Microsoft.Insights dataCollectionRules
Определение ресурсов Bicep
Тип ресурса dataCollectionRules можно развернуть с помощью операций, предназначенных для следующих целей:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.Insights/dataCollectionRules, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.Insights/dataCollectionRules@2023-03-11' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
kind: 'string'
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
agentSettings: {
logs: [
{
name: 'string'
value: 'string'
}
]
}
dataCollectionEndpointId: 'string'
dataFlows: [
{
builtInTransform: 'string'
captureOverflow: bool
destinations: [
'string'
]
outputStream: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
dataSources: {
dataImports: {
eventHub: {
consumerGroup: 'string'
name: 'string'
stream: 'string'
}
}
extensions: [
{
extensionName: 'string'
extensionSettings: any()
inputDataSources: [
'string'
]
name: 'string'
streams: [
'string'
]
}
]
iisLogs: [
{
logDirectories: [
'string'
]
name: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
logFiles: [
{
filePatterns: [
'string'
]
format: 'string'
name: 'string'
settings: {
text: {
recordStartTimestampFormat: 'string'
}
}
streams: [
'string'
]
transformKql: 'string'
}
]
performanceCounters: [
{
counterSpecifiers: [
'string'
]
name: 'string'
samplingFrequencyInSeconds: int
streams: [
'string'
]
transformKql: 'string'
}
]
platformTelemetry: [
{
name: 'string'
streams: [
'string'
]
}
]
prometheusForwarder: [
{
labelIncludeFilter: {
{customized property}: 'string'
}
name: 'string'
streams: 'Microsoft-PrometheusMetrics'
}
]
syslog: [
{
facilityNames: [
'string'
]
logLevels: [
'string'
]
name: 'string'
streams: 'Microsoft-Syslog'
transformKql: 'string'
}
]
windowsEventLogs: [
{
name: 'string'
streams: [
'string'
]
transformKql: 'string'
xPathQueries: [
'string'
]
}
]
windowsFirewallLogs: [
{
name: 'string'
profileFilter: [
'string'
]
streams: [
'string'
]
}
]
}
description: 'string'
destinations: {
azureDataExplorer: [
{
databaseName: 'string'
name: 'string'
resourceId: 'string'
}
]
azureMonitorMetrics: {
name: 'string'
}
eventHubs: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
eventHubsDirect: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
logAnalytics: [
{
name: 'string'
workspaceResourceId: 'string'
}
]
microsoftFabric: [
{
artifactId: 'string'
databaseName: 'string'
ingestionUri: 'string'
name: 'string'
tenantId: 'string'
}
]
monitoringAccounts: [
{
accountResourceId: 'string'
name: 'string'
}
]
storageAccounts: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageBlobsDirect: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageTablesDirect: [
{
name: 'string'
storageAccountResourceId: 'string'
tableName: 'string'
}
]
}
references: {
enrichmentData: {
storageBlobs: [
{
blobUrl: 'string'
lookupType: 'string'
name: 'string'
resourceId: 'string'
}
]
}
}
streamDeclarations: {
{customized property}: {
columns: [
{
name: 'string'
type: 'string'
}
]
}
}
}
}
Значения свойств
dataCollectionRules
| Имя | Описание | Ценность |
|---|---|---|
| имя | Имя ресурса | строка (обязательно) |
| местоположение | Географическое расположение, в котором находится ресурс. | строка (обязательно) |
| Теги | Теги ресурсов. | Словарь имен и значений тегов. См. теги в шаблонах |
| добрый | Тип ресурса. | Linux "Windows" |
| тождество | Управляемое удостоверение службы ресурса. | DataCollectionRuleResourceIdentity |
| свойства | Свойства ресурса. | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип управляемого удостоверения службы (где разрешены типы SystemAssigned и UserAssigned). | "Нет" SystemAssigned SystemAssigned, UserAssigned UserAssigned (обязательно) |
| userAssignedIdentities | Набор назначенных пользователем удостоверений, связанных с ресурсом. Ключи словаря userAssignedIdentities будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Значения словаря могут быть пустыми объектами ({}) в запросах. | UserAssignedIdentities |
UserAssignedIdentities
| Имя | Описание | Ценность |
|---|---|---|
| {настраиваемое свойство} | UserAssignedIdentity |
UserAssignedIdentity
Этот объект не содержит свойств, заданных во время развертывания. Все свойства — ReadOnly.
DataCollectionRuleResourceProperties
| Имя | Описание | Ценность |
|---|---|---|
| agentSettings | Параметры агента, используемые для изменения поведения агента на определенном узле | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | Идентификатор ресурса конечной точки сбора данных, с которым можно использовать это правило. | струна |
| Потоки данных | Спецификация потоков данных. | DataFlow[] |
| dataSources | Спецификация источников данных. Это свойство является необязательным и может быть опущено, если правило предназначено для использования с помощью прямых вызовов подготовленной конечной точки. |
DataCollectionRuleDataSources |
| описание | Описание правила сбора данных. | струна |
| Направлений | Спецификация назначений. | DataCollectionRuleDestinations |
| Ссылки | Определяет все ссылки, которые могут использоваться в других разделах DCR | DataCollectionRuleReferences |
| streamDeclarations | Объявление пользовательских потоков, используемых в этом правиле. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| Имя | Описание | Ценность |
|---|---|---|
| Журналы | Все параметры, применимые к агенту журналов (AMA) | AgentSetting[] |
AgentSetting
| Имя | Описание | Ценность |
|---|---|---|
| имя | Имя параметра. Должен быть частью списка поддерживаемых параметров |
"MaxDiskQuotaInMB" UseTimeReceivedForwardedEvents |
| ценность | Значение параметра | струна |
Поток данных
| Имя | Описание | Ценность |
|---|---|---|
| builtInTransform | Преобразование builtIn для преобразования потоковой передачи данных | струна |
| captureOverflow | Флаг для включения столбца переполнения в местах назначения LA | bool |
| Направлений | Список назначений для этого потока данных. | string[] |
| outputStream | Выходной поток преобразования. Требуется только в том случае, если преобразование изменяет данные в другой поток. | струна |
| Потоки | Список потоков для этого потока данных. | Массив строк, содержащий любой из: "Microsoft-Event" "Microsoft-InsightsMetrics" Microsoft-Perf Microsoft-Syslog Microsoft-WindowsEvent |
| transformKql | Запрос KQL для преобразования потоковой передачи данных. | струна |
DataCollectionRuleDataSources
| Имя | Описание | Ценность |
|---|---|---|
| dataImports | Спецификации источников данных на основе извлечения | DataSourcesSpecDataImports |
| Расширения | Список конфигураций источников данных расширения виртуальной машины Azure. | ExtensionDataSource[] |
| iisLogs | Список исходных конфигураций журналов IIS. | IisLogsDataSource[] |
| logFiles | Список исходных конфигураций файлов журнала. | LogFilesDataSource[] |
| performanceCounters | Список конфигураций источников данных счетчика производительности. | PerfCounterDataSource[] |
| platformTelemetry | Список конфигураций телеметрии платформы | PlatformTelemetryDataSource[] |
| prometheusForwarder | Список конфигураций источника данных пересылки Prometheus. | PrometheusForwarderDataSource[] |
| системный журнал | Список конфигураций источника данных системного журнала. | SyslogDataSource[] |
| windowsEventLogs | Список конфигураций источника данных журнала событий Windows. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Список исходных конфигураций брандмауэра Windows. | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| Имя | Описание | Ценность |
|---|---|---|
| eventHub | Определение конфигурации Концентратора событий. | DataImportSourcesEventHub |
DataImportSourcesEventHub
| Имя | Описание | Ценность |
|---|---|---|
| consumerGroup | Имя группы потребителей концентратора событий | струна |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| поток | Поток для сбора из EventHub | струна |
ExtensionDataSource
| Имя | Описание | Ценность |
|---|---|---|
| extensionName | Имя расширения виртуальной машины. | строка (обязательно) |
| extensionSettings | Параметры расширения. Формат предназначен для конкретного расширения. | Для Bicep можно использовать функцию any(). |
| inputDataSources | В списке источников данных этого расширения требуются данные. | string[] |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-Event" "Microsoft-InsightsMetrics" Microsoft-Perf Microsoft-Syslog Microsoft-WindowsEvent |
IisLogsDataSource
| Имя | Описание | Ценность |
|---|---|---|
| LogDirectory | Расположение файла абсолютных путей | string[] |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Потоки IIS | string[] (обязательно) |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
LogFilesDataSource
| Имя | Описание | Ценность |
|---|---|---|
| filePatterns | Шаблоны файлов, в которых находятся файлы журнала | string[] (обязательно) |
| формат | Формат данных файлов журнала | Json "text" (обязательный) |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Параметры | Определенные параметры файлов журнала. | LogFilesDataSourceSettings |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этого источника данных |
string[] (обязательно) |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
LogFilesDataSourceSettings
| Имя | Описание | Ценность |
|---|---|---|
| СМС | Параметры текста | LogFileSettingsText |
LogFileSettingsText
| Имя | Описание | Ценность |
|---|---|---|
| recordStartTimestampFormat | Один из поддерживаемых форматов меток времени | ISO 8601 'M/D/ГГГГ HH:MM:SS AM/PM' 'MMM d hh:mm:ss' 'Mon DD, ГГГГ ЧЧ:ММ:SS' 'ГГГГ-MM-DD HH:MM:SS' 'dd/MMM/гггг:HH:mm:ss zzz' 'ddMMyy HH:mm:ss' 'yyMMdd HH:mm:ss' 'гггг-ММ-ддTHH:мм:ssK' (обязательно) |
PerfCounterDataSource
| Имя | Описание | Ценность |
|---|---|---|
| counterSpecifiers | Список имен описатель счетчиков производительности, которые требуется собрать. Используйте подстановочный знак (*) для сбора счетчика для всех экземпляров. Чтобы получить список счетчиков производительности в Windows, выполните команду typeperf. |
string[] |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| выборкаFrequencyInSeconds | Количество секунд между последовательными измерениями счетчиков (примерами). | int |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-InsightsMetrics" Microsoft-Perf |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
PlatformTelemetryDataSource
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков телеметрии платформы для сбора | string[] (обязательно) |
PrometheusForwarderDataSource
| Имя | Описание | Ценность |
|---|---|---|
| labelIncludeFilter | Список фильтров включения меток в виде пар "name-value". В настоящее время поддерживается только одна метка: "microsoft_metrics_include_label". Значения меток совпадают без учета регистра. |
PrometheusForwarderDataSourceLabelIncludeFilter |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. | Массив строк, содержащий любой из: Microsoft-PrometheusMetrics |
PrometheusForwarderDataSourceLabelIncludeFilter
| Имя | Описание | Ценность |
|---|---|---|
| {настраиваемое свойство} | струна |
SyslogDataSource
| Имя | Описание | Ценность |
|---|---|---|
| facilityNames | Список имен объектов. | Массив строк, содержащий любой из: '*' "оповещение" Аудит "auth" Authpriv "часы" 'cron' "управляющая программа" Ftp "kern" Local0 "local1" "local2" "local3" "local4" Local5 Local6 "local7" 'lpr' "почта" "Mark" "новости" 'nopri' 'ntp' Syslog "пользователь" 'uucp' |
| logLevels | Уровни журнала для сбора. | Массив строк, содержащий любой из: '*' "Оповещение" "Критический" "Отладка" "Чрезвычайные ситуации" "Ошибка" "Info" "Уведомление" Предупреждение |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: Microsoft-Syslog |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
WindowsEventLogDataSource
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-Event" Microsoft-WindowsEvent |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
| xPathQueries | Список запросов журнала событий Windows в формате XPATH. | string[] |
WindowsFirewallLogsDataSource
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| profileFilter | Фильтр профиля журналов брандмауэра | Массив строк, содержащий любой из: Домен "Private" "Public" |
| Потоки | Потоки журналов брандмауэра | string[] (обязательно) |
DataCollectionRuleDestinations
| Имя | Описание | Ценность |
|---|---|---|
| azureDataExplorer | Список назначений Azure Data Explorer. | AdxDestination[] |
| azureMonitorMetrics | Назначение метрик Azure Monitor. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Список назначений Центров событий. | EventHubDestination[] |
| eventHubsDirect | Список назначений Центров событий Direct. | EventHubDirectDestination[] |
| LogAnalytics | Список назначений Log Analytics. | LogAnalyticsDestination[] |
| microsoftFabric | Список назначений Microsoft Fabric. | MicrosoftFabricDestination[] |
| monitoringAccounts | Список назначений учетной записи мониторинга. | MonitoringAccountDestination[] |
| storageAccounts | Список назначений учетных записей хранения. | StorageBlobDestination[] |
| storageBlobsDirect | Список целевых объектов BLOB-объектов хранилища. Использование только для отправки данных непосредственно в хранилище из агента. | StorageBlobDestination[] |
| storageTablesDirect | Список назначений прямой таблицы хранилища. | StorageTableDestination[] |
AdxDestination
| Имя | Описание | Ценность |
|---|---|---|
| databaseName | Имя базы данных, в которую будут приема данных. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| resourceId | Идентификатор ресурса ARM ресурса Adx. | струна |
DestinationsSpecAzureMonitorMetrics
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
EventHubDestination
| Имя | Описание | Ценность |
|---|---|---|
| eventHubResourceId | Идентификатор ресурса концентратора событий. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
EventHubDirectDestination
| Имя | Описание | Ценность |
|---|---|---|
| eventHubResourceId | Идентификатор ресурса концентратора событий. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
LogAnalyticsDestination
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| workspaceResourceId | Идентификатор ресурса рабочей области Log Analytics. | струна |
MicrosoftFabricDestination
| Имя | Описание | Ценность |
|---|---|---|
| artifactId | Идентификатор артефакта ресурса Microsoft Fabric. | струна |
| databaseName | Имя базы данных, в которую будут приема данных. | струна |
| ingestionUri | URI приема ресурса Microsoft Fabric. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| tenantId | Идентификатор клиента ресурса Microsoft Fabric. | струна |
MonitoringAccountDestination
| Имя | Описание | Ценность |
|---|---|---|
| accountResourceId | Идентификатор ресурса учетной записи мониторинга. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
StorageBlobDestination
| Имя | Описание | Ценность |
|---|---|---|
| containerName | Имя контейнера BLOB-объекта хранилища. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| storageAccountResourceId | Идентификатор ресурса учетной записи хранения. | струна |
StorageTableDestination
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| storageAccountResourceId | Идентификатор ресурса учетной записи хранения. | струна |
| tableName | Имя таблицы хранилища. | струна |
DataCollectionRuleReferences
| Имя | Описание | Ценность |
|---|---|---|
| обогащениеData | Все источники данных обогащения, на которые ссылается потоки данных | ReferencesSpecEnrichmentData |
ReferencesSpecEnrichmentData
| Имя | Описание | Ценность |
|---|---|---|
| BLOB-объекты хранилища | Все большие двоичные объекты хранилища, используемые в качестве источников данных обогащения | StorageBlob[] |
StorageBlob
| Имя | Описание | Ценность |
|---|---|---|
| blobUrl | URL-адрес большого двоичного объекта хранилища | струна |
| lookupType | Тип подстановки, выполняемой в большом двоичном объекте | 'Cidr' "String" |
| имя | Имя источника данных обогащения, используемого в качестве псевдонима при ссылке на этот источник данных в потоках данных | струна |
| resourceId | Идентификатор ресурса учетной записи хранения, на котором размещен большой двоичный объект | струна |
DataCollectionRuleStreamDeclarations
| Имя | Описание | Ценность |
|---|---|---|
| {настраиваемое свойство} | StreamDeclaration |
StreamDeclaration
| Имя | Описание | Ценность |
|---|---|---|
| Столбцы | Список столбцов, используемых данными в этом потоке. | ColumnDefinition[] |
ColumnDefinition
| Имя | Описание | Ценность |
|---|---|---|
| имя | Имя столбца. | струна |
| тип | Тип данных столбца. | Boolean' Datetime "Динамический" 'int' 'long' "реальный" "string" |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
|
Развертывание vSensors autotrace autoscaling развертывание  |
Этот шаблон позволяет развертывать автоматическое развертывание vSensors Darktrace vSensors автоматически. |
| Правило сбора данных для системного журнала развертывание |
Этот шаблон создает правило сбора данных, определяющее источник данных (Syslog) и целевую рабочую область. |
Определение ресурса шаблона ARM
Тип ресурса dataCollectionRules можно развернуть с помощью операций, предназначенных для следующих целей:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.Insights/dataCollectionRules, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.Insights/dataCollectionRules",
"apiVersion": "2023-03-11",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"kind": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"agentSettings": {
"logs": [
{
"name": "string",
"value": "string"
}
]
},
"dataCollectionEndpointId": "string",
"dataFlows": [
{
"builtInTransform": "string",
"captureOverflow": "bool",
"destinations": [ "string" ],
"outputStream": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"dataSources": {
"dataImports": {
"eventHub": {
"consumerGroup": "string",
"name": "string",
"stream": "string"
}
},
"extensions": [
{
"extensionName": "string",
"extensionSettings": {},
"inputDataSources": [ "string" ],
"name": "string",
"streams": [ "string" ]
}
],
"iisLogs": [
{
"logDirectories": [ "string" ],
"name": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"logFiles": [
{
"filePatterns": [ "string" ],
"format": "string",
"name": "string",
"settings": {
"text": {
"recordStartTimestampFormat": "string"
}
},
"streams": [ "string" ],
"transformKql": "string"
}
],
"performanceCounters": [
{
"counterSpecifiers": [ "string" ],
"name": "string",
"samplingFrequencyInSeconds": "int",
"streams": [ "string" ],
"transformKql": "string"
}
],
"platformTelemetry": [
{
"name": "string",
"streams": [ "string" ]
}
],
"prometheusForwarder": [
{
"labelIncludeFilter": {
"{customized property}": "string"
},
"name": "string",
"streams": "Microsoft-PrometheusMetrics"
}
],
"syslog": [
{
"facilityNames": [ "string" ],
"logLevels": [ "string" ],
"name": "string",
"streams": "Microsoft-Syslog",
"transformKql": "string"
}
],
"windowsEventLogs": [
{
"name": "string",
"streams": [ "string" ],
"transformKql": "string",
"xPathQueries": [ "string" ]
}
],
"windowsFirewallLogs": [
{
"name": "string",
"profileFilter": [ "string" ],
"streams": [ "string" ]
}
]
},
"description": "string",
"destinations": {
"azureDataExplorer": [
{
"databaseName": "string",
"name": "string",
"resourceId": "string"
}
],
"azureMonitorMetrics": {
"name": "string"
},
"eventHubs": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"eventHubsDirect": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"logAnalytics": [
{
"name": "string",
"workspaceResourceId": "string"
}
],
"microsoftFabric": [
{
"artifactId": "string",
"databaseName": "string",
"ingestionUri": "string",
"name": "string",
"tenantId": "string"
}
],
"monitoringAccounts": [
{
"accountResourceId": "string",
"name": "string"
}
],
"storageAccounts": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageBlobsDirect": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageTablesDirect": [
{
"name": "string",
"storageAccountResourceId": "string",
"tableName": "string"
}
]
},
"references": {
"enrichmentData": {
"storageBlobs": [
{
"blobUrl": "string",
"lookupType": "string",
"name": "string",
"resourceId": "string"
}
]
}
},
"streamDeclarations": {
"{customized property}": {
"columns": [
{
"name": "string",
"type": "string"
}
]
}
}
}
}
Значения свойств
dataCollectionRules
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип ресурса | "Microsoft.Insights/dataCollectionRules" |
| apiVersion | Версия API ресурсов | '2023-03-11' |
| имя | Имя ресурса | строка (обязательно) |
| местоположение | Географическое расположение, в котором находится ресурс. | строка (обязательно) |
| Теги | Теги ресурсов. | Словарь имен и значений тегов. См. теги в шаблонах |
| добрый | Тип ресурса. | Linux "Windows" |
| тождество | Управляемое удостоверение службы ресурса. | DataCollectionRuleResourceIdentity |
| свойства | Свойства ресурса. | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип управляемого удостоверения службы (где разрешены типы SystemAssigned и UserAssigned). | "Нет" SystemAssigned SystemAssigned, UserAssigned UserAssigned (обязательно) |
| userAssignedIdentities | Набор назначенных пользователем удостоверений, связанных с ресурсом. Ключи словаря userAssignedIdentities будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Значения словаря могут быть пустыми объектами ({}) в запросах. | UserAssignedIdentities |
UserAssignedIdentities
| Имя | Описание | Ценность |
|---|---|---|
| {настраиваемое свойство} | UserAssignedIdentity |
UserAssignedIdentity
Этот объект не содержит свойств, заданных во время развертывания. Все свойства — ReadOnly.
DataCollectionRuleResourceProperties
| Имя | Описание | Ценность |
|---|---|---|
| agentSettings | Параметры агента, используемые для изменения поведения агента на определенном узле | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | Идентификатор ресурса конечной точки сбора данных, с которым можно использовать это правило. | струна |
| Потоки данных | Спецификация потоков данных. | DataFlow[] |
| dataSources | Спецификация источников данных. Это свойство является необязательным и может быть опущено, если правило предназначено для использования с помощью прямых вызовов подготовленной конечной точки. |
DataCollectionRuleDataSources |
| описание | Описание правила сбора данных. | струна |
| Направлений | Спецификация назначений. | DataCollectionRuleDestinations |
| Ссылки | Определяет все ссылки, которые могут использоваться в других разделах DCR | DataCollectionRuleReferences |
| streamDeclarations | Объявление пользовательских потоков, используемых в этом правиле. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| Имя | Описание | Ценность |
|---|---|---|
| Журналы | Все параметры, применимые к агенту журналов (AMA) | AgentSetting[] |
AgentSetting
| Имя | Описание | Ценность |
|---|---|---|
| имя | Имя параметра. Должен быть частью списка поддерживаемых параметров |
"MaxDiskQuotaInMB" UseTimeReceivedForwardedEvents |
| ценность | Значение параметра | струна |
Поток данных
| Имя | Описание | Ценность |
|---|---|---|
| builtInTransform | Преобразование builtIn для преобразования потоковой передачи данных | струна |
| captureOverflow | Флаг для включения столбца переполнения в местах назначения LA | bool |
| Направлений | Список назначений для этого потока данных. | string[] |
| outputStream | Выходной поток преобразования. Требуется только в том случае, если преобразование изменяет данные в другой поток. | струна |
| Потоки | Список потоков для этого потока данных. | Массив строк, содержащий любой из: "Microsoft-Event" "Microsoft-InsightsMetrics" Microsoft-Perf Microsoft-Syslog Microsoft-WindowsEvent |
| transformKql | Запрос KQL для преобразования потоковой передачи данных. | струна |
DataCollectionRuleDataSources
| Имя | Описание | Ценность |
|---|---|---|
| dataImports | Спецификации источников данных на основе извлечения | DataSourcesSpecDataImports |
| Расширения | Список конфигураций источников данных расширения виртуальной машины Azure. | ExtensionDataSource[] |
| iisLogs | Список исходных конфигураций журналов IIS. | IisLogsDataSource[] |
| logFiles | Список исходных конфигураций файлов журнала. | LogFilesDataSource[] |
| performanceCounters | Список конфигураций источников данных счетчика производительности. | PerfCounterDataSource[] |
| platformTelemetry | Список конфигураций телеметрии платформы | PlatformTelemetryDataSource[] |
| prometheusForwarder | Список конфигураций источника данных пересылки Prometheus. | PrometheusForwarderDataSource[] |
| системный журнал | Список конфигураций источника данных системного журнала. | SyslogDataSource[] |
| windowsEventLogs | Список конфигураций источника данных журнала событий Windows. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Список исходных конфигураций брандмауэра Windows. | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| Имя | Описание | Ценность |
|---|---|---|
| eventHub | Определение конфигурации Концентратора событий. | DataImportSourcesEventHub |
DataImportSourcesEventHub
| Имя | Описание | Ценность |
|---|---|---|
| consumerGroup | Имя группы потребителей концентратора событий | струна |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| поток | Поток для сбора из EventHub | струна |
ExtensionDataSource
| Имя | Описание | Ценность |
|---|---|---|
| extensionName | Имя расширения виртуальной машины. | строка (обязательно) |
| extensionSettings | Параметры расширения. Формат предназначен для конкретного расширения. | |
| inputDataSources | В списке источников данных этого расширения требуются данные. | string[] |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-Event" "Microsoft-InsightsMetrics" Microsoft-Perf Microsoft-Syslog Microsoft-WindowsEvent |
IisLogsDataSource
| Имя | Описание | Ценность |
|---|---|---|
| LogDirectory | Расположение файла абсолютных путей | string[] |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Потоки IIS | string[] (обязательно) |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
LogFilesDataSource
| Имя | Описание | Ценность |
|---|---|---|
| filePatterns | Шаблоны файлов, в которых находятся файлы журнала | string[] (обязательно) |
| формат | Формат данных файлов журнала | Json "text" (обязательный) |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Параметры | Определенные параметры файлов журнала. | LogFilesDataSourceSettings |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этого источника данных |
string[] (обязательно) |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
LogFilesDataSourceSettings
| Имя | Описание | Ценность |
|---|---|---|
| СМС | Параметры текста | LogFileSettingsText |
LogFileSettingsText
| Имя | Описание | Ценность |
|---|---|---|
| recordStartTimestampFormat | Один из поддерживаемых форматов меток времени | ISO 8601 'M/D/ГГГГ HH:MM:SS AM/PM' 'MMM d hh:mm:ss' 'Mon DD, ГГГГ ЧЧ:ММ:SS' 'ГГГГ-MM-DD HH:MM:SS' 'dd/MMM/гггг:HH:mm:ss zzz' 'ddMMyy HH:mm:ss' 'yyMMdd HH:mm:ss' 'гггг-ММ-ддTHH:мм:ssK' (обязательно) |
PerfCounterDataSource
| Имя | Описание | Ценность |
|---|---|---|
| counterSpecifiers | Список имен описатель счетчиков производительности, которые требуется собрать. Используйте подстановочный знак (*) для сбора счетчика для всех экземпляров. Чтобы получить список счетчиков производительности в Windows, выполните команду typeperf. |
string[] |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| выборкаFrequencyInSeconds | Количество секунд между последовательными измерениями счетчиков (примерами). | int |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-InsightsMetrics" Microsoft-Perf |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
PlatformTelemetryDataSource
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков телеметрии платформы для сбора | string[] (обязательно) |
PrometheusForwarderDataSource
| Имя | Описание | Ценность |
|---|---|---|
| labelIncludeFilter | Список фильтров включения меток в виде пар "name-value". В настоящее время поддерживается только одна метка: "microsoft_metrics_include_label". Значения меток совпадают без учета регистра. |
PrometheusForwarderDataSourceLabelIncludeFilter |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. | Массив строк, содержащий любой из: Microsoft-PrometheusMetrics |
PrometheusForwarderDataSourceLabelIncludeFilter
| Имя | Описание | Ценность |
|---|---|---|
| {настраиваемое свойство} | струна |
SyslogDataSource
| Имя | Описание | Ценность |
|---|---|---|
| facilityNames | Список имен объектов. | Массив строк, содержащий любой из: '*' "оповещение" Аудит "auth" Authpriv "часы" 'cron' "управляющая программа" Ftp "kern" Local0 "local1" "local2" "local3" "local4" Local5 Local6 "local7" 'lpr' "почта" "Mark" "новости" 'nopri' 'ntp' Syslog "пользователь" 'uucp' |
| logLevels | Уровни журнала для сбора. | Массив строк, содержащий любой из: '*' "Оповещение" "Критический" "Отладка" "Чрезвычайные ситуации" "Ошибка" "Info" "Уведомление" Предупреждение |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: Microsoft-Syslog |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
WindowsEventLogDataSource
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-Event" Microsoft-WindowsEvent |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
| xPathQueries | Список запросов журнала событий Windows в формате XPATH. | string[] |
WindowsFirewallLogsDataSource
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| profileFilter | Фильтр профиля журналов брандмауэра | Массив строк, содержащий любой из: Домен "Private" "Public" |
| Потоки | Потоки журналов брандмауэра | string[] (обязательно) |
DataCollectionRuleDestinations
| Имя | Описание | Ценность |
|---|---|---|
| azureDataExplorer | Список назначений Azure Data Explorer. | AdxDestination[] |
| azureMonitorMetrics | Назначение метрик Azure Monitor. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Список назначений Центров событий. | EventHubDestination[] |
| eventHubsDirect | Список назначений Центров событий Direct. | EventHubDirectDestination[] |
| LogAnalytics | Список назначений Log Analytics. | LogAnalyticsDestination[] |
| microsoftFabric | Список назначений Microsoft Fabric. | MicrosoftFabricDestination[] |
| monitoringAccounts | Список назначений учетной записи мониторинга. | MonitoringAccountDestination[] |
| storageAccounts | Список назначений учетных записей хранения. | StorageBlobDestination[] |
| storageBlobsDirect | Список целевых объектов BLOB-объектов хранилища. Использование только для отправки данных непосредственно в хранилище из агента. | StorageBlobDestination[] |
| storageTablesDirect | Список назначений прямой таблицы хранилища. | StorageTableDestination[] |
AdxDestination
| Имя | Описание | Ценность |
|---|---|---|
| databaseName | Имя базы данных, в которую будут приема данных. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| resourceId | Идентификатор ресурса ARM ресурса Adx. | струна |
DestinationsSpecAzureMonitorMetrics
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
EventHubDestination
| Имя | Описание | Ценность |
|---|---|---|
| eventHubResourceId | Идентификатор ресурса концентратора событий. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
EventHubDirectDestination
| Имя | Описание | Ценность |
|---|---|---|
| eventHubResourceId | Идентификатор ресурса концентратора событий. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
LogAnalyticsDestination
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| workspaceResourceId | Идентификатор ресурса рабочей области Log Analytics. | струна |
MicrosoftFabricDestination
| Имя | Описание | Ценность |
|---|---|---|
| artifactId | Идентификатор артефакта ресурса Microsoft Fabric. | струна |
| databaseName | Имя базы данных, в которую будут приема данных. | струна |
| ingestionUri | URI приема ресурса Microsoft Fabric. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| tenantId | Идентификатор клиента ресурса Microsoft Fabric. | струна |
MonitoringAccountDestination
| Имя | Описание | Ценность |
|---|---|---|
| accountResourceId | Идентификатор ресурса учетной записи мониторинга. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
StorageBlobDestination
| Имя | Описание | Ценность |
|---|---|---|
| containerName | Имя контейнера BLOB-объекта хранилища. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| storageAccountResourceId | Идентификатор ресурса учетной записи хранения. | струна |
StorageTableDestination
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| storageAccountResourceId | Идентификатор ресурса учетной записи хранения. | струна |
| tableName | Имя таблицы хранилища. | струна |
DataCollectionRuleReferences
| Имя | Описание | Ценность |
|---|---|---|
| обогащениеData | Все источники данных обогащения, на которые ссылается потоки данных | ReferencesSpecEnrichmentData |
ReferencesSpecEnrichmentData
| Имя | Описание | Ценность |
|---|---|---|
| BLOB-объекты хранилища | Все большие двоичные объекты хранилища, используемые в качестве источников данных обогащения | StorageBlob[] |
StorageBlob
| Имя | Описание | Ценность |
|---|---|---|
| blobUrl | URL-адрес большого двоичного объекта хранилища | струна |
| lookupType | Тип подстановки, выполняемой в большом двоичном объекте | 'Cidr' "String" |
| имя | Имя источника данных обогащения, используемого в качестве псевдонима при ссылке на этот источник данных в потоках данных | струна |
| resourceId | Идентификатор ресурса учетной записи хранения, на котором размещен большой двоичный объект | струна |
DataCollectionRuleStreamDeclarations
| Имя | Описание | Ценность |
|---|---|---|
| {настраиваемое свойство} | StreamDeclaration |
StreamDeclaration
| Имя | Описание | Ценность |
|---|---|---|
| Столбцы | Список столбцов, используемых данными в этом потоке. | ColumnDefinition[] |
ColumnDefinition
| Имя | Описание | Ценность |
|---|---|---|
| имя | Имя столбца. | струна |
| тип | Тип данных столбца. | Boolean' Datetime "Динамический" 'int' 'long' "реальный" "string" |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
|
Развертывание vSensors autotrace autoscaling развертывание |
Этот шаблон позволяет развертывать автоматическое развертывание vSensors Darktrace vSensors автоматически. |
| Правило сбора данных для системного журнала развертывание |
Этот шаблон создает правило сбора данных, определяющее источник данных (Syslog) и целевую рабочую область. |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса dataCollectionRules можно развернуть с помощью операций, предназначенных для следующих целей:
- групп ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.Insights/dataCollectionRules, добавьте следующий объект Terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Insights/dataCollectionRules@2023-03-11"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
agentSettings = {
logs = [
{
name = "string"
value = "string"
}
]
}
dataCollectionEndpointId = "string"
dataFlows = [
{
builtInTransform = "string"
captureOverflow = bool
destinations = [
"string"
]
outputStream = "string"
streams = [
"string"
]
transformKql = "string"
}
]
dataSources = {
dataImports = {
eventHub = {
consumerGroup = "string"
name = "string"
stream = "string"
}
}
extensions = [
{
extensionName = "string"
inputDataSources = [
"string"
]
name = "string"
streams = [
"string"
]
}
]
iisLogs = [
{
logDirectories = [
"string"
]
name = "string"
streams = [
"string"
]
transformKql = "string"
}
]
logFiles = [
{
filePatterns = [
"string"
]
format = "string"
name = "string"
settings = {
text = {
recordStartTimestampFormat = "string"
}
}
streams = [
"string"
]
transformKql = "string"
}
]
performanceCounters = [
{
counterSpecifiers = [
"string"
]
name = "string"
samplingFrequencyInSeconds = int
streams = [
"string"
]
transformKql = "string"
}
]
platformTelemetry = [
{
name = "string"
streams = [
"string"
]
}
]
prometheusForwarder = [
{
labelIncludeFilter = {
{customized property} = "string"
}
name = "string"
streams = "Microsoft-PrometheusMetrics"
}
]
syslog = [
{
facilityNames = [
"string"
]
logLevels = [
"string"
]
name = "string"
streams = "Microsoft-Syslog"
transformKql = "string"
}
]
windowsEventLogs = [
{
name = "string"
streams = [
"string"
]
transformKql = "string"
xPathQueries = [
"string"
]
}
]
windowsFirewallLogs = [
{
name = "string"
profileFilter = [
"string"
]
streams = [
"string"
]
}
]
}
description = "string"
destinations = {
azureDataExplorer = [
{
databaseName = "string"
name = "string"
resourceId = "string"
}
]
azureMonitorMetrics = {
name = "string"
}
eventHubs = [
{
eventHubResourceId = "string"
name = "string"
}
]
eventHubsDirect = [
{
eventHubResourceId = "string"
name = "string"
}
]
logAnalytics = [
{
name = "string"
workspaceResourceId = "string"
}
]
microsoftFabric = [
{
artifactId = "string"
databaseName = "string"
ingestionUri = "string"
name = "string"
tenantId = "string"
}
]
monitoringAccounts = [
{
accountResourceId = "string"
name = "string"
}
]
storageAccounts = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageBlobsDirect = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageTablesDirect = [
{
name = "string"
storageAccountResourceId = "string"
tableName = "string"
}
]
}
references = {
enrichmentData = {
storageBlobs = [
{
blobUrl = "string"
lookupType = "string"
name = "string"
resourceId = "string"
}
]
}
}
streamDeclarations = {
{customized property} = {
columns = [
{
name = "string"
type = "string"
}
]
}
}
}
kind = "string"
})
}
Значения свойств
dataCollectionRules
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип ресурса | "Microsoft.Insights/dataCollectionRules@2023-03-11" |
| имя | Имя ресурса | строка (обязательно) |
| местоположение | Географическое расположение, в котором находится ресурс. | строка (обязательно) |
| parent_id | Чтобы развернуть в группе ресурсов, используйте идентификатор этой группы ресурсов. | строка (обязательно) |
| Теги | Теги ресурсов. | Словарь имен и значений тегов. |
| добрый | Тип ресурса. | Linux "Windows" |
| тождество | Управляемое удостоверение службы ресурса. | DataCollectionRuleResourceIdentity |
| свойства | Свойства ресурса. | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип управляемого удостоверения службы (где разрешены типы SystemAssigned и UserAssigned). | SystemAssigned SystemAssigned, UserAssigned UserAssigned (обязательно) |
| identity_ids | Набор назначенных пользователем удостоверений, связанных с ресурсом. Ключи словаря userAssignedIdentities будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Значения словаря могут быть пустыми объектами ({}) в запросах. | Массив идентификаторов удостоверений пользователя. |
UserAssignedIdentities
| Имя | Описание | Ценность |
|---|---|---|
| {настраиваемое свойство} | UserAssignedIdentity |
UserAssignedIdentity
Этот объект не содержит свойств, заданных во время развертывания. Все свойства — ReadOnly.
DataCollectionRuleResourceProperties
| Имя | Описание | Ценность |
|---|---|---|
| agentSettings | Параметры агента, используемые для изменения поведения агента на определенном узле | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | Идентификатор ресурса конечной точки сбора данных, с которым можно использовать это правило. | струна |
| Потоки данных | Спецификация потоков данных. | DataFlow[] |
| dataSources | Спецификация источников данных. Это свойство является необязательным и может быть опущено, если правило предназначено для использования с помощью прямых вызовов подготовленной конечной точки. |
DataCollectionRuleDataSources |
| описание | Описание правила сбора данных. | струна |
| Направлений | Спецификация назначений. | DataCollectionRuleDestinations |
| Ссылки | Определяет все ссылки, которые могут использоваться в других разделах DCR | DataCollectionRuleReferences |
| streamDeclarations | Объявление пользовательских потоков, используемых в этом правиле. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| Имя | Описание | Ценность |
|---|---|---|
| Журналы | Все параметры, применимые к агенту журналов (AMA) | AgentSetting[] |
AgentSetting
| Имя | Описание | Ценность |
|---|---|---|
| имя | Имя параметра. Должен быть частью списка поддерживаемых параметров |
"MaxDiskQuotaInMB" UseTimeReceivedForwardedEvents |
| ценность | Значение параметра | струна |
Поток данных
| Имя | Описание | Ценность |
|---|---|---|
| builtInTransform | Преобразование builtIn для преобразования потоковой передачи данных | струна |
| captureOverflow | Флаг для включения столбца переполнения в местах назначения LA | bool |
| Направлений | Список назначений для этого потока данных. | string[] |
| outputStream | Выходной поток преобразования. Требуется только в том случае, если преобразование изменяет данные в другой поток. | струна |
| Потоки | Список потоков для этого потока данных. | Массив строк, содержащий любой из: "Microsoft-Event" "Microsoft-InsightsMetrics" Microsoft-Perf "Microsoft-Syslog" Microsoft-WindowsEvent |
| transformKql | Запрос KQL для преобразования потоковой передачи данных. | струна |
DataCollectionRuleDataSources
| Имя | Описание | Ценность |
|---|---|---|
| dataImports | Спецификации источников данных на основе извлечения | DataSourcesSpecDataImports |
| Расширения | Список конфигураций источников данных расширения виртуальной машины Azure. | ExtensionDataSource[] |
| iisLogs | Список исходных конфигураций журналов IIS. | IisLogsDataSource[] |
| logFiles | Список исходных конфигураций файлов журнала. | LogFilesDataSource[] |
| performanceCounters | Список конфигураций источников данных счетчика производительности. | PerfCounterDataSource[] |
| platformTelemetry | Список конфигураций телеметрии платформы | PlatformTelemetryDataSource[] |
| prometheusForwarder | Список конфигураций источника данных пересылки Prometheus. | PrometheusForwarderDataSource[] |
| системный журнал | Список конфигураций источника данных системного журнала. | SyslogDataSource[] |
| windowsEventLogs | Список конфигураций источника данных журнала событий Windows. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Список исходных конфигураций брандмауэра Windows. | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| Имя | Описание | Ценность |
|---|---|---|
| eventHub | Определение конфигурации Концентратора событий. | DataImportSourcesEventHub |
DataImportSourcesEventHub
| Имя | Описание | Ценность |
|---|---|---|
| consumerGroup | Имя группы потребителей концентратора событий | струна |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| поток | Поток для сбора из EventHub | струна |
ExtensionDataSource
| Имя | Описание | Ценность |
|---|---|---|
| extensionName | Имя расширения виртуальной машины. | строка (обязательно) |
| extensionSettings | Параметры расширения. Формат предназначен для конкретного расширения. | |
| inputDataSources | В списке источников данных этого расширения требуются данные. | string[] |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-Event" "Microsoft-InsightsMetrics" Microsoft-Perf "Microsoft-Syslog" Microsoft-WindowsEvent |
IisLogsDataSource
| Имя | Описание | Ценность |
|---|---|---|
| LogDirectory | Расположение файла абсолютных путей | string[] |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Потоки IIS | string[] (обязательно) |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
LogFilesDataSource
| Имя | Описание | Ценность |
|---|---|---|
| filePatterns | Шаблоны файлов, в которых находятся файлы журнала | string[] (обязательно) |
| формат | Формат данных файлов журнала | Json "text" (обязательно) |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Параметры | Определенные параметры файлов журнала. | LogFilesDataSourceSettings |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этого источника данных |
string[] (обязательно) |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
LogFilesDataSourceSettings
| Имя | Описание | Ценность |
|---|---|---|
| СМС | Параметры текста | LogFileSettingsText |
LogFileSettingsText
| Имя | Описание | Ценность |
|---|---|---|
| recordStartTimestampFormat | Один из поддерживаемых форматов меток времени | "ISO 8601" "M/D/YYYY HH:MM:SS AM/PM" "MMM d hh:mm:ss" "Mon DD, ГГГГ ЧЧ:ММ:SS" "ГГГГ-MM-DD ЧЧ:ММ:SS" "dd/MMM/гггг:HH:mm:ss zzz" "ddMMyy HH:mm:ss" "yyMMdd HH:mm:ss" "гггг-ММ-ддTHH:мм:ssK" (обязательно) |
PerfCounterDataSource
| Имя | Описание | Ценность |
|---|---|---|
| counterSpecifiers | Список имен описатель счетчиков производительности, которые требуется собрать. Используйте подстановочный знак (*) для сбора счетчика для всех экземпляров. Чтобы получить список счетчиков производительности в Windows, выполните команду typeperf. |
string[] |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| выборкаFrequencyInSeconds | Количество секунд между последовательными измерениями счетчиков (примерами). | int |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-InsightsMetrics" Microsoft-Perf |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
PlatformTelemetryDataSource
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков телеметрии платформы для сбора | string[] (обязательно) |
PrometheusForwarderDataSource
| Имя | Описание | Ценность |
|---|---|---|
| labelIncludeFilter | Список фильтров включения меток в виде пар "name-value". В настоящее время поддерживается только одна метка: "microsoft_metrics_include_label". Значения меток совпадают без учета регистра. |
PrometheusForwarderDataSourceLabelIncludeFilter |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. | Массив строк, содержащий любой из: "Microsoft-PrometheusMetrics" |
PrometheusForwarderDataSourceLabelIncludeFilter
| Имя | Описание | Ценность |
|---|---|---|
| {настраиваемое свойство} | струна |
SyslogDataSource
| Имя | Описание | Ценность |
|---|---|---|
| facilityNames | Список имен объектов. | Массив строк, содержащий любой из: "*" "оповещение" "аудит" "auth" Authpriv "Часы" "cron" "управляющая программа" "ftp" "kern" "local0" "local1" "local2" "local3" "local4" "local5" "local6" "local7" "lpr" "почта" "Mark" "новости" "nopri" "ntp" Syslog "пользователь" "uucp" |
| logLevels | Уровни журнала для сбора. | Массив строк, содержащий любой из: "*" "Оповещение" "Критический" "Отладка" "Экстренное реагирование" "Ошибка" "Сведения" "Уведомление" "Предупреждение" |
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-Syslog" |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
WindowsEventLogDataSource
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| Потоки | Список потоков, в которые будет отправлен этот источник данных. Поток указывает, какая схема будет использоваться для этих данных и обычно какая таблица в Log Analytics будет отправлена. |
Массив строк, содержащий любой из: "Microsoft-Event" Microsoft-WindowsEvent |
| transformKql | Запрос KQL для преобразования источника данных. | струна |
| xPathQueries | Список запросов журнала событий Windows в формате XPATH. | string[] |
WindowsFirewallLogsDataSource
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя источника данных. Это имя должно быть уникальным для всех источников данных (независимо от типа) в правиле сбора данных. |
струна |
| profileFilter | Фильтр профиля журналов брандмауэра | Массив строк, содержащий любой из: "Домен" "Private" "Public" |
| Потоки | Потоки журналов брандмауэра | string[] (обязательно) |
DataCollectionRuleDestinations
| Имя | Описание | Ценность |
|---|---|---|
| azureDataExplorer | Список назначений Azure Data Explorer. | AdxDestination[] |
| azureMonitorMetrics | Назначение метрик Azure Monitor. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Список назначений Центров событий. | EventHubDestination[] |
| eventHubsDirect | Список назначений Центров событий Direct. | EventHubDirectDestination[] |
| LogAnalytics | Список назначений Log Analytics. | LogAnalyticsDestination[] |
| microsoftFabric | Список назначений Microsoft Fabric. | MicrosoftFabricDestination[] |
| monitoringAccounts | Список назначений учетной записи мониторинга. | MonitoringAccountDestination[] |
| storageAccounts | Список назначений учетных записей хранения. | StorageBlobDestination[] |
| storageBlobsDirect | Список целевых объектов BLOB-объектов хранилища. Использование только для отправки данных непосредственно в хранилище из агента. | StorageBlobDestination[] |
| storageTablesDirect | Список назначений прямой таблицы хранилища. | StorageTableDestination[] |
AdxDestination
| Имя | Описание | Ценность |
|---|---|---|
| databaseName | Имя базы данных, в которую будут приема данных. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| resourceId | Идентификатор ресурса ARM ресурса Adx. | струна |
DestinationsSpecAzureMonitorMetrics
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
EventHubDestination
| Имя | Описание | Ценность |
|---|---|---|
| eventHubResourceId | Идентификатор ресурса концентратора событий. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
EventHubDirectDestination
| Имя | Описание | Ценность |
|---|---|---|
| eventHubResourceId | Идентификатор ресурса концентратора событий. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
LogAnalyticsDestination
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| workspaceResourceId | Идентификатор ресурса рабочей области Log Analytics. | струна |
MicrosoftFabricDestination
| Имя | Описание | Ценность |
|---|---|---|
| artifactId | Идентификатор артефакта ресурса Microsoft Fabric. | струна |
| databaseName | Имя базы данных, в которую будут приема данных. | струна |
| ingestionUri | URI приема ресурса Microsoft Fabric. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| tenantId | Идентификатор клиента ресурса Microsoft Fabric. | струна |
MonitoringAccountDestination
| Имя | Описание | Ценность |
|---|---|---|
| accountResourceId | Идентификатор ресурса учетной записи мониторинга. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
StorageBlobDestination
| Имя | Описание | Ценность |
|---|---|---|
| containerName | Имя контейнера BLOB-объекта хранилища. | струна |
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| storageAccountResourceId | Идентификатор ресурса учетной записи хранения. | струна |
StorageTableDestination
| Имя | Описание | Ценность |
|---|---|---|
| имя | Понятное имя назначения. Это имя должно быть уникальным для всех назначений (независимо от типа) в правиле сбора данных. |
струна |
| storageAccountResourceId | Идентификатор ресурса учетной записи хранения. | струна |
| tableName | Имя таблицы хранилища. | струна |
DataCollectionRuleReferences
| Имя | Описание | Ценность |
|---|---|---|
| обогащениеData | Все источники данных обогащения, на которые ссылается потоки данных | ReferencesSpecEnrichmentData |
ReferencesSpecEnrichmentData
| Имя | Описание | Ценность |
|---|---|---|
| BLOB-объекты хранилища | Все большие двоичные объекты хранилища, используемые в качестве источников данных обогащения | StorageBlob[] |
StorageBlob
| Имя | Описание | Ценность |
|---|---|---|
| blobUrl | URL-адрес большого двоичного объекта хранилища | струна |
| lookupType | Тип подстановки, выполняемой в большом двоичном объекте | "Cidr" "String" |
| имя | Имя источника данных обогащения, используемого в качестве псевдонима при ссылке на этот источник данных в потоках данных | струна |
| resourceId | Идентификатор ресурса учетной записи хранения, на котором размещен большой двоичный объект | струна |
DataCollectionRuleStreamDeclarations
| Имя | Описание | Ценность |
|---|---|---|
| {настраиваемое свойство} | StreamDeclaration |
StreamDeclaration
| Имя | Описание | Ценность |
|---|---|---|
| Столбцы | Список столбцов, используемых данными в этом потоке. | ColumnDefinition[] |
ColumnDefinition
| Имя | Описание | Ценность |
|---|---|---|
| имя | Имя столбца. | струна |
| тип | Тип данных столбца. | "boolean" Datetime "Динамический" "int" "long" "реальный" "string" |