi per configurare l'esportazione dei dati nelle aree di lavoro.

Panoramica

I dati in Log Analytics sono disponibili per il periodo di conservazione definito nell'area di lavoro. Viene usato in varie esperienze fornite in Monitoraggio di Azure e nei servizi di Azure. In alcuni casi è necessario usare altri strumenti:

• Conformità dell'archivio protetto da manomissione: i dati non possono essere modificati in Log Analytics dopo l'inserimento, ma possono essere eliminati. Esportare in un set di account di archiviazione con criteri di immutabilità per mantenere protetti le manomissioni dei dati.
• Integrazione con i servizi di Azure e altri strumenti: esportare in Hub eventi man mano che arrivano i dati e vengono elaborati in Monitoraggio di Azure.
• Conservazione a lungo termine dei dati di controllo e sicurezza:esportare in un account di archiviazione nell'area dell'area di lavoro. In alternativa, è possibile replicare i dati in altre aree usando una delle opzioni di ridondanza di Archiviazione di Azure, tra cui Archiviazione con ridondanza geografica e Archiviazione con ridondanza geografica della zona.

Dopo aver configurato le regole di esportazione dei dati in un'area di lavoro di Log Analytics, i nuovi dati per le tabelle nelle regole vengono esportati dalla pipeline di Monitoraggio di Azure all'account di archiviazione o a Hub eventi non appena arrivano. Il traffico di esportazione dei dati si trova nella rete backbone di Azure e non lascia la rete di Azure.

I dati vengono esportati senza un filtro. Ad esempio, quando si configura una regola di esportazione dei dati per una tabella SecurityEvent, tutti i dati inviati alla tabella SecurityEvent vengono esportati a partire dall'ora di configurazione. In alternativa, è possibile filtrare o modificare i dati esportati configurando le trasformazioni nell'area di lavoro, che si applicano ai dati in ingresso, prima dell'invio alle aree di lavoro di Log Analytics e alle destinazioni di esportazione.

Altre opzioni di esportazione

L'esportazione dei dati dell'area di lavoro di Log Analytics esporta continuamente i dati inviati all'area di lavoro di Log Analytics. Esistono altre opzioni per esportare i dati per scenari specifici:

• Configurare le impostazioni di diagnostica nelle risorse di Azure. I log vengono inviati direttamente a una destinazione. Questo approccio presenta una latenza inferiore rispetto all'esportazione dei dati in Log Analytics.
• Pianificare l'esportazione dei dati in base a una query di log definita con l'API di query di Log Analytics. Usare Azure Data Factory, Funzioni di Azure o App per la logica di Azure per orchestrare le query nell'area di lavoro ed esportare i dati in una destinazione. Questo metodo è simile alla funzionalità di esportazione dei dati, ma è possibile usarlo per esportare i dati cronologici dall'area di lavoro usando filtri e aggregazioni. Questo metodo è soggetto ai limiti delle query di log e non è destinato alla scalabilità. Per ulteriori informazioni vedere Esportare i dati da un'area di lavoro di Log Analytics a un account di archiviazione usando App per la logica.
• Esportazione una tantum in un computer locale usando uno script di PowerShell. Per altre informazioni, vedere Invoke-AzOperationalInsightsQueryExport.

Limiti

• I log personalizzati creati usando l'API dell'agente di raccolta dati HTTP non possono essere esportati, inclusi i log basati su testo utilizzati dall'agente di Log Analytics. I log personalizzati creati usando regole di raccolta dati, inclusi i log basati su testo, possono essere esportati.
• L'esportazione dei dati supporterà gradualmente più tabelle, ma attualmente è limitata alle tabelle specificate nella sezione sulle tabelle supportate. È possibile includere tabelle non ancora supportate nelle regole, ma non verranno esportati dati finché le tabelle non sono supportate.
• È possibile definire fino a 10 regole abilitate nell'area di lavoro, ognuna può includere più tabelle. È possibile creare altre regole nell'area di lavoro in stato disabilitato.
• Le destinazioni devono trovarsi nella stessa area dell'area di lavoro di Log Analytics.
• L'account di archiviazione deve essere univoco tra le regole nell'area di lavoro.
• I nomi delle tabelle possono avere una lunghezza di 60 caratteri durante l'esportazione in un account di archiviazione. Possono essere di 47 caratteri durante l'esportazione in Hub eventi. Le tabelle con nomi più lunghi non verranno esportate.
• L'esportazione nell'Account di archiviazione Premium non è supportata.
• Attualmente non è previsto alcun addebito per l'esportazione nei cloud sovrani. Prima dell'abilitazione verrà inviata una notifica.

Completezza dei dati

L'esportazione dei dati è ottimizzata per spostare volumi di dati di grandi dimensioni nelle destinazioni. In caso di destinazione con scalabilità o disponibilità insufficiente, un processo di ripetizione dei tentativi continua fino a 12 ore e può comportare un risultato con una frazione di duplicazione dei record esportati. Per migliorare l'affidabilità, seguire le indicazioni per l'account di archiviazione e le destinazioni di Hub eventi. Per altre informazioni sui limiti di destinazione e sugli avvisi consigliati, vedere Creare o aggiornare una regola di esportazione dei dati. Se le destinazioni non sono ancora disponibili dopo il periodo di ripetizione dei tentativi, i dati vengono eliminati.

Modello di determinazione prezzi

Gli addebiti per l'esportazione dei dati si basano sul numero di byte esportati in destinazioni in dati in formato JSON e misurati in GB (10^9 byte). Il calcolo delle dimensioni nella query dell'area di lavoro non può corrispondere agli addebiti per l'esportazione perché non include i dati in formato JSON. È possibile usare PowerShell per calcolare le dimensioni totali di fatturazione di un contenitore BLOB. Attualmente non è previsto alcun addebito per l'esportazione nei cloud sovrani. Prima dell'abilitazione verrà inviata una notifica.

Per altre informazioni, inclusa la sequenza temporale di fatturazione per l'esportazione dei dati, vedere Prezzi di Monitoraggio di Azure. La fatturazione per l'esportazione dei dati è stata abilitata all'inizio di ottobre 2023.

Destinazioni di esportazione

La destinazione di esportazione dei dati deve essere disponibile prima di creare regole di esportazione nell'area di lavoro. Le destinazioni non devono trovarsi nella stessa sottoscrizione dell'area di lavoro. Quando si usa Azure Lighthouse, è anche possibile inviare dati alle destinazioni in un altro tenant di Microsoft Entra.

È necessario disporre delle autorizzazioni di scrittura sia per l'area di lavoro che per la destinazione per configurare una regola di esportazione dei dati in qualsiasi tabella in un'area di lavoro. Il criterio di accesso condiviso per lo spazio dei nomi Hub eventi definisce le autorizzazioni per il meccanismo di trasmissione. Attualmente lo streaming a Hub eventi richiede autorizzazioni di gestione, invio e attesa. Per aggiornare la regola di esportazione, è necessario disporre dell'autorizzazione ListKey per tale regola di autorizzazione di Hub eventi.

Account di archiviazione

Evitare di usare l'account di archiviazione esistente con altri dati non di monitoraggio, per controllare meglio l'accesso ai dati, impedire il raggiungimento dei limiti di velocità di ingresso di archiviazione e latenza.

Per inviare dati a un account di archiviazione non modificabile, impostare i criteri non modificabili per l'account di archiviazione come descritto in Impostare e gestire i criteri di immutabilità per Archiviazione BLOB di Azure. È necessario seguire tutti i passaggi descritti in questo articolo, inclusa l'abilitazione delle scritture di BLOB di accodamento protetti.

L'account di archiviazione non può essere Premium, deve essere StorageV1 o versione successiva e si trova nella stessa area dell'area di lavoro. Se è necessario replicare i dati in altri account di archiviazione in altre aree, è possibile usare una delle opzioni di ridondanza di Archiviazione di Azure, tra cui Archiviazione con ridondanza geografica e Archiviazione con ridondanza geografica della zona.

I dati vengono inviati agli account di archiviazione quando raggiungono Monitoraggio di Azure ed esportati in destinazioni situate in un'area di lavoro. Viene creato un contenitore per ogni tabella nell'account di archiviazione con il nome am- seguito dal nome della tabella. Ad esempio, la tabella SecurityEvent invia a un contenitore denominato am-SecurityEvent.

I BLOB vengono archiviati in cartelle di 5 minuti nella struttura di percorso seguente: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=<two-digit 60-minute clock minute>/PT05M.json. Le aggiunte ai BLOB sono limitate a 50 K scritture. Nella cartella verranno aggiunti altri BLOB come PT05M_#.json*, dove '#' è il conteggio incrementale dei BLOB.

Nota

Le aggiunte ai BLOB vengono scritte in base al campo "TimeGenerated" e si verificano durante la ricezione dei dati di origine. I dati in arrivo in Monitoraggio di Azure con ritardo o tentativi di limitazione delle destinazioni seguenti vengono scritti nei BLOB in base al relativo TimeGenerated.

Il formato dei BLOB in un account di archiviazione si trova in righe JSON, in cui ogni record è delimitato da una nuova riga, senza matrice di record esterni e senza virgole tra i record JSON.

Hub eventi

Evitare di usare l'Hub eventi esistente con dati non di monitoraggio per impedire il raggiungimento degli errori del limite di velocità di ingresso dello spazio dei nomi di Hub eventi e latenza.

I dati vengono inviati all'Hub eventi quando raggiungono Monitoraggio di Azure e vengono esportati in destinazioni che si trovano in un'area dell'area di lavoro. È possibile creare più regole di esportazione nello stesso spazio dei nomi di Hub eventi fornendo un oggetto Event Hub name differente nella regola. Quando non viene specificato un oggetto Event Hub name, viene creato un Hub eventi predefinito per le tabelle esportate con il nome am- seguito dal nome della tabella. Ad esempio, la tabella SecurityEvent verrà inviata a un Hub eventi denominato am-SecurityEvent.

Il numero di Hub eventi supportati nei livelli dello spazio dei nomi Basic e Standard è 10. Quando si esportano più di 10 tabelle in questi livelli, suddividere le tabelle tra diverse regole di esportazione in spazi dei nomi di Hub eventi diversi o specificare un nome di Hub eventi per esportare tutte le tabelle.

Nota

• Il livello dello spazio dei nomi Di base di Hub eventi è limitato. Supporta dimensioni di eventi inferiori e nessuna opzione Aumento automatico per aumentare e aumentare automaticamente il numero di unità elaborate. Poiché il volume di dati nell'area di lavoro aumenta nel tempo e, di conseguenza, è necessario ridimensionare l'Hub eventi, usare i livelli Standard, Premium o Hub eventi dedicati con la funzionalità Aumento automatico abilitata. Per altre informazioni, vedere Aumentare automaticamente le unità elaborate di Hub eventi di Azure.
• L'esportazione dei dati non può raggiungere le risorse di Hub eventi quando sono abilitate le reti virtuali. È necessario selezionare la casella di controllo Consenti ai servizi di Azure nell'elenco servizi attendibili di accedere a questo account di archiviazione per ignorare questa impostazione del firewall in un Hub eventi per concedere l'accesso agli Hub eventi.

Eseguire query sui dati esportati

L'esportazione di dati dalle aree di lavoro agli account di archiviazione consente di soddisfare diversi scenari indicati in panoramica e può essere usata da strumenti in grado di leggere i BLOB dagli account di archiviazione. I metodi seguenti consentono di eseguire query sui dati usando il linguaggio di query di Log Analytics, che è lo stesso per Esplora dati di Azure.

1. Eseguire query sui dati in Azure Data Lake usando Esplora dati di Azure.
2. Usare Esplora dati di Azure per inserire dati da un account di archiviazione.
3. Usare l'area di lavoro di Log Analytics per eseguire query sui dati inseriti usando l'API di inserimento dei log. I dati inseriti si trovano in una tabella di log personalizzata e non nella tabella originale.

Abilitare l'esportazione dati

Per abilitare l'esportazione dei dati di Log Analytics, è necessario eseguire i passaggi seguenti. Per altre informazioni su ognuna, vedere le sezioni seguenti:

• Registrare il provider di risorse
• Consenti servizi Microsoft attendibili
• Creare o aggiornare una regola di esportazione dei dati

Registrare il provider di risorse

Il provider di risorse di Azure Microsoft.Insights deve essere registrato nella sottoscrizione per abilitare l'esportazione dei dati di Log Analytics.

Questo provider di risorse è probabilmente già registrato per la maggior parte degli utenti di Monitoraggio di Azure. Per verificare, andare a Sottoscrizioni nel portale di Azure. Selezionare la sottoscrizione e quindi selezionare Provider di risorse nella sezione Impostazioni del menu. Individuare Microsoft.Insights. Se lo stato è Registrato, è già registrato. In caso contrario, selezionare Registra per registrarla.

È anche possibile usare uno dei metodi disponibili per registrare un provider di risorse come descritto in Provider e tipi di risorse di Azure. Il comando di esempio seguente usa l'interfaccia della riga di comando di Azure:

az provider register --namespace 'Microsoft.insights'

Il comando di esempio seguente usa PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Consenti servizi Microsoft attendibili

Se è stato configurato l'account di archiviazione per consentire l'accesso dalle reti selezionate, è necessario aggiungere un'eccezione per consentire a Monitoraggio di Azure di scrivere nell'account. Da Firewall e reti virtuali per l'account di archiviazione selezionare Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione.

Monitorare le destinazioni

Importante

Le destinazioni di esportazione hanno limiti e devono essere monitorate per ridurre al minimo la limitazione, gli errori e la latenza. Per altre informazioni, vedere Scalabilità dell'account di archiviazione e Quote dello spazio dei nomi di Hub eventi.

Le metriche seguenti sono disponibili per l'operazione di esportazione dei dati e gli avvisi

Nome metrica	Descrizione
Byte esportati	Numero totale di byte esportati nella destinazione dall'area di lavoro di Log Analytics nell'intervallo di tempo selezionato. Le dimensioni dei dati esportati sono il numero di byte nei dati in formato JSON esportati. 1 GB = 10^9 byte.
Errori di esportazione	Numero totale di richieste di esportazione non riuscite nella destinazione dall'area di lavoro di Log Analytics nell'intervallo di tempo selezionato. Questo numero include i tentativi di esportazione a causa della limitazione delle risorse di destinazione, dell'errore di accesso negato o di qualsiasi errore del server. Un processo di ripetizione dei tentativi gestisce i tentativi non riusciti e il numero non indica i dati mancanti.
Record esportati	Numero totale di record esportati dall'area di lavoro di Log Analytics nell'intervallo di tempo selezionato. Questo numero conta i record per le operazioni terminate con esito positivo.

Monitorare un account di archiviazione

1. Usare un account di archiviazione separato per l'esportazione.

2. Configurare un avviso sulla metrica:

   Ambito	Spazio dei nomi delle metriche	Metric	Aggregazione	Threshold
   nome-archiviazione	Conto	Dati in ingresso	Sum	80% del numero massimo di ingressi per periodo di valutazione degli avvisi. Ad esempio, il limite è di 60 Gbps per utilizzo generico v2 negli Stati Uniti occidentali. La soglia di avviso è 1676 GiB per periodo di valutazione di 5 minuti.

3. Azioni correttive di avviso:

   • Usare un account di archiviazione separato per l'esportazione non condiviso con dati non di monitoraggio.
   • Gli account Standard di Archiviazione di Azure supportano un limite di ingresso superiore per richiesta. Per richiedere un aumento, contattare il supporto di Azure.
   • Suddividere le tabelle tra più account di archiviazione.

Monitorare Hub eventi

1. Configurare avvisi nelle metriche:

   Ambito	Spazio dei nomi delle metriche	Metric	Aggregazione	Threshold
   namespaces-name	Metriche standard di Hub eventi	Byte in ingresso	Sum	80% del numero massimo di ingressi per periodo di valutazione degli avvisi. Ad esempio, il limite è 1 MB/s per unità (TU o PU) e cinque unità usate. La soglia è di 228 MiB per periodo di valutazione di 5 minuti.
   namespaces-name	Metriche standard di Hub eventi	Richieste in ingresso	Count	80% degli eventi massimi per periodo di valutazione degli avvisi. Ad esempio, il limite è 1.000/s per unità (TU o PU) e cinque unità usate. La soglia è di 1.200.000 per periodo di valutazione di 5 minuti.
   namespaces-name	Metriche standard di Hub eventi	Errori di superamento quota	Count	Tra il 1% della richiesta. Ad esempio, le richieste per 5 minuti sono 600.000. La soglia è di 6.000 per periodo di valutazione di 5 minuti.

2. Azioni correttive di avviso:

   • Usare uno spazio dei nomi separato di Hub eventi per l'esportazione che non è condiviso con dati non di monitoraggio.
   • Configurare la funzionalità Aumento automatico per aumentare e aumentare automaticamente il numero di unità elaborate per soddisfare le esigenze di utilizzo.
   • Verificare l'aumento delle unità elaborate per supportare il volume di dati.
   • Suddividere le tabelle tra più spazi dei nomi.
   • Usare i livelli Premium o Dedicato per una maggiore velocità effettiva.

Creare o aggiornare una regola di esportazione dei dati

Una regola di esportazione dei dati definisce la destinazione e le tabelle per le quali vengono esportati i dati. Il provisioning delle regole richiede circa 30 minuti prima dell'avvio dell'operazione di esportazione. Considerazioni sulle regole di esportazione dei dati:

• L'account di archiviazione deve essere univoco tra le regole nell'area di lavoro.
• Più regole possono usare lo stesso spazio dei nomi di Hub eventi quando si invia a Hub eventi separati.
• Esportazione in un account di archiviazione: viene creato un contenitore separato nell'account di archiviazione per ogni tabella.
• Esporta in Hub eventi: se non viene specificato un nome di Hub eventi, viene creato un Hub eventi separato per ogni tabella. Il numero di Hub eventi supportati nei livelli dello spazio dei nomi Basic e Standard è 10. Quando si esportano più di 10 tabelle in questi livelli, suddividere le tabelle tra diverse regole di esportazione in spazi dei nomi di Hub eventi diversi o specificare un nome di Hub eventi nella regola per esportare tutte le tabelle.

Azure portal

1. Nel menu dell'area di lavoro di Log Analytics nel portale di Azure selezionare Esportazione dati nella sezione Impostazioni. Selezionare Nuova regola di esportazione nella parte superiore del riquadro.

   

2. Seguire i passaggi e quindi selezionare Crea. Solo le tabelle con dati in esse contenute vengono visualizzate nella scheda "Origine".

   

PowerShell

Usare il comando seguente per creare una regola di esportazione dei dati in un account di archiviazione usando PowerShell. Viene creato un contenitore separato per ogni tabella.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Usare il comando seguente per creare una regola di esportazione dei dati in un Hub eventi specifico usando PowerShell. Tutte le tabelle vengono esportate nel nome dell'Hub eventi specificato e possono essere filtrate in base al campo Tipo per separare le tabelle.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Usare il comando seguente per creare una regola di esportazione dei dati in un Hub eventi usando PowerShell. Quando non viene specificato un nome specifico di Hub eventi, viene creato un contenitore separato per ogni tabella, fino al numero di Hub eventi supportati in ogni livello di Hub eventi. Per esportare più tabelle, specificare un nome dell'Hub eventi nella regola. In alternativa, è possibile impostare un'altra regola ed esportare le tabelle rimanenti in un altro spazio dei nomi di Hub eventi.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Interfaccia della riga di comando di Azure

Usare il comando seguente per creare una regola di esportazione dei dati in un account di archiviazione usando l'interfaccia della riga di comando. Viene creato un contenitore separato per ogni tabella.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Usare il comando seguente per creare una regola di esportazione dei dati in un Hub eventi specifico usando l'interfaccia della riga di comando. Tutte le tabelle vengono esportate nel nome dell'Hub eventi specificato e possono essere filtrate in base al campo Tipo per separare le tabelle.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Usare il comando seguente per creare una regola di esportazione dei dati in un Hub eventi usando l'interfaccia della riga di comando. Quando non viene specificato un nome specifico di Hub eventi, viene creato un contenitore separato per ogni tabella fino al numero di Hub eventi supportati per il livello di Hub eventi. Se sono presenti più tabelle da esportare, specificare un nome di Hub eventi per esportare un numero qualsiasi di tabelle. In alternativa, è possibile impostare un'altra regola per esportare le tabelle rimanenti in un altro spazio dei nomi di Hub eventi.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Usare la richiesta seguente per creare una regola di esportazione dei dati in un account di archiviazione usando l'API REST. Viene creato un contenitore separato per ogni tabella. La richiesta deve usare l'autorizzazione del token di connessione e il tipo di contenuto applicazione/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Il corpo della richiesta specifica la destinazione della tabella. L'esempio seguente è un corpo di esempio per la richiesta REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

L'esempio seguente è un corpo di esempio per la richiesta REST per un Hub eventi.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

L'esempio seguente è un corpo di esempio per la richiesta REST per un Hub eventi in cui viene fornito il nome dell'Hub eventi. In questo caso, tutti i dati esportati vengono inviati.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Modello

Usare il comando seguente per creare una regola di esportazione dei dati in un account di archiviazione usando un modello di Azure Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Usare il comando seguente per creare una regola di esportazione dei dati in un Hub eventi usando un modello di Resource Manager. Viene creato un Hub eventi separato per ogni tabella.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Usare il comando seguente per creare una regola di esportazione dei dati in un Hub eventi specifico usando un modello di Resource Manager. Tutte le tabelle vengono esportate.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Visualizzare la configurazione delle regole di esportazione dei dati

Azure portal

1. Nel menu dell'area di lavoro di Log Analytics nel portale di Azure selezionare Esportazione dati nella sezione Impostazioni.

   

2. Selezionare una regola per una visualizzazione di configurazione.

   

PowerShell

Usare il comando seguente per visualizzare la configurazione di una regola di esportazione dei dati tramite PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Interfaccia della riga di comando di Azure

Usare il comando seguente per visualizzare la configurazione di una regola di esportazione dei dati usando l'interfaccia della riga di comando.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Usare la richiesta seguente per visualizzare la configurazione di una regola di esportazione dei dati usando l'API REST. La richiesta deve usare l'autorizzazione del token di connessione.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Modello

L'opzione modello non si applica.

Disabilitare o aggiornare una regola di esportazione

Azure portal

È possibile disabilitare le regole di esportazione per arrestare l'esportazione per un determinato periodo, ad esempio quando si esegue il test. Nel menu dell'area di lavoro di Log Analytics nel portale di Azure selezionare Esportazione dati nella sezione Impostazioni. Selezionare l'interruttore Stato per disabilitare o abilitare la regola di esportazione.

PowerShell

È possibile disabilitare le regole di esportazione per arrestare l'esportazione per un determinato periodo, ad esempio quando si esegue il test. Usare il comando seguente per disabilitare o aggiornare i parametri delle regole tramite PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Interfaccia della riga di comando di Azure

È possibile disabilitare le regole di esportazione per arrestare l'esportazione per un determinato periodo, ad esempio quando si esegue il test. Usare il comando seguente per disabilitare o aggiornare i parametri delle regole usando l'interfaccia della riga di comando.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

È possibile disabilitare le regole di esportazione per arrestare l'esportazione per un determinato periodo, ad esempio quando si esegue il test. Usare il comando seguente per disabilitare o aggiornare i parametri delle regole usando l'API REST. La richiesta deve usare l'autorizzazione del token di connessione.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Modello

È possibile disabilitare le regole di esportazione per arrestare l'esportazione quando vengono eseguiti i test e non sono necessari dati inviati a una destinazione. Impostare "enable": false nel modello per disabilitare un'esportazione di dati.

Eliminare una regola di esportazione

Azure portal

Nel menu dell'area di lavoro di Log Analytics nel portale di Azure selezionare Esportazione dati nella sezione Impostazioni. Selezionare i puntini di sospensione a destra della regola e selezionare Elimina.

PowerShell

Usare il comando seguente per eliminare una regola di esportazione dei dati usando PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Interfaccia della riga di comando di Azure

Usare il comando seguente per eliminare una regola di esportazione dei dati usando l'interfaccia della riga di comando.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Usare la richiesta seguente per eliminare una regola di esportazione dei dati usando l'API REST. La richiesta deve usare l'autorizzazione del token di connessione.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Modello

L'opzione modello non si applica.

Visualizzare tutte le regole di esportazione dei dati in un'area di lavoro

Azure portal

Nel menu Area di lavoro di Log Analytics nel portale di Azure selezionare Esportazione dati nella sezione Impostazioni per visualizzare tutte le regole di esportazione nell'area di lavoro.

PowerShell

Usare il comando seguente per visualizzare tutte le regole di esportazione dei dati in un'area di lavoro usando PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Interfaccia della riga di comando di Azure

Usare il comando seguente per visualizzare tutte le regole di esportazione dei dati in un'area di lavoro usando l'interfaccia della riga di comando.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Usare la richiesta seguente per visualizzare tutte le regole di esportazione dei dati in un'area di lavoro usando l'API REST. La richiesta deve usare l'autorizzazione del token di connessione.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Modello

L'opzione modello non si applica.

Tabelle non supportate

Se la regola di esportazione dei dati include una tabella non supportata, la configurazione avrà esito positivo, ma non verranno esportati dati per tale tabella. Se la tabella è supportata in un secondo momento, i relativi dati verranno esportati in quel momento.

Tabelle supportate

Nota

È in corso un processo di aggiunta del supporto per altre tabelle. Consultare regolarmente questo articolo.

Tabella	Limitazioni
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXIngestionBatching
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
ALBHealthEvent
Alert	Supporto parziale. L'inserimento dati per gli avvisi Zabbix non è supportato.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataLabelEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
AMWMetricsUsageDetails
ANFFileAccess
Anomalie
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
ApiManagementWebSocketConnectionLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformBuildLogs
AppPlatformContainerEventLogs
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSDiagnosticErrorLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidentialWatchlist
ConfigurationData	Supporto parziale. Alcuni dati vengono inseriti tramite servizi interni non supportati nell'esportazione. Attualmente, questa parte non è presente nell'esportazione.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksBrickStoreHttpGateway
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksCloudStorageMetadata
DatabricksClusterLibraries
DatabricksClusters
DatabricksDashboards
DatabricksDataMonitoring
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksFilesystem
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksIngestion
DatabricksInstancePools
DatabricksJobs
DatabricksLineageTracking
DatabricksMarketplaceConsumer
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksPredictiveOptimization
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent	Supporto parziale. I dati provenienti dall'agente di Log Analytics o dall'agente di Monitoraggio di Azure sono completamente supportati nell'esportazione. I dati in arrivo tramite l'agente di estensione diagnostica vengono raccolti tramite l'archiviazione. Questo percorso non è supportato nell'esportazione.
Event	Supporto parziale. I dati provenienti dall'agente di Log Analytics o dall'agente di Monitoraggio di Azure sono completamente supportati nell'esportazione. I dati in arrivo tramite l'agente di estensione diagnostica vengono raccolti tramite l'archiviazione. Questo percorso non è supportato nell'esportazione.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Heartbeat
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Supporto parziale. Alcuni dati vengono inseriti tramite servizi interni non supportati nell'esportazione. Attualmente, questa parte non è presente nell'esportazione.
IntuneAuditLogs
IntuneDeviceComplianceOrg
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MDCFileIntegrityMonitoringEvents
MDECustomCollectionDeviceFileEvents
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemSessionHistoryUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAInsights
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorDNSResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operazione	Supporto parziale. Alcuni dati vengono inseriti tramite servizi interni non supportati nell'esportazione. Attualmente, questa parte non è presente nell'esportazione.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent	Supporto parziale. I dati provenienti dall'agente di Log Analytics o dall'agente di Monitoraggio di Azure sono completamente supportati nell'esportazione. I dati in arrivo tramite l'agente di estensione diagnostica vengono raccolti tramite l'archiviazione. Questo percorso non è supportato nell'esportazione.
ServiceFabricReliableActorEvent	Supporto parziale. I dati provenienti dall'agente di Log Analytics o dall'agente di Monitoraggio di Azure sono completamente supportati nell'esportazione. I dati in arrivo tramite l'agente di estensione diagnostica vengono raccolti tramite l'archiviazione. Questo percorso non è supportato nell'esportazione.
ServiceFabricReliableServiceEvent	Supporto parziale. I dati provenienti dall'agente di Log Analytics o dall'agente di Monitoraggio di Azure sono completamente supportati nell'esportazione. I dati in arrivo tramite l'agente di estensione diagnostica vengono raccolti tramite l'archiviazione. Questo percorso non è supportato nell'esportazione.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SqlAtpStatus
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXCommand
SynapseDXFailedIngestion
SynapseDXIngestionBatching
SynapseDXQuery
SynapseDXSucceededIngestion
SynapseDXTableDetails
SynapseDXTableUsageStatistics
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Update	Supporto parziale. Alcuni dati vengono inseriti tramite servizi interni non supportati nell'esportazione. Attualmente, questa parte non è presente nell'esportazione.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Utilizzo
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection	Supporto parziale. Alcuni dati vengono inseriti tramite servizi interni non supportati nell'esportazione. Attualmente, questa parte non è presente nell'esportazione.
W3CIISLog	Supporto parziale. I dati provenienti dall'agente di Log Analytics o dall'agente di Monitoraggio di Azure sono completamente supportati nell'esportazione. I dati in arrivo tramite l'agente di estensione diagnostica vengono raccolti tramite l'archiviazione. Questo percorso non è supportato nell'esportazione.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Watchlist
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData	Supporto parziale. Alcuni dati vengono inseriti tramite servizi interni non supportati nell'esportazione. Attualmente, questa parte non è presente nell'esportazione.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDAutoscaleEvaluationPooled
WVDCheckpoints
WVDConnectionGraphicsDataPreview
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement
WVDSessionHostManagement

Passaggi successivi

Eseguire query sui dati esportati da Esplora dati di Azure