Azure Monitor の Log Analytics ワークスペース データ エクスポート

  • [アーティクル]

Log Analytics ワークスペースのデータ エクスポートを使用すると、ワークスペース内の選択したテーブルごとにデータを連続してエクスポートできます。 データが Azure Monitor パイプラインに到着したら、Azure ストレージ アカウントまたは Azure Event Hubs にエクスポートできます。 この記事では、この機能の詳細と、ワークスペースでデータ エクスポートを構成する手順について説明します。

概要

Log Analytics のデータは、ワークスペースで定義されている保持期間中に使用できます。 これは、Azure Monitor と Azure サービスで提供されるさまざまなエクスペリエンスで使用されます。 他のツールを使用することが必要な場合があります。

  • 改ざん防止保存のコンプライアンス: データは取り込まれた後、Log Analytics で変更できませんが、消去することはできます。 データの改ざん防止状態を維持するために、不変ポリシーが設定されたストレージ アカウントにエクスポートします。
  • Azure サービスおよびその他のツールとの統合: データが Azure Monitor に到着し、処理されたら、Event Hubs にエクスポートします。
  • 監査データとセキュリティ データの長期保持: ワークスペースのリージョン内のストレージ アカウントにエクスポートします。 また、GRS、GZRS など、Azure Storage の冗長オプションを使用することで、他のリージョンにデータをレプリケートできます。

Log Analytics ワークスペースでデータ エクスポート ルールを構成した後、ルールのテーブルの新しいデータが到着すると、そのデータは Azure Monitor パイプラインからストレージ アカウントまたは Event Hubs にエクスポートされます。

データ エクスポート フローを示す図。

データは、フィルターなしでエクスポートされます。 たとえば、SecurityEvent テーブルに対してデータ エクスポート ルールを構成すると、その構成時点から、SecurityEvent テーブルに送信されたすべてのデータがエクスポートされます。 または、エクスポートしたデータを Log Analytics ワークスペースやエクスポート先に送信する前に、受信データに適用される変換をワークスペースで構成することで、フィルター処理または変更することもできます。

その他のエクスポート オプション

Log Analytics ワークスペースのデータ エクスポートでは、Log Analytics ワークスペースに送信されるデータが連続してエクスポートされます。 他にも、特定のシナリオでデータをエクスポートするためのオプションがあります。

  • Azure リソースで診断設定を構成します。 ログは宛先に直接送信されます。 この方法は、Log Analytics のデータ エクスポートと比較して待機時間が短いです。
  • Log Analytics のクエリ API で定義したログ クエリに基づいて、データのエクスポートをスケジュールします。 Azure Data Factory、Azure Functions、または Azure Logic Apps を使用して、ワークスペースでクエリを調整し、データを宛先にエクスポートします。 この方法はデータ エクスポート機能に似ていますが、この方法を使用すると、フィルターと集計を使用してワークスペースから履歴データをエクスポートできます。 この方法はログ クエリの制限の対象であり、スケーリングを目的としたものではありません。 詳細については、「Logic Apps を使用した Log Analytics ワークスペースからストレージ アカウントへのデータのエクスポート」を参照してください。
  • PowerShell スクリプトを使用したローカル コンピューターへのワンタイム エクスポート。 詳細については、「Invoke-AzOperationalInsightsQueryExport」を参照してください。

制限事項

  • HTTP データ コレクター API と dataSources API を使用して作成されたカスタム ログはエクスポートできません。 これには、Log Analytics エージェントによって使用されるテキスト ログが含まれます。 テキストベースのログを含め、データ収集ルールを使用して作成されたカスタム ログはエクスポートできます。
  • データ エクスポートでは、追加のテーブルが段階的にサポートされる予定ですが、現時点では「サポート対象のテーブル」セクションで指定されているテーブルに制限されています。
  • ワークスペースには最大 10 個の有効なルールを定義できます。各ルールには複数のテーブルを含めることができます。 ワークスペースには、無効状態のルールをさらに作成できます。
  • エクスポート先は、Log Analytics ワークスペースと同じリージョンに配置されている必要があります。
  • ストレージ アカウントは、ワークスペースのルール間で一意である必要があります。
  • ストレージ アカウントにエクスポートする場合、テーブル名は 60 文字の長さにすることができます。 Event Hubs にエクスポートする場合、47 文字にすることができます。 これよりも長い名前のテーブルはエクスポートされません。
  • 現在、中国ではデータのエクスポートはサポートされていません。

データの完全性

データ エクスポートは、大量のデータを宛先に移動するために最適化されています。 宛先に十分な容量がない、または使用不可の場合、エクスポート操作が失敗する可能性があります。 失敗した場合、再試行プロセスが最大 12 時間継続されます。 宛先の制限および推奨されるアラートの詳細については、「データ エクスポート ルールを作成または更新する」を参照してください。 再試行期間の後も宛先が使用できない場合、データは破棄されます。 場合によっては、再試行によってエクスポートされたレコードの一部が重複する可能性があります。

価格モデル

データ エクスポート料金は、エクスポートされたデータの量に基づき、バイト単位で測定されます。 Log Analytics データ エクスポートによってエクスポートされるデータのサイズは、エクスポートされる JSON 形式データのバイト数です。 データ ボリュームは GB 単位 (10^9 バイト) で測定されます。

データ エクスポートの課金タイムラインなど、詳細については、「Azure Monitor の価格」を参照してください。

エクスポート先

ワークスペースでエクスポート ルールを作成する前に、データのエクスポート先を使用できるようにする必要があります。 宛先は、ワークスペースと同じサブスクリプションにある必要はありません。 Azure Lighthouse を使用する場合は、別の Azure Active Directory テナントにある宛先にデータを送信することもできます。

ワークスペースでテーブルのデータ エクスポート ルールを構成するには、ワークスペースとエクスポート先の両方に対する書き込みアクセス許可が必要です。 Event Hubs 名前空間の共有アクセス ポリシーによって、ストリーミング メカニズムのアクセス許可が定義されます。 Event Hubs にストリーミングするには、管理、送信、リッスンの各アクセス許可が必要です。 エクスポート ルールを更新するには、その Event Hubs 承認規則に対する ListKey アクセス許可が必要です。

ストレージ アカウント

他の非監視データがある既存のストレージ アカウントは使用しないでください。これは、データへのアクセスをより適切に制御し、ストレージのイングレス レート制限に達するのを防ぐため、および障害や遅延を防ぐためです。

データを不変ストレージ アカウントに送信するには、Azure Blob Storage の不変ポリシーの設定と管理に関するページで説明されているように、ストレージ アカウントの不変ポリシーを設定します。 この記事のすべての手順に従う必要があります。これには、保護された追加 BLOB の書き込みの有効化が含まれます。

ストレージ アカウントは、StorageV1 以降であり、かつワークスペースと同じリージョンにある必要があります。 データを他のリージョン内の他のストレージ アカウントにレプリケートする必要がある場合は、Azure Storage の冗長オプション (GRS や GZRS など) を使用できます。

データは、Azure Monitor に到達すると、ストレージ アカウントに送信され、ワークスペースのリージョンにある宛先にエクスポートされます。 ストレージ アカウント内のテーブルごとに、am- の後にそのテーブル名が続く名前を持つコンテナーが作成されます。 たとえば、テーブル SecurityEvent は、am-SecurityEvent という名前のコンテナーに送信されます。

BLOB は、WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<リソース グループ>/providers/microsoft.operationalinsights/workspaces/<ワークスペース>/y=<4 桁の数値年>/m=<2 桁の数値月>/d=<2 桁の数値日>/h=<2 桁の 24 時制の時間>/m=<2 桁の 60 分制の分>/PT05M.json というパス構造の 5 分フォルダーに格納されます。 BLOB への追加の書き込みは 50,000 件に制限されています。 追加の BLOB は PT05M_#.json* としてフォルダーに追加されます (# は BLOB の番号で、インクリメントされます)。

ストレージ アカウントでの BLOB の形式は JSON 行です。各レコードは改行で区切られ、外側のレコード配列はなく、JSON レコード間のコンマもありません。

BLOB のデータ形式を示すスクリーンショット。

Event Hubs

非監視データがある既存の Event Hub は使用しないでください。これは、Event Hubs 名前空間のイングレス レート制限に達するのを防ぐため、および障害や遅延を防ぐためです。

データは、Azure Monitor に到達すると、Event Hub に送信され、ワークスペース リージョンにある宛先にエクスポートされます。 エクスポート ルールで異なる event hub name を指定することにより、同じ Event Hubs 名前空間に対して複数のルールを作成できます。 event hub name が指定されていない場合、エクスポートするテーブルごとに既定の Event Hub が作成され、am- の後にテーブルの名前が続く名前が付けられます。 たとえば、テーブル SecurityEvent は、am-SecurityEvent という名前の Event Hub に送信されます。

Basic および Standard 名前空間レベルでサポートされる Event Hub の数は 10 です。 これらのレベルに 10 を超えるテーブルをエクスポートする場合は、複数のエクスポート ルール間でテーブルを別の Event Hubs 名前空間に分割するか、Event Hub 名を指定して、それにすべてのテーブルをエクスポートします。

注意

  • Basic Event Hubs 名前空間レベルは制限されています。 サポートされているイベント サイズは小さく、自動的にスケールアップし、スループット ユニットの数を増やすための自動インフレ オプションはサポートされていません。 ワークスペースへのデータ量は時間の経過と共に増加し、その結果、Event Hub のスケーリングが必要になるため、自動インフレ機能を使用できる Standard、Premium、または Dedicated Event Hubs レベルを使用してください。 詳細については、「Azure Event Hubs のスループット単位を自動的にスケールアップする」参照してください。
  • データのエクスポートでは、仮想ネットワークが有効になっていると Event Hubs リソースに到達できません。 Event Hubs へのアクセスを許可するために、Event Hub でこのファイアウォール設定をバイパスするには、[信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] チェックボックスを選択する必要があります。

データ エクスポートを有効にする

Log Analytics のデータ エクスポートを有効にするには、次の手順を実行する必要があります。 それぞれについて詳しくは、次のセクションを参照してください。

  • リソース プロバイダーの登録
  • 信頼された Microsoft サービスを許可する
  • データ エクスポート ルールを作成または更新する

リソース プロバイダーの登録

Log Analytics データ エクスポートを有効にするには、Azure リソース プロバイダー Microsoft.Insights をサブスクリプションに登録する必要があります。

このリソース プロバイダーは、ほとんどの Azure Monitor ユーザーに既に登録されています。 確認するには、Azure portal で [サブスクリプション] に移動します。 対象のサブスクリプションを選択し、メニューの [設定] セクションで [リソース プロバイダー] を選択します。 Microsoft.Insights を見つけます。 その状態が [登録済み] の場合は、既に登録されています。 それ以外の場合、[登録] を選択して登録します。

また、「Azure リソース プロバイダーと種類」で説明されているように、リソース プロバイダーを登録するために使用可能な方法のいずれかを使用できます。 次のサンプル コマンドでは、Azure CLI を使用します。

az provider register --namespace 'Microsoft.insights'

次のサンプル コマンドでは、PowerShell を使用します。

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

信頼された Microsoft サービスを許可する

選択したネットワークからのアクセスを許可するようにストレージ アカウントを構成した場合は、Azure Monitor がそのアカウントに書き込むことができるように例外を追加する必要があります。 ストレージ アカウントの [ファイアウォールと仮想ネットワーク] から、[信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] を選択します。

[Allow Azure services on the trusted services list] (信頼されたサービスの一覧にある Azure サービスを許可する) オプションを示すスクリーンショット。

エクスポート先を監視する

重要

エクスポート先には制限があり、調整、障害、遅延を最小限に抑えるために監視する必要があります。 詳細については、ストレージ アカウントのスケーラビリティに関するページと、Event Hubs 名前空間のクォータに関するページを参照してください。

ストレージ アカウントを監視する

  1. エクスポート用に個別のストレージ アカウントを使用します。

  2. 次のメトリックでアラートを構成します。

    Scope メトリック名前空間 メトリック 集計 Threshold
    storage-name Account イングレス SUM アラート評価期間あたり最大イングレス数の 80%。 たとえば、米国西部の汎用 v2 の場合、上限は 60 Gbps です。 アラートのしきい値は、5 分間の評価期間あたり 1676 GiB です。

  3. アラートの修復アクション:

    • 非監視データと共有されていないエクスポートでは、個別のストレージ アカウントを使用します。
    • Azure Storage Standard アカウントでは、要求によってイングレスの上限を上げることがサポートされます。 増加を依頼するには、Azure サポートにお問い合わせください。
    • より多くのストレージ アカウント間でテーブルを分割します。

Event Hubs を監視する

  1. メトリックにアラートを構成します。

    Scope メトリック名前空間 メトリック 集計 Threshold
    namespaces-name Event Hubs の標準メトリック 着信バイト数 SUM アラート評価期間あたり最大イングレス数の 80%。 たとえば、制限はユニットあたり 1 MB/秒 (TU または PU) で、使用ユニット数は 5 です。 しきい値は、5 分間の評価期間あたり 228 MiB です。
    namespaces-name Event Hubs の標準メトリック 受信要求 Count アラート評価期間あたり最大イベント数の 80%。 たとえば、制限はユニットあたり 1,000/秒 (TU または PU) で、使用ユニット数は 5 です。 しきい値は、5 分間の評価期間あたり 1,200,000 です。
    namespaces-name Event Hubs の標準メトリック クォータ超過エラー数 Count 要求の 1% の間。 たとえば、5 分間あたりの要求数は 600,000 です。 しきい値は、5 分間の評価期間あたり 6,000 です。

  2. アラートの修復アクション:

    • 非監視データと共有されていないエクスポートでは、個別の Event Hubs 名前空間を使用します。
    • 使用量のニーズに合わせて自動的にスケールアップし、スループット ユニットの数を増やすように自動インフレ機能を構成します。
    • データ量に合うようにスループット ユニットを増やしているかを確認します。
    • より多くの名前空間の間でテーブルを分割します。
    • スループットを高めるために Premium または Dedicated レベルを使用します。

データ エクスポート ルールを作成または更新する

データ エクスポート ルールでは、データをエクスポートする宛先とテーブルを定義します。 ワークスペースで状態が [有効] のルールを 10 個作成できます。 状態が [無効] の追加ルールが許可されます。 ストレージ アカウントは、ワークスペースのルール間で一意である必要があります。 個別の Event Hubs に送信するとき、複数のルールで同じ Event Hubs 名前空間を使用できます。

注意

  • まだサポートされていないテーブルをルールに含めることができますが、テーブルがサポートされるまで、それらのテーブルのデータはエクスポートされません。
  • ストレージ アカウントへのエクスポート: テーブルごとに個別のコンテナーがストレージ アカウントに作成されます。
  • Event Hubs へのエクスポート: Event Hub 名が指定されていない場合は、テーブルごとに個別の Event Hub が作成されます。 Basic および Standard 名前空間レベルでサポートされる Event Hub の数は 10 です。 これらのレベルに 10 を超えるテーブルをエクスポートする場合は、複数のエクスポート ルール間でテーブルを別の Event Hubs 名前空間に分割するか、ルールで Event Hub 名を指定して、すべてのテーブルをそれにエクスポートします。

  1. Azure portal の [Log Analytics ワークスペース] メニューの [設定] セクションで、[データ エクスポート] を選択します。 ペインの上部にある [新しいエクスポート ルール] を選択します。

    データ エクスポートのエントリ ポイントを示すスクリーンショット。

  2. 手順に従い、[作成] を選択します。

    データのエクスポート ルールの構成のスクリーンショット。

データ エクスポート ルールの構成の表示

  1. Azure portal の [Log Analytics ワークスペース] メニューの [設定] セクションで、[データ エクスポート] を選択します。

    [データ エクスポート] 画面を示すスクリーンショット。

  2. 構成ビューのルールを選択します。

    データのエクスポート ルール ビューのスクリーンショット。

エクスポート ルールを無効化または更新する

テストを保留するときなどに、エクスポート ルールを無効にすると、エクスポートを一定期間停止できます。 Azure portal の [Log Analytics ワークスペース] メニューの [設定] セクションで、[データ エクスポート] を選択します。 [状態] トグルを選択して、エクスポート ルールを有効または無効にします。

データ エクスポート ルールの無効化を示すスクリーンショット。

エクスポート ルールを削除する

Azure portal の [Log Analytics ワークスペース] メニューの [設定] セクションで、[データ エクスポート] を選択します。 ルールの右側にある省略記号を選択し、[削除] を選択します。

データ エクスポート ルールの削除を示すスクリーンショット。

ワークスペース内のすべてのデータ エクスポート ルールを表示する

Azure portal の [Log Analytics ワークスペース] メニューの [設定] セクションで [データ エクスポート] を選択して、ワークスペース内のすべてのエクスポート ルールを表示します。

データ エクスポート ルールの表示を示すスクリーンショット。

サポート対象外のテーブル

サポート対象外のテーブルがデータ エクスポート ルールに含まれている場合、構成は成功しますが、そのテーブルのデータはエクスポートされません。 そのテーブルが後でサポートされるようになると、その時点でテーブルのデータがエクスポートされます。

サポート対象のテーブル

Note

より多くのテーブルのサポートを追加中です。 この記事を定期的にご確認ください。

 テーブル  制限事項
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallDiagnostics
ACSCallRecordingSummary
ACSCallSummary
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
ADFActivityRun
ADFAirflowTaskLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSSignInLogs
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXQuery
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAuditLogs
AEWComputePipelinesLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AHDSMedTechDiagnosticLogs
アラート: 部分的なサポート。 Zabbix アラートのデータ インジェストはサポートされていません。
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ASCAuditLogs
ASCDeviceEvents
ASimDnsActivityLogs
ASimNetworkSessionLogs
ASimNetworkSessionLogs,ASimWebSessionLogs
ASimWebSessionLogs
ATCExpressRouteCircuitIpfix
AuditLogs
AUIEventsAudit
AUIEventsOperational
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMNetworkGroupMembershipChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureDevOpsAuditing
AzureLoadTestingOperation
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidentialWatchlist
ConfigurationData 部分的なサポート。 データの一部は、エクスポートでサポートされない内部サービスを介して取り込まれます。 現在、この部分はエクスポートに含まれません。
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerImageInventory
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksClusters
DatabricksDBFS
DatabricksFeatureStore
DatabricksGenie
DatabricksGlobalInitScripts
DatabricksInstancePools
DatabricksJobs
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksNotebook
DatabricksRemoteHistoryService
DatabricksSecrets
DatabricksSQLPermissions
DatabricksSSH
DatabricksWorkspace
DevCenterDiagnosticLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
DynamicEventCollection
Dynamics365Activity
DynamicSummary
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
イベント 部分的なサポート。 Log Analytics エージェント (MMA) または Azure Monitor エージェント (AMA) から到着するデータは、エクスポートで完全にサポートされます。 Diagnostics Extension エージェントを介して到着するデータは、ストレージを使用して収集されます。 このパスは、エクスポートではサポートされていません。
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Heartbeat
HuntingBookmark
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics 部分的なサポート。 データの一部は、エクスポートでサポートされない内部サービスを介して取り込まれます。 現在、この部分はエクスポートに含まれません。
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubeServices
LAQueryLogs
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
NetworkAccessTraffic
NSPAccessLogs
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
操作 部分的なサポート。 データの一部は、エクスポートでサポートされない内部サービスを介して取り込まれます。 現在、この部分はエクスポートに含まれません。
Perf 部分的なサポート。 現在、Windows のパフォーマンス データのみがサポートされています。 現在、Linux のパフォーマンス データはエクスポートに含まれません。
PFTitleAuditLogs
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent 部分的なサポート。 Log Analytics エージェントまたは Azure Monitor エージェントから到着するデータは、エクスポートで完全にサポートされます。 Diagnostics Extension エージェントを介して到着するデータは、ストレージを使用して収集されます。 このパスは、エクスポートではサポートされていません。
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
SfBAssessmentRecommendation
SfBOnlineAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageAntimalwareScanResults
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXFailedIngestion
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
syslog 部分的なサポート。 Log Analytics エージェントまたは Azure Monitor エージェントから到着するデータは、エクスポートで完全にサポートされます。 Diagnostics Extension エージェントを介して到着するデータは、ストレージを使用して収集されます。 このパスは、エクスポートではサポートされていません。
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCDOAggregatedStatus
UCDOStatus
更新 部分的なサポート。 データの一部は、エクスポートでサポートされない内部サービスを介して取り込まれます。 現在、この部分はエクスポートに含まれません。
UpdateRunProgress
UpdateSummary
UrlClickEvents
使用法
UserAccessAnalytics
UserPeerAnalytics
VIAudit
VIIndexing
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
W3CIISLog 部分的なサポート。 Log Analytics エージェント (MMA) または Azure Monitor エージェント (AMA) から到着するデータは、エクスポートで完全にサポートされます。 Diagnostics 拡張エージェントを介して到着するデータは、ストレージを使用して収集されますが、このパスはエクスポートではサポートされていません。
Watchlist
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData 部分的なサポート。 データの一部は、エクスポートでサポートされない内部サービスを介して取り込まれます。 現在、この部分はエクスポートに含まれません。
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement

次のステップ

Azure Data Explorer からエクスポートされたデータのクエリを実行する