Exportação de dados do workspace do Log Analytics no Azure Monitor

A exportação de dados em um workspace do Log Analytics permite que você exporte dados continuamente de acordo com as tabelas selecionadas no workspace. Você pode exportar para uma Conta de Armazenamento do Azure ou para Hubs de Eventos do Azure à medida que os dados chegam a um pipeline do Azure Monitor. Este artigo fornece detalhes sobre esse recurso e as etapas para configurar a exportação de dados nos seus espaços de trabalho.

Visão geral

Os dados no Log Analytics ficam disponíveis pelo período de retenção definido em seu workspace. Eles são usados em várias experiências fornecidas no Azure Monitor e nos serviços do Azure. Há casos em que você precisa usar outras ferramentas:

• Conformidade com armazenamento protegido contra adulterações: os dados não podem ser alterados no Log Analytics após serem ingeridos, mas podem ser limpos. Exporte para uma Conta de Armazenamento configurada com políticas de imutabilidade para manter os dados protegidos contra adulterações.
• Integração com serviços do Azure e outras ferramentas: exporte para Hubs de Eventos à medida que os dados chegarem e forem processados no Azure Monitor.
• Retenção de longo prazo dos dados de auditoria e segurança: exporte para uma Conta de Armazenamento na região do workspace. Você também pode replicar dados para outras regiões usando qualquer uma das Opções de redundância do Armazenamento do Azure, incluindo GRS e GZRS.

Após você ter configurado as regras de exportação de dados em um workspace do Log Analytics, os novos dados para tabelas nas regras são exportados do pipeline do Azure Monitor para sua Conta de Armazenamento ou para os Hubs de Eventos à medida que chegam. O tráfego de exportação de dados está na rede de backbone do Azure e não sai da rede do Azure.

Os dados são exportados sem um filtro. Por exemplo, quando você configura uma regra de exportação de dados para uma tabela SecurityEvent, todos os dados enviados à tabela SecurityEvent são exportados a partir do momento da configuração. Como alternativa, você pode filtrar ou modificar os dados exportados configurando transformações no workspace que se aplicam aos dados de entrada, antes que eles sejam enviados aos workspaces do Log Analytics e aos destinos de exportação.

Outras opções de exportação

A exportação de dados do workspace do Log Analytics exporta continuamente dados que são enviados para seu workspace do Log Analytics. Há outras opções para exportar dados para cenários específicos:

• Definir configurações de diagnóstico em recursos do Azure. Os logs são enviados diretamente para um destino. Essa abordagem tem menor latência em comparação com a exportação de dados no Log Analytics.
• Agende a exportação de dados com base em uma consulta de log definida com a API de consulta do Log Analytics. Use o Azure Data Factory, o Azure Functions ou os Aplicativos Lógicos do Azure para orquestrar consultas em seu workspace e exportar dados para um destino. Esse método é semelhante ao recurso de exportação de dados, mas você pode usá-lo para exportar dados históricos do workspace usando filtros e a agregação. Esse método está sujeito a limites de consulta de log e não é destinado à escala. Para obter mais informações, confira Exportar dados de um workspace do Log Analytics para uma Conta de Armazenamento usando Aplicativos Lógicos.
• Exportação única para um computador local usando um script do PowerShell. Para saber mais, confira Invoke-AzOperationalInsightsQueryExport.

Limitações

• Os logs personalizados criados usando a API do Coletor de Dados HTTP não podem ser exportados, incluindo logs baseados em texto consumidos pelo agente do Log Analytics. Logs personalizados criados usando regras de coleta de dados, incluindo logs baseados em texto podem ser exportados.
• A exportação de dados dará suporte, gradualmente, a mais tabelas, mas atualmente está limitada às tabelas especificadas na seção tabelas com suporte. Você pode incluir tabelas que ainda não têm suporte nas regras, mas os dados não serão exportados para elas até que as tabelas tenham suporte.
• Você pode definir até dez regras habilitadas no workspace e cada uma pode incluir várias tabelas. Você pode criar mais regras no workspace no estado desabilitado.
• Os destino precisam estar na mesma região que o workspace do Log Analytics.
• A Conta de Armazenamento deve ser exclusiva para todas as regras no workspace.
• Os nomes de tabelas podem ter 60 caracteres quando você estiver exportando para uma Conta de Armazenamento. Quando estiver exportando para Hubs de Eventos, podem ter 47 caracteres. Tabelas com nomes mais longos não serão exportadas.
• Não há suporte para exportar para a conta de Armazenamento Premium.
• No momento, não há cobrança por exportação para nuvens soberanas. Uma notificação será enviada antes da habilitação.

Integridade dos dados

A exportação de dados é otimizada para mover grandes volumes de dados para seus destinos. No evento de destino com escala ou disponibilidade insuficiente, um processo de repetição continua por até 12 horas e pode resultar com uma fração de duplicação dos registros exportados. Siga as recomendações para os destinos Conta de Armazenamento e Hubs de Eventos para melhorar a confiabilidade. Para saber mais sobre os limites de destino e os alertas recomendados, confira Criar ou atualizar uma regra de exportação de dados. Se os destinos ainda não estiverem disponíveis após o período de repetição, os dados serão descartados.

Modelo de preços

Os encargos de exportação de dados são baseados no número de bytes exportados para destinos em dados formatados em JSON e medidos em GB (10^9 bytes). O cálculo do tamanho na consulta do workspace não pode corresponder aos encargos de exportação, pois não inclui os dados formatados em JSON. Você pode usar o PowerShell para calcular o tamanho total da cobrança de um contêiner de blob. No momento, não há cobrança por exportação para nuvens soberanas. Uma notificação será enviada antes da habilitação.

Para obter mais informações, incluindo a linha do tempo de cobrança de exportação de dados, consulte os Preços do Azure Monitor. A cobrança pela exportação de dados foi habilitada no início de outubro de 2023.

Destinos de exportação

O destino da exportação de dados precisa estar disponível antes da criação das regras de exportação no workspace. Os destinos não precisam estar na mesma assinatura que o workspace. Quando você usa o Azure Lighthouse, também é possível enviar dados para destinos em outro locatário do Microsoft Entra.

Você precisa ter permissões de gravação no espaço de trabalho e no destino para configurar uma regra de exportação de dados em qualquer tabela em um espaço de trabalho. A política de acesso compartilhado do namespace dos Hubs de Eventos define as permissões que o mecanismo de streaming tem. O fluxo para Hubs de Eventos requer as permissões Gerenciar, Enviar e Escutar. Para atualizar a regra de exportação, você deve ter a permissão ListKey nessa regra de autorização de Hubs de Eventos.

Conta de Armazenamento

Evite usar uma Conta de Armazenamento existente que tenha outros dados que não sejam de monitoramento para controlar melhor o acesso aos dados, evitar a latência e as falhas por atingir o limite de taxa de entrada de armazenamento.

Para enviar dados para uma Conta de Armazenamento imutável, defina a política imutável para a Conta de Armazenamento, conforme descrito em Definir e gerenciar políticas de imutabilidade para o Armazenamento de Blobs do Azure. Você deve seguir todas as etapas deste artigo, incluindo a habilitação de gravações de blobs de acréscimo protegidos.

A conta de armazenamento precisa ser StorageV1 ou superior e estar na mesma região que o workspace. Se precisar replicar seus dados para outras Contas de Armazenamento em outras regiões, você poderá usar qualquer uma das Opções de redundância do Armazenamento do Microsoft Azure, incluindo GRS e GZRS.

Os dados são enviados para Contas de Armazenamento à medida que chegam ao Azure Monitor e são exportados para destinos localizados em uma região do workspace. Um contêiner é criado para cada tabela na Conta de Armazenamento com o nome am- seguido do nome da tabela. Por exemplo, a tabela SecurityEvent seria enviada a um contêiner chamado am-SecurityEvent.

Os blobs são armazenados em pastas de 5 minutos na seguinte estrutura de caminho: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=<two-digit 60-minute clock minute>/PT05M.json. Os acréscimos aos blobs são limitados a gravações de 50 K. Mais blobs serão adicionados na pasta como PT05M_#.json*, onde "#" é o número incremental de blobs.

Observação

Os acréscimos aos blobs são gravados com base no campo "TimeGenerated" e ocorrem mediante o recebimento de dados da origem. Os dados que chegam ao Azure Monitor com atraso ou são sujeitos a uma nova tentativa após uma limitação dos destinos são gravados em blobs de acordo com seu TimeGenerated.

O formato de blobs em uma Conta de Armazenamento está em linhas JSON, nas quais cada registro é delimitado por uma nova linha, sem matriz de registros externa e sem vírgulas entre os registros JSON.

Hubs de Eventos

Evite usar um Hub de Eventos existente que contenha dados que não sejam de monitoramento para evitar a latência e as falhas por atingir o limite de taxa de entrada do namespace dos Hubs de Eventos.

Os dados são enviados para o seu Hub de Eventos à medida que chegam ao Azure Monitor e são exportados para destinos localizados em uma região do workspace. Você pode criar várias regras de exportação para o mesmo namespace dos Hubs de Eventos fornecendo um Event Hub name diferente na regra. Quando um Event Hub name não for fornecido, um Hub de Eventos padrão será criado para as tabelas que você exportar com o nome am- seguido do nome da tabela. Por exemplo, a tabela SecurityEvent seria enviada a um Hub de Eventos chamado am-SecurityEvent.

O número de Hubs de Eventos com suporte nos níveis de namespaces Básico e Standard é 10. Ao exportar mais de 10 tabelas para esses níveis, divida as tabelas entre várias regras de exportação para diferentes namespaces dos Hubs de Eventos ou forneça um nome de um Hub de Eventos para o qual exportar todas as tabelas.

Observação

• A camada do namespace Básico dos Hubs de Eventos é limitada. Ela dá suporte a um tamanho de evento menor e não é compatível com a opção Ampliação automática para escalar verticalmente de forma automática e aumentar o número de unidades de produtividade. Devido ao fato de o volume de dados do seu workspace aumentar com o tempo e, consequentemente, a ampliação do Hub de Eventos ser necessária, use os níveis Standard, Premium ou Dedicado do Hub de Eventos com o recurso de Ampliação Automática habilitado. Para saber mais, confira Escalar vertical e automaticamente unidades de produtividade dos Hubs de Eventos do Azure.
• A exportação de dados não consegue acessar recursos dos Hubs de Eventos quando as redes virtuais estão habilitadas. Você precisa selecionar a caixa de seleção Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa Conta de Armazenamento para ignorar essa configuração do firewall em um Hub de Eventos de modo a conceder acesso aos seus Hubs de Eventos.

Consultar dados exportados

A exportação de dados de workspaces para Contas de Armazenamento ajuda a atender a vários cenários mencionados na visão geral e pode ser consumida por ferramentas que podem ler blobs de Contas de Armazenamento. Os métodos a seguir permite consultar dados usando a linguagem de consulta do Log Analytics, que é a mesma para o Azure Data Explorer.

1. Use o Azure Data Explorer para consultar dados no Azure Data Lake.
2. Use o Azure Data Explorer para ingerir dados de uma Conta de Armazenamento.
3. Use o workspace do Log Analytics para consultar dados ingeridos usando a API de Ingestão de Logs . Os dados ingeridos são para uma tabela de log personalizada e não para a tabela original.

Habilitar exportação de dados

As etapas a seguir devem ser executadas para habilitar a exportação de dados do Log Analytics. Para obter mais informações sobre cada um, consulte as seguintes seções:

• Registre o provedor de recursos
• Permitir serviços confiáveis da Microsoft
• Criar ou atualizar uma regra de exportação de dados

Registre o provedor de recursos

O provedor de recursos do Azure Microsoft.Insights precisa ser registrado na assinatura para habilitar a exportação de dados do Log Analytics.

Provavelmente, esse provedor de recursos provavelmente já é registrado para a maioria dos usuários do Azure Monitor. Para verificar, acesse Assinaturas no portal do Azure. Selecione sua assinatura e Provedores de recursos na seção Configurações do menu. Localize Microsoft.Insights. Se o seu status for Registrado, então ele já está registrado. Caso contrário, selecione Registrar para registrá-lo.

Você também pode usar qualquer um dos métodos disponíveis para registrar um provedor de recursos, conforme descrito em Provedores de recursos do Azure e tipos. O seguinte comando de exemplo usa a CLI do Azure:

az provider register --namespace 'Microsoft.insights'

O seguinte comando de exemplo usa o PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Permitir serviços confiáveis da Microsoft

Se tiver configurado sua Conta de Armazenamento para permitir o acesso de redes selecionadas, você precisa adicionar uma exceção para permitir que o Azure Monitor grave na conta. Na guia Firewalls e redes virtuais da sua Conta de Armazenamento, selecione Permitir que serviços do Azure na lista de serviços confiáveis acessem essa Conta de Armazenamento.

Monitorar destinos

Importante

Os destinos de exportação têm limites e devem ser monitorados para minimizar a limitação, falhas e latência. Para saber mais, confira Escalabilidade da Conta de Armazenamento e Cotas de namespace dos Hubs de Eventos.

As métricas a seguir estão disponíveis para a operação de exportação de dados e alertas

Nome da métrica	Descrição
Bytes Exportados	Número total de bytes exportados para o destino do workspace do Log Analytics dentro do intervalo de tempo selecionado. O tamanho dos dados exportados é o número de bytes nos dados formatados JSON exportados. 1 GB = 10^9 bytes.
Falhas de importação	Número total de solicitações de exportação com falha para o destino do workspace do Log Analytics no intervalo de tempo selecionado. Esse número inclui falha de tentativas de exportação devido à limitação de recursos de destino, erro de acesso proibido ou qualquer erro de servidor. Um processo de repetição lida com tentativas com falha e o número não é uma indicação de dados ausentes.
Registros exportados	Número total de registros exportados do workspace do Log Analytics dentro do intervalo de tempo selecionado. Esse número conta registros para operações que terminaram com êxito.

Monitorar uma Conta de Armazenamento

1. Use uma Conta de Armazenamento separada para exportação.

2. Configure um alerta na métrica:

   Escopo	Namespace da métrica	Métrica	Agregação	Limite
   storage-name	Conta	Entrada	Somar	80% da entrada máxima por período de avaliação de alerta. Por exemplo, o limite é de 60 Gbps v2 de para uso geral no Oeste dos EUA. O limite de alerta é de 1676 GiB por período de avaliação de 5 minutos.

3. Ações de correção de alerta:

   • Use uma Conta de Armazenamento separada para exportação, que não seja compartilhada com dados que não sejam de monitoramento.
   • As contas Standard do Armazenamento do Azure dão suporte a limites de entrada mais altos por solicitação. Para solicitar um aumento, entre em contato com o Suporte do Azure.
   • Divida as tabelas entre mais Contas de Armazenamento.

Monitorar os Hubs de Eventos

1. Configure alertas nas métricas:

   Escopo	Namespace da métrica	Métrica	Agregação	Limite
   namespaces-name	Métricas padrão dos Hubs de Eventos	Bytes de entrada	Somar	80% da entrada máxima por período de avaliação de alerta. Por exemplo, o limite é de 1 MB/s por unidade (TU ou PU) e cinco unidades usadas. O limite é de 228 MiB por período de avaliação de 5 minutos.
   namespaces-name	Métricas padrão dos Hubs de Eventos	Solicitações de entrada	Contagem	80% do máximo de eventos por período de avaliação de alerta. Por exemplo, o limite é de 1.000/s por unidade ("U ou PU) e cinco unidades usadas. O limite é de 1.200.000 por período de avaliação de 5 minutos.
   namespaces-name	Métricas padrão dos Hubs de Eventos	Erros de cota excedida	Contagem	Entre 1% da solicitação. Por exemplo, as solicitações por 5 minutos são 600.000. O limite é de 6.000 por período de avaliação de 5 minutos.

2. Ações de correção de alerta:

   • Use um namespace dos Hubs de Eventos diferente para a exportação que não seja compartilhado com os dados que não são de monitoramento.
   • Configure o recurso de Ampliação automática para escalar verticalmente de modo automático e aumentar o número de unidades de produtividade para atender às necessidades de uso.
   • Verifique o aumento das unidades de produtividade para acomodar o volume de dados.
   • Divida as tabelas entre mais namespaces.
   • Use as camadas Premium ou Dedicado para uma taxa de transferência mais alta.

Criar ou atualizar uma regra de exportação de dados

Uma regra de exportação de dados define o destino e as tabelas para as quais os dados são exportados. O provisionamento de regra leva cerca de 30 minutos antes do início da operação de exportação. Considerações sobre regras de exportação de dados:

• A Conta de Armazenamento deve ser exclusiva para todas as regras no workspace.
• Várias regras podem usar o mesmo namespace dos Hubs de Eventos quando você enviá-las para Hubs de Eventos separados.
• Exportar para uma Conta de Armazenamento: um contêiner diferente é criado na Conta de Armazenamento para cada tabela.
• Exportar para os Hubs de Eventos: se o nome de um Hub de Eventos não for fornecido, um Hub de Eventos diferente será criado para cada tabela. O número de Hubs de Eventos com suporte nos níveis de namespaces Básico e Standard é 10. Ao exportar mais de 10 tabelas para esses níveis, divida as tabelas entre várias regras de exportação para diferentes namespaces de Hubs de Eventos ou forneça o nome de um Hub de Eventos na regra para o qual exportar todas as tabelas.

Portal do Azure

1. No menu do Workspace do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações. Selecione Nova regra de exportação na parte superior do painel.

   

2. Siga as etapas e selecione Criar. Somente as tabelas com dados são exibidas na guia "Fonte".

   

PowerShell

Use o comando a seguir para criar uma regra de exportação de dados para uma Conta de Armazenamento usando o PowerShell. Um contêiner diferente é criado para cada tabela.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos específico usando o PowerShell. Todas as tabelas são exportadas para o nome do Hub de Eventos fornecido e podem ser filtradas pelo campo Tipo para separar as tabelas.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos usando o PowerShell. Quando o nome de um Hub de Eventos específico não for fornecido, um contêiner diferente será criado para cada tabela até atingir o número de Hubs de Eventos com suporte em cada nível de Hubs de Eventos. Para exportar mais tabelas, forneça um nome de Hub de Eventos na regra. Ou você pode definir outra regra e exportar as tabelas restantes para outro namespace dos Hubs de Eventos.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

CLI do Azure

Use o comando a seguir para criar uma regra de exportação de dados para uma Conta de Armazenamento usando a CLI. Um contêiner diferente é criado para cada tabela.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos específico usando a CLI. Todas as tabelas são exportadas para o nome do Hub de Eventos fornecido e podem ser filtradas pelo campo Tipo para separar as tabelas.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos usando a CLI. Quando o nome de um Hub de Eventos específico não for fornecido, um contêiner separado será criado para cada tabela até atingir o número de Hubs de Eventos com suporte para o seu nível de Hubs de Eventos. Se você tiver mais tabelas para exportar, forneça um nome do Hub de Eventos para exportar qualquer número de tabelas. Ou você pode definir outra regra para exportar as tabelas restantes para outro namespace dos Hubs de Eventos.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Use a solicitação a seguir para criar uma regra de exportação de dados para uma Conta de Armazenamento usando a API REST. Um contêiner diferente é criado para cada tabela. A solicitação deve usar a autorização de token de portador e o aplicativo de tipo de conteúdo/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

O corpo da solicitação especifica o destino da tabela. O exemplo a seguir é um exemplo de corpo da solicitação REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

O exemplo a seguir é uma amostra do corpo da solicitação REST para um Hub de Eventos.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

O exemplo a seguir é uma amostra do corpo da solicitação REST para um Hub de Eventos em que o nome do Hub de Eventos é fornecido. Nesse caso, todos os dados exportados são enviados para ele.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Modelo

Use o comando a seguir para criar uma regra de exportação de dados para uma Conta de Armazenamento usando um modelo do Azure Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos usando um modelo do Resource Manager. Um Hub de Eventos separado é criado para cada tabela.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos específico usando um modelo do Resource Manager. Todas as tabelas são exportadas para ele.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Exibir configuração da regra de exportação de dados

Portal do Azure

1. No menu do Workspace do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações.

   

2. Selecione uma regra para exibição da configuração.

   

PowerShell

Use o comando a seguir para exibir a configuração de uma regra de exportação de dados usando o PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

CLI do Azure

Use o comando a seguir para exibir a configuração de uma regra de exportação de dados usando a CLI.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Use a solicitação a seguir para exibir a configuração de uma regra de exportação de dados usando a API REST. A solicitação deve usar a autorização de token de portador.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Modelo

A opção de modelo não se aplica.

Desabilitar ou atualizar uma regra de exportação

Azure portal

Você pode desabilitar as regras de exportação para interromper a exportação por determinado período, como quando o teste está sendo realizado. No menu do Workspace do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações. Selecione a alternância Status para desabilitar ou habilitar a regra de exportação.

PowerShell

Você pode desabilitar as regras de exportação para interromper a exportação por determinado período, como quando o teste está sendo realizado. Use o comando a seguir para desabilitar ou atualizar parâmetros de regra usando o PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

CLI do Azure

Você pode desabilitar as regras de exportação para interromper a exportação por determinado período, como quando o teste está sendo realizado. Use o comando a seguir para desabilitar ou atualizar parâmetros de regra usando a CLI.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Você pode desabilitar as regras de exportação para interromper a exportação por determinado período, como quando o teste está sendo realizado. Use o comando a seguir para desabilitar ou atualizar parâmetros de regra usando a API REST. A solicitação deve usar a autorização de token de portador.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Modelo

Você pode desabilitar as regras de exportação para interromper a exportação quando o teste é executado e você não precisa de dados enviados para o destino. Defina "enable": false no modelo para desabilitar uma exportação de dados.

Excluir uma regra de exportação

Portal do Azure

No menu do Workspace do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações. Selecione as reticências à direita da regra e selecione Excluir.

PowerShell

Use o comando a seguir para excluir uma regra de exportação de dados usando o PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

CLI do Azure

Use o comando a seguir para excluir uma regra de exportação de dados usando a CLI.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Use a solicitação a seguir para excluir uma regra de exportação de dados usando a API REST. A solicitação deve usar a autorização de token de portador.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Modelo

A opção de modelo não se aplica.

Exibir todas as regras de exportação de dados em um espaço de trabalho

Portal do Azure

No menu do Workspace do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações para ver todas as regras de exportação no workspace.

PowerShell

Use o comando a seguir para exibir todas as regras de exportação de dados em um workspace usando o PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

CLI do Azure

Use o comando a seguir para exibir todas as regras de exportação de dados em um espaço de trabalho usando a CLI.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Use a solicitação a seguir para exibir todas as regras de exportação de dados em um espaço de trabalho usando a API REST. A solicitação deve usar a autorização de token de portador.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Modelo

A opção de modelo não se aplica.

Tabelas sem suporte

Se a regra de exportação de dados incluir uma tabela sem suporte, a configuração terá sucesso, mas nenhum dado será exportado para essa tabela. Os dados da tabela serão exportados no momento em que a tabela receber suporte posteriormente.

Tabelas com suporte

Observação

Estamos em um processo de adição de suporte para mais tabelas. Verifique este artigo regularmente.

Tabela	Limitações
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXIngestionBatching
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
ALBHealthEvent
Alerta	Suporte parcial. Não há suporte para a ingestão de dados para alertas do Zabbix.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataLabelEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
AMWMetricsUsageDetails
ANFFileAccess
Anomalias
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
ApiManagementWebSocketConnectionLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformBuildLogs
AppPlatformContainerEventLogs
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSDiagnosticErrorLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidentialWatchlist
ConfigurationData	Suporte parcial. Alguns dos dados são ingeridos por meio de serviços internos que não têm suporte para exportação. No momento, essa parte está ausente na exportação.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksBrickStoreHttpGateway
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksCloudStorageMetadata
DatabricksClusterLibraries
DatabricksClusters
DatabricksDashboards
DatabricksDataMonitoring
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksFilesystem
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksIngestion
DatabricksInstancePools
DatabricksJobs
DatabricksLineageTracking
DatabricksMarketplaceConsumer
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksPredictiveOptimization
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent	Suporte parcial. Os dados que chegam do agente de Log Analytics ou do Azure Monitor Agent têm suporte completo na exportação. Os dados que chegam por meio do agente de extensão de Diagnóstico são coletados por meio do armazenamento. Não há suporte para esse caminho na exportação.
Evento	Suporte parcial. Os dados que chegam do agente de Log Analytics ou do Azure Monitor Agent têm suporte completo na exportação. Os dados que chegam por meio do agente de extensão de Diagnóstico são coletados por meio do armazenamento. Não há suporte para esse caminho na exportação.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Pulsação
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Suporte parcial. Alguns dos dados são ingeridos por meio de serviços internos que não têm suporte para exportação. No momento, essa parte está ausente na exportação.
IntuneAuditLogs
IntuneDeviceComplianceOrg
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MDCFileIntegrityMonitoringEvents
MDECustomCollectionDeviceFileEvents
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemSessionHistoryUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAInsights
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorDNSResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operação	Suporte parcial. Alguns dos dados são ingeridos por meio de serviços internos que não têm suporte para exportação. No momento, essa parte está ausente na exportação.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent	Suporte parcial. Os dados que chegam do agente de Log Analytics ou do Azure Monitor Agent têm suporte completo na exportação. Os dados que chegam por meio do agente de extensão de Diagnóstico são coletados por meio do armazenamento. Não há suporte para esse caminho na exportação.
ServiceFabricReliableActorEvent	Suporte parcial. Os dados que chegam do agente de Log Analytics ou do Azure Monitor Agent têm suporte completo na exportação. Os dados que chegam por meio do agente de extensão de Diagnóstico são coletados por meio do armazenamento. Não há suporte para esse caminho na exportação.
ServiceFabricReliableServiceEvent	Suporte parcial. Os dados que chegam do agente de Log Analytics ou do Azure Monitor Agent têm suporte completo na exportação. Os dados que chegam por meio do agente de extensão de Diagnóstico são coletados por meio do armazenamento. Não há suporte para esse caminho na exportação.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SqlAtpStatus
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXCommand
SynapseDXFailedIngestion
SynapseDXIngestionBatching
SynapseDXQuery
SynapseDXSucceededIngestion
SynapseDXTableDetails
SynapseDXTableUsageStatistics
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Atualizar	Suporte parcial. Alguns dos dados são ingeridos por meio de serviços internos que não têm suporte para exportação. No momento, essa parte está ausente na exportação.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Uso
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection	Suporte parcial. Alguns dos dados são ingeridos por meio de serviços internos que não têm suporte para exportação. No momento, essa parte está ausente na exportação.
W3CIISLog	Suporte parcial. Os dados que chegam do agente de Log Analytics ou do Azure Monitor Agent têm suporte completo na exportação. Os dados que chegam por meio do agente de extensão de Diagnóstico são coletados por meio do armazenamento. Não há suporte para esse caminho na exportação.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Watchlist
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData	Suporte parcial. Alguns dos dados são ingeridos por meio de serviços internos que não têm suporte para exportação. No momento, essa parte está ausente na exportação.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDAutoscaleEvaluationPooled
WVDCheckpoints
WVDConnectionGraphicsDataPreview
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement
WVDSessionHostManagement

Próximas etapas

Consultar os dados exportados no Azure Data Explorer