Azure Monitor에서 Log Analytics 작업 영역 데이터 내보내기

Log Analytics 작업 영역의 데이터 내보내기를 사용하면 작업 영역에서 선택한 테이블별로 데이터를 지속적으로 내보낼 수 있습니다. 데이터가 Azure Monitor 파이프라인에 도착하면 Azure Storage 계정 또는 Azure Event Hubs로 내보낼 수 있습니다. 이 문서에서는 이 기능 및 작업 영역에서 데이터 내보내기를 구성하는 단계에 대한 세부 정보를 제공합니다.

개요

Log Analytics의 데이터는 작업 영역에 정의된 보존 기간 동안 사용할 수 있습니다. Azure Monitor 및 Azure 서비스에서 제공되는 다양한 환경에서 사용됩니다. 다음과 같이 다른 도구를 사용해야 하는 경우가 있습니다.

  • 위조 방지 저장소 규정 준수: 수집된 데이터는 Log Analytics에서 변경할 수 없지만 제거할 수는 있습니다. 불변성 정책으로 설정된 스토리지 계정으로 내보내 데이터가 변조되지 않도록 보호합니다.
  • Azure 서비스 및 기타 도구와의 통합: 데이터가 도착하고 Azure Monitor에서 처리되면 Event Hubs로 내보냅니다.
  • 감사 및 보안 데이터의 장기 보존: 작업 영역 지역의 스토리지 계정으로 내보냅니다. 또는 GRS 및 GZRS를 비롯한 Azure Storage 중복 옵션을 사용하여 데이터를 다른 지역으로 복제할 수 있습니다.

Log Analytics 작업 영역에서 데이터 내보내기 규칙을 구성한 후 규칙의 테이블에 대한 새 데이터가 도착할 때 Azure Monitor 파이프라인에서 스토리지 계정 또는 Event Hubs로 해당 데이터를 내보냅니다. 데이터 내보내기 트래픽은 Azure 백본 네트워크에 있으며 Azure 네트워크를 벗어나지 않습니다.

데이터 내보내기 흐름을 보여 주는 다이어그램

데이터는 필터 없이 내보냅니다. 예를 들어 SecurityEvent 테이블에 대한 데이터 내보내기 규칙을 구성하면 SecurityEvent 테이블에 전송된 모든 데이터를 구성 시간부터 내보냅니다. 또는 Log Analytics 작업 영역 및 내보내기 대상으로 전송되기 전에 들어오는 데이터에 적용되는 변환을 작업 영역에서 구성하여 내보낸 데이터를 필터링하거나 수정할 수 있습니다.

기타 내보내기 옵션

Log Analytics 작업 영역 데이터 내보내기는 Log Analytics 작업 영역에 전송되는 데이터를 지속적으로 내보냅니다. 특정 시나리오에 대한 데이터를 내보내는 다른 옵션이 있습니다.

  • Azure 리소스에서 진단 설정을 구성합니다. 로그는 대상으로 직접 전송됩니다. 이 방식은 Log Analytics의 데이터 내보내기에 비해 대기 시간이 짧습니다.
  • Log Analytics 쿼리 API로 정의한 로그 쿼리에 따라 데이터 내보내기를 예약합니다. Azure Data Factory, Azure Functions 또는 Azure Logic Apps를 사용하여 작업 영역에서 쿼리를 오케스트레이션하고 데이터를 대상으로 내보냅니다. 이 방법은 데이터 내보내기 기능과 유사하지만 필터 및 집계를 사용하여 작업 영역에서 기록 데이터를 내보내는 데 사용할 수 있습니다. 이 방법은 로그 쿼리 제한이 적용되며 크기 조정용이 아닙니다. 자세한 내용은 Logic Apps를 사용하여 Log Analytics 작업 영역에서 스토리지 계정으로 데이터 내보내기를 참조하세요.
  • PowerShell 스크립트를 사용해 로컬 컴퓨터로 일회성 내보내기. 자세한 내용은 Invoke-AzOperationalInsightsQueryExport를 참조하세요.

제한 사항

  • Log Analytics 에이전트에서 사용하는 텍스트 기반 로그를 포함하여 HTTP 데이터 수집기 API를 사용하여 만들어진 사용자 지정 로그는 내보낼 수 없습니다. 텍스트 기반 로그를 포함하여 데이터 수집 규칙을 사용하여 만들어진 사용자 지정 로그를 내보낼 수 있습니다.
  • 데이터 내보내기는 점차 더 많은 테이블을 지원하지만 현재는 지원되는 테이블 섹션에 지정된 테이블로 제한됩니다. 규칙에서 아직 지원되지 않는 테이블을 포함할 수 있지만 테이블이 지원될 때까지 데이터가 내보내지지 않습니다.
  • 작업 영역에서 사용하도록 설정된 규칙을 최대 10개까지 정의할 수 있으며 각 규칙에는 여러 테이블이 포함될 수 있습니다. 사용 안 함 상태의 작업 영역에서 더 많은 규칙을 만들 수 있습니다.
  • 대상은 Log Analytics 작업 영역과 동일한 지역에 있어야 합니다.
  • 스토리지 계정은 작업 영역의 규칙 간에 고유해야 합니다.
  • 스토리지 계정으로 내보낼 때 테이블 이름은 60자까지 가능합니다. Event Hubs로 내보낼 때 47자일 수 있습니다. 이름이 긴 테이블은 내보내지 않습니다.
  • Premium Storage 계정으로 내보내기는 지원되지 않습니다.

데이터 완성도

데이터 내보내기는 대량의 데이터를 대상으로 이동하도록 최적화되어 있습니다. 대상에 충분한 용량이 없거나 사용할 수 없는 경우 내보내기 작업이 실패할 수 있습니다. 실패할 경우 다시 시도 프로세스는 최대 12시간 동안 계속됩니다. 대상 제한 및 권장 경고에 대한 자세한 내용은 데이터 내보내기 규칙 만들기 또는 업데이트를 참조하세요. 다시 시도 기간 후에도 대상을 계속 사용할 수 없으면 데이터가 삭제됩니다. 경우에 따라 다시 시도하면 내보낸 레코드의 일부가 중복될 수 있습니다.

가격 책정 모델

데이터 내보내기 요금은 JSON 형식 데이터의 대상으로 내보낸 바이트 수를 기준으로 하며 GB(10^9바이트) 단위로 측정됩니다. 작업 영역 쿼리의 크기 계산은 JSON 형식의 데이터를 포함하지 않으므로 내보내기 요금과 일치할 수 없습니다. PowerShell을 사용하여 Blob 컨테이너의 총 청구 규모를 계산할 수 있습니다.

데이터 내보내기 청구 타임라인을 포함한 자세한 내용은 Azure Monitor 가격을 참조하세요. 데이터 내보내기에 대한 청구는 2023년 10월 초에 사용하도록 설정되었습니다.

내보내기 대상

작업 영역에서 내보내기 규칙을 만들기 전에 데이터 내보내기 대상을 사용할 수 있어야 합니다. 대상은 작업 영역과 동일한 구독에 있지 않아도 됩니다. Azure Lighthouse를 사용하면 다른 Microsoft Entra 테넌트의 대상으로 데이터를 보낼 수도 있습니다.

작업 영역의 테이블에 대해 데이터 내보내기 규칙을 구성하려면 작업 영역과 대상 모두에 대한 쓰기 권한이 있어야 합니다. Event Hubs 네임스페이스에 대한 공유 액세스 정책은 스트리밍 메커니즘에서 보유하는 권한을 정의합니다. Event Hubs로 스트리밍하려면 관리, 보내기 및 수신 권한이 필요합니다. 내보내기 규칙을 업데이트하려면 해당 Event Hubs 권한 부여 규칙에 대한 ListKey 권한이 있어야 합니다.

스토리지 계정

모니터링되지 않는 다른 데이터가 있는 기존 스토리지 계정을 사용하지 마세요. 데이터에 대한 액세스를 더 잘 제어하고 스토리지 수신 속도 제한 실패 및 대기 시간 도달을 방지할 수 있습니다.

데이터를 변경이 불가능한 스토리지 계정으로 보내려면 Azure Blob Storage에 대한 변경할 수 없는 정책 설정 및 관리에 설명된 대로 스토리지 계정에 대한 변경할 수 없는 정책을 설정합니다. 보호된 추가 BLOB 쓰기 사용을 비롯하여 이 문서의 모든 단계를 따라야 합니다.

스토리지 계정은 프리미엄일 수 없으며 StorageV1 이상이어야 하며 작업 영역과 동일한 지역에 있어야 합니다. 데이터를 다른 지역의 다른 스토리지 계정에 복제해야 하는 경우 GRS 및 GZRS를 포함한 Azure Storage 중복 옵션을 사용할 수 있습니다.

데이터는 Azure Monitor에 도달하고 작업 영역 지역에 있는 대상으로 내보낼 때 스토리지 계정으로 전송됩니다. 스토리지 계정의 각 테이블에 대해 컨테이너가 만들어지고 am- 다음에 테이블 이름이 이어지는 이름이 지정됩니다. 예를 들어 SecurityEvent 테이블은 am-SecurityEvent라는 이름의 컨테이너로 전송됩니다.

Blob은 다음과 같은 경로 구조의 5분 폴더에 저장됩니다. WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=<two-digit 60-minute clock minute>/PT05M.json. Blob에 추가는 50K 쓰기로 제한됩니다. 더 많은 blob이 PT05M_#.json*으로 폴더에 추가됩니다. 여기서 '#'은 증분 blob 수입니다.

참고 항목

Blob에 대한 추가는 "TimeGenerated" 필드를 기반으로 작성되며 원본 데이터를 수신할 때 발생합니다. 지연된 상태로 Azure Monitor에 도착하거나 대상 제한 후 다시 시도된 데이터는 TimeGenerated에 따라 Blob에 기록됩니다.

스토리지 계정의 Blob 형식은 JSON 줄에 있습니다. 여기서 각 레코드는 새 줄로 구분되며, 외부 레코드 배열이 없고 JSON 레코드 간에 쉼표가 없습니다.

Blob의 데이터 형식을 보여 주는 스크린샷

Event Hubs

Event Hubs 네임스페이스 수신 속도 제한, 실패 및 대기 시간에 도달하지 않도록 비 모니터링 데이터가 있는 기존 Event Hub를 사용하지 마세요.

데이터는 Azure Monitor에 도달할 때 이벤트 허브로 전송되고 작업 영역 지역에 있는 대상으로 내보내집니다. 규칙에 다른 Event Hub name을 제공하여 동일한 Event Hubs 네임스페이스에 여러 내보내기 규칙을 만들 수 있습니다. Event Hub name이 제공되지 않으면 am-이라는 이름 뒤에 테이블 이름이 오는 내보내기 테이블에 대해 기본 이벤트 허브가 만들어집니다. 예를 들어 SecurityEvent 테이블은 am-SecurityEvent라는 Event Hubs로 전송됩니다.

기본 및 표준 네임스페이스 계층에서 지원되는 Event Hubs의 수는 10입니다. 10개 이상의 테이블을 이러한 계층으로 내보낼 경우 여러 내보내기 규칙 간에 테이블을 분할하거나, 다른 Event Hubs 네임스페이스로 분할하거나, 이벤트 허브 이름을 제공하여 여기로 모든 테이블을 내보냅니다.

참고 항목

  • Basic Event Hubs 네임스페이스 계층은 제한됩니다. 낮은 이벤트 크기를 지원하며 처리량 단위의 수를 자동으로 스케일 업하고 늘리는 자동 확장 옵션이 없습니다. 시간이 지남에 따라 작업 영역에 대한 데이터 볼륨이 증가하고 결과적으로 이벤트 허브 크기 조정이 필요하므로 자동 크기 조정 기능이 사용하도록 설정된 표준, 프리미엄 또는 전용 Event Hubs 계층을 사용합니다. 자세한 내용은 Azure Event Hubs 처리량 단위 자동 스케일 업을 참조하세요.
  • 가상 네트워크를 사용하도록 설정하면 데이터 내보내기가 Event Hubs 리소스에 도달할 수 없습니다. Event Hubs에 대한 액세스 권한을 부여하려면 이벤트 허브에서 이 방화벽 설정을 무시하기 위해 신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용 확인란을 선택해야 합니다.

내보낸 데이터 쿼리

작업 영역에서 스토리지 계정으로 데이터를 내보내면 개요에 언급된 다양한 시나리오를 충족하는 데 도움이 되며 스토리지 계정에서 blob을 읽을 수 있는 도구에서 사용할 수 있습니다. 다음 방법을 사용하면 Azure Data Explorer와 동일한 Log Analytics 쿼리 언어를 사용하여 데이터를 쿼리할 수 있습니다.

  1. Azure Data Explorer를 사용하여 Azure Data Lake에서 데이터를 쿼리합니다.
  2. Azure Data Explorer를 사용하여 스토리지 계정에서 데이터를 수집합니다.
  3. Log Analytics 작업 영역을 사용하여 로그 수집 API 를 사용하여 수집된 데이터를 쿼리합니다. 수집된 데이터는 원래 테이블이 아닌 사용자 지정 로그 테이블에 대한 것입니다.

데이터 내보내기 사용

Log Analytics 데이터 내보내기를 사용하도록 설정하려면 다음 단계를 수행해야 합니다. 각각에 대한 자세한 내용은 다음 섹션을 참조하세요.

  • 리소스 공급자 등록
  • 신뢰할 수 있는 Microsoft 서비스 허용
  • 데이터 내보내기 규칙 만들기 또는 업데이트

리소스 공급자 등록

Log Analytics 데이터 내보내기를 사용하도록 설정하려면 구독에서 Azure 리소스 공급자 Microsoft.Insights를 등록해야 합니다.

이 리소스 공급자는 대부분의 Azure Monitor 사용자에게 이미 등록되어 있을 것입니다. 이를 확인하려면 Azure Portal에서 구독으로 이동합니다. 구독을 선택한 다음 메뉴의 설정 섹션에서 리소스 공급자를 선택합니다. Microsoft.Insights를 찾습니다. 상태가 등록됨이면 이미 등록되어 있는 것입니다. 그렇지 않은 경우 등록을 선택하여 등록합니다.

또한 Azure 리소스 공급자 및 형식에 설명된 대로 사용 가능한 방법 중 하나를 사용하여 리소스 공급자를 등록할 수도 있습니다. 다음 샘플 명령은 Azure CLI를 사용합니다.

az provider register --namespace 'Microsoft.insights'

다음 샘플 명령은 PowerShell을 사용합니다.

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

신뢰할 수 있는 Microsoft 서비스 허용

선택한 네트워크에서 액세스할 수 있도록 스토리지 계정을 구성한 경우 예외를 추가하여 Azure Monitor가 계정에 쓸 수 있도록 해야 합니다. 스토리지 계정의 방화벽 및 가상 네트워크에서 신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용을 선택합니다.

신뢰할 수 있는 서비스 목록에서 Azure 서비스 허용 옵션을 보여 주는 스크린샷

대상 모니터링

Important

내보내기 대상은 제한이 있으며 제한, 실패 및 대기 시간을 최소화하기 위해 모니터링해야 합니다. 자세한 내용은 스토리지 계정 확장성Event Hubs 네임스페이스 할당량을 참조하세요.

데이터 내보내기 작업 및 경고에 사용할 수 있는 메트릭은 다음과 같습니다.

메트릭 이름 설명
내보낸 바이트 선택한 시간 범위 내에서 Log Analytics 작업 영역에서 대상으로 내보낸 총 바이트 수입니다. 내보낸 데이터 크기는 내보낸 JSON 형식 데이터의 바이트 수입니다. 1GB = 10^9바이트.
내보내기 실패 선택한 시간 범위 내에서 Log Analytics 작업 영역에서 대상으로 내보내지 못한 총 요청 수입니다. 이 수에는 대상 리소스 제한, 금지된 액세스 오류 또는 서버 오류로 인한 내보내기 시도 실패가 포함됩니다. 재시도 프로세스는 실패한 시도를 처리하며 이 숫자는 누락된 데이터에 대한 표시가 아닙니다.
내보낸 레코드 선택한 시간 범위 내에서 Log Analytics 작업 영역에서 내보낸 총 레코드 수입니다. 이 숫자는 성공으로 끝난 작업에 대한 레코드 수를 계산합니다.

스토리지 계정 모니터링

  1. 내보내기에 별도의 스토리지 계정을 사용합니다.

  2. 메트릭에 대한 경고를 구성합니다.

    범위 메트릭 네임스페이스 메트릭 집계 Threshold
    storage-name 어카운트 수신 Sum 경고 평가 기간당 최대 수신의 80%입니다. 예를 들어, 미국 서부의 범용 v2에 대한 제한은 60Gbps입니다. 경고 임계값은 5분 평가 기간당 1676GiB입니다.
  3. 경고 수정 작업:

    • 비 모니터링 데이터와 공유되지 않은 내보내기에는 별도의 스토리지 계정을 사용합니다.
    • Azure Storage 표준 계정은 요청에 따라 더 높은 수신 한도를 지원합니다. 한도 증가를 요청하려면 Azure 지원에 문의하세요.
    • 더 많은 스토리지 계정 간에 테이블을 분할합니다.

Event Hubs 모니터링

  1. 메트릭에 대한 경고를 구성합니다.

    범위 메트릭 네임스페이스 메트릭 집계 Threshold
    namespaces-name Event Hubs 표준 메트릭 들어오는 바이트 Sum 경고 평가 기간당 최대 수신의 80%입니다. 예를 들어, 한도는 단위(TU 또는 PU)당 1MB/s이고 사용된 단위는 5입니다. 임계값은 5분 평가 기간당 228MiB입니다.
    namespaces-name Event Hubs 표준 메트릭 들어오는 요청 Count 경고 평가 기간당 최대 이벤트의 80%입니다. 예를 들어, 한도는 단위(TU 또는 PU)당 1,000/s이고 사용된 단위는 5입니다. 임계값은 5분 평가 기간당 1,200,000입니다.
    namespaces-name Event Hubs 표준 메트릭 할당량 초과 오류 Count 요청의 1% 사이입니다. 예를 들어, 5분당 요청은 600,000입니다. 임계값은 5분 평가 기간당 6,000입니다.
  2. 경고 수정 작업:

    • 비 모니터링 데이터와 공유되지 않은 내보내기에는 별도의 Event Hubs 네임스페이스를 사용합니다.
    • 자동 확장 기능을 구성하여 처리량 단위 수를 자동으로 스케일 업하여 늘려서 사용량 요구 사항 충족
    • 데이터 볼륨을 수용하기 위해 처리량 단위의 증가를 확인합니다.
    • 더 많은 네임스페이스 간의 테이블을 분할합니다.
    • 처리량을 높이려면 프리미엄 또는 전용 계층을 사용합니다.

데이터 내보내기 규칙 만들기 또는 업데이트

데이터 내보내기 규칙은 데이터를 내보낼 테이블과 대상을 정의합니다. 내보내기 작업이 시작되기 전에 규칙 프로비전에는 약 30분이 소요됩니다. 데이터 내보내기 규칙 고려 사항:

  • 스토리지 계정은 작업 영역의 규칙 간에 고유해야 합니다.
  • 별도의 Event Hubs로 보낼 때 여러 규칙이 동일한 Event Hubs 네임스페이스를 사용할 수 있습니다.
  • 스토리지 계정으로 내보내기: 각 테이블에 대한 스토리지 계정에 별도의 컨테이너가 만들어집니다.
  • Event Hubs로 내보내기: 이벤트 허브 이름이 제공되지 않으면 각 테이블에 대해 별도의 이벤트 허브가 만들어집니다. 기본 및 표준 네임스페이스 계층에서 지원되는 Event Hubs의 수는 10입니다. 10개 이상의 테이블을 이러한 계층으로 내보낼 경우 여러 내보내기 규칙 간에 테이블을 분할하거나, 다른 Event Hubs 네임스페이스로 분할하거나, 규칙에 이벤트 허브 이름을 제공하여 여기로 모든 테이블을 내보냅니다.
  1. Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션 아래의 데이터 내보내기를 선택합니다. 창 상단에서 새 내보내기 규칙을 선택합니다.

    데이터 내보내기 진입점을 보여 주는 스크린샷

  2. 단계를 따른 다음 만들기를 선택합니다.

    내보내기 규칙 구성의 스크린샷

데이터 내보내기 규칙 구성 보기

  1. Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션 아래의 데이터 내보내기를 선택합니다.

    데이터 내보내기 화면을 보여 주는 스크린샷.

  2. 구성 보기에 대한 규칙을 선택합니다.

    데이터 내보내기 규칙 보기의 스크린샷.

내보내기 규칙 사용 안 함 또는 업데이트

테스트가 보류 중인 경우와 같이 특정 기간 동안 내보내기를 중지하도록 내보내기 규칙을 사용하지 않도록 설정할 수 있습니다. Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션 아래의 데이터 내보내기를 선택합니다. 내보내기 규칙을 사용하거나 사용하지 않으려면 상태 토글을 선택합니다.

데이터 내보내기 규칙을 사용하지 않도록 설정하는 스크린샷

내보내기 규칙 삭제

Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션 아래의 데이터 내보내기를 선택합니다. 규칙 오른쪽에 있는 줄임표를 선택하고 삭제를 선택합니다.

데이터 내보내기 규칙 삭제를 보여 주는 스크린샷

작업 영역에서 모든 데이터 내보내기 규칙 보기

Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션 아래의 데이터 내보내기를 선택하여 작업 영역의 모든 내보내기 규칙을 봅니다.

데이터 내보내기 규칙 보기를 보여 주는 스크린샷.

지원되지 않는 테이블

데이터 내보내기 규칙에 지원되지 않는 테이블이 포함되어 있으면 구성이 성공하지만 해당 테이블에 대한 데이터를 내보내지 않습니다. 테이블이 나중에 지원되면 해당 시점에서 데이터를 내보냅니다.

지원되는 테이블

참고 항목

더 많은 테이블에 대한 지원을 추가하는 중입니다. 이 문서를 정기적으로 확인하세요. 데이터가 데이터 내보내기 규칙에 표시되려면 이러한 테이블 중 하나에 있어야 합니다.

 테이블:  제한 사항
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
경고 일부 지원. Zabbix 경고에 대한 데이터 수집은 지원되지 않습니다.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
Anomalies
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureActivity 일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidentialWatchlist
ConfigurationData 일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksClusterLibraries
DatabricksClusters
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksInstancePools
DatabricksJobs
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent 일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
이벤트 일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
하트비트
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics 일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
연산 일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
성능
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent 일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent 일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
ServiceFabricReliableActorEvent 일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
ServiceFabricReliableServiceEvent 일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXFailedIngestion
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
syslog 일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
엽데이트 일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
UpdateRunProgress
UpdateSummary
UrlClickEvents
사용
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection 일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
W3CIISLog 일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Watchlist
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData 일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement

다음 단계

Azure Data Explorer에서 내보낸 데이터 쿼리