Azure Monitor의 데이터 수집 규칙 구조
DCR(데이터 수집 규칙)은 Azure Monitor로 전송된 원격 분석을 수집하고 처리하는 방법을 결정하는 지침 세트입니다. 일부 DCR은 Azure Monitor에서 만들고 관리합니다. 이 문서에서는 직접 작업해야 하는 경우 DCR을 만들고 편집하기 위한 DCR의 JSON 속성에 대해 설명합니다.
- 여기에 설명된 JSON을 사용하는 자세한 내용은 Azure Monitor에서 DCR(데이터 수집 규칙) 만들기 및 편집을 참조하세요.
- 다양한 시나리오에 대한 샘플 DCR은 Azure Monitor의 샘플 DCR(데이터 수집 규칙)을 참조하세요.
dataCollectionEndpointId
DCR에서 사용하는 DCE(데이터 수집 엔드포인트)를 지정합니다.
시나리오
- Azure Monitor 에이전트
- 로그 수집 API
- Events Hubs
streamDeclarations
Log Analytics 작업 영역으로 전송되는 다양한 유형의 데이터를 선언합니다. 각 스트림은 키가 Custom-으로 시작해야 하는 스트림 이름을 나타내는 개체입니다. 스트림에는 전송될 JSON 데이터에 포함된 최상위 속성의 전체 목록이 포함되어 있습니다. 엔드포인트로 보내는 데이터의 모양은 대상 테이블의 모양과 일치할 필요가 없습니다. 대신 입력 데이터 위에 적용되는 변환의 출력이 대상 모양과 일치해야 합니다.
이 섹션은 Azure Monitor 에이전트에서 보낸 이벤트 및 성능 데이터와 같은 알려진 데이터 형식을 보내는 데이터 원본에 사용되지 않습니다.
속성에 할당할 수 있는 가능한 데이터 형식은 다음과 같습니다.
string
int
long
real
boolean
dynamic
datetime
.
시나리오
- Azure Monitor 에이전트(텍스트 로그에만 해당)
- 로그 수집 API
- Event Hubs
destinations
데이터가 전송될 모든 대상을 선언합니다. azureMonitorMetrics
를 사용할 수도 있는 Azure Monitor 에이전트를 제외하고 현재 logAnalytics
만 대상으로 지원됩니다. 각 Log Analytics 대상에는 전체 작업 영역 리소스 ID와 이 작업 영역을 참조하기 위해 DCR의 다른 곳에서 사용할 친숙한 이름이 필요합니다.
시나리오
- Azure Monitor 에이전트(텍스트 로그에만 해당)
- 로그 수집 API
- Event Hubs
- 작업 영역 변환 DCR
dataSources
고유한 형식과 데이터 노출 방법이 있는 모니터링 데이터의 고유한 원본입니다. 각 데이터 원본에는 데이터 원본 형식이 있으며 각 형식은 각 데이터 원본에 대해 지정해야 하는 고유한 속성 세트를 정의합니다. 현재 사용할 수 있는 데이터 원본 형식은 다음 표에 나와 있습니다.
데이터 원본 유형 | 설명 |
---|---|
eventHub | Azure Event Hubs의 데이터 |
확장 | Log Analytics 솔루션 및 Azure 서비스에서만 사용하는 VM 확장 기반 데이터 원본(에이전트 지원 서비스 및 솔루션 보기) |
logFiles | 가상 머신의 텍스트 로그 |
performanceCounters | Windows 및 Linux 가상 머신 모두에 대한 성능 카운터 |
syslog | Linux 가상 머신의 Syslog 이벤트 |
windowsEventLogs | 가상 머신의 Windows 이벤트 로그 |
시나리오
- Azure Monitor 에이전트
- Event Hubs
dataFlows
스트림을 대상과 일치시키고 필요에 따라 변환을 지정합니다.
dataFlows/Streams
이전 섹션에서 정의한 스트림이 하나 이상 있습니다. 여러 데이터 원본을 동일한 대상으로 보내려는 경우 단일 데이터 흐름에 여러 스트림을 포함할 수 있습니다. 데이터 흐름에 변환이 포함된 경우에는 단일 스트림만 사용합니다. 특정 데이터 원본을 동일한 Log Analytics 작업 영역의 여러 테이블에 보내려는 경우 여러 데이터 흐름에서 하나의 스트림을 사용할 수도 있습니다.
dataFlows/destinations
위의 destinations
섹션에 있는 하나 이상의 대상입니다. 멀티 호밍 시나리오에는 여러 대상이 허용됩니다.
dataFlows/transformKql
들어오는 스트림에 적용되는 선택적 변환입니다. 변환은 들어오는 데이터의 스키마와 대상 테이블의 스키마에 있는 출력 데이터를 이해해야 합니다. 변환을 사용하는 경우 데이터 흐름은 단일 스트림만 사용해야 합니다.
dataFlows/outputStream
데이터가 전송될 destination
속성 아래에 지정된 작업 영역의 테이블을 설명합니다. outputStream
의 값은 데이터를 표준 Log Analytics 테이블로 수집할 경우 Microsoft-[tableName]
형식이 되고, 데이터를 사용자 지정 테이블로 수집할 경우에는 Custom-[tableName]
이 됩니다. 스트림당 하나의 대상만 허용됩니다.
이 속성은 미리 정의된 테이블로 전송되므로 이벤트 및 성능 데이터와 같은 Azure Monitor의 알려진 데이터 원본에 사용되지 않습니다. |
시나리오
- Azure Monitor 에이전트
- 로그 수집 API
- Event Hubs
- 작업 영역 변환 DCR