Exportação dos dados da área de trabalho do Log Analytics no Azure Monitor

A exportação de dados em um espaço de trabalho do Log Analytics permite exportar dados continuamente por tabelas selecionadas em seu espaço de trabalho. Você pode exportar para uma Conta de Armazenamento do Azure ou Hubs de Eventos do Azure à medida que os dados chegam a um pipeline do Azure Monitor. Este artigo fornece detalhes sobre esse recurso e etapas para configurar a exportação de dados em seus espaços de trabalho.

Descrição geral

Os dados no Log Analytics estão disponíveis para o período de retenção definido no seu espaço de trabalho. Ele é usado em várias experiências fornecidas no Azure Monitor e nos serviços do Azure. Há casos em que você precisa usar outras ferramentas:

• Conformidade do armazenamento protegido contra violação: os dados não podem ser alterados no Log Analytics depois de ingeridos, mas podem ser limpos. Exporte para uma Conta de Armazenamento definida com políticas de imutabilidade para manter os dados protegidos contra adulteração.
• Integração com serviços do Azure e outras ferramentas: exporte para Hubs de Eventos à medida que os dados chegam e são processados no Azure Monitor.
• Retenção de longo prazo de dados de auditoria e segurança: exporte para uma conta de armazenamento na região do espaço de trabalho. Ou você pode replicar dados para outras regiões usando qualquer uma das opções de redundância do Armazenamento do Azure, incluindo GRS e GZRS.

Depois de configurar as regras de exportação de dados em um espaço de trabalho do Log Analytics, os novos dados para tabelas em regras são exportados do pipeline do Azure Monitor para sua Conta de Armazenamento ou Hubs de Eventos à medida que chegam. O tráfego de exportação de dados está na rede de backbone do Azure e não sai da rede do Azure.

Os dados são exportados sem filtro. Por exemplo, quando você configura uma regra de exportação de dados para uma tabela SecurityEvent , todos os dados enviados para a tabela SecurityEvent são exportados a partir do momento da configuração. Como alternativa, você pode filtrar ou modificar dados exportados configurando transformações em seu espaço de trabalho, que se aplicam aos dados de entrada, antes de serem enviados para os espaços de trabalho do Log Analytics e para exportar destinos.

Outras opções de exportação

A exportação de dados do espaço de trabalho do Log Analytics exporta continuamente os dados enviados para o espaço de trabalho do Log Analytics. Existem outras opções para exportar dados para cenários específicos:

• Defina as configurações de diagnóstico nos recursos do Azure. Os logs são enviados diretamente para um destino. Essa abordagem tem latência menor em comparação com a exportação de dados no Log Analytics.
• Agende a exportação de dados com base em uma consulta de log definida com a API de consulta do Log Analytics. Use o Azure Data Factory, o Azure Functions ou os Aplicativos Lógicos do Azure para orquestrar consultas em seu espaço de trabalho e exportar dados para um destino. Esse método é semelhante ao recurso de exportação de dados, mas você pode usá-lo para exportar dados históricos do seu espaço de trabalho usando filtros e agregação. Esse método está sujeito a limites de consulta de log e não se destina a escala. Para obter mais informações, consulte Exportar dados de um espaço de trabalho do Log Analytics para uma conta de armazenamento usando aplicativos lógicos.
• Exportação única para uma máquina local usando um script do PowerShell. Para obter mais informações, consulte Invoke-AzOperationalInsightsQueryExport.

Limitações

• Os logs personalizados criados usando a API do HTTP Data Collector não podem ser exportados, incluindo logs baseados em texto consumidos pelo agente do Log Analytics. Os logs personalizados criados usando regras de coleta de dados, incluindo logs baseados em texto, podem ser exportados.
• A exportação de dados suportará gradualmente mais tabelas, mas atualmente está limitada às tabelas especificadas na seção de tabelas suportadas. Você pode incluir tabelas que ainda não são suportadas em regras, mas nenhum dado será exportado para elas até que as tabelas sejam suportadas.
• Você pode definir até 10 regras habilitadas em seu espaço de trabalho, cada uma pode incluir várias tabelas. Você pode criar mais regras no espaço de trabalho no estado desativado.
• Os destinos devem estar na mesma região que o espaço de trabalho do Log Analytics.
• A Conta de Armazenamento deve ser exclusiva entre as regras no espaço de trabalho.
• Os nomes das tabelas podem ter 60 caracteres quando você está exportando para uma Conta de Armazenamento. Eles podem ter 47 caracteres quando você estiver exportando para Hubs de Eventos. Tabelas com nomes mais longos não serão exportadas.
• Não há suporte para exportação para Conta de Armazenamento Premium.

Exaustividade dos dados

A exportação de dados é otimizada para mover grandes volumes de dados para seus destinos. A operação de exportação pode falhar se o destino não tiver capacidade suficiente ou estiver indisponível. Em caso de falha, o processo de repetição continua por até 12 horas. Para obter mais informações sobre limites de destino e alertas recomendados, consulte Criar ou atualizar uma regra de exportação de dados. Se os destinos ainda estiverem indisponíveis após o período de novas tentativas, os dados serão descartados. Em certos casos, a repetição pode causar a duplicação de uma fração dos registros exportados.

Modelo de preços

As taxas de exportação de dados são baseadas no número de bytes exportados para destinos em dados formatados em JSON e medidos em GB (10^9 bytes). O cálculo de tamanho na consulta do espaço de trabalho não pode corresponder aos encargos de exportação, pois não inclui os dados formatados em JSON. Você pode usar o PowerShell para calcular o tamanho total de faturamento de um contêiner de blob.

Para obter mais informações, incluindo a linha do tempo de cobrança de exportação de dados, consulte Preços do Azure Monitor. A cobrança para exportação de dados foi habilitada no início de outubro de 2023.

Destinos de exportação

O destino da exportação de dados deve estar disponível antes de criar regras de exportação em seu espaço de trabalho. Os destinos não precisam estar na mesma assinatura do seu espaço de trabalho. Quando você usa o Azure Lighthouse, também é possível enviar dados para destinos em outro locatário do Microsoft Entra.

Você precisa ter permissões de gravação para o espaço de trabalho e o destino para configurar uma regra de exportação de dados em qualquer tabela em um espaço de trabalho. A política de acesso compartilhado para o namespace Hubs de Eventos define as permissões que o mecanismo de streaming tem. O streaming para Hubs de Eventos requer permissões de gerenciamento, envio e escuta. Para atualizar a regra de exportação, você deve ter a permissão ListKey nessa regra de autorização de Hubs de Eventos.

Conta de Armazenamento

Evite usar a conta de armazenamento existente que tenha outros dados não monitoramentos, para controlar melhor o acesso aos dados, evitar alcançar falhas de limite de taxa de entrada de armazenamento e latência.

Para enviar dados para uma Conta de Armazenamento imutável, defina a política imutável para a Conta de Armazenamento conforme descrito em Definir e gerenciar políticas de imutabilidade para o Armazenamento de Blobs do Azure. Você deve seguir todas as etapas neste artigo, incluindo a habilitação de gravações de blobs de acréscimo protegidos.

A Conta de Armazenamento não pode ser Premium, deve ser StorageV1 ou posterior e estar localizada na mesma região do seu espaço de trabalho. Se precisar replicar seus dados para outras Contas de Armazenamento em outras regiões, você poderá usar qualquer uma das opções de redundância do Armazenamento do Azure, incluindo GRS e GZRS.

Os dados são enviados para Contas de Armazenamento à medida que chegam ao Azure Monitor e exportados para destinos localizados em uma região de espaço de trabalho. Um contêiner é criado para cada tabela na Conta de Armazenamento com o nome am- seguido pelo nome da tabela. Por exemplo, a tabela SecurityEvent seria enviada para um contêiner chamado am-SecurityEvent.

Os blobs são armazenados em pastas de 5 minutos na seguinte estrutura de caminho: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<ano> numérico de quatro dígitos/m=<mês numérico> de dois dígitos/d=<dia> numérico de dois dígitos/h=<hora de relógio de 24 horas de> dois dígitos/m=<minuto/PT05M.json de relógio de 60 minutos de dois> dígitos. Os acréscimos a blobs são limitados a gravações de 50 K. Mais blobs serão adicionados na pasta como PT05M_#.json*, onde '#' é a contagem incremental de blobs.

Nota

Os acréscimos a blobs são escritos com base no campo "TimeGenerated" e ocorrem ao receber dados de origem. Os dados que chegam ao Azure Monitor com atraso, ou repetidos após a limitação de destinos, são gravados em blobs de acordo com seu TimeGenerated.

O formato de blobs em uma Conta de Armazenamento está em linhas JSON, onde cada registro é delimitado por uma nova linha, sem matriz de registros externos e sem vírgulas entre registros JSON.

Hubs de Eventos

Evite usar o Hub de Eventos existente que não tenha dados de monitoramento para evitar alcançar os Hubs de Eventos, namespace, taxa de ingresso, limite, falhas e latência.

Os dados são enviados para o Hub de Eventos à medida que chegam ao Azure Monitor e são exportados para destinos localizados em uma região de espaço de trabalho. Você pode criar várias regras de exportação para o mesmo namespace de Hubs de Eventos fornecendo uma diferente Event Hub name na regra. Quando um Event Hub name não é fornecido, um Hub de Eventos padrão é criado para tabelas que você exporta com o nome am- seguido pelo nome da tabela. Por exemplo, a tabela SecurityEvent seria enviada para um Hub de Eventos chamado am-SecurityEvent.

O número de Hubs de Eventos suportados nas camadas de namespace Basic e Standard é 10. Quando você estiver exportando mais de 10 tabelas para essas camadas, divida as tabelas entre várias regras de exportação para diferentes namespaces de Hubs de Eventos ou forneça um nome de Hub de Eventos para exportar todas as tabelas para ele.

Nota

• A camada de namespace Basic Event Hubs é limitada. Ele suporta tamanho de evento mais baixo e nenhuma opção de inflação automática para aumentar automaticamente a escala e aumentar o número de unidades de taxa de transferência. Como o volume de dados para seu espaço de trabalho aumenta com o tempo e, como consequência, o dimensionamento do Hub de Eventos é necessário, use as camadas Hubs de Eventos Padrão, Premium ou Dedicado com o recurso de inflação automática habilitado. Para obter mais informações, consulte Dimensionar automaticamente as unidades de taxa de transferência dos Hubs de Eventos do Azure.
• A exportação de dados não pode alcançar os recursos dos Hubs de Eventos quando as redes virtuais estão habilitadas. Você precisa marcar a caixa de seleção Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa Conta de Armazenamento para ignorar essa configuração de firewall em um Hub de Eventos para conceder acesso aos seus Hubs de Eventos.

Consultar dados exportados

A exportação de dados de espaços de trabalho para Contas de Armazenamento ajuda a satisfazer vários cenários mencionados na visão geral e pode ser consumida por ferramentas que podem ler blobs de Contas de Armazenamento. Os métodos a seguir permitem consultar dados usando a linguagem de consulta do Log Analytics, que é a mesma para o Azure Data Explorer.

1. Use o Azure Data Explorer para consultar dados no Azure Data Lake.
2. Use o Azure Data Explorer para ingerir dados de uma Conta de Armazenamento.
3. Use o espaço de trabalho do Log Analytics para consultar dados ingeridos usando a API de ingestão de logs . Os dados ingeridos são para uma tabela de log personalizada e não para a tabela original.

Habilitar exportação de dados

As etapas a seguir devem ser executadas para habilitar a exportação de dados do Log Analytics. Para obter mais informações sobre cada um deles, consulte as seguintes seções:

• Registar o fornecedor de recursos
• Permitir serviços confiáveis da Microsoft
• Criar ou atualizar uma regra de exportação de dados

Registar o fornecedor de recursos

O provedor de recursos do Azure Microsoft.Insights precisa ser registrado em sua assinatura para habilitar a exportação de dados do Log Analytics.

Esse provedor de recursos provavelmente já está registrado para a maioria dos usuários do Azure Monitor. Para verificar, vá para Assinaturas no portal do Azure. Selecione a sua subscrição e, em seguida, selecione Fornecedores de recursos na secção Definições do menu. Localize Microsoft.Insights. Se o seu estado for Registado, então já está registado. Caso contrário, selecione Registrar para registrá-lo.

Você também pode usar qualquer um dos métodos disponíveis para registrar um provedor de recursos conforme descrito em Provedores e tipos de recursos do Azure. O comando de exemplo a seguir usa a CLI do Azure:

az provider register --namespace 'Microsoft.insights'

O comando de exemplo a seguir usa o PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Permitir serviços confiáveis da Microsoft

Se você configurou sua Conta de Armazenamento para permitir o acesso de redes selecionadas, precisará adicionar uma exceção para permitir que o Azure Monitor grave na conta. Em Firewalls e redes virtuais para sua Conta de Armazenamento, selecione Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa Conta de Armazenamento.

Monitore destinos

Importante

Os destinos de exportação têm limites e devem ser monitorados para minimizar limitações, falhas e latência. Para obter mais informações, consulte Escalabilidade da conta de armazenamento e cotas de namespace dos Hubs de Eventos.

As métricas a seguir estão disponíveis para operações e alertas de exportação de dados:

Nome da métrica	Description
Bytes exportados	Número total de bytes exportados para o destino do espaço de trabalho do Log Analytics dentro do intervalo de tempo selecionado. O tamanho dos dados exportados é o número de bytes nos dados formatados em JSON exportados. 1 GB = 10^9 bytes.
Falhas de exportação	Número total de solicitações de exportação com falha para o destino do espaço de trabalho do Log Analytics dentro do intervalo de tempo selecionado. Esse número inclui falhas de tentativas de exportação devido à limitação de recursos de destino, erro de acesso proibido ou qualquer erro do servidor. Um processo de repetição lida com tentativas falhadas e o número não é uma indicação de dados ausentes.
Registos exportados	Número total de registros exportados do espaço de trabalho do Log Analytics dentro do intervalo de tempo selecionado. Este número contabiliza os registos das operações que terminaram com sucesso.

Monitorar uma conta de armazenamento

1. Use uma conta de armazenamento separada para exportação.

2. Configure um alerta na métrica:

   Âmbito	Espaço de nomes de métricas	Metric	Agregação	Threshold
   nome do armazenamento	Account	Entrada	Soma	80% da entrada máxima por período de avaliação de alerta. Por exemplo, o limite é de 60 Gbps para v2 de uso geral no oeste dos EUA. O limiar de alerta é de 1676 GiB por período de avaliação de 5 minutos.

3. Ações de correção de alerta:

   • Use uma conta de armazenamento separada para exportação que não seja compartilhada com dados que não sejam de monitoramento.
   • As contas do Padrão de Armazenamento do Azure oferecem suporte a um limite de entrada mais alto por solicitação. Para solicitar um aumento, entre em contato com o Suporte do Azure.
   • Divida as tabelas entre mais Contas de Armazenamento.

Monitorar Hubs de Eventos

1. Configure alertas nas métricas:

   Âmbito	Espaço de nomes de métricas	Metric	Agregação	Threshold
   namespaces-name	Métricas padrão dos Hubs de Eventos	Bytes de entrada	Soma	80% da entrada máxima por período de avaliação de alerta. Por exemplo, o limite é de 1 MB/s por unidade (TU ou PU) e cinco unidades usadas. O limiar é de 228 MiB por período de avaliação de 5 minutos.
   namespaces-name	Métricas padrão dos Hubs de Eventos	Pedidos recebidos	Count	80% dos eventos máximos por período de avaliação de alerta. Por exemplo, o limite é de 1.000/s por unidade (TU ou PU) e cinco unidades usadas. O limiar é de 1.200.000 por período de avaliação de 5 minutos.
   namespaces-name	Métricas padrão dos Hubs de Eventos	Erros de quota excedida	Count	Entre 1% do pedido. Por exemplo, as solicitações por 5 minutos são 600.000. O limiar é de 6.000 por período de avaliação de 5 minutos.

2. Ações de correção de alerta:

   • Use um namespace de Hubs de Eventos separado para exportação que não seja compartilhado com dados que não sejam de monitoramento.
   • Configure o recurso de inflação automática para aumentar automaticamente a escala e aumentar o número de unidades de taxa de transferência para atender às necessidades de uso.
   • Verifique o aumento das unidades de taxa de transferência para acomodar o volume de dados.
   • Divida tabelas entre mais namespaces.
   • Use os níveis Premium ou Dedicated para obter uma taxa de transferência mais alta.

Criar ou atualizar uma regra de exportação de dados

Uma regra de exportação de dados define o destino e as tabelas para as quais os dados são exportados. O provisionamento da regra leva cerca de 30 minutos antes do início da operação de exportação. Considerações sobre as regras de exportação de dados:

• A Conta de Armazenamento deve ser exclusiva entre as regras no espaço de trabalho.
• Várias regras podem usar o mesmo namespace de Hubs de Eventos quando você estiver enviando para Hubs de Eventos separados.
• Exportar para uma Conta de Armazenamento: Um contêiner separado é criado na Conta de Armazenamento para cada tabela.
• Exportar para Hubs de Eventos: Se um nome de Hub de Eventos não for fornecido, um Hub de Eventos separado será criado para cada tabela. O número de Hubs de Eventos suportados nas camadas de namespace Basic e Standard é 10. Quando você estiver exportando mais de 10 tabelas para essas camadas, divida as tabelas entre várias regras de exportação para namespaces de Hubs de Eventos diferentes ou forneça um nome de Hub de Eventos na regra para exportar todas as tabelas para ela.

Portal do Azure

1. No menu do espaço de trabalho do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações. Selecione Nova regra de exportação na parte superior do painel.

   

2. Siga as etapas e selecione Criar.

   

PowerShell

Use o comando a seguir para criar uma regra de exportação de dados para uma Conta de Armazenamento usando o PowerShell. Um contêiner separado é criado para cada tabela.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos específico usando o PowerShell. Todas as tabelas são exportadas para o nome do Hub de Eventos fornecido e podem ser filtradas pelo campo Tipo para separar tabelas.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos usando o PowerShell. Quando um nome específico de Hub de Eventos não é fornecido, um contêiner separado é criado para cada tabela, até o número de Hubs de Eventos suportados em cada camada de Hubs de Eventos. Para exportar mais tabelas, forneça um nome de Hub de Eventos na regra. Ou você pode definir outra regra e exportar as tabelas restantes para outro namespace de Hubs de Eventos.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

CLI do Azure

Use o comando a seguir para criar uma regra de exportação de dados para uma Conta de Armazenamento usando a CLI. Um contêiner separado é criado para cada tabela.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos específico usando a CLI. Todas as tabelas são exportadas para o nome do Hub de Eventos fornecido e podem ser filtradas pelo campo Tipo para separar tabelas.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos usando a CLI. Quando um nome específico do Hub de Eventos não é fornecido, um contêiner separado é criado para cada tabela até o número de Hubs de Eventos suportados para sua camada de Hubs de Eventos. Se você tiver mais tabelas para exportar, forneça um nome de Hub de Eventos para exportar qualquer número de tabelas. Ou você pode definir outra regra para exportar as tabelas restantes para outro namespace de Hubs de Eventos.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Use a solicitação a seguir para criar uma regra de exportação de dados para uma conta de armazenamento usando a API REST. Um contêiner separado é criado para cada tabela. A solicitação deve usar autorização de token portador e tipo de conteúdo application/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

O corpo da solicitação especifica o destino da tabela. O exemplo a seguir é um corpo de exemplo para a solicitação REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

O exemplo a seguir é um corpo de exemplo para a solicitação REST para um Hub de Eventos.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

O exemplo a seguir é um corpo de exemplo para a solicitação REST para um Hub de Eventos onde o nome do Hub de Eventos é fornecido. Neste caso, todos os dados exportados são enviados para ele.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Modelo

Use o comando a seguir para criar uma regra de exportação de dados para uma Conta de Armazenamento usando um modelo do Azure Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos usando um modelo do Gerenciador de Recursos. Um Hub de Eventos separado é criado para cada tabela.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Use o comando a seguir para criar uma regra de exportação de dados para um Hub de Eventos específico usando um modelo do Gerenciador de Recursos. Todas as tabelas são exportadas para ele.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Ver configuração da regra de exportação de dados

Portal do Azure

1. No menu do espaço de trabalho do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações.

   

2. Selecione uma regra para uma visualização de configuração.

   

PowerShell

Use o comando a seguir para exibir a configuração de uma regra de exportação de dados usando o PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

CLI do Azure

Use o comando a seguir para exibir a configuração de uma regra de exportação de dados usando a CLI.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Use a solicitação a seguir para exibir a configuração de uma regra de exportação de dados usando a API REST. A solicitação deve usar autorização de token ao portador.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Modelo

A opção de modelo não se aplica.

Desativar ou atualizar uma regra de exportação

Portal do Azure

Você pode desabilitar as regras de exportação para interromper a exportação por um determinado período, como quando o teste está sendo realizado. No menu do espaço de trabalho do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações. Selecione a alternância Status para desabilitar ou habilitar a regra de exportação.

PowerShell

Você pode desabilitar as regras de exportação para interromper a exportação por um determinado período, como quando o teste está sendo realizado. Use o comando a seguir para desabilitar ou atualizar parâmetros de regra usando o PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

CLI do Azure

Você pode desabilitar as regras de exportação para interromper a exportação por um determinado período, como quando o teste está sendo realizado. Use o comando a seguir para desabilitar ou atualizar os parâmetros da regra usando a CLI.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Você pode desabilitar as regras de exportação para interromper a exportação por um determinado período, como quando o teste está sendo realizado. Use o comando a seguir para desabilitar ou atualizar os parâmetros da regra usando a API REST. A solicitação deve usar autorização de token ao portador.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Modelo

Você pode desabilitar as regras de exportação para interromper a exportação quando o teste for realizado e não precisar de dados enviados para um destino. Defina "enable": false no modelo para desativar uma exportação de dados.

Excluir uma regra de exportação

Portal do Azure

No menu do espaço de trabalho do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações. Selecione as reticências à direita da regra e selecione Excluir.

PowerShell

Use o comando a seguir para excluir uma regra de exportação de dados usando o PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

CLI do Azure

Use o comando a seguir para excluir uma regra de exportação de dados usando a CLI.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Use a solicitação a seguir para excluir uma regra de exportação de dados usando a API REST. A solicitação deve usar autorização de token ao portador.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Modelo

A opção de modelo não se aplica.

Exibir todas as regras de exportação de dados em um espaço de trabalho

Portal do Azure

No menu do espaço de trabalho do Log Analytics no portal do Azure, selecione Exportação de Dados na seção Configurações para exibir todas as regras de exportação no espaço de trabalho.

PowerShell

Use o comando a seguir para exibir todas as regras de exportação de dados em um espaço de trabalho usando o PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

CLI do Azure

Use o comando a seguir para exibir todas as regras de exportação de dados em um espaço de trabalho usando a CLI.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Use a solicitação a seguir para exibir todas as regras de exportação de dados em um espaço de trabalho usando a API REST. A solicitação deve usar autorização de token ao portador.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Modelo

A opção de modelo não se aplica.

Tabelas não suportadas

Se a regra de exportação de dados incluir uma tabela sem suporte, a configuração será bem-sucedida, mas nenhum dado será exportado para essa tabela. Se a tabela for suportada posteriormente, seus dados serão exportados nesse momento.

Tabelas suportadas

Nota

Estamos em um processo de adicionar suporte para mais tabelas. Por favor, verifique este artigo regularmente. Os dados devem estar em uma dessas tabelas para que apareçam em uma Regra de Exportação de Dados.

Tabela	Limitações
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsuários
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperacional
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecomendação
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnósticos
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecomendação
ADTDataHistoryOperation
ADTDigitalTwinsOperação
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgroAlimentarFarmOperationLogs
AgriFoodInsightLogs
AgroAlimentarTrabalhoProcessadoLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
Fluxo de arDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
Alerta	Suporte parcial. A ingestão de dados para alertas do Zabbix não é suportada.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
Anomalias
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
AppAvailabilityResultados
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
Contadores AppPerformanceCounter
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
Rastreios de aplicativos
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEventos
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureActivity	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Azure Monitor Agent são totalmente suportados na exportação. Os dados que chegam através do agente de extensão Diagnostics são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
Análise de Comportamento
CassandraAuditoria
CassandraLogs
CCFApplicationLogs
CDBCassandraPedidos
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperacional
CloudAppEvents
CommonSecurityLog
Grupo de Computadores
ConfidencialLista de observação
ConfigurationData	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, essa parcela está faltando na exportação.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksContas
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksClusterLibraries
DatabricksClusters
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksInstancePools
DatabricksEmpregos
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSegredos
DatabricksServerlessRealTimeInference
DatabricksSQLPermissões
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogSolução de problemas
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilidades
DeviceTvmSoftwareVulnerabilidadesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttAssinaturas
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
Endereço electrónicoPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Azure Monitor Agent são totalmente suportados na exportação. Os dados que chegam através do agente de extensão Diagnostics são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
Evento	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Azure Monitor Agent são totalmente suportados na exportação. Os dados que chegam através do agente de extensão Diagnostics são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
ExchangeAssessmentRecomendação
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlertas
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAcumuláveis
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Heartbeat
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, essa parcela está faltando na exportação.
IntuneAuditLogs
IntuneDevices
IntuneLogs Operacionais
KubeEvents
KubeSaúde
KubeMonAgentEventos
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceAtualizações
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlertas
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAIpDetalhes
NTANetAnalytics
NTATopologyDetalhes
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operação	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, essa parcela está faltando na exportação.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjetoAtividade
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
Gestão de RecursosPublicAccessLogs
SCCMAssessmentRecomendação
SCOMAssessmentRecomendação
SecureScoreControls
SecureScores
Alerta de Segurança
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
Deteção de Segurança
SecurityEvent	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Azure Monitor Agent são totalmente suportados na exportação. Os dados que chegam através do agente de extensão Diagnostics são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
Incidente de Segurança
SecurityIoTRawEvent
SecurityNestedRecommendation
Recomendação de Segurança
SegurançaConformidade Regulamentar
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Azure Monitor Agent são totalmente suportados na exportação. Os dados que chegam através do agente de extensão Diagnostics são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
ServiceFabricReliableActorEvent	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Azure Monitor Agent são totalmente suportados na exportação. Os dados que chegam através do agente de extensão Diagnostics são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
ServiceFabricReliableServiceEvent	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Azure Monitor Agent são totalmente suportados na exportação. Os dados que chegam através do agente de extensão Diagnostics são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
SfBAssessmentRecomendação
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecomendação
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResultados
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferido
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SinapseDXFailedIngestão
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperações
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Azure Monitor Agent são totalmente suportados na exportação. Os dados que chegam através do agente de extensão Diagnostics são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Atualizar	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, essa parcela está faltando na exportação.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Utilização
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoPedidos
VIAudit
VIIndexing
VMConnection	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, essa parcela está faltando na exportação.
W3CIISLog	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Azure Monitor Agent são totalmente suportados na exportação. Os dados que chegam através do agente de extensão Diagnostics são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Lista de observação
WebPubSubConectividade
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecomendação
WindowsEvento
Firewall do Windows
WindowsServerAssessmentRecomendação
WireData	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, essa parcela está faltando na exportação.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostInscrições
WVDManagement

Próximos passos

Consultar os dados exportados do Azure Data Explorer