Структура правила сбора данных в Azure Monitor
Правила сбора данных (DCR) — это наборы инструкций, определяющих способ сбора и обработки данных телеметрии, отправляемых в Azure Monitor. Некоторые контроллеры домена будут созданы и управляются Azure Monitor. В этой статье описаны свойства JSON контроллера домена для создания и редактирования их в тех случаях, когда их необходимо напрямую работать.
- Дополнительные сведения о работе с json, описанной здесь, см. в статье "Создание и изменение правил сбора данных (DCR) в Azure Monitor .
- Примеры правил сбора данных (DCR) в Azure Monitor см. в примерах контроллеров домена для различных сценариев.
dataCollectionEndpointId
Указывает конечную точку сбора данных (DCE), используемую DCR.
Сценарии
- Агент Azure Monitor
- API приема журналов
- Центры событий
streamDeclarations
Объявление различных типов данных, отправленных в рабочую область Log Analytics. Каждый поток — это объект, ключ которого представляет имя потока, которое должно начинаться с custom-. Поток содержит полный список свойств верхнего уровня, содержащихся в данных JSON, которые будут отправлены. Форма данных, отправляемых в конечную точку, не должна соответствовать форме целевой таблицы. Вместо этого выходные данные преобразования, примененного на вершине входных данных, должны соответствовать целевой фигуре.
Этот раздел не используется для источников данных, отправляя известные типы данных, такие как события и данные о производительности, отправляемые агентом Azure Monitor.
Возможные типы данных, которые можно назначить свойствам:
stringintlongrealbooleandynamicdatetime.
Сценарии
- Агент Azure Monitor (только текстовые журналы)
- API приема журналов
- Event Hubs
destinations
Объявление всех назначений, в которых будут отправляться данные. В настоящее время поддерживается только logAnalytics в качестве назначения, за исключением агента Azure Monitor, который также может использовать azureMonitorMetrics. Для каждого назначения Log Analytics требуется полный идентификатор ресурса рабочей области и понятное имя, которое будет использоваться в другом месте DCR для ссылки на эту рабочую область.
Сценарии
- Агент Azure Monitor (только текстовые журналы)
- API приема журналов
- Event Hubs
- DCR преобразования рабочей области
dataSources
Уникальный источник данных мониторинга, имеющий собственный формат и метод предоставления данных. Каждый источник данных имеет тип источника данных, и каждый тип определяет уникальный набор свойств, которые должны быть указаны для каждого источника данных. Типы источников данных, доступные в настоящее время, перечислены в следующей таблице.
| Тип источника данных | Description |
|---|---|
| eventHub | Данные из Центры событий Azure |
| Расширение | Источник данных на основе расширения виртуальной машины, используемый исключительно решениями Log Analytics и службами Azure (просмотреть поддерживаемые агентами службы и решения) |
| logFiles | Текстовый журнал на виртуальной машине |
| performanceCounters | Счетчики производительности для виртуальных машин Windows и Linux |
| syslog | События системного журнала на виртуальных машинах Linux |
| windowsEventLogs | Журнал событий Windows на виртуальных машинах |
Сценарии
- Агент Azure Monitor
- Event Hubs
dataFlows
Сопоставляет потоки с назначениями и при необходимости задает преобразование.
dataFlows/Streams
Один или несколько потоков, определенных в предыдущем разделе. Вы можете включить несколько потоков в один поток данных, если вы хотите отправить несколько источников данных в одно место назначения. Используйте только один поток, хотя если поток данных включает преобразование. Один поток также можно использовать несколькими потоками данных, если требуется отправить определенный источник данных в несколько таблиц в одной рабочей области Log Analytics.
dataFlows/destinations
Одно или несколько назначений из приведенного destinations выше раздела. Для сценариев с несколькими адресами разрешено несколько назначений.
dataFlows/transformKql
Необязательное преобразование , применяемое к входящего потока. Преобразование должно понимать схему входящих данных и выходных данных в схеме целевой таблицы. При использовании преобразования поток данных должен использовать только один поток.
dataFlows/outputStream
Описывает таблицу в рабочей области, указанной в свойстве destination , в которую будут отправляться данные. Значение outputStream имеет формат Microsoft-[tableName] при приеме данных в стандартную таблицу Log Analytics или Custom-[tableName] при приеме данных в настраиваемую таблицу. Для каждого потока допускается только одно назначение.
Это свойство не используется для известных источников данных из Azure Monitor, таких как события и данные о производительности, так как они отправляются в предопределенные таблицы. |
Сценарии
- Агент Azure Monitor
- API приема журналов
- Event Hubs
- DCR преобразования рабочей области
Следующие шаги
Общие сведения о правилах и методах сбора данных для их создания