Eksportowanie danych obszaru roboczego usługi Log Analytics w usłudze Azure Monitor

Eksportowanie danych w obszarze roboczym usługi Log Analytics umożliwia ciągłe eksportowanie danych dla wybranych tabel w obszarze roboczym. Możesz wyeksportować dane do konta usługi Azure Storage lub usługi Azure Event Hubs, gdy dane docierają do potoku usługi Azure Monitor. Ten artykuł zawiera szczegółowe informacje na temat tej funkcji i kroków konfigurowania eksportu danych w obszarach roboczych.

Omówienie

Dane w usłudze Log Analytics są dostępne dla okresu przechowywania zdefiniowanego w obszarze roboczym. Jest używana w różnych doświadczeniach oferowanych przez Azure Monitor i usługi Azure. Istnieją przypadki, w których należy użyć innych narzędzi:

• Zgodność magazynu chronionego przed naruszeniami: Nie można zmienić danych w usłudze Log Analytics po ich zaimportowaniu, ale mogą zostać usunięte. Eksport do skonfigurowanego konta magazynu z zasadami niezmienności, aby zapewnić ochronę przed manipulacją danymi.
• Integracja z usługami platformy Azure i innymi narzędziami: eksportowanie do usługi Event Hubs po odebraniu danych i przetworzenie ich w usłudze Azure Monitor.
• Długoterminowe przechowywanie danych inspekcji i zabezpieczeń: eksportuj dane do konta magazynowego w regionie przestrzeni roboczej. Możesz też replikować dane do innych regionów przy użyciu dowolnej z opcji nadmiarowości usługi Azure Storage, w tym GRS i GZRS.

Po skonfigurowaniu reguł eksportu danych w obszarze roboczym usługi Log Analytics nowe dane dotyczące tabel objętych regułami są eksportowane z potoku usługi Azure Monitor do konta magazynu lub usługi Event Hubs w miarę ich napływu. Ruch eksportu danych znajduje się w sieci szkieletowej platformy Azure i nie opuszcza sieci platformy Azure.

Dane są eksportowane bez filtru. Na przykład podczas konfigurowania reguły eksportu danych dla tabeli SecurityEvent wszystkie dane wysyłane do tabeli SecurityEvent są eksportowane począwszy od czasu konfiguracji. Alternatywnie możesz filtrować lub modyfikować wyeksportowane dane, konfigurując przekształcenia w obszarze roboczym, które mają zastosowanie do danych przychodzących, przed wysłaniem ich do obszarów roboczych usługi Log Analytics i wyeksportowaniem miejsc docelowych.

Inne opcje eksportu

Eksport danych obszaru roboczego usługi Log Analytics stale eksportuje dane wysyłane do obszaru roboczego usługi Log Analytics. Istnieją inne opcje eksportowania danych dla określonych scenariuszy:

• Jeśli zasób platformy Azure wysyła dzienniki do obszaru roboczego usługi Log Analytics za pomocą ustawień dziennika diagnostycznego, rozważ zaktualizowanie ustawień diagnostycznych w zasobie platformy Azure bezpośrednio w celu dodania nowego miejsca docelowego zamiast regularnego eksportowania danych. Takie podejście ma mniejsze opóźnienie w porównaniu z eksportem danych, ale nie wysyła danych historycznych.
• Zaplanuj eksport danych na podstawie zapytania dziennika zdefiniowanego za pomocą interfejsu API zapytań usługi Log Analytics. Usługa Azure Data Factory, Azure Functions lub Azure Logic Apps umożliwiają organizowanie zapytań w obszarze roboczym i eksportowanie danych do miejsca docelowego. Ta metoda jest podobna do funkcji eksportowania danych, ale można jej użyć do eksportowania danych historycznych z obszaru roboczego przy użyciu filtrów i agregacji. Ta metoda podlega limitom zapytań dzienników i nie jest przeznaczona do skalowania. Aby uzyskać więcej informacji, zobacz Eksportowanie danych z obszaru roboczego usługi Log Analytics do konta magazynu przy użyciu usługi Logic Apps.
• Użyj jednorazowego eksportu na maszynę lokalną przy użyciu skryptu programu PowerShell. Aby uzyskać więcej informacji, zobacz Invoke-AzOperationalInsightsQueryExport.

Wymagane uprawnienia

Akcja	Wymagane uprawnienia
Tworzenie lub aktualizowanie reguły eksportowania danych	Microsoft.OperationalInsights/workspaces/dataexports/write uprawnienia do obszaru roboczego usługi Log Analytics, jak zapewnia wbudowana rola Współautora Log Analytics, na przykład
Usuwanie reguły eksportowania danych	Microsoft.OperationalInsights/workspaces/dataexports/delete uprawnienia do obszaru roboczego usługi Log Analytics, jak zapewnia wbudowana rola Współautora Log Analytics, na przykład
Eksportowanie do konta magazynu	Microsoft.Storage/storageAccounts/blobServices/containers/write uprawnienia do konta magazynu, jak podano we wbudowanej roli Współautor konta magazynu, na przykład
Eksport do Event Hub	Microsoft.EventHub/namespaces/eventhubs/write, , Microsoft.EventHub/namespaces/eventhubs/messages/writeMicrosoft.EventHub/namespaces/authorizationRules/listkeys/action uprawnienia do centrum zdarzeń udostępniane przez wbudowane role właściciela danych usługi Azure Event Hubs, na przykład
Wykonywanie zapytań dotyczących dzienników w tabeli	Microsoft.OperationalInsights/workspaces/query/<table>/read uprawnienia do obszaru roboczego Log Analytics, jak te zapewniane przez wbudowaną rolę Czytelnik Log Analytics, na przykład
Dzienniki zapytań w tabeli (akcja tabeli)	Microsoft.OperationalInsights/workspaces/tables/query/read uprawnienia do obszaru roboczego Log Analytics, jak te zapewniane przez wbudowaną rolę Czytelnik Log Analytics, na przykład

Ograniczenia

• Nie można eksportować dzienników niestandardowych utworzonych przy użyciu interfejsu API modułu zbierającego dane HTTP, w tym dzienników opartych na tekście używanych przez agenta usługi Log Analytics. Dzienniki niestandardowe utworzone przy użyciu reguł zbierania danych, w tym dzienników tekstowych, można eksportować.
• Eksport danych będzie stopniowo obsługiwać więcej tabel. Zobacz sekcję Nieobsługiwane tabele .
• Maksymalna liczba aktywnych reguł na obszar roboczy wynosi 10, z których każdy może zawierać wiele tabel.
• Konto magazynowe musi być unikalne dla reguł w obszarze roboczym.
• Obsługiwane plany tabel to Analiza i Podstawowa. Plan pomocniczy nie jest obsługiwany.
• Miejsca docelowe muszą znajdować się w tym samym regionie co obszar roboczy usługi Log Analytics.
• Eksportowanie do konta usługi Premium Storage nie jest obsługiwane.

Kompletność danych

Eksport danych jest zoptymalizowany pod kątem przenoszenia dużych ilości danych do miejsc docelowych. W przypadku miejsca docelowego z niewystarczającą skalą lub dostępnością proces ponawiania jest kontynuowany przez maksymalnie 12 godzin i może prowadzić do zduplikowania części wyeksportowanych rekordów. Postępuj zgodnie z zaleceniami dotyczącymi miejsc docelowych konta magazynu i usługi Event Hubs , aby zwiększyć niezawodność. Jeśli miejsca docelowe są nadal niedostępne po ponowieniu próby, dane zostaną odrzucone.

Aby uzyskać więcej informacji na temat limitów docelowych i zalecanych alertów, zobacz Tworzenie lub aktualizowanie reguły eksportowania danych.

Model wyceny

Opłaty za eksport danych są oparte na liczbie bajtów wyeksportowanych do miejsc docelowych w danych sformatowanych w formacie JSON i mierzonych w GB (10^9 bajtów). Nie można wykonać obliczeń rozmiaru eksportu danych za pomocą zapytania obszaru roboczego, ponieważ obliczenie rozmiaru nie obejmuje obciążenia związanego z formatowaniem JSON. Użyj metody w tym przykładowym skrypcie programu PowerShell, aby obliczyć całkowity rozliczeniowy rozmiar kontenera blobów. Obecnie nie są naliczane opłaty za eksport do suwerennych chmur. Powiadomienie zostanie wysłane przed włączeniem.

Aby uzyskać więcej informacji, w tym oś czasu rozliczeń eksportu danych, zobacz Cennik usługi Azure Monitor. Rozliczenia dla eksportu danych zostały włączone na początku października 2023 r.

Miejsca docelowe eksportu

Miejsce docelowe eksportu danych musi być dostępne przed utworzeniem reguł eksportu w obszarze roboczym. Miejsca docelowe mogą znajdować się w różnych subskrypcjach. Azure Lighthouse umożliwia również wysyłanie danych do miejsc docelowych w innej dzierżawie Microsoft Entra.

Konto magazynu

Zapobiegaj awariom dostępu do magazynu spowodowanym opóźnieniem lub przekroczeniem limitów wydajności, używając istniejącego konta magazynu, które nie zawiera innych danych nienadzorowanych. Pomaga to lepiej kontrolować dostęp do danych i zwiększa niezawodność eksportu danych.

Aby wysyłać dane na niezmienne konto magazynu, ustaw niezmienne zasady dla konta magazynu zgodnie z opisem w temacie Ustawianie zasad niezmienności dla usługi Azure Blob Storage i zarządzanie nimi. Należy wykonać wszystkie kroki opisane w tym artykule, w tym włączenie chronionych uzupełnialnych zapisów obiektów blob.

Konto pamięci masowej nie może być kontem Premium, musi mieć wersję StorageV1 lub nowszą i znajdować się w tym samym regionie co obszar roboczy. Jeśli musisz replikować dane do innych konta magazynowych w innych regionach, użyj dowolnej z opcji nadmiarowości magazynu Azure, w tym GRS i GZRS.

Dane są wysyłane do kont magazynu, gdy docierają do usługi Azure Monitor i są eksportowane do miejsc docelowych znajdujących się w regionie obszaru roboczego. Kontener jest tworzony dla każdej tabeli na koncie magazynu o nazwie am-, po której następuje nazwa tabeli. Przykładowo, tabela SecurityEvent wysłałaby do kontenera o nazwie am-SecurityEvent.

Obiekty blob są przechowywane w 5-minutowych folderach w następującej strukturze ścieżki: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<cztero-cyfrowy rok>/m=<dwucyfrowy miesiąc>/d=<dwucyfrowy dzień>/h=<dwucyfrowa godzina w formacie 24-godzinnym>/m=<dwucyfrowa minuta>/PT05M.json. Dołączanie do obiektów blob jest ograniczone do 50 K zapisów. Więcej obiektów blob zostanie dodanych w folderze jako PT05M_#.json*, gdzie "#" jest przyrostową liczbą obiektów blob.

Uwaga

Dołączania do obiektów blob są zapisywane na podstawie pola "TimeGenerated" i występują podczas odbierania danych źródłowych. Dane przychodzące do usługi Azure Monitor z opóźnieniem lub ponawiane po ograniczeniu przepustowości miejsc docelowych są zapisywane w obiektach blob zgodnie z czasem generowanym.

Format obiektów blob w koncie magazynowym jest w formacie linii JSON, gdzie każdy rekord jest oddzielony nowym wierszem, bez zewnętrznej tablicy rekordów i bez przecinków między rekordami JSON.

Centra zdarzeń

Unikaj używania centrum zdarzeń, które zawiera istniejące dane, nieprzeznaczone do monitorowania. Ta najlepsza praktyka pomaga zapobiegać awariom wejścia z powodu opóźnienia lub przekroczenia limitów częstotliwości.

Dane są wysyłane do centrum zdarzeń, gdy docierają do usługi Azure Monitor i są eksportowane do miejsc docelowych znajdujących się w regionie obszaru roboczego. Utwórz wiele reguł eksportu dla tej samej przestrzeni nazw usługi Event Hub, podając inną wartość dla Event Hub name w regule. Jeśli element Event Hub name nie zostanie podany, zostanie utworzony domyślny Event Hub dla tabel, które eksportujesz, z nazwą am-, po której następuje nazwa tabeli. Na przykład tabela SecurityEvent zostanie wysłana do centrum zdarzeń o nazwie am-SecurityEvent.

Liczba obsługiwanych usług Event Hubs w warstwach przestrzeni nazw Podstawowa i Standardowa wynosi 10. Podczas eksportowania więcej niż 10 tabel do tych warstw należy podzielić tabele między kilka reguł eksportu do różnych przestrzeni nazw usługi Event Hubs lub podać nazwę centrum zdarzeń, aby wyeksportować do niej wszystkie tabele.

Uwaga

• Podstawowa warstwa przestrzeni nazw usługi Event Hubs jest ograniczona. Obsługuje mniejszy rozmiar zdarzenia i nie posiada opcji Auto-inflate, która automatycznie zwiększa skalę i liczbę jednostek przepływności. Ze względu na to, że obszar roboczy zwiększa się ilość danych z upływem czasu i w związku z tym wymagane jest skalowanie Event Hub, należy użyć warstw Standardowej, Premium lub Dedykowanej Event Hubs z włączoną funkcją Automatycznego rozszerzania. Aby uzyskać więcej informacji, zobacz Automatyczne skalowanie jednostek przepustowości w usłudze Azure Event Hubs.
• Eksportowanie danych nie może dotrzeć do zasobów usługi Event Hubs, kiedy sieci wirtualne są włączone. Musisz zaznaczyć pole wyboru "Zezwalaj usługom platformy Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu", aby pominąć ustawienia zapory w usłudze Event Hub, umożliwiając dostęp do Twoich Event Hubs.

Wykonywanie zapytań dotyczących wyeksportowanych danych

Eksportowanie danych z obszarów roboczych do kont magazynowych pomaga zrealizować różne scenariusze wymienione w omówieniu i umożliwia ich wykorzystanie przez narzędzia, które mogą odczytywać obiekty blob z kont magazynowych. Poniższe metody umożliwiają wykonywanie zapytań dotyczących danych przy użyciu języka zapytań usługi Log Analytics, który jest taki sam w przypadku usługi Azure Data Explorer.

1. Usługa Azure Data Explorer umożliwia wykonywanie zapytań dotyczących danych w usłudze Azure Data Lake.
2. Użyj usługi Azure Data Explorer do pozyskiwania danych z konta przechowywania.
3. Użyj obszaru roboczego usługi Log Analytics, aby wysyłać zapytania dotyczące pozyskanych danych przy użyciu Logs Ingestion API. Pozyskane dane są wysyłane do niestandardowej tabeli dzienników, a nie do oryginalnej tabeli.

Włączanie eksportu danych

Aby włączyć eksportowanie danych usługi Log Analytics, należy wykonać następujące kroki.

• Rejestrowanie dostawcy zasobów
• Zezwalaj na zaufane usługi firmy Microsoft
• Monitorowanie miejsc docelowych (zalecane)
• Tworzenie lub aktualizowanie reguły eksportowania danych

Rejestrowanie dostawcy zasobów

Aby umożliwić eksportowanie danych usługi Log Analytics, dostawca zasobów platformy Azure Microsoft.Insights musi zostać zarejestrowany w subskrypcji.

Ten dostawca zasobów jest prawdopodobnie już zarejestrowany dla większości użytkowników usługi Azure Monitor. Aby to sprawdzić, przejdź do pozycji Subskrypcje w witrynie Azure Portal. Wybierz subskrypcję, a następnie wybierz pozycję Dostawcy zasobów w sekcji Ustawienia menu. Znajdź Microsoft.Insights. Jeśli jego stan to Zarejestrowano, jest już zarejestrowany. Jeśli nie, wybierz pozycję Zarejestruj , aby go zarejestrować.

Możesz również użyć dowolnej z dostępnych metod do zarejestrowania dostawcy zasobów zgodnie z opisem w artykule Dostawcy zasobów i typy platformy Azure. Następujące przykładowe polecenie używa interfejsu wiersza polecenia platformy Azure:

az provider register --namespace 'Microsoft.insights'

Następujące przykładowe polecenie używa programu PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Zezwalaj na zaufane usługi firmy Microsoft

Jeśli skonfigurowano konto magazynu tak, aby zezwalało na dostęp z wybranych sieci, należy dodać wyjątek, aby usługa Azure Monitor mogła zapisywać na koncie magazynu. W obszarze Zapory i sieci wirtualne dla Twojego konta magazynu wybierz opcję Zezwalaj usługom platformy Azure z listy zaufanych usług na dostęp do tego konta magazynu.

Monitorowanie miejsc docelowych

Ważne

Miejsca docelowe eksportu mają limity i powinny być monitorowane w celu zminimalizowania ograniczania przepustowości, awarii i opóźnień. Aby uzyskać więcej informacji, zobacz Skalowalność kont kont magazynowych i Limity kwot przestrzeni nazw usługi Event Hubs.

Następujące metryki są dostępne dla operacji eksportowania danych i alertów

Nazwa metryki	opis
Wyeksportowane bajty	Całkowita liczba bajtów wyeksportowanych do miejsca docelowego z obszaru roboczego usługi Log Analytics w wybranym zakresie czasu. Rozmiar eksportowanych danych to liczba bajtów w wyeksportowanych danych w formacie JSON. 1 GB = 10^9 bajtów.
Błędy eksportu	Łączna liczba żądań eksportu zakończonych niepowodzeniem do miejsca docelowego z obszaru roboczego usługi Log Analytics w wybranym zakresie czasu. Ta liczba obejmuje niepowodzenia eksportowania z powodu ograniczania zasobów docelowych, błędu zabronionego dostępu lub dowolnego błędu serwera. Proces ponawiania próby obsługuje nieudane próby, a liczba nie wskazuje na brakujące dane.
Wyeksportowane rekordy	Łączna liczba rekordów wyeksportowanych z obszaru roboczego usługi Log Analytics w wybranym zakresie czasu. Ta liczba zlicza rekordy dla operacji zakończonych powodzeniem.

Monitorowanie konta magazynu

1. Do eksportowania użyj oddzielnego konta magazynu.

2. Skonfiguruj alert dotyczący metryki:

   Zakres	Przestrzeń nazw metryki	Metryka	Agregacja	Próg
   nazwa magazynu	Konto	Wejście	Suma	80% maksymalnego ruchu przychodzącego na okres oceny alertu. Podano przykład, gdzie limit wynosi 60 Gb/s dla podstawowego wdrożenia v2 w regionie Zachodnie USA. Próg alertu to 1676 GiB na 5-minutowy okres oceny.

3. Akcje korygowania alertów:

   • Użyj oddzielnego konta magazynu do eksportu, które nie jest udostępniane z danymi nie związanymi z monitorowaniem.
   • Konta usługi Azure Storage w warstwie Standardowej obsługują wyższy limit na ruch przychodzący na żądanie. Aby złożyć wniosek o zwiększenie, skontaktuj się z Pomocą Azure.
   • Podziel tabele między więcej kont magazynowych.

Monitorowanie usługi Event Hubs

1. Konfigurowanie alertów dotyczących metryk:

   Zakres	Przestrzeń nazw metryki	Metryka	Agregacja	Próg
   nazwa przestrzeni nazw	Metryki standardowe usługi Event Hubs	Bajty przychodzące	Suma	80% maksymalnego ruchu przychodzącego na okres oceny alertu. Na przykład limit wynosi 1 MB/s na jednostkę (TU lub PU) i pięć używanych jednostek. Próg wynosi 228 MiB na 5-minutowy okres oceny.
   nazwa przestrzeni nazw	Metryki standardowe usługi Event Hubs	Żądania przychodzące	Liczba	80% maksymalnych zdarzeń na okres oceny alertu. Na przykład limit wynosi 1000/s na jednostkę (TU lub PU) i pięć używanych jednostek. Próg wynosi 1200 000 na 5-minutowy okres oceny.
   nazwa przestrzeni nazw	Metryki standardowe usługi Event Hubs	Błędy przekroczenia limitu przydziału	Liczba	Około 1% żądania Na przykład, liczba żądań co 5 minut wynosi 600 000. Próg wynosi 6000 na 5-minutowy okres oceny.

2. Akcje korygowania alertów:

   • Użyj oddzielnej przestrzeni nazw usługi Event Hubs do eksportu, która nie jest udostępniana z danymi niemającymi związku z monitorowaniem.
   • Skonfiguruj funkcję Auto-powiększanie, aby automatycznie zwiększyć skali i liczbę jednostek przepływności, aby sprostać potrzebom użytkowania.
   • Sprawdź wzrost liczby jednostek przepływności, aby obsłużyć objętość danych.
   • Podziel tabele pomiędzy większą liczbę przestrzeni nazw.
   • Aby uzyskać większą przepustowość, użyj warstw Premium lub dedykowanych.

Tworzenie lub aktualizowanie reguły eksportowania danych

Reguła eksportu danych definiuje lokalizację docelową i tabele, dla których dane są eksportowane. Aprowizacja reguły trwa około 30 minut przed rozpoczęciem operacji eksportowania. Zagadnienia dotyczące reguł eksportu danych:

• Konto magazynowe musi być unikalne dla reguł w obszarze roboczym.
• Wiele reguł może używać tej samej przestrzeni nazw usługi Event Hubs, gdy wysyłasz do oddzielnych centrów zdarzeń.
• Eksportowanie do konta magazynu: oddzielny kontener jest tworzony w ramach konta magazynu dla każdej tabeli.
• Eksport do Event Hubs: jeśli nie podano nazwy Event Hub, dla każdej tabeli zostanie utworzony oddzielny Event Hub. Liczba obsługiwanych usług Event Hubs w warstwach przestrzeni nazw Podstawowa i Standardowa wynosi 10. Podczas eksportowania do tych poziomów ponad 10 tabel należy podzielić tabele między kilka reguł eksportu do różnych przestrzeni nazw usługi Event Hubs lub podać nazwę Event Hub w regule, aby wyeksportować do niej wszystkie tabele.

Portal Azure

1. W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia. Wybierz pozycję Nowa reguła eksportu w górnej części okienka.

   

2. Wykonaj kroki, a następnie wybierz pozycję Utwórz. Tylko tabele z danymi w nich są wyświetlane na karcie "Źródło".

   

PowerShell

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do konta magazynu przy użyciu programu PowerShell. Dla każdej tabeli jest tworzony oddzielny kontener.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do określonego centrum zdarzeń przy użyciu programu PowerShell. Wszystkie tabele są eksportowane do podanej nazwy centrum zdarzeń i można je filtrować według pola Typ , aby oddzielić tabele.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do centrum zdarzeń przy użyciu programu PowerShell. Jeśli określona nazwa centrum zdarzeń nie zostanie podana, dla każdej tabeli zostanie utworzony oddzielny kontener, maksymalnie do liczby centrów zdarzeń obsługiwanych w każdej warstwie usługi Event Hubs. Aby wyeksportować więcej tabel, podaj nazwę centrum zdarzeń w regule. Możesz też ustawić inną regułę i wyeksportować pozostałe tabele do innej przestrzeni nazw usługi Event Hubs.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do konta przechowywania za pomocą CLI. Dla każdej tabeli jest tworzony oddzielny kontener.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do określonego centrum zdarzeń przy użyciu interfejsu wiersza polecenia. Wszystkie tabele są eksportowane do podanej nazwy centrum zdarzeń i można je filtrować według pola Typ , aby oddzielić tabele.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do centrum zdarzeń przy użyciu interfejsu wiersza polecenia. Jeśli nie zostanie podana konkretna nazwa centrum zdarzeń, dla każdej tabeli zostanie utworzony oddzielny kontener aż do dopuszczalnej liczby centrów zdarzeń w ramach Twojego poziomu Event Hubs. Jeśli masz więcej tabel do wyeksportowania, podaj nazwę centrum zdarzeń, aby wyeksportować dowolną liczbę tabel. Możesz też ustawić inną regułę, aby wyeksportować pozostałe tabele do innej przestrzeni nazw usługi Event Hubs.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

ODPOCZYNEK

Użyj następującego żądania, aby utworzyć regułę eksportu danych na koncie magazynu przy użyciu interfejsu API REST. Dla każdej tabeli jest tworzony oddzielny kontener. Żądanie powinno używać autoryzacji typu bearer token i typu danych application/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Treść żądania określa miejsce docelowe tabeli. Poniższy przykład to przykładowa treść żądania REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Poniższy przykład to przykładowa treść żądania REST dla centrum zdarzeń.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Poniższy przykład to przykładowa treść żądania REST dla centrum zdarzeń, w którym podano nazwę centrum zdarzeń. W takim przypadku wszystkie wyeksportowane dane są do niego wysyłane.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Szablon

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do konta magazynu przy użyciu szablonu usługi Azure Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do centrum zdarzeń przy użyciu szablonu usługi Resource Manager. Dla każdej tabeli jest tworzone oddzielne centrum zdarzeń.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do określonego centrum zdarzeń przy użyciu szablonu usługi Resource Manager. Wszystkie tabele są do niego eksportowane.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Wyświetlanie konfiguracji reguły eksportu danych

Portal Azure

1. W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia.

   

2. Wybierz regułę dla widoku konfiguracji.

   

PowerShell

Użyj następującego polecenia, aby wyświetlić konfigurację reguły eksportu danych przy użyciu programu PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia, aby wyświetlić konfigurację reguły eksportu danych przy użyciu interfejsu wiersza polecenia.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

ODPOCZYNEK

Użyj następującego żądania, aby wyświetlić konfigurację reguły eksportu danych przy użyciu interfejsu API REST. Żądanie powinno używać autoryzacji tokenu typu bearer.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Szablon

Opcja szablonu nie ma zastosowania.

Wyłączanie lub aktualizowanie reguły eksportu

Portal Azure

Możesz wyłączyć reguły eksportu, aby zatrzymać eksport przez określony okres, na przykład podczas przeprowadzania testów. W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia. Wybierz przełącznik Stan, aby wyłączyć lub włączyć regułę eksportu.

PowerShell

Możesz wyłączyć reguły eksportu, aby zatrzymać eksport przez określony okres, na przykład podczas przeprowadzania testów. Użyj następującego polecenia, aby wyłączyć lub zaktualizować parametry reguły przy użyciu programu PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Interfejs wiersza polecenia platformy Azure

Możesz wyłączyć reguły eksportu, aby zatrzymać eksport przez określony okres, na przykład podczas przeprowadzania testów. Użyj następującego polecenia, aby wyłączyć lub zaktualizować parametry reguły przy użyciu interfejsu wiersza polecenia.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

ODPOCZYNEK

Możesz wyłączyć reguły eksportu, aby zatrzymać eksport przez określony okres, na przykład podczas przeprowadzania testów. Użyj następującego polecenia, aby wyłączyć lub zaktualizować parametry reguły przy użyciu interfejsu API REST. Żądanie powinno używać autoryzacji tokenu typu bearer.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Szablon

Możesz wyłączyć reguły eksportu, aby zatrzymać eksportowanie podczas testowania i nie potrzebujesz danych wysyłanych do miejsca docelowego. Ustaw "enable": false w szablonie, aby wyłączyć eksport danych.

Usuwanie reguły eksportu

Portal Azure

W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia. Wybierz wielokropek po prawej stronie reguły, a następnie kliknij Usuń.

PowerShell

Użyj następującego polecenia, aby usunąć regułę eksportu danych przy użyciu programu PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia, aby usunąć regułę eksportu danych przy użyciu interfejsu wiersza polecenia.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

ODPOCZYNEK

Użyj następującego żądania, aby usunąć regułę eksportu danych przy użyciu interfejsu API REST. Żądanie powinno używać autoryzacji tokenu typu bearer.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Szablon

Opcja szablonu nie ma zastosowania.

Wyświetlanie wszystkich reguł eksportu danych w obszarze roboczym

Portal Azure

W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia, aby wyświetlić wszystkie reguły eksportu w obszarze roboczym.

PowerShell

Użyj następującego polecenia, aby wyświetlić wszystkie reguły eksportu danych w obszarze roboczym przy użyciu programu PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia, aby wyświetlić wszystkie reguły eksportu danych w obszarze roboczym przy użyciu interfejsu wiersza polecenia.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

ODPOCZYNEK

Użyj następującego żądania, aby wyświetlić wszystkie reguły eksportu danych w obszarze roboczym przy użyciu interfejsu API REST. Żądanie powinno używać autoryzacji tokenu typu bearer.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2023-09-01

Szablon

Opcja szablonu nie ma zastosowania.

Nieobsługiwane tabele

Uwaga

Jeśli reguła eksportu danych zawiera nieobsługiwaną tabelę, konfiguracja zakończy się pomyślnie, ale żadne dane nie zostaną wyeksportowane dla tej tabeli. Gdy tabela jest obsługiwana, eksport danych zostanie uruchomiony. Trwa proces dodawania obsługi większej liczby tabel. Regularnie sprawdzaj ten artykuł.

Stół	Ograniczenia
Operacja Danych ADX
Alarm	Częściowe wsparcie. Pozyskiwanie danych dla alertów Zabbix nie jest obsługiwane.
Historia Alertów
AzureActivity	Częściowe wsparcie. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta diagnostycznego są zbierane poprzez przechowywanie. Ta ścieżka nie jest obsługiwana w eksporcie.
AzureDiagnostics
AzureMetrics
ZmianaKonfiguracji
Dane konfiguracyjne	Częściowe wsparcie. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
Databricks Databricks SQL
DatabricksSQL
UruchomienieAplikacjiUrządzenia
Kalendarz urządzenia
DeviceConnectSession
DeviceEtw
Kondycja urządzenia
Puls urządzenia
ETWEvent	Częściowe wsparcie. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta diagnostycznego są zbierane poprzez przechowywanie. Ta ścieżka nie jest obsługiwana w eksporcie.
Zdarzenie	Częściowe wsparcie. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta diagnostycznego są zbierane poprzez przechowywanie. Ta ścieżka nie jest obsługiwana w eksporcie.
InsightsMetrics	Częściowe wsparcie. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
Sesje sieciowe
Operacja	Częściowe wsparcie. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
Status Ochrony
OperacyjneZdarzenieServiceFabric	Częściowe wsparcie. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta diagnostycznego są zbierane poprzez przechowywanie. Ta ścieżka nie jest obsługiwana w eksporcie.
ServiceFabricReliableActorEvent	Częściowe wsparcie. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta diagnostycznego są zbierane poprzez przechowywanie. Ta ścieżka nie jest obsługiwana w eksporcie.
WydarzenieNiezawodnejUsługiServiceFabric	Częściowe wsparcie. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta diagnostycznego są zbierane poprzez przechowywanie. Ta ścieżka nie jest obsługiwana w eksporcie.
Zaktualizuj	Częściowe wsparcie. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
VMBoundPort
Maszyna wirtualnaKomputer
Połączenie VM
VmProcess
W3CIISLog	Częściowe wsparcie. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta diagnostycznego są zbierane poprzez przechowywanie. Ta ścieżka nie jest obsługiwana w eksporcie.
WireData	Częściowe wsparcie. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.

Następne kroki

Wykonywanie zapytań względem wyeksportowanych danych z usługi Azure Data Explorer