Azure Monitor でのデータ収集ルールの構造
データ収集ルール (DCR) は、Azure Monitor に送信されたテレメトリを収集して処理する方法を決定する一連の手順です。 一部の DCR は Azure Monitor によって作成および管理されます。 この記事では、DCR を直接操作する必要がある場合に DCR を作成および編集するための DCR の JSON プロパティについて説明します。
- ここで説明する JSON の操作の詳細については、「Azure Monitor でデータ収集規則 (DCR) を作成および編集する」を参照してください。
- さまざまなシナリオのサンプル DCR については、「Azure Monitor でのデータ収集ルール (DCR) のサンプル」を参照してください。
dataCollectionEndpointId
DCR で使用されるデータ収集エンドポイント (DCE) を指定します。
シナリオ
- Azure Monitor エージェント
- ログ インジェスト API
- Events Hubs
streamDeclarations
Log Analytics ワークスペースに送信されるさまざまな種類のデータの宣言。 各ストリームは、キーがストリーム名を表すオブジェクトです。この名前は先頭が Custom- でなければなりません。 ストリームには、送信される JSON データに含まれる最上位プロパティの完全な一覧が含まれます。 エンドポイントに送信するデータの形状は、相手先テーブルのデータと一致する必要はありません。 その代わりに、入力データの上に適用される変換の出力は、相手先の形状と一致する必要があります。
このセクションは、Azure Monitor エージェントから送信されるイベントやパフォーマンス データなど、既知のデータ型を送信するデータ ソースには使用されません。
プロパティに割り当て可能なデータ型は次のとおりです。
stringintlongrealbooleandynamicdatetime
シナリオ
- Azure Monitor エージェント (テキスト ログのみ)
- ログ インジェスト API
- Event Hubs
destinations
データが送信されるすべての宛先の宣言。 azureMonitorMetrics も使用できる Azure Monitor エージェントを除き、現在宛先としてサポートされているのは logAnalytics のみです。 各 Log Analytics の宛先には、完全なワークスペース リソース ID と、このワークスペースを参照するために DCR の他の場所で使用されるフレンドリ名が必要です。
シナリオ
- Azure Monitor エージェント (テキスト ログのみ)
- ログ インジェスト API
- Event Hubs
- ワークスペース変換 DCR
dataSources
監視データの一意のソースには、データを公開する独自の形式と方法があります。 各データ ソースにはデータ ソースの種類があり、それぞれの種類でデータ ソースごとに指定する必要がある一意のプロパティ セットを定義します。 次の表に、現在使用できるデータ ソースの種類を一覧表示します。
| [データ ソースの種類] | 説明 |
|---|---|
| eventHub | Azure Event Hubs からのデータ |
| 拡張機能 | Log Analytics ソリューションと Azure サービスで排他的に使用される VM 拡張機能ベースのデータ ソース (エージェントでサポートされているサービスとソリューションの表示) |
| logFiles | 仮想マシンへのテキスト ログオン |
| performanceCounters | Windows と Linux 仮想マシンの両方のパフォーマンス カウンター |
| syslog | Linux 仮想マシンの Syslog イベント |
| windowsEventLogs | 仮想マシンの Windows イベント ログ |
シナリオ
- Azure Monitor エージェント
- Event Hubs
dataFlows
ストリームと宛先を一致させ、オプションで変換を指定します。
dataFlows/Streams
前のセクションで定義した 1 つ以上のストリーム。 複数のデータ ソースを同じ宛先に送信する場合は、単一のデータ フローに複数のストリームを含めることができます。 データ フローに変換が含まれている場合のみ、単一のストリームを使用します。 同じ Log Analytics ワークスペース内の複数のテーブルに特定のデータ ソースを送信する場合は、1 つのストリームを複数のデータ フローで使用することもできます。
dataFlows/destinations
前述の destinations セクションにある 1 つ以上の宛先。 マルチホーム シナリオでは、複数の宛先が許可されます。
dataFlows/transformKql
受信ストリームに適用されるオプションの変換。 変換は受信データのスキーマを理解し、ターゲット テーブルのスキーマでデータを出力する必要があります。 変換を使用する場合、データ フローは単一のストリームのみを使用する必要があります。
dataFlows/outputStream
データが送信される destination プロパティに指定されたワークスペース内のテーブルを記述します。 outputStream の値は、標準の Log Analytics テーブルにデータを取り込む場合は Microsoft-[tableName] 形式、カスタム テーブルにデータを取り込む場合は Custom-[tableName] になります。 ストリームごとに許可される宛先は 1 つのみです。
このプロパティは、事前定義済みのテーブルに送信されるため、イベントやパフォーマンス データなど、Azure Monitor からの既知のデータソースには使用されません。 |
シナリオ
- Azure Monitor エージェント
- ログ インジェスト API
- Event Hubs
- ワークスペース変換 DCR