Criar e editar DCRs (regras de coleta de dados) no Azure Monitor

Artigo
07/23/2024

Há vários métodos para criar uma DCR (regra de coleta de dados) no Azure Monitor. Em alguns casos, o Azure Monitor irá criar e gerenciar a DCR de acordo com as configurações definidas no portal do Azure. Em outros casos, talvez seja necessário criar suas próprias DCRs para personalizar cenários específicos.

Este artigo descreve os diferentes métodos para criar e editar uma DCR. Para obter o conteúdo da própria DCR, consulte Estrutura de uma regra de coleta de dados no Azure Monitor.

Permissões

Você precisa das seguintes permissões para criar DCRs e associações:

Função interna	Escopos	Motivo
Colaborador de monitoramento	Assinatura e/ou Grupo de recursos e/ou Uma DCR existente	Crie ou edite DCRs, atribua regras ao computador, implante associações.
Colaborador de Máquina Virtual Administrador de recursos de Azure Connected Machine	Máquinas virtuais, conjuntos de dimensionamento de máquinas virtuais Servidores habilitados para Azure Arc	Implantar extensões de agente na VM.
Qualquer função que inclua a ação Microsoft.Resources/deployments/*	Assinatura e/ou Grupo de recursos e/ou Uma DCR existente	Implantar modelos do Azure Resource Manager.

Métodos automatizados para criar uma DCR

A tabela a seguir lista métodos para criar cenários de coleta de dados usando o portal do Azure em que a DCR é criada para você. Nesses casos, você não precisa interagir com a DCR.

Cenário	Recursos	Descrição
Monitorar uma máquina virtual	Visão geral de habilitação de insights da VM	Quando você habilita insights de VM em uma VM, o agente do Azure Monitor é instalado e uma DCR que coleta um conjunto predefinido de contadores de desempenho é criada. Você não deve modificar essa DCR.
Insights do contêiner	Habilitar os Insights do contêiner	Quando você habilita insights de contêiner em um cluster do Kubernetes, uma versão em contêiner do agente do Azure Monitor é instalada e uma DCR que coleta dados de acordo com a configuração selecionada é criada. Talvez seja necessário modificar essa DCR para adicionar uma transformação.
Transformação do workspace	Adicionar uma transformar em uma regra de coleta de dados do workspace usando o portal do Azure	Crie uma transformação para qualquer tabela com suporte em um workspace do Log Analytics. A transformação é definida em uma DCR que é associada ao workspace. Ele é aplicado a todos os dados enviados para essa tabela a partir de uma carga de trabalho herdada que ainda não usa um DCR.

Criar um DCR

O Azure fornece um plano centralizado de configuração de coleta de dados baseado em nuvem para máquinas virtuais, conjuntos de dimensionamento de máquinas virtuais, máquinas locais e métricas do Prometheus de contêineres.

Este artigo descreve como criar um DCR do zero. Há outras soluções de insights que fornecem experiências de criação de DCRs, como o Sentinel, o VM Insights e o Application Insights, que criam DCRs como parte de seus próprios fluxos de trabalho. Em alguns casos, os DCRs criados nessas soluções diferentes podem parecer conflitantes. Há três tabelas para as quais os eventos do Windows podem ser enviados. Os eventos de auditoria de segurança do Sentinel vão para SecurityEvents e os eventos do conector WEF vão para a tabela WindowsEvent. Se você usar a coleção de eventos do Windows scratch, os resultados irão para a tabela Eventos.

Para criar uma regra de coleta de dados usando a CLI do Azure, o PowerShell, a API ou os modelos do ARM, crie um arquivo JSON, começando com um dos exemplos de DCRs. Use as informações em Estrutura de uma regra de coleta de dados no Azure Monitor para modificar o arquivo JSON para seu ambiente e requisitos específicos.

Importante

Crie sua regra de coleta de dados na mesma região que o Workspace do Log Analytics de destino ou o Workspace do Azure Monitor. Você pode associar a regra de coleta de dados a computadores ou contêineres de qualquer assinatura ou grupo de recursos no locatário. Para enviar dados entre locatários, primeiro você deve habilitar o Azure Lighthouse.

No menu Monitor, selecione Regras de Coleta de Dados>Criar para abrir a página de criação de uma nova regra de coleta de dados.

Defina as configurações em cada etapa do assistente, conforme detalhado abaixo.

Noções básicas

Elemento da tela	Descrição
Nome da regra	Insira um nome para a regra de coleta de dados.
Assinatura	Associe a regra de coleta de dados a uma assinatura.
Grupo de Recursos	Associe a regra de coleta de dados a um grupo de recursos.
Região	Crie a regra de coleta de dados na mesma região do Workspace do Log Analytics de destino. Você pode associar a regra de coleta de dados a computadores de qualquer assinatura ou grupo de recursos no locatário.
Tipo de Plataforma	Selecione Windows ou Linux ou Todos, o que permite plataformas Windows e Linux.
Ponto de extremidade da coleta de dados	Para coletar dados de syslog do Linux, logs do IIS, logs de texto personalizados ou logs JSON personalizados, selecione um ponto de extremidade de coleta de dados existente ou crie um ponto de extremidade. Não é necessário um ponto de extremidade para coletar contadores de desempenho e logs de eventos do Windows. Nessa guia, só é possível selecionar um ponto de extremidade de coleta de dados na mesma região que a regra de coleta de dados. O agente envia os dados coletados para esse ponto de extremidade de coleta de dados. Para obter mais informações, consulte Componentes de um ponto de extremidade de coleta de dados.

Recursos

Elemento da tela	Descrição
+ Adicionar recursos	Associe máquinas virtuais, Conjuntos de Dimensionamento de Máquinas Virtuais e o Azure Arc para servidores à regra de coleta de dados. O portal do Microsoft Azure instala o Agente do Azure Monitor em recursos que ainda não têm o agente instalado.
Habilitar pontos de extremidade de coleta de dados	Se o computador que você está monitorando não estiver na mesma região que o Workspace de Log Analytics de destino, habilite pontos de extremidade de coleta de dados e selecione um ponto de extremidade na região do computador monitorado para coletar dados de syslog do Linux, logs do IIS, logs de texto personalizados ou logs JSON personalizados. Se o computador monitorado estiver na mesma região que o Workspace do Log Analytics de destino ou se estiver coletando contadores de desempenho e logs de eventos do Windows, não selecione um ponto de extremidade de coleta de dados na guia Recursos. O ponto de extremidade de coleta de dados na guia Recursos é o ponto de extremidade de acesso à configuração, conforme descrito em Componentes de um ponto de extremidade de coleta de dados. Se você precisar de isolamento de rede usando links privados, selecione pontos de extremidade existentes na mesma região para os respectivos recursos ou crie um novo ponto de extremidade.
Identidade de extensão do agente	Use uma identidade gerenciada atribuída pelo sistema ou selecione uma identidade existente atribuída pelo usuário à máquina virtual. Para obter mais informações, confira Tipos de identidade gerenciada.

Coletar e entregar

Na guia Coletar e entregar, selecione Adicionar fonte de dados e defina as configurações nas guias Origem e Destino, conforme detalhado abaixo.

Elemento da tela	Descrição
Fonte de dados	Selecione um Tipo de fonte de dados e defina os campos relacionados com base no tipo de fonte de dados selecionado. Para obter mais informações sobre a coleta de dados dos vários tipos de fontes de dados, consulte Coleta de dados com o Agente do Azure Monitor
Destino	Adicione um ou mais destinos para cada fonte. Você pode selecionar vários destinos do mesmo tipo ou de tipos diferentes.

Examinar + criar

Revise os detalhes da regra de coleta de dados e selecione Criar para criar a regra de coleta de dados.

Observação

Quando você cria uma regra de coleta de dados usando o assistente de regra de coleta de dados, pode levar até 5 minutos para que os dados sejam enviados aos destinos.

Use o comando az monitor data-collection rule create para criar uma DCR a partir do arquivo JSON usando a CLI do Azure, conforme mostrado no exemplo a seguir.

az monitor data-collection rule create --location 'eastus' --resource-group 'my-resource-group' --name 'myDCRName' --rule-file 'C:\MyNewDCR.json' --description 'This is my new DCR'

Use o cmdlet New-AzDataCollectionRule para criar a DCR a partir do arquivo JSON usando o PowerShell, conforme mostrando no exemplo a seguir.

New-AzDataCollectionRule -Location 'east-us' -ResourceGroupName 'my-resource-group' -RuleName 'myDCRName' -RuleFile 'C:\MyNewDCR.json' -Description 'This is my new DCR'

Regras de coleta de dados

Ação	Comando
Obter regras	Get-AzDataCollectionRule
Criar uma regra	New-AzDataCollectionRule
Atualizar uma regra	Update-AzDataCollectionRule
Excluir uma regra	Remove-AzDataCollectionRule
Atualizar as 'tags' de uma regra	Update-AzDataCollectionRule

Associações de regra de coleta de dados

Ação	Comando
Obter associações	Get-AzDataCollectionRuleAssociation
Criar uma associação	New-AzDataCollectionRuleAssociation
Excluir uma associação	Remove-AzDataCollectionRuleAssociation

Use a API Criar DCR para criar a DCR a partir do arquivo JSON. Você pode usar qualquer método para chamar uma API REST, conforme mostrado nos exemplos a seguir.

$ResourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
$FilePath = ".\my-dcr.json"
$DCRContent = Get-Content $FilePath -Raw 
Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method PUT -Payload $DCRContent

ResourceId="/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
FilePath="my-dcr.json"
az rest --method put --url $ResourceId"?api-version=2022-06-01" --body @$FilePath

Consulte as referências a seguir para definir DCRs e associações em um modelo.

Use o modelo a seguir para criar uma DCR usando informações da Estrutura de uma regra de coleta de dados no Azure Monitor e DCRs (regras de coleta de dados de exemplo) no Azure Monitor para definir o dcr-properties.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "dataCollectionRuleName": {
            "type": "string",
            "metadata": {
                "description": "Specifies the name of the Data Collection Rule to create."
            }
        },
        "location": {
            "type": "string",
            "metadata": {
                "description": "Specifies the location in which to create the Data Collection Rule."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "[parameters('dataCollectionRuleName')]",
            "location": "[parameters('location')]",
            "apiVersion": "2021-09-01-preview",
            "properties": {
                "<dcr-properties>"
            }
        }
    ]
}

Associação DCR -VM do Azure

O exemplo a seguir cria uma associação entre uma máquina virtual do Azure e uma regra de coleta de dados.

Arquivo de modelo Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Arquivo de modelo do ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Associação DCR - Servidor habilitado par Arc

O exemplo a seguir cria uma associação entre um servidor habilitado para o Azure Arc e uma regra de coleta de dados.

Arquivo de modelo Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Arquivo de modelo do ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.HybridCompute/machines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this Arc server.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-hybrid-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Editar uma DCR

Para editar uma DCR, você usar qualquer um dos métodos descritos na seção anterior para criar uma DCR usando uma versão modificada do JSON.

Se você precisar recuperar o JSON para uma DCR existente, poderá copiá-lo da Exibição JSON para a DCR no portal do Azure. Você também pode recuperá-lo usando uma chamada à API, conforme mostrado no exemplo do PowerShell a seguir.

$ResourceId = "<ResourceId>" # Resource ID of the DCR to edit
$FilePath = "<FilePath>" # Store DCR content in this file
$DCR = Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method GET
$DCR.Content | ConvertFrom-Json | ConvertTo-Json -Depth 20 | Out-File -FilePath $FilePath

Para obter um tutorial que explica o processo de recuperação e edição de uma DCR existente, consulte Tutorial: Editar uma DCR (regra de coleta de dados).

Compartilhar via