Eksportowanie danych obszaru roboczego usługi Log Analytics w usłudze Azure Monitor

Eksportowanie danych w obszarze roboczym usługi Log Analytics umożliwia ciągłe eksportowanie danych dla wybranych tabel w obszarze roboczym. Możesz wyeksportować dane do konta usługi Azure Storage lub usługi Azure Event Hubs, gdy dane docierają do potoku usługi Azure Monitor. Ten artykuł zawiera szczegółowe informacje na temat tej funkcji i kroków konfigurowania eksportu danych w obszarach roboczych.

Omówienie

Dane w usłudze Log Analytics są dostępne dla okresu przechowywania zdefiniowanego w obszarze roboczym. Jest ona używana w różnych środowiskach oferowanych w usługach Azure Monitor i Azure. Istnieją przypadki, w których należy użyć innych narzędzi:

• Zgodność magazynu chronionego przed naruszeniami: nie można zmienić danych w usłudze Log Analytics po ich pozyskiwaniu, ale można je przeczyścić. Eksportowanie do zestawu konta magazynu z zasadami niezmienności w celu zachowania ochrony przed naruszeniami danych.
• Integracja z usługami platformy Azure i innymi narzędziami: eksportowanie do usługi Event Hubs po odebraniu danych i przetworzenie ich w usłudze Azure Monitor.
• Długoterminowe przechowywanie danych inspekcji i zabezpieczeń: eksportowanie do konta magazynu w regionie obszaru roboczego. Możesz też replikować dane do innych regionów przy użyciu dowolnej z opcji nadmiarowości usługi Azure Storage, w tym GRS i GZRS.

Po skonfigurowaniu reguł eksportu danych w obszarze roboczym usługi Log Analytics nowe dane dla tabel w regułach są eksportowane z potoku usługi Azure Monitor do konta magazynu lub usługi Event Hubs po ich nadejściu. Ruch eksportu danych znajduje się w sieci szkieletowej platformy Azure i nie opuszcza sieci platformy Azure.

Dane są eksportowane bez filtru. Na przykład podczas konfigurowania reguły eksportu danych dla tabeli SecurityEvent wszystkie dane wysyłane do tabeli SecurityEvent są eksportowane począwszy od czasu konfiguracji. Alternatywnie możesz filtrować lub modyfikować wyeksportowane dane, konfigurując przekształcenia w obszarze roboczym, które mają zastosowanie do danych przychodzących, przed wysłaniem ich do obszarów roboczych usługi Log Analytics i wyeksportowaniem miejsc docelowych.

Inne opcje eksportu

Eksport danych obszaru roboczego usługi Log Analytics stale eksportuje dane wysyłane do obszaru roboczego usługi Log Analytics. Istnieją inne opcje eksportowania danych dla określonych scenariuszy:

• Konfigurowanie ustawień diagnostycznych w zasobach platformy Azure. Dzienniki są wysyłane bezpośrednio do miejsca docelowego. Takie podejście ma mniejsze opóźnienie w porównaniu z eksportowaniem danych w usłudze Log Analytics.
• Zaplanuj eksportowanie danych na podstawie zapytania dziennika zdefiniowanego za pomocą interfejsu API zapytań usługi Log Analytics. Usługa Azure Data Factory, Azure Functions lub Azure Logic Apps umożliwiają organizowanie zapytań w obszarze roboczym i eksportowanie danych do miejsca docelowego. Ta metoda jest podobna do funkcji eksportowania danych, ale można jej użyć do eksportowania danych historycznych z obszaru roboczego przy użyciu filtrów i agregacji. Ta metoda podlega limitom zapytań dzienników i nie jest przeznaczona do skalowania. Aby uzyskać więcej informacji, zobacz Eksportowanie danych z obszaru roboczego usługi Log Analytics do konta magazynu przy użyciu usługi Logic Apps.
• Jednorazowy eksport do komputera lokalnego przy użyciu skryptu programu PowerShell. Aby uzyskać więcej informacji, zobacz Invoke-AzOperationalInsightsQueryExport.

Ograniczenia

• Nie można eksportować dzienników niestandardowych utworzonych przy użyciu interfejsu API modułu zbierającego dane HTTP, w tym dzienników opartych na tekście używanych przez agenta usługi Log Analytics. Dzienniki niestandardowe utworzone przy użyciu reguł zbierania danych, w tym dzienników tekstowych, można eksportować.
• Eksport danych będzie stopniowo obsługiwać więcej tabel, ale jest obecnie ograniczony do tabel określonych w sekcji obsługiwanych tabel . Tabele, które nie są jeszcze obsługiwane w regułach, ale żadne dane nie zostaną dla nich wyeksportowane, dopóki tabele nie będą obsługiwane.
• W obszarze roboczym można zdefiniować maksymalnie 10 reguł, z których każdy może zawierać wiele tabel. Możesz utworzyć więcej reguł w obszarze roboczym w stanie wyłączonym.
• Miejsca docelowe muszą znajdować się w tym samym regionie co obszar roboczy usługi Log Analytics.
• Konto magazynu musi być unikatowe dla reguł w obszarze roboczym.
• Nazwy tabel mogą mieć długość 60 znaków podczas eksportowania do konta magazynu. Mogą to być 47 znaków podczas eksportowania do usługi Event Hubs. Tabele z dłuższymi nazwami nie zostaną wyeksportowane.
• Eksportowanie do konta usługi Premium Storage nie jest obsługiwane.
• Obecnie nie są naliczane opłaty za eksport do suwerennych chmur. Powiadomienie zostanie wysłane przed włączeniem.

Kompletność danych

Eksport danych jest zoptymalizowany pod kątem przenoszenia dużych ilości danych do miejsc docelowych. W przypadku miejsca docelowego z niewystarczającą skalą lub dostępnością proces ponawiania prób trwa do 12 godzin i może spowodować ułamek duplikacji wyeksportowanych rekordów. Postępuj zgodnie z zaleceniami dotyczącymi miejsc docelowych konta magazynu i usługi Event Hubs , aby zwiększyć niezawodność. Aby uzyskać więcej informacji na temat limitów docelowych i zalecanych alertów, zobacz Tworzenie lub aktualizowanie reguły eksportowania danych. Jeśli miejsca docelowe są nadal niedostępne po ponowieniu próby, dane zostaną odrzucone.

Model cen

Opłaty za eksport danych są oparte na liczbie bajtów wyeksportowanych do miejsc docelowych w danych sformatowanych w formacie JSON i mierzonych w GB (10^9 bajtów). Obliczenie rozmiaru w zapytaniu obszaru roboczego nie może odpowiadać opłatom za eksport, ponieważ nie zawiera danych sformatowanych w formacie JSON. Program PowerShell umożliwia obliczenie całkowitego rozmiaru rozliczeniowego kontenera obiektów blob. Obecnie nie są naliczane opłaty za eksport do suwerennych chmur. Powiadomienie zostanie wysłane przed włączeniem.

Aby uzyskać więcej informacji, w tym oś czasu rozliczeń eksportu danych, zobacz Cennik usługi Azure Monitor. Rozliczenia dla eksportu danych zostały włączone na początku października 2023 r.

Eksportowanie miejsc docelowych

Miejsce docelowe eksportu danych musi być dostępne przed utworzeniem reguł eksportu w obszarze roboczym. Miejsca docelowe nie muszą znajdować się w tej samej subskrypcji co obszar roboczy. W przypadku korzystania z usługi Azure Lighthouse można również wysyłać dane do miejsc docelowych w innej dzierżawie firmy Microsoft Entra.

Aby skonfigurować regułę eksportu danych w dowolnej tabeli w obszarze roboczym i w obszarze roboczym, musisz mieć uprawnienia do zapisu. Zasady dostępu współdzielonego dla przestrzeni nazw usługi Event Hubs definiują uprawnienia, które ma mechanizm przesyłania strumieniowego. Przesyłanie strumieniowe do usługi Event Hubs wymaga uprawnień do zarządzania, wysyłania i nasłuchiwania. Aby zaktualizować regułę eksportu, musisz mieć uprawnienie ListKey dla tej reguły autoryzacji usługi Event Hubs.

Konto magazynu

Unikaj używania istniejącego konta magazynu, które ma inne dane nie monitorujące, aby lepiej kontrolować dostęp do danych, zapobiegać osiąganiu błędów limitu szybkości ruchu przychodzącego magazynu i opóźnieniami.

Aby wysyłać dane na niezmienne konto magazynu, ustaw niezmienne zasady dla konta magazynu zgodnie z opisem w temacie Ustawianie zasad niezmienności dla usługi Azure Blob Storage i zarządzanie nimi. Należy wykonać wszystkie kroki opisane w tym artykule, w tym włączenie chronionych uzupełnialnych zapisów obiektów blob.

Konto magazynu nie może być kontem Premium, musi mieć wartość StorageV1 lub nowszą i znajduje się w tym samym regionie co obszar roboczy. Jeśli musisz replikować dane do innych kont magazynu w innych regionach, możesz użyć dowolnej z opcji nadmiarowości usługi Azure Storage, w tym GRS i GZRS.

Dane są wysyłane do kont magazynu, gdy docierają do usługi Azure Monitor i są eksportowane do miejsc docelowych znajdujących się w regionie obszaru roboczego. Kontener jest tworzony dla każdej tabeli na koncie magazynu o nazwie am- po której następuje nazwa tabeli. Na przykład tabela SecurityEvent wyśle do kontenera o nazwie am-SecurityEvent.

Obiekty blob są przechowywane w 5-minutowych folderach w następującej strukturze ścieżki: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<cztery-cyfrowy rok>/m=<dwucyfrowy miesiąc>/d=<dwucyfrowy dzień/h=dwucyfrowy dzień>/h=<dwucyfrowa godzina zegara> 24-godzinnego/m=<dwie cyfry 60-minutowej minuty> zegara/PT05M.json. Dołączanie do obiektów blob jest ograniczone do 50 K zapisów. Więcej obiektów blob zostanie dodanych w folderze jako PT05M_#.json*, gdzie "#" jest przyrostową liczbą obiektów blob.

Uwaga

Dołączania do obiektów blob są zapisywane na podstawie pola "TimeGenerated" i występują podczas odbierania danych źródłowych. Dane przychodzące do usługi Azure Monitor z opóźnieniem lub ponawiane próby ograniczenia przepustowości miejsc docelowych są zapisywane w obiektach blob zgodnie z czasemogenerowanym.

Format obiektów blob na koncie magazynu jest w wierszach JSON, gdzie każdy rekord jest rozdzielany przez nowy wiersz, bez tablicy rekordów zewnętrznych i bez przecinków między rekordami JSON.

Event Hubs

Unikaj używania istniejącego centrum zdarzeń, które nie monitoruje danych, aby zapobiec osiągnięciu niepowodzeń limitu szybkości ruchu przychodzącego przestrzeni nazw usługi Event Hubs i opóźnienia.

Dane są wysyłane do centrum zdarzeń, gdy docierają do usługi Azure Monitor i są eksportowane do miejsc docelowych znajdujących się w regionie obszaru roboczego. Możesz utworzyć wiele reguł eksportu do tej samej przestrzeni nazw usługi Event Hubs, podając inną Event Hub name regułę. Jeśli element Event Hub name nie zostanie podany, zostanie utworzone domyślne centrum zdarzeń dla tabel eksportowanych z nazwą am, po której następuje nazwa tabeli. Na przykład tabela SecurityEvent zostanie wysłana do centrum zdarzeń o nazwie am-SecurityEvent.

Liczba obsługiwanych usług Event Hubs w warstwach przestrzeni nazw Podstawowa i Standardowa wynosi 10. Podczas eksportowania więcej niż 10 tabel do tych warstw należy podzielić tabele między kilka reguł eksportu do różnych przestrzeni nazw usługi Event Hubs lub podać nazwę centrum zdarzeń, aby wyeksportować do niej wszystkie tabele.

Uwaga

• Podstawowa warstwa przestrzeni nazw usługi Event Hubs jest ograniczona. Obsługuje ona mniejszy rozmiar zdarzenia i nie ma opcji automatycznego zwiększania skali w górę i zwiększania liczby jednostek przepływności. Ze względu na to, że ilość danych w obszarze roboczym zwiększa się wraz z upływem czasu i w związku z tym wymagane jest skalowanie centrum zdarzeń w warstwie Standardowa, Premium lub Dedicated Event Hubs z włączoną funkcją Automatycznego rozszerzania . Aby uzyskać więcej informacji, zobacz Automatyczne skalowanie w górę jednostek przepływności usługi Azure Event Hubs.
• Eksportowanie danych nie może uzyskać dostępu do zasobów usługi Event Hubs po włączeniu sieci wirtualnych. Musisz zaznaczyć pole wyboru Zezwalaj usługom platformy Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu, aby pominąć to ustawienie zapory w centrum zdarzeń w celu udzielenia dostępu do usługi Event Hubs.

Wykonywanie zapytań dotyczących wyeksportowanych danych

Eksportowanie danych z obszarów roboczych do kont magazynu pomaga spełnić różne scenariusze wymienione w omówieniu i mogą być używane przez narzędzia, które mogą odczytywać obiekty blob z kont magazynu. Poniższe metody umożliwiają wykonywanie zapytań dotyczących danych przy użyciu języka zapytań usługi Log Analytics, który jest taki sam w przypadku usługi Azure Data Explorer.

1. Usługa Azure Data Explorer umożliwia wykonywanie zapytań dotyczących danych w usłudze Azure Data Lake.
2. Użyj usługi Azure Data Explorer do pozyskiwania danych z konta magazynu.
3. Użyj obszaru roboczego usługi Log Analytics, aby wysyłać zapytania dotyczące pozyskanych danych przy użyciu interfejsu API pozyskiwania dzienników. Pozyskane dane to niestandardowa tabela dziennika, a nie oryginalna tabela.

Włączanie eksportu danych

Aby włączyć eksportowanie danych usługi Log Analytics, należy wykonać następujące kroki. Aby uzyskać więcej informacji na temat każdego z nich, zobacz następujące sekcje:

• Rejestrowanie dostawcy zasobów
• Zezwalaj na zaufane usługi firmy Microsoft
• Tworzenie lub aktualizowanie reguły eksportowania danych

Rejestrowanie dostawcy zasobów

Aby umożliwić eksportowanie danych usługi Log Analytics, dostawca zasobów platformy Azure Microsoft.Insights musi zostać zarejestrowany w subskrypcji.

Ten dostawca zasobów jest prawdopodobnie już zarejestrowany dla większości użytkowników usługi Azure Monitor. Aby to sprawdzić, przejdź do pozycji Subskrypcje w witrynie Azure Portal. Wybierz subskrypcję, a następnie wybierz pozycję Dostawcy zasobów w sekcji Ustawienia menu. Znajdź pozycję Microsoft.Insights. Jeśli jego stan to Zarejestrowano, jest już zarejestrowany. Jeśli nie, wybierz pozycję Zarejestruj , aby go zarejestrować.

Możesz również użyć dowolnej z dostępnych metod do zarejestrowania dostawcy zasobów zgodnie z opisem w artykule Dostawcy zasobów i typy platformy Azure. Następujące przykładowe polecenie używa interfejsu wiersza polecenia platformy Azure:

az provider register --namespace 'Microsoft.insights'

Następujące przykładowe polecenie używa programu PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Zezwalaj na zaufane usługi firmy Microsoft

Jeśli konto magazynu skonfigurowano tak, aby zezwalało na dostęp z wybranych sieci, należy dodać wyjątek, aby zezwolić usłudze Azure Monitor na zapisywanie na koncie. W obszarze Zapory i sieci wirtualne dla konta magazynu wybierz pozycję Zezwalaj usługom platformy Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu.

Monitorowanie miejsc docelowych

Ważne

Miejsca docelowe eksportu mają limity i powinny być monitorowane w celu zminimalizowania ograniczania przepustowości, awarii i opóźnień. Aby uzyskać więcej informacji, zobacz Skalowalność konta magazynu i limity przydziału przestrzeni nazw usługi Event Hubs.

Następujące metryki są dostępne dla operacji eksportowania danych i alertów

Nazwa metryki	opis
Wyeksportowane bajty	Całkowita liczba bajtów wyeksportowanych do miejsca docelowego z obszaru roboczego usługi Log Analytics w wybranym zakresie czasu. Rozmiar eksportowanych danych to liczba bajtów w wyeksportowanych danych w formacie JSON. 1 GB = 10^9 B.
Błędy eksportu	Łączna liczba żądań eksportu zakończonych niepowodzeniem do miejsca docelowego z obszaru roboczego usługi Log Analytics w wybranym zakresie czasu. Ta liczba obejmuje niepowodzenia eksportowania z powodu ograniczania zasobów docelowych, błędu zabronionego dostępu lub dowolnego błędu serwera. Proces ponawiania próby obsługuje nieudane próby, a liczba nie wskazuje na brakujące dane.
Wyeksportowane rekordy	Łączna liczba rekordów wyeksportowanych z obszaru roboczego usługi Log Analytics w wybranym zakresie czasu. Ta liczba zlicza rekordy dla operacji zakończonych powodzeniem.

Monitorowanie konta magazynu

1. Do eksportowania użyj oddzielnego konta magazynu.

2. Skonfiguruj alert dotyczący metryki:

   Scope	Przestrzeń nazw metryki	Metric	Agregacja	Threshold
   nazwa magazynu	Klient	Ruch przychodzący	Sum	80% maksymalnego ruchu przychodzącego na okres oceny alertu. Na przykład limit wynosi 60 Gb/s dla ogólnego przeznaczenia w wersji 2 w regionie Zachodnie stany USA. Próg alertu to 1676 GiB na 5-minutowy okres oceny.

3. Akcje korygowania alertów:

   • Użyj oddzielnego konta magazynu do eksportowania, które nie jest udostępniane z danymi, które nie są monitorowane.
   • Konta usługi Azure Storage w warstwie Standardowa obsługują wyższy limit ruchu przychodzącego według żądania. Aby poprosić o zwiększenie, skontaktuj się z pomocą techniczną platformy Azure.
   • Podziel tabele między więcej kont magazynu.

Monitorowanie usługi Event Hubs

1. Konfigurowanie alertów dotyczących metryk:

   Scope	Przestrzeń nazw metryki	Metric	Agregacja	Threshold
   namespaces-name	Metryki standardowe usługi Event Hubs	Bajty przychodzące	Sum	80% maksymalnego ruchu przychodzącego na okres oceny alertu. Na przykład limit wynosi 1 MB/s na jednostkę (TU lub PU) i pięć używanych jednostek. Próg wynosi 228 MiB na 5-minutowy okres oceny.
   namespaces-name	Metryki standardowe usługi Event Hubs	Żądania przychodzące	Count	80% maksymalnych zdarzeń na okres oceny alertu. Na przykład limit wynosi 1000/s na jednostkę (TU lub PU) i pięć używanych jednostek. Próg wynosi 1200 000 na 5-minutowy okres oceny.
   namespaces-name	Metryki standardowe usługi Event Hubs	Błędy przekroczenia limitu przydziału	Count	Między 1% żądania. Na przykład żądania na 5 minut to 600 000. Próg wynosi 6000 na 5-minutowy okres oceny.

2. Akcje korygowania alertów:

   • Użyj oddzielnej przestrzeni nazw usługi Event Hubs do eksportowania, który nie jest udostępniany z danymi nie monitorowania.
   • Skonfiguruj funkcję Automatycznego rozszerzania w celu automatycznego skalowania w górę i zwiększenia liczby jednostek przepływności w celu spełnienia wymagań użycia.
   • Sprawdź wzrost liczby jednostek przepływności, aby pomieścić wolumin danych.
   • Podziel tabele między większą przestrzeń nazw.
   • Aby uzyskać większą przepływność, użyj warstw Premium lub Warstwy dedykowane.

Tworzenie lub aktualizowanie reguły eksportowania danych

Reguła eksportu danych definiuje lokalizację docelową i tabele, dla których dane są eksportowane. Aprowizacja reguły trwa około 30 minut, zanim zainicjowano operację eksportowania. Zagadnienia dotyczące reguł eksportu danych:

• Konto magazynu musi być unikatowe dla reguł w obszarze roboczym.
• Wiele reguł może używać tej samej przestrzeni nazw usługi Event Hubs podczas wysyłania do oddzielnych centrów zdarzeń.
• Eksportowanie do konta magazynu: oddzielny kontener jest tworzony w ramach konta magazynu dla każdej tabeli.
• Eksportowanie do usługi Event Hubs: jeśli nie podano nazwy centrum zdarzeń, dla każdej tabeli zostanie utworzone oddzielne centrum zdarzeń. Liczba obsługiwanych usług Event Hubs w warstwach przestrzeni nazw Podstawowa i Standardowa wynosi 10. Podczas eksportowania do tych warstw ponad 10 tabel należy podzielić tabele między kilka reguł eksportu do różnych przestrzeni nazw usługi Event Hubs lub podać nazwę centrum zdarzeń w regule, aby wyeksportować do niej wszystkie tabele.

Witryna Azure Portal

1. W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia. Wybierz pozycję Nowa reguła eksportu w górnej części okienka.

   

2. Wykonaj kroki, a następnie wybierz pozycję Utwórz. Tylko tabele z danymi w nich są wyświetlane na karcie "Źródło".

   

Program PowerShell

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do konta magazynu przy użyciu programu PowerShell. Dla każdej tabeli jest tworzony oddzielny kontener.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do określonego centrum zdarzeń przy użyciu programu PowerShell. Wszystkie tabele są eksportowane do podanej nazwy centrum zdarzeń i można je filtrować według pola Typ , aby oddzielić tabele.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do centrum zdarzeń przy użyciu programu PowerShell. Jeśli określona nazwa centrum zdarzeń nie zostanie podana, dla każdej tabeli zostanie utworzony oddzielny kontener, maksymalnie do liczby centrów zdarzeń obsługiwanych w każdej warstwie usługi Event Hubs. Aby wyeksportować więcej tabel, podaj nazwę centrum zdarzeń w regule. Możesz też ustawić inną regułę i wyeksportować pozostałe tabele do innej przestrzeni nazw usługi Event Hubs.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia, aby utworzyć regułę eksportu danych na koncie magazynu przy użyciu interfejsu wiersza polecenia. Dla każdej tabeli jest tworzony oddzielny kontener.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do określonego centrum zdarzeń przy użyciu interfejsu wiersza polecenia. Wszystkie tabele są eksportowane do podanej nazwy centrum zdarzeń i można je filtrować według pola Typ , aby oddzielić tabele.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do centrum zdarzeń przy użyciu interfejsu wiersza polecenia. Jeśli określona nazwa centrum zdarzeń nie zostanie podana, dla każdej tabeli zostanie utworzony oddzielny kontener do liczby obsługiwanych usług Event Hubs dla warstwy usługi Event Hubs. Jeśli masz więcej tabel do wyeksportowania, podaj nazwę centrum zdarzeń, aby wyeksportować dowolną liczbę tabel. Możesz też ustawić inną regułę, aby wyeksportować pozostałe tabele do innej przestrzeni nazw usługi Event Hubs.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Użyj następującego żądania, aby utworzyć regułę eksportu danych na koncie magazynu przy użyciu interfejsu API REST. Dla każdej tabeli jest tworzony oddzielny kontener. Żądanie powinno używać autoryzacji tokenu elementu nośnego i typu zawartości application/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Treść żądania określa miejsce docelowe tabeli. Poniższy przykład to przykładowa treść żądania REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Poniższy przykład to przykładowa treść żądania REST dla centrum zdarzeń.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Poniższy przykład to przykładowa treść żądania REST dla centrum zdarzeń, w którym podano nazwę centrum zdarzeń. W takim przypadku wszystkie wyeksportowane dane są do niego wysyłane.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Szablon

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do konta magazynu przy użyciu szablonu usługi Azure Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do centrum zdarzeń przy użyciu szablonu usługi Resource Manager. Dla każdej tabeli jest tworzone oddzielne centrum zdarzeń.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Użyj następującego polecenia, aby utworzyć regułę eksportu danych do określonego centrum zdarzeń przy użyciu szablonu usługi Resource Manager. Wszystkie tabele są do niego eksportowane.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Wyświetlanie konfiguracji reguły eksportu danych

Witryna Azure Portal

1. W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia.

   

2. Wybierz regułę dla widoku konfiguracji.

   

Program PowerShell

Użyj następującego polecenia, aby wyświetlić konfigurację reguły eksportu danych przy użyciu programu PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia, aby wyświetlić konfigurację reguły eksportu danych przy użyciu interfejsu wiersza polecenia.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Użyj następującego żądania, aby wyświetlić konfigurację reguły eksportu danych przy użyciu interfejsu API REST. Żądanie powinno używać autoryzacji tokenu elementu nośnego.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Szablon

Opcja szablonu nie ma zastosowania.

Wyłączanie lub aktualizowanie reguły eksportu

Witryna Azure Portal

Możesz wyłączyć reguły eksportu, aby zatrzymać eksport przez określony okres, na przykład podczas przeprowadzania testów. W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia. Wybierz przełącznik Stan, aby wyłączyć lub włączyć regułę eksportu.

Program PowerShell

Możesz wyłączyć reguły eksportu, aby zatrzymać eksport przez określony okres, na przykład podczas przeprowadzania testów. Użyj następującego polecenia, aby wyłączyć lub zaktualizować parametry reguły przy użyciu programu PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Interfejs wiersza polecenia platformy Azure

Możesz wyłączyć reguły eksportu, aby zatrzymać eksport przez określony okres, na przykład podczas przeprowadzania testów. Użyj następującego polecenia, aby wyłączyć lub zaktualizować parametry reguły przy użyciu interfejsu wiersza polecenia.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Możesz wyłączyć reguły eksportu, aby zatrzymać eksport przez określony okres, na przykład podczas przeprowadzania testów. Użyj następującego polecenia, aby wyłączyć lub zaktualizować parametry reguły przy użyciu interfejsu API REST. Żądanie powinno używać autoryzacji tokenu elementu nośnego.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Szablon

Możesz wyłączyć reguły eksportu, aby zatrzymać eksportowanie podczas testowania i nie potrzebujesz danych wysyłanych do miejsca docelowego. Ustaw "enable": false w szablonie, aby wyłączyć eksport danych.

Usuwanie reguły eksportu

Witryna Azure Portal

W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia. Wybierz wielokropek po prawej stronie reguły i wybierz pozycję Usuń.

Program PowerShell

Użyj następującego polecenia, aby usunąć regułę eksportu danych przy użyciu programu PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia, aby usunąć regułę eksportu danych przy użyciu interfejsu wiersza polecenia.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Użyj następującego żądania, aby usunąć regułę eksportu danych przy użyciu interfejsu API REST. Żądanie powinno używać autoryzacji tokenu elementu nośnego.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Szablon

Opcja szablonu nie ma zastosowania.

Wyświetlanie wszystkich reguł eksportu danych w obszarze roboczym

Witryna Azure Portal

W menu obszaru roboczego usługi Log Analytics w witrynie Azure Portal wybierz pozycję Eksportuj dane w sekcji Ustawienia, aby wyświetlić wszystkie reguły eksportu w obszarze roboczym.

Program PowerShell

Użyj następującego polecenia, aby wyświetlić wszystkie reguły eksportu danych w obszarze roboczym przy użyciu programu PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia, aby wyświetlić wszystkie reguły eksportu danych w obszarze roboczym przy użyciu interfejsu wiersza polecenia.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Użyj następującego żądania, aby wyświetlić wszystkie reguły eksportu danych w obszarze roboczym przy użyciu interfejsu API REST. Żądanie powinno używać autoryzacji tokenu elementu nośnego.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Szablon

Opcja szablonu nie ma zastosowania.

Nieobsługiwane tabele

Jeśli reguła eksportu danych zawiera nieobsługiwaną tabelę, konfiguracja zakończy się pomyślnie, ale żadne dane nie zostaną wyeksportowane dla tej tabeli. Jeśli tabela zostanie później obsługiwana, dane zostaną wyeksportowane w tym czasie.

Obsługiwane tabele

Uwaga

Trwa proces dodawania obsługi większej liczby tabel. Regularnie sprawdzaj ten artykuł.

Stół	Ograniczenia
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
Dzienniki aprowizacji usługi AAD
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXIngestionBatching
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AgCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AgWAccessLogs
AGWFirewallLogs
AgWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
ALBHealthEvent
Alerty	Częściowa obsługa. Pozyskiwanie danych dla alertów zabbix nie jest obsługiwane.
AlertEvidence
Informacje o alertach
AmlComputeClusterEvent
AmlComputeCpuGpuU niewymagania
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataLabelEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
AMWMetricsUsageDetails
ANFFileAccess
Anomalie
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
ApiManagementWebSocketConnectionLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
Metryki aplikacji
AppPageViews
AppPerformanceCounters
AppPlatformBuildLogs
AppPlatformContainerEventLogs
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
Dzienniki uwierzytelniania usługi AppService
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
AsCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
Zadania ASRJob
AsRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoskalowanieLog
AutoskalowanieSkalaActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
Dzienniki AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSDiagnosticErrorLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
ZachowanieAnalytics
CassandraAudit
CassandraLogs
Dzienniki aplikacji CCF
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
Lista poufnych zegarków
ConfigurationData	Częściowa obsługa. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DanebricksAccounts
DatabricksBrickStoreHttpGateway
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksCloudStorageMetadata
DatabricksClusterLibraries
DatabricksClusters
DatabricksDashboards
DatabricksDataMonitoring
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksFilesystem
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
Pozyskiwanie danych w usłudze Databricks
Puli usługi DatabricksInstance
DatabricksJobs
DatabricksLineageTracking
DatabricksMarketplaceConsumer
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksPredictiveOptimization
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
Informacje o urządzeniu
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
Dzienniki dnsquery
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
WzbogaconeMicrosoft365AuditLogs
ETWEvent	Częściowa obsługa. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta rozszerzenia diagnostyki są zbierane za pośrednictwem magazynu. Ta ścieżka nie jest obsługiwana w eksporcie.
Zdarzenie	Częściowa obsługa. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta rozszerzenia diagnostyki są zbierane za pośrednictwem magazynu. Ta ścieżka nie jest obsługiwana w eksporcie.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
Niepowodzenie Pozyskiwanie
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
Dzienniki bazy danych HDInsightH
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
Dzienniki zabezpieczeń usługi HDInsight
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
Dzienniki usługi HDInsightSpark
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
Dzienniki biblioteki HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Puls
Element HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Częściowa obsługa. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
IntuneAuditLogs
IntuneDeviceComplianceOrg
IntuneUrządzenia
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
DZIENNIKI LAQuery
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
Dzienniki MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MDCFileIntegrityMonitoringEvents
MDECustomCollectionDeviceFileEvents
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemSessionHistoryUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NcBMSecurityLogs
Dzienniki systemu NCBM
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSSTorageLogs
NetworkAccessTraffic
NetworkMonitoring
Dzienniki NGXOperationLogs
NSPAccessLogs
NTAInsights
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorDNSResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
Dzienniki OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operacja	Częściowa obsługa. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
Zabezpieczenia według planu bazowego
SecurityBaselineSummary
SecurityDetection
SecurityEvent
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation (Zalecenia dotyczące zabezpieczeń)
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent	Częściowa obsługa. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta rozszerzenia diagnostyki są zbierane za pośrednictwem magazynu. Ta ścieżka nie jest obsługiwana w eksporcie.
ServiceFabricReliableActorEvent	Częściowa obsługa. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta rozszerzenia diagnostyki są zbierane za pośrednictwem magazynu. Ta ścieżka nie jest obsługiwana w eksporcie.
ServiceFabricReliableServiceEvent	Częściowa obsługa. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta rozszerzenia diagnostyki są zbierane za pośrednictwem magazynu. Ta ścieżka nie jest obsługiwana w eksporcie.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SqlAtpStatus
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
Powodzenie Pozyskiwanie
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXCommand
Pozyskiwanie danych synapseDXFailedIngestion
SynapseDXIngestionBatching
SynapseDXQuery
SynapseDXSucceededIngestion
SynapseDXTableDetails
SynapseDXTableUsageStatistics
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Dziennik systemu
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Zaktualizuj	Częściowa obsługa. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Użycie
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
Indeksowanie VI
Połączenie maszyn wirtualnych	Częściowa obsługa. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
W3CIISLog	Częściowa obsługa. Dane pochodzące z agenta usługi Log Analytics lub agenta usługi Azure Monitor są w pełni obsługiwane w eksporcie. Dane odbierane za pośrednictwem agenta rozszerzenia diagnostyki są zbierane za pośrednictwem magazynu. Ta ścieżka nie jest obsługiwana w eksporcie.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Lista do obejrzenia
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData	Częściowa obsługa. Niektóre dane są pozyskiwane za pośrednictwem usług wewnętrznych, które nie są obsługiwane w eksporcie. Obecnie brakuje tej części w eksporcie.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDAutoscaleEvaluationPooled
Punkty kontrolne usługi WVD
WVDConnectionGraphicsDataPreview
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement
WVDSessionHostManagement

Następne kroki

Wykonywanie zapytań względem wyeksportowanych danych z usługi Azure Data Explorer