Exportação dos dados da área de trabalho do Log Analytics no Azure Monitor

A exportação de dados numa área de trabalho do Log Analytics permite-lhe exportar continuamente dados por tabelas selecionadas na área de trabalho. Pode exportar para uma conta de Armazenamento do Azure ou Hubs de Eventos do Azure à medida que os dados chegam a um pipeline do Azure Monitor. Este artigo fornece detalhes sobre esta funcionalidade e passos para configurar a exportação de dados nas áreas de trabalho.

Descrição Geral

Os dados no Log Analytics estão disponíveis para o período de retenção definido na área de trabalho. É utilizado em várias experiências fornecidas nos serviços do Azure Monitor e do Azure. Existem casos em que precisa de utilizar outras ferramentas:

• Conformidade do arquivo protegido por adulteração: Os dados não podem ser alterados no Log Analytics depois de serem ingeridos, mas podem ser removidos. Exportar para uma conta de armazenamento definida com políticas de imutabilidade para manter os dados adulterados protegidos.
• Integração com serviços do Azure e outras ferramentas: Exportar para hubs de eventos à medida que os dados chegam e são processados no Azure Monitor.
• Retenção a longo prazo de dados de auditoria e segurança: Exportar para uma conta de armazenamento na região da área de trabalho. Em alternativa, pode replicar dados para outras regiões com qualquer uma das opções de redundância do Armazenamento do Microsoft Azure , incluindo GRS e GZRS.

Depois de configurar as regras de exportação de dados numa área de trabalho do Log Analytics, os novos dados das tabelas nas regras são exportados do pipeline do Azure Monitor para a sua conta de armazenamento ou hubs de eventos à medida que chegam.

Os dados são exportados sem um filtro. Por exemplo, quando configura uma regra de exportação de dados para uma tabela SecurityEvent , todos os dados enviados para a tabela SecurityEvent são exportados a partir da hora de configuração. Em alternativa, pode filtrar ou modificar os dados exportados ao configurar transformações na área de trabalho, que se aplicam aos dados recebidos, antes de serem enviados para as áreas de trabalho do Log Analytics e para exportar destinos.

Outras opções de exportação

A exportação contínua de dados da área de trabalho do Log Analytics exporta dados enviados para a área de trabalho do Log Analytics. Existem outras opções para exportar dados para cenários específicos:

• Configurar as definições de diagnóstico nos recursos do Azure. Os registos são enviados diretamente para um destino. Esta abordagem tem uma latência inferior em comparação com a exportação de dados no Log Analytics.
• Agende a exportação de dados com base numa consulta de registo que definir com a API de consulta do Log Analytics. Utilize Azure Data Factory, Funções do Azure ou Azure Logic Apps para orquestrar consultas na sua área de trabalho e exportar dados para um destino. Este método é semelhante à funcionalidade de exportação de dados, mas pode utilizá-lo para exportar dados históricos da área de trabalho através de filtros e agregação. Este método está sujeito a limites de consulta de registo e não se destina a dimensionamento. Para obter mais informações, veja Exportar dados de uma área de trabalho do Log Analytics para uma conta de armazenamento com o Logic Apps.
• Exportação única para um computador local com um script do PowerShell. Para obter mais informações, veja Invoke-AzOperationalInsightsQueryExport.

Limitações

• Os registos personalizados criados com a API do Recoletor de Dados HTTP e a API dataSources não podem ser exportados. Isto inclui registos de texto consumidos pelo agente do Log Analytics. Pode exportar registos personalizados criados com regras de recolha de dados, incluindo registos baseados em texto.
• A exportação de dados irá suportar gradualmente mais tabelas, mas está atualmente limitada às tabelas especificadas na secção de tabelas suportadas .
• Pode definir até 10 regras ativadas na área de trabalho, cada uma pode incluir várias tabelas. Pode criar mais regras na área de trabalho no estado desativado.
• Os destinos têm de estar na mesma região que a área de trabalho do Log Analytics.
• A conta de armazenamento tem de ser exclusiva em todas as regras na área de trabalho.
• Os nomes das tabelas podem ter 60 carateres quando estiver a exportar para uma conta de armazenamento. Podem ter 47 carateres ao exportar para os hubs de eventos. As tabelas com nomes mais longos não serão exportadas.
• Atualmente, a exportação de dados não é suportada na China.

Conclusão dos dados

A exportação de dados está otimizada para mover grandes volumes de dados para os seus destinos. A operação de exportação poderá falhar se o destino não tiver capacidade suficiente ou estiver indisponível. Em caso de falha, o processo de repetição continua até 12 horas. Para obter mais informações sobre os limites de destino e os alertas recomendados, veja Criar ou atualizar uma regra de exportação de dados. Se os destinos continuarem indisponíveis após o período de repetição, os dados serão eliminados. Em determinados casos, a repetição pode causar a duplicação de uma fração dos registos exportados.

Modelo preços

Os custos de exportação de dados baseiam-se no volume de dados exportados medidos em bytes. O tamanho dos dados exportados pela Exportação de Dados do Log Analytics é o número de bytes nos dados exportados formatados em JSON. O volume de dados é medido em GB (10^9 bytes).

Para obter mais informações, incluindo a linha cronológica de faturação da exportação de dados, veja Preços do Azure Monitor.

Exportar destinos

O destino da exportação de dados tem de estar disponível antes de criar regras de exportação na área de trabalho. Os destinos não têm de estar na mesma subscrição que a sua área de trabalho. Quando utiliza o Azure Lighthouse, também é possível enviar dados para destinos noutro inquilino do Azure Active Directory.

Tem de ter permissões de escrita para a área de trabalho e para o destino para configurar uma regra de exportação de dados em qualquer tabela numa área de trabalho. A política de acesso partilhado para o espaço de nomes dos Hubs de Eventos define as permissões que o mecanismo de transmissão em fluxo tem. A transmissão em fluxo para os hubs de eventos requer permissões de gestão, envio e escuta. Para atualizar a regra de exportação, tem de ter a permissão ListKey nessa regra de autorização dos hubs de eventos.

Conta de armazenamento

Não utilize uma conta de armazenamento existente que tenha outros dados de não monitorização para controlar melhor o acesso aos dados e impedir que atinja o limite de taxa de entrada de armazenamento, falhas e latência.

Para enviar dados para uma conta de armazenamento imutável, defina a política imutável para a conta de armazenamento, conforme descrito em Definir e gerir políticas de imutabilidade para Armazenamento de Blobs do Azure. Tem de seguir todos os passos neste artigo, incluindo ativar escritas de blobs de acréscimo protegidos.

A conta de armazenamento tem de ser StorageV1 ou posterior e estar na mesma região que a área de trabalho. Se precisar de replicar os seus dados para outras contas de armazenamento noutras regiões, pode utilizar qualquer uma das opções de redundância do Armazenamento do Azure, incluindo GRS e GZRS.

Os dados são enviados para contas de armazenamento à medida que chegam ao Azure Monitor e são exportados para destinos localizados numa região da área de trabalho. É criado um contentor para cada tabela na conta de armazenamento com o nome am, seguido do nome da tabela. Por exemplo, a tabela SecurityEvent enviaria para um contentor com o nome am-SecurityEvent.

Os blobs são armazenados em pastas de 5 minutos na seguinte estrutura de caminho: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four ano numérico> de dois dígitos/m=<mês> numérico de dois dígitos/d=<dia> numérico de dois dígitos/h=<hora do relógio> de 24 horas de dois dígitos/m=<minuto de relógio> de 60 minutos de dois dígitos/PT05M.json. Os acréscimos a blobs estão limitados a escritas de 50 K. Serão adicionados mais blobs na pasta como PT05M_#.json*, em que # é a contagem incremental de blobs.

O formato dos blobs numa conta de armazenamento está nas linhas JSON, onde cada registo é delimitado por uma nova linha, sem matriz de registos externos e sem vírgulas entre registos JSON.

Hubs de Eventos

Não utilize um hub de eventos existente que tenha dados de não monitorização para impedir que atinja o limite de taxa de entrada, falhas e latência do espaço de nomes dos Hubs de Eventos.

Os dados são enviados para o hub de eventos à medida que chegam ao Azure Monitor e são exportados para destinos localizados numa região da área de trabalho. Pode criar várias regras de exportação para o mesmo espaço de nomes dos Hubs de Eventos ao fornecer um diferente event hub name na regra. event hub name Quando um não é fornecido, é criado um hub de eventos predefinido para tabelas que exporta com o nome am, seguido do nome da tabela. Por exemplo, a tabela SecurityEvent seria enviada para um hub de eventos com o nome am-SecurityEvent.

O número de hubs de eventos suportados nas camadas de espaço de nomes Básico e Standard é 10. Quando estiver a exportar mais de 10 tabelas para estas camadas, divida as tabelas entre várias regras de exportação para diferentes espaços de nomes dos Hubs de Eventos ou forneça um nome de hub de eventos para exportar todas as tabelas para o mesmo.

Nota

• O escalão de espaço de nomes dos Hubs de Eventos Básico é limitado. Suporta um tamanho de evento mais baixo e nenhuma opção de Ampliação automática para aumentar verticalmente e aumentar automaticamente o número de unidades de débito. Uma vez que o volume de dados para a área de trabalho aumenta ao longo do tempo e, como consequência, o dimensionamento do hub de eventos é necessário, utilize os escalões Standard, Premium ou Dedicated Event Hubs com a funcionalidade de ampliação automática ativada. Para obter mais informações, veja Aumentar verticalmente Hubs de Eventos do Azure unidades de débito automaticamente.
• A exportação de dados não consegue aceder aos recursos dos Hubs de Eventos quando as redes virtuais estão ativadas. Tem de selecionar a caixa de verificação Permitir que os serviços do Azure na lista de serviços fidedignos acedam a esta conta de armazenamento para ignorar esta definição de firewall num hub de eventos para conceder acesso aos hubs de eventos.

Ativar a exportação de dados

Os passos seguintes têm de ser executados para ativar a exportação de dados do Log Analytics. Para obter mais informações sobre cada um, consulte as secções seguintes:

• Registar o fornecedor de recursos
• Permitir serviços Microsoft fidedignos
• Criar ou atualizar uma regra de exportação de dados

Registar o fornecedor de recursos

O fornecedor de recursos do Azure Microsoft.Insights tem de estar registado na sua subscrição para ativar a exportação de dados do Log Analytics.

Este fornecedor de recursos provavelmente já está registado para a maioria dos utilizadores do Azure Monitor. Para verificar, aceda a Subscrições no portal do Azure. Selecione a sua subscrição e, em seguida, selecione Fornecedores de recursos na secção Definições do menu. Localize Microsoft.Insights. Se o respetivo estado for Registado, já está registado. Caso contrário, selecione Registar para registá-lo.

Também pode utilizar qualquer um dos métodos disponíveis para registar um fornecedor de recursos, conforme descrito em fornecedores e tipos de recursos do Azure. O seguinte comando de exemplo utiliza a CLI do Azure:

az provider register --namespace 'Microsoft.insights'

O seguinte comando de exemplo utiliza o PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Permitir serviços Microsoft fidedignos

Se tiver configurado a sua conta de armazenamento para permitir o acesso a partir de redes selecionadas, tem de adicionar uma exceção para permitir que o Azure Monitor escreva na conta. Em Firewalls e redes virtuais para a sua conta de armazenamento, selecione Permitir que os serviços do Azure na lista de serviços fidedignos acedam a esta conta de armazenamento.

Monitorizar destinos

Importante

Os destinos de exportação têm limites e devem ser monitorizados para minimizar a limitação, as falhas e a latência. Para obter mais informações, veja Escalabilidade da conta de armazenamento e quotas de espaço de nomes dos Hubs de Eventos.

Monitorizar uma conta de armazenamento

1. Utilize uma conta de armazenamento separada para exportação.

2. Configurar um alerta na métrica:

   Âmbito	Espaço de nomes de métricas	Metric	Agregação	Limite
   storage-name	Conta	Entrada	Soma	80% da entrada máxima por período de avaliação de alertas. Por exemplo, o limite é de 60 Gbps para fins gerais v2 nos E.U.A. Oeste. O limiar de alerta é 1676 GiB por período de avaliação de 5 minutos.

3. Ações de remediação de alertas:

   • Utilize uma conta de armazenamento separada para exportação que não seja partilhada com dados de não monitorização.
   • As contas Standard do Armazenamento do Azure suportam um limite de entrada mais elevado por pedido. Para pedir um aumento, contacte o Suporte do Azure.
   • Dividir tabelas entre mais contas de armazenamento.

Monitorizar hubs de eventos

1. Configurar alertas nas métricas:

   Âmbito	Espaço de nomes de métricas	Metric	Agregação	Limite
   namespaces-name	Métricas padrão dos Hubs de Eventos	Bytes de entrada	Soma	80% da entrada máxima por período de avaliação de alertas. Por exemplo, o limite é de 1 MB/s por unidade (TU ou PU) e cinco unidades utilizadas. O limiar é de 228 MiB por período de avaliação de 5 minutos.
   namespaces-name	Métricas padrão dos Hubs de Eventos	Pedidos recebidos	de palavras	80% dos eventos máximos por período de avaliação de alertas. Por exemplo, o limite é de 1000/s por unidade (TU ou PU) e cinco unidades utilizadas. O limiar é de 1200 000 por período de avaliação de 5 minutos.
   namespaces-name	Métricas padrão dos Hubs de Eventos	Erros de quota excedido	de palavras	Entre 1% do pedido. Por exemplo, os pedidos por 5 minutos são 600 000. O limiar é de 6000 por período de avaliação de 5 minutos.

2. Ações de remediação de alertas:

   • Utilize um espaço de nomes separado dos Hubs de Eventos para exportação que não seja partilhado com dados de não monitorização.
   • Configure a funcionalidade Desconsuflar Automaticamente para aumentar verticalmente e aumentar automaticamente o número de unidades de débito para satisfazer as necessidades de utilização.
   • Verifique o aumento das unidades de débito para acomodar o volume de dados.
   • Dividir tabelas entre mais espaços de nomes.
   • Utilize os escalões Premium ou Dedicado para obter um débito mais elevado.

Criar ou atualizar uma regra de exportação de dados

Uma regra de exportação de dados define o destino e as tabelas para as quais os dados são exportados. Pode criar 10 regras no estado Ativado na área de trabalho. São permitidas mais regras no estado Desativado . A conta de armazenamento tem de ser exclusiva entre regras na área de trabalho. Várias regras podem utilizar o mesmo espaço de nomes dos Hubs de Eventos quando está a enviar para hubs de eventos separados.

Nota

• Pode incluir tabelas que ainda não são suportadas nas regras, mas não serão exportados dados para as mesmas até que as tabelas sejam suportadas.
• Exportar para uma conta de armazenamento: é criado um contentor separado na conta de armazenamento de cada tabela.
• Exportar para hubs de eventos: se não for fornecido um nome do hub de eventos, é criado um hub de eventos separado para cada tabela. O número de hubs de eventos suportados nas camadas de espaço de nomes Básico e Standard é 10. Quando estiver a exportar mais de 10 tabelas para estas camadas, divida as tabelas entre várias regras de exportação para diferentes espaços de nomes dos Hubs de Eventos ou forneça um nome do hub de eventos na regra para exportar todas as tabelas para a mesma.

Portal do Azure

1. No menu da área de trabalho do Log Analytics no portal do Azure, selecione Exportar Dados na secção Definições. Selecione Nova regra de exportação na parte superior do painel.

   

2. Siga os passos e, em seguida, selecione Criar.

   

PowerShell

Utilize o seguinte comando para criar uma regra de exportação de dados para uma conta de armazenamento com o PowerShell. É criado um contentor separado para cada tabela.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Utilize o seguinte comando para criar uma regra de exportação de dados para um hub de eventos específico com o PowerShell. Todas as tabelas são exportadas para o nome do hub de eventos fornecido e podem ser filtradas pelo campo Tipo para separar tabelas.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Utilize o seguinte comando para criar uma regra de exportação de dados para um hub de eventos com o PowerShell. Quando não é fornecido um nome específico do hub de eventos, é criado um contentor separado para cada tabela, até ao número de hubs de eventos suportados em cada camada dos Hubs de Eventos. Para exportar mais tabelas, forneça um nome de hub de eventos na regra. Em alternativa, pode definir outra regra e exportar as restantes tabelas para outro espaço de nomes dos Hubs de Eventos.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

CLI do Azure

Utilize o seguinte comando para criar uma regra de exportação de dados para uma conta de armazenamento com a CLI. É criado um contentor separado para cada tabela.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Utilize o seguinte comando para criar uma regra de exportação de dados para um hub de eventos específico com a CLI. Todas as tabelas são exportadas para o nome do hub de eventos fornecido e podem ser filtradas pelo campo Tipo para separar tabelas.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Utilize o seguinte comando para criar uma regra de exportação de dados para um hub de eventos com a CLI. Quando não é fornecido um nome específico do hub de eventos, é criado um contentor separado para cada tabela até ao número de hubs de eventos suportados para a camada dos Hubs de Eventos. Se tiver mais tabelas para exportar, forneça um nome do hub de eventos para exportar qualquer número de tabelas. Em alternativa, pode definir outra regra para exportar as restantes tabelas para outro espaço de nomes dos Hubs de Eventos.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Utilize o seguinte pedido para criar uma regra de exportação de dados para uma conta de armazenamento com a API REST. É criado um contentor separado para cada tabela. O pedido deve utilizar a autorização de token de portador e o tipo de conteúdo application/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

O corpo do pedido especifica o destino da tabela. O exemplo seguinte é um corpo de exemplo para o pedido REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

O exemplo seguinte é um corpo de exemplo para o pedido REST para um hub de eventos.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

O exemplo seguinte é um corpo de exemplo para o pedido REST de um hub de eventos onde o nome do hub de eventos é fornecido. Neste caso, todos os dados exportados são enviados para os mesmos.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Modelo

Utilize o seguinte comando para criar uma regra de exportação de dados para uma conta de armazenamento com um modelo do Azure Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Utilize o seguinte comando para criar uma regra de exportação de dados para um hub de eventos com um modelo de Resource Manager. É criado um hub de eventos separado para cada tabela.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Utilize o seguinte comando para criar uma regra de exportação de dados para um hub de eventos específico com um modelo de Resource Manager. Todas as tabelas são exportadas para a mesma.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Ver a configuração da regra de exportação de dados

Portal do Azure

1. No menu da área de trabalho do Log Analytics no portal do Azure, selecione Exportação de Dados na secção Definições.

   

2. Selecione uma regra para uma vista de configuração.

   

PowerShell

Utilize o seguinte comando para ver a configuração de uma regra de exportação de dados com o PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

CLI do Azure

Utilize o seguinte comando para ver a configuração de uma regra de exportação de dados com a CLI.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Utilize o seguinte pedido para ver a configuração de uma regra de exportação de dados com a API REST. O pedido deve utilizar a autorização do token de portador.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Modelo

A opção de modelo não se aplica.

Desativar ou atualizar uma regra de exportação

Portal do Azure

Pode desativar as regras de exportação para parar a exportação durante um determinado período, como quando os testes estão a ser realizados. No menu da área de trabalho do Log Analytics no portal do Azure, selecione Exportação de Dados na secção Definições. Selecione o botão de alternar Estado para desativar ou ativar a regra de exportação.

PowerShell

Pode desativar as regras de exportação para parar a exportação durante um determinado período, como quando os testes estão a ser realizados. Utilize o seguinte comando para desativar ou atualizar parâmetros de regras com o PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

CLI do Azure

Pode desativar as regras de exportação para parar a exportação durante um determinado período, como quando os testes estão a ser realizados. Utilize o seguinte comando para desativar ou atualizar parâmetros de regras com a CLI.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Pode desativar as regras de exportação para parar a exportação durante um determinado período, como quando os testes estão a ser realizados. Utilize o seguinte comando para desativar ou atualizar os parâmetros de regras com a API REST. O pedido deve utilizar a autorização do token de portador.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Modelo

Pode desativar as regras de exportação para parar a exportação quando o teste é realizado e não precisa de dados enviados para um destino. Defina "enable": false no modelo para desativar uma exportação de dados.

Eliminar uma regra de exportação

Portal do Azure

No menu da área de trabalho do Log Analytics no portal do Azure, selecione Exportação de Dados na secção Definições. Selecione as reticências à direita da regra e selecione Eliminar.

PowerShell

Utilize o seguinte comando para eliminar uma regra de exportação de dados com o PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

CLI do Azure

Utilize o seguinte comando para eliminar uma regra de exportação de dados com a CLI.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Utilize o seguinte pedido para eliminar uma regra de exportação de dados com a API REST. O pedido deve utilizar a autorização do token de portador.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Modelo

A opção de modelo não se aplica.

Ver todas as regras de exportação de dados numa área de trabalho

Portal do Azure

No menu da área de trabalho do Log Analytics no portal do Azure, selecione Exportação de Dados na secção Definições para ver todas as regras de exportação na área de trabalho.

PowerShell

Utilize o seguinte comando para ver todas as regras de exportação de dados numa área de trabalho com o PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

CLI do Azure

Utilize o seguinte comando para ver todas as regras de exportação de dados numa área de trabalho com a CLI.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Utilize o seguinte pedido para ver todas as regras de exportação de dados numa área de trabalho com a API REST. O pedido deve utilizar a autorização do token de portador.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Modelo

A opção de modelo não se aplica.

Tabelas não suportadas

Se a regra de exportação de dados incluir uma tabela não suportada, a configuração será bem-sucedida, mas não serão exportados dados para essa tabela. Se a tabela for posteriormente suportada, os respetivos dados serão exportados nesse momento.

Tabelas suportadas

Nota

Estamos num processo de adicionar suporte para mais tabelas. Consulte este artigo regularmente.

Tabela	Limitações
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallDiagnostics
ACSCallRecordingSummary
ACSCallSummary
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
ADFActivityRun
ADFAirflowTaskLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSSignInLogs
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
Comando do ADX
ADXQuery
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAuditLogs
AEWComputePipelinesLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AHDSMedTechDiagnosticLogs
Alerta	Suporte parcial. A ingestão de dados para alertas zabbix não é suportada.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ASCAuditLogs
ASCDeviceEvents
ASimDnsActivityLogs
ASimNetworkSessionLogs
ASimNetworkSessionLogs,ASimWebSessionLogs
ASimWebSessionLogs
ATCExpressRouteCircuitIpfix
AuditLogs
AUIEventsAudit
AUIEventsOperational
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMNetworkGroupMembershipChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureDevOpsAuditing
AzureLoadTestingOperation
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidencialWatchlist
ConfigurationData	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, esta parte está em falta na exportação.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerImageInventory
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksClusters
DatabricksDBFS
DatabricksFeatureStore
DatabricksGenie
DatabricksGlobalInitScripts
DatabricksInstancePools
DatabricksJobs
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksNotebook
DatabricksRemoteHistoryService
DatabricksSecrets
DatabricksSQLPermissions
DatabricksSSH
DatabricksWorkspace
DevCenterDiagnosticLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
DynamicEventCollection
Dynamics365Activity
DynamicSummary
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
Evento	Suporte parcial. Os dados provenientes do agente do Log Analytics (MMA) ou do Agente do Azure Monitor (AMA) são totalmente suportados na exportação. Os dados que chegam através do agente de extensão diagnóstico são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Heartbeat
HuntingBookmark
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, esta parte está em falta na exportação.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubeServices
LAQueryLogs
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
NetworkAccessTraffic
NSPAccessLogs
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operação	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, esta parte está em falta na exportação.
Des	Suporte parcial. Atualmente, apenas são suportados dados perf do Windows. Atualmente, os dados de desempenho do Linux estão em falta na exportação.
PFTitleAuditLogs
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Agente do Azure Monitor são totalmente suportados na exportação. Os dados que chegam através do agente de extensão diagnóstico são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
SfBAssessmentRecommendation
SfBOnlineAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageAntimalwareScanResults
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
Com Êxito
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXFailedIngestion
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog	Suporte parcial. Os dados que chegam do agente do Log Analytics ou do Agente do Azure Monitor são totalmente suportados na exportação. Os dados que chegam através do agente de extensão diagnóstico são recolhidos através do armazenamento. Este caminho não é suportado na exportação.
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCDOAggregatedStatus
UCDOStatus
Atualizar	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, esta parte está em falta na exportação.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Utilização
UserAccessAnalytics
UserPeerAnalytics
VIAudit
VIIndexing
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
W3CIISLog	Suporte parcial. Os dados provenientes do agente do Log Analytics (MMA) ou do Agente do Azure Monitor (AMA) são totalmente suportados na exportação. Os dados que chegam através do agente de extensão diagnóstico são recolhidos através do armazenamento, enquanto este caminho não é suportado na exportação.
Lista de observação
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData	Suporte parcial. Alguns dos dados são ingeridos através de serviços internos que não são suportados na exportação. Atualmente, esta parte está em falta na exportação.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement

Passos seguintes

Consultar os dados exportados do Azure Data Explorer