Экспорт данных рабочей области Log Analytics в Azure Monitor

  • Статья

Экспорт данных в рабочей области Log Analytics позволяет непрерывно экспортировать данные на выбранные таблицы в рабочей области. Вы можете экспортировать данные в учетную запись служба хранилища Azure или Центры событий Azure по мере поступления данных в конвейер Azure Monitor. В данной статье представлены подробные сведения о данной функции, а также шаги по настройке экспорта данных в ваших рабочих областях.

Обзор

Данные в Log Analytics доступны для периода хранения, определенного в рабочей области. Он используется в различных интерфейсах, предоставляемых в Azure Monitor и службах Azure. В некоторых случаях необходимо использовать другие средства:

  • Соответствие хранилищам, защищенным от незаконного доступа: данные нельзя изменить в Log Analytics после приема, но их можно очистить. Экспорт в набор учетных записей служба хранилища с политиками неизменяемости для защиты данных.
  • Интеграция со службами Azure и другими инструментами. Экспорт в Центры событий в качестве поступающих данных и обрабатывается в Azure Monitor.
  • Долгосрочное хранение данных аудита и безопасности: экспорт в учетную запись служба хранилища в регионе рабочей области. Кроме того, вы можете реплика выполнять реплика данные в другие регионы с помощью любого из служба хранилища Azure вариантов избыточности, включая GRS и GZRS.

После настройки правил экспорта данных в рабочей области Log Analytics новые данные для таблиц в правилах экспортируются из конвейера Azure Monitor в служба хранилища учетную запись или центры событий по мере поступления. Трафик экспорта данных находится в магистральной сети Azure и не покидает сеть Azure.

Схема, показывающая поток экспорта данных.

Данные экспортируются без фильтрации. Например, при настройке правила экспорта данных для таблицы SecurityEvent все данные, отправленные в таблицу SecurityEvent, экспортируются начиная с времени настройки. Кроме того, можно отфильтровать или изменить экспортированные данные, настроив преобразования в рабочей области, которые применяются к входящим данным, прежде чем отправляться в рабочие области Log Analytics и экспортировать назначения.

Другие варианты экспорта

Экспорт данных рабочей области Log Analytics непрерывно экспортирует данные, отправленные в рабочую область Log Analytics. Если и другие способы экспорта данных в различных сценариях:

  • Настройте параметры диагностики в ресурсах Azure. Журналы отправляются непосредственно в место назначения. Этот подход имеет меньшую задержку по сравнению с экспортом данных в Log Analytics.
  • Запланируйте экспорт данных на основе запроса к журналу, определяемого с помощью API запросов Log Analytics. Используйте Фабрика данных Azure, Функции Azure или Azure Logic Apps для оркестрации запросов в рабочей области и экспорта данных в место назначения. Этот метод аналогичен функции экспорта данных, но его можно использовать для экспорта исторических данных из рабочей области с помощью фильтров и агрегирования. Этот метод применяется к ограничениям запросов журнала и не предназначен для масштабирования. Дополнительные сведения см. в статье "Экспорт данных из рабочей области Log Analytics" в учетную запись служба хранилища с помощью Logic Apps.
  • Однократный экспорт на локальный компьютер с помощью скрипта PowerShell. Дополнительные сведения см. в разделе Invoke-AzOperational Аналитика QueryExport.

Ограничения

  • Пользовательские журналы, созданные с помощью API сборщика данных HTTP, нельзя экспортировать, включая текстовые журналы, используемые агентом Log Analytics. Пользовательские журналы, созданные с помощью правил сбора данных, включая текстовые журналы, можно экспортировать.
  • Экспорт данных постепенно поддерживает больше таблиц, но в настоящее время ограничен таблицами, указанными в разделе поддерживаемых таблиц . Вы можете включить таблицы, которые еще не поддерживаются в правилах, но данные не будут экспортированы для них до тех пор, пока таблицы не будут поддерживаться.
  • В рабочей области можно определить до 10 включенных правил, каждая из которых может включать несколько таблиц. Вы можете создать дополнительные правила в рабочей области в отключенном состоянии.
  • Целевые объекты должны находиться в том же регионе, что и рабочая область Log Analytics.
  • Учетная запись служба хранилища должна быть уникальной в пределах правил в рабочей области.
  • Имена таблиц могут содержать 60 символов при экспорте в учетную запись служба хранилища. Они могут быть 47 символами при экспорте в Центры событий. Таблицы с более длинными именами не будут экспортированы.
  • Экспорт в хранилище класса Premium учетная запись не поддерживается.

Полнота данных

Экспорт данных оптимизирован для перемещения большого объема данных в места назначения. Операция экспорта может завершиться ошибкой, если назначение не имеет достаточной емкости или недоступно. В случае сбоя процесс повтора продолжается до 12 часов. Дополнительные сведения об ограничениях назначения и рекомендуемых оповещениях см. в статье "Создание или обновление правила экспорта данных". Если назначения по-прежнему недоступны после периода повтора, данные не карта. В некоторых случаях повторная попытка может привести к дублированию доли экспортированных записей.

Модель ценообразования

Расходы на экспорт данных основаны на количестве байтов, экспортированных в назначения в форматированных данных JSON, и измеряется в ГБ (10^9 байт). Вычисление размера в запросе рабочей области не может соответствовать затратам на экспорт, так как не включает форматированные данные JSON. Вы можете использовать PowerShell для вычисления общего размера выставления счетов контейнера BLOB-объектов.

Дополнительные сведения, включая график выставления счетов за экспорт данных, см. в разделе Цены Azure Monitor. Выставление счетов за экспорт данных было включено в начале октября 2023 года.

Направления экспорта

Назначение экспорта данных должно быть доступно перед созданием правил экспорта в рабочей области. Назначения не обязательно должны находиться в той же подписке, что и рабочая область. При использовании Azure Lighthouse также можно отправлять данные в назначения в другом клиенте Microsoft Entra.

Необходимо иметь разрешения на запись в рабочую область и назначение, чтобы настроить правило экспорта данных для любой таблицы в рабочей области. Политика общего доступа для пространства имен Центров событий определяет разрешения, предоставленные механизму потоковой передачи. Потоковая передача в Центры событий требует управления, отправки и прослушивания разрешений. Для обновления правила экспорта необходимо разрешение ListKey для правила авторизации этих Центров событий.

Учетная запись хранения

Избегайте использования существующей учетной записи служба хранилища с другими данными без мониторинга, чтобы лучше управлять доступом к данным, предотвращать достижение ошибок ограничения скорости входящего хранилища и задержки.

Чтобы отправить данные в неизменяемую учетную запись служба хранилища, задайте неизменяемую политику для учетной записи служба хранилища, как описано в разделе "Настройка политик неизменяемости" для Хранилище BLOB-объектов Azure. Необходимо выполнить все действия, описанные в этой статье, в том числе включить защищенные операции записи для добавления BLOB-объектов.

Учетная запись служба хранилища не может быть premium, должна быть служба хранилища V1 или более поздней версии и находиться в том же регионе, что и рабочая область. Если вам нужно реплика отправлять данные в другие учетные записи служба хранилища в других регионах, можно использовать любой из вариантов избыточности служба хранилища Azure, включая GRS и GZRS.

Данные отправляются в служба хранилища учетные записи по мере достижения Azure Monitor и экспортируются в места назначения, расположенные в регионе рабочей области. Контейнер создается для каждой таблицы в учетной записи служба хранилища с именем am и именем таблицы. К примеру, таблица SecurityEvent будет отправлена в контейнер с именем am-SecurityEvent.

Большие двоичные объекты хранятся в 5-минутных папках в следующей структуре пути: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/workspace>/<y=<четыре-digit numeric year>/m<=two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=<two-digit 60-minute clock minute>/PT05M.json. Добавление к большим BLOB-объектам ограничено 50000 операциями записи. Дополнительные большие двоичные объекты будут добавлены в папку как PT05M_#.json*, где "#" — это число добавочных BLOB-объектов.

Примечание.

Добавление к BLOB-объектам записывается на основе поля TimeGenerated и возникает при получении исходных данных. Данные, поступающие в Azure Monitor с задержкой, или извлекаются после регулирования назначений, записываются в большие двоичные объекты в соответствии с timeGenerated.

Формат больших двоичных объектов в учетной записи служба хранилища находится в строках JSON, где каждая запись разделена новой строкой без массива внешних записей и без запятых между записями JSON.

Снимок экрана: формат данных в большом двоичном объекте.

Event Hubs

Избегайте использования существующего концентратора событий с неконтролированием данных, чтобы предотвратить достижение ошибок ограничения скорости входящего трафика концентраторов событий и задержки.

Данные отправляются в Концентратор событий по мере достижения Azure Monitor и экспортируются в места назначения, расположенные в регионе рабочей области. Вы можете создать несколько правил экспорта в одно пространство имен Центров событий, указав другое Event Hub name в правиле. Если не Event Hub name указано, для таблиц, экспортируемых с именем , создается концентратор событий по умолчанию, за которым следует имя таблицы. Например, таблица SecurityEvent будет отправлена в Концентратор событий с именем am-SecurityEvent.

Число поддерживаемых центров событий на уровнях пространства имен "Базовый" и "Стандартный" составляет 10. При экспорте более 10 таблиц на эти уровни можно разделить таблицы между несколькими правилами экспорта в разные пространства имен Центров событий или указать имя концентратора событий для экспорта всех таблиц в него.

Примечание.

  • Уровень пространства имен "Базовые центры событий" ограничен. Он поддерживает более низкий размер события и не включает параметр автоматического увеличения масштаба и увеличения числа единиц пропускной способности. Так как объем данных в рабочей области увеличивается со временем и в результате масштабирования концентратора событий требуется, используйте уровни "Стандартный", "Премиум" или "Выделенные центры событий" с включенной функцией автоматического расширения . Дополнительные сведения см. в статье "Автоматическое масштабирование Центры событий Azure единиц пропускной способности".
  • Экспортируемые данные не попадают в ресурсы Центров событий, когда включены виртуальные сети. Чтобы получить доступ к центрам событий, необходимо выбрать службы Azure в списке доверенных служб, чтобы получить доступ к этой учетной записи служба хранилища учетной записи проверка, чтобы обойти этот параметр брандмауэра в Концентраторе событий.

Запросы к экспортированным данным

Экспорт данных из рабочих областей в учетные записи служба хранилища помогает удовлетворить различные сценарии, упоминание которые упоминание в обзоре, и могут использоваться средствами, которые могут считывать большие двоичные объекты из служба хранилища учетных записей. Следующие методы позволяют запрашивать данные с помощью языка запросов Log Analytics, который совпадает с Обозреватель данных Azure.

  1. Используйте azure Data Обозреватель для запроса данных в Azure Data Lake.
  2. Используйте azure Data Обозреватель для приема данных из учетной записи служба хранилища.
  3. Используйте рабочую область Log Analytics для запроса приема данных с помощью API приема журналов. Прием данных — это настраиваемая таблица журналов, а не исходная таблица.

Включить экспорт данных

Для включения функции экспорта данных Log Analytics необходимо выполнить следующие действия. Дополнительные сведения о каждом из них см. в следующих разделах:

  • Регистрация поставщика ресурсов
  • Разрешить доверенные службы Microsoft
  • Создание или обновление правила экспорта данных

Регистрация поставщика ресурсов

Поставщик ресурсов Azure Microsoft.Аналитика необходимо зарегистрировать в подписке, чтобы включить экспорт данных Log Analytics.

Для большинства пользователей Azure Monitor указанный поставщик ресурсов, вероятно, уже будет зарегистрирован. Для проверки перейдите в раздел Подписки на портале Azure. Выберите подписку и выберите поставщики ресурсов в разделе Параметры меню. Найдите Microsoft.Insights. Если ее статус помечен как Зарегистрировано, значит, она уже зарегистрирована. Если нет, выберите "Зарегистрировать ", чтобы зарегистрировать его.

Вы также можете воспользоваться любым из доступных методов для регистрации поставщика ресурсов, как описано в разделе Поставщики и типы ресурсов Azure. Следующая пример команды использует Azure CLI:

az provider register --namespace 'Microsoft.insights'

Следующая примерная команда использует PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Разрешить доверенные службы Microsoft

Если вы настроили учетную запись служба хранилища, чтобы разрешить доступ из выбранных сетей, необходимо добавить исключение, чтобы Разрешить Azure Monitor записывать в учетную запись. В брандмауэрах и виртуальных сетях для учетной записи служба хранилища выберите разрешить службам Azure в списке доверенных служб доступ к этой учетной записи служба хранилища.

Снимок экрана: параметр

Отслеживание мест назначения

Внимание

Для мест назначения экспорта действуют ограничения, и их необходимо отслеживать для снижения регулирования, числа сбоев и длительности задержки. Дополнительные сведения см. в разделе служба хранилища Масштабируемость учетной записи и квоты пространства имен Центров событий.

Следующие метрики доступны для операций экспорта данных и оповещений

Имя метрики Description
Экспорт байтов Общее количество байтов, экспортированных в место назначения из рабочей области Log Analytics в пределах выбранного диапазона времени. Размер экспортируемых данных — это количество байтов в экспортированных данных в формате JSON. 1 ГБ = 10^9 байт.
Сбои экспорта Общее количество неудачных запросов экспорта в место назначения из рабочей области Log Analytics в течение выбранного диапазона времени. Это число включает в себя попытки экспорта ошибок из-за регулирования ресурсов назначения, ошибки запрещенного доступа или любой ошибки сервера. Процесс повторных попыток обрабатывает неудачные попытки, и число не является признаком отсутствия данных.
Экспортированные записи Общее количество записей, экспортированных из рабочей области Log Analytics в выбранном диапазоне времени. Это число подсчитывает записи для операций, закончившихся успешно.

Мониторинг учетной записи служба хранилища

  1. Используйте отдельную учетную запись служба хранилища для экспорта.

  2. Настройте оповещение для метрики:

    Область Пространство имен метрик Metric Агрегат За пороговое значение
    storage-name Учетная запись Входящий трафик Sum 80 % от максимального входящего трафика за период оценки оповещений. Например, ограничение составляет 60 Гбит/с для общего назначения версии 2 в западной части США. Пороговое значение генерации оповещений составляет 1676 ГиБ за 5-минутный период оценки.

  3. Действия по исправлению оповещений:

    • Используйте отдельную учетную запись служба хранилища для экспорта, который не предоставляется данным без мониторинга.
    • служба хранилища Azure стандартные учетные записи поддерживают более высокий предел входящего трафика по запросу. Чтобы отправить такой запрос, обратитесь в Службу поддержки Azure.
    • Распределите таблицы между несколькими учетными записями хранения.

Мониторинг центров событий

  1. Настройте оповещения на основе метрик:

    Область Пространство имен метрик Metric Агрегат За пороговое значение
    namespaces-name Стандартные метрики Центра событий Входящие байты Sum 80 % от максимального входящего трафика за период оценки оповещений. Например, ограничение составляет 1 МБ/с на единицу (TU или PU) и пять единиц, используемых. Пороговое значение составляет 228 МиБ за 5-минутный период оценки.
    namespaces-name Стандартные метрики Центра событий Входящие запросы Count 80 % максимальных событий на период оценки оповещений. Например, ограничение составляет 1000/с на единицу (TU или PU) и пять единиц, используемых. Пороговое значение составляет 1200 000 за 5-минутный период оценки.
    namespaces-name Стандартные метрики Центра событий Превышение квоты ошибок Count В пределах 1 % запроса. Например, запросы в течение 5 минут составляют 600 000. Пороговое значение составляет 6 000 за 5-минутный период оценки.

  2. Действия по исправлению оповещений:

    • Используйте отдельное пространство имен Центров событий для экспорта, которое не предоставляется совместно с данными без мониторинга.
    • Настройте функцию автоматического раздувания, чтобы автоматически масштабировать и увеличить количество единиц пропускной способности в соответствии с потребностями использования.
    • Проверьте увеличение единиц пропускной способности для размещения тома данных.
    • Разделение таблиц между дополнительными пространствами имен.
    • Используйте уровни "Премиум" или "Выделенный" для повышения пропускной способности.

Создание или обновление правила экспорта данных

Правило экспорта данных определяет назначение и таблицы, для которых экспортируются данные. Подготовка правил занимает около 30 минут до начала операции экспорта. Рекомендации по экспорту данных:

  • Учетная запись служба хранилища должна быть уникальной в пределах правил в рабочей области.
  • При отправке в отдельные центры событий можно использовать одно и то же пространство имен Центров событий.
  • Экспорт в учетную запись служба хранилища: отдельный контейнер создается в учетной записи служба хранилища для каждой таблицы.
  • Экспорт в Центры событий: если имя концентратора событий не указано, для каждой таблицы создается отдельный концентратор событий. Число поддерживаемых центров событий на уровнях пространства имен "Базовый" и "Стандартный" составляет 10. При экспорте более 10 таблиц на эти уровни можно разделить таблицы между несколькими правилами экспорта в разные пространства имен Центров событий или указать имя концентратора событий в правиле для экспорта всех таблиц в него.

  1. В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе Параметры. Выберите новое правило экспорта в верхней части области.

    Снимок экрана: точка входа экспорта данных.

  2. Выполните действия, а затем нажмите кнопку "Создать".

    Снимок экрана: конфигурация правила экспорта.

Просмотр конфигурации правила экспорта данных

  1. В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе Параметры.

    Снимок экрана: экран экспорта данных.

  2. Выберите правило для представления конфигурации.

    Снимок экрана: представление правила экспорта данных.

Отключение или обновление правила экспорта

Правила экспорта можно отключить, чтобы остановить экспорт в течение определенного периода, например при тестировании. В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе Параметры. Выберите переключатель состояния , чтобы отключить или включить правило экспорта.

Снимок экрана: отключение правила экспорта данных.

Удалить правило экспорта

В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе Параметры. Выберите многоточие справа от правила и нажмите кнопку "Удалить".

Снимок экрана: удаление правила экспорта данных.

Просмотр всех правил экспорта данных в рабочей области

В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе Параметры, чтобы просмотреть все правила экспорта в рабочей области.

Снимок экрана: представление правил экспорта данных.

Неподдерживаемые таблицы

Если правило экспорта данных включает неподдерживаемую таблицу, конфигурация будет успешной, но данные для этой таблицы не будут экспортированы. Если таблица будет поддерживаться позже, ее данные будут экспортированы.

Поддерживаемые таблицы

Примечание.

Мы в процессе добавления поддержки для дополнительных таблиц. Регулярно проверка этой статье. Данные должны находиться в одной из этих таблиц, чтобы они отображались в правиле экспорта данных.

 таблица ;  Ограничения
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamic Обновления
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAudit Администратор
AKSControlPlane
Предупреждение Частичная поддержка. Прием данных для оповещений Zabbix не поддерживается.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
Аномалии
AOIDatabaseQuery
AOIDigestion
AOI служба хранилища
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAudit Администратор
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
AsRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNM Подключение ivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSHybrid Подключение ionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnet Подключение ionEvents
AzureActivity Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
Конфиденциальный контрольный список
ConfigurationData Частичная поддержка. Некоторые данные передаются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
Журнал контейнера
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksClusterLibraries
DatabricksClusters
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksInstancePools
DatabricksJobs
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqtt Подключение ions
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqtt Подключение ions
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
ОбогащеноMicrosoft365AuditLogs
Событие трассировки событий Windows Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
Мероприятие Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Пульс
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics Частичная поддержка. Некоторые данные передаются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDevice Обновления
MNFSystemStateMessage Обновления
NCB МБ reakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCS служба хранилища Alerts
NCS служба хранилища Logs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Операция Частичная поддержка. Некоторые данные передаются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
Производительность
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatform Администратор Activity
PowerPlatform Подключение orActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
RED Подключение ionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
ServiceFabricReliableActorEvent Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
ServiceFabricReliableServiceEvent Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
служба хранилища MalwareScanningResults
служба хранилища MoverCopyLogsFailed
служба хранилища MoverCopyLogsTransferred
служба хранилища MoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXFailedIngestion
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Системный журнал Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Обновить Частичная поддержка. Некоторые данные передаются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Использование
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection Частичная поддержка. Некоторые данные передаются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
W3CIISLog Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Watchlist
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
Данные передачи Частичная поддержка. Некоторые данные передаются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement

Следующие шаги

Запрос экспортированных данных из Обозреватель данных Azure