Skapa och redigera regler för datainsamling (DCR) i Azure Monitor

Det finns flera metoder för att skapa en datainsamlingsregel (DCR) i Azure Monitor. I vissa fall skapar och hanterar Azure Monitor DCR enligt de inställningar som du konfigurerar i Azure-portalen. I andra fall kan du behöva skapa egna domänkontrollanter för att anpassa specifika scenarier.

Den här artikeln beskriver de olika metoderna för att skapa och redigera en DCR. Innehållet i själva DCR finns i Structure of a data collection rule in Azure Monitor (Struktur för en datainsamlingsregel i Azure Monitor).

Behörigheter

Du behöver följande behörigheter för att skapa domänkontrollanter och associationer:

Inbyggd roll	Omfattningar	Anledning
Övervakningsdeltagare	Prenumeration och/eller Resursgrupp och/eller En befintlig DCR	Skapa eller redigera domänkontrollanter, tilldela regler till datorn, distribuera associationer.
Virtuell datordeltagare Resursadministratör för azure-ansluten dator	Virtuella datorer, VM-skalningsuppsättningar Azure Arc-aktiverade servrar	Distribuera agenttillägg på den virtuella datorn.
Alla roller som innehåller åtgärden Microsoft.Resources/deployments/*	Prenumeration och/eller Resursgrupp och/eller En befintlig DCR	Distribuera Azure Resource Manager-mallar.

Automatiserade metoder för att skapa en DCR

I följande tabell visas metoder för att skapa datainsamlingsscenarier med hjälp av Azure-portalen där DCR skapas åt dig. I dessa fall behöver du inte interagera direkt med själva domänkontrollanten.

Scenario	Resurser	beskrivning
Övervaka en virtuell dator	Översikt över aktivera VM-insikter	När du aktiverar VM-insikter på en virtuell dator installeras Azure Monitor-agenten och en DCR skapas som samlar in en fördefinierad uppsättning prestandaräknare. Du bör inte ändra den här domänkontrollanten.
Containerinsikter	Aktivera containerinsikter	När du aktiverar Container Insights i ett Kubernetes-kluster installeras en containerbaserad version av Azure Monitor-agenten och en DCR skapas som samlar in data enligt den konfiguration du valde. Du kan behöva ändra denna DCR för att lägga till en transformering.
Omvandling av arbetsyta	Lägga till en transformering i en datainsamlingsregel för arbetsytor med hjälp av Azure-portalen	Skapa en transformering för alla tabeller som stöds på en Log Analytics-arbetsyta. Omvandlingen definieras i en DCR som sedan associeras med arbetsytan. Den tillämpas på alla data som skickas till tabellen från en äldre arbetsbelastning som inte redan använder en DCR.

Skapa en datainsamlingsregel (DCR)

Azure tillhandahåller en centraliserad molnbaserad konfigurationsplan för datainsamling för virtuella datorer, vm-skalningsuppsättningar, lokala datorer och Prometheus-mått från containrar.

Den här artikeln beskriver hur du skapar en DCR från grunden. Det finns andra insiktslösningar som ger DCR-skapandeupplevelser som Sentinel, VM-insikter och Application Insights som skapar domänkontrollanter som en del av egna arbetsflöden. En tid då dcrs som skapats i dessa av en annan lösning kan verka vara i konflikt. Det finns tre tabeller som Windows-händelser kan skickas till. Sentinel-säkerhetsgranskningshändelser med gå till SecurityEvents, WEF-anslutningshändelser går till tabellen WindowsEvent. Om du använder den tillfälliga Windows-händelsesamlingen går resultatet till tabellen Händelse.

Om du vill skapa en datainsamlingsregel med hjälp av Azure CLI-, PowerShell-, API- eller ARM-mallarna skapar du en JSON-fil som börjar med en av exempel-DCR:erna. Använd information i Struktur för en datainsamlingsregel i Azure Monitor för att ändra JSON-filen för din specifika miljö och dina krav.

Viktigt!

Skapa datainsamlingsregeln i samma region som log analytics-målarbetsytan eller Azure Monitor-arbetsytan. Du kan associera datainsamlingsregeln med datorer eller containrar från valfri prenumeration eller resursgrupp i klientorganisationen. Om du vill skicka data mellan klienter måste du först aktivera Azure Lighthouse.

Portal

På menyn Övervaka väljer du Datainsamlingsregler>Skapa för att öppna sidan för att skapa en ny regel för datainsamling.

Konfigurera inställningarna i varje steg i guiden enligt beskrivningen nedan.

Grundläggande

Skärmelement	beskrivning
Regelnamn	Ange ett namn för datainsamlingsregeln.
Abonnemang	Associera datainsamlingsregeln med en prenumeration.
Resursgrupp	Associera datainsamlingsregeln med en resursgrupp.
Region	Skapa datainsamlingsregeln i samma region som målarbetsytan i Log Analytics. Du kan associera datainsamlingsregeln med datorer från valfri prenumeration eller resursgrupp i klientorganisationen.
Plattformstyp	Välj Windows eller Linux, eller Alla, vilket möjliggör både Windows- och Linux-plattformar.
Slutpunkt för datainsamling	Om du vill samla in Linux syslog-data, IIS-loggar, anpassade textloggar eller anpassade JSON-loggar väljer du en befintlig slutpunkt för datainsamling eller skapar en ny slutpunkt. Du behöver ingen slutpunkt för att samla in prestandaräknare och Windows-händelseloggar. På den här fliken kan du bara välja en datainsamlingsslutpunkt i samma region som datainsamlingsregeln. Agenten skickar insamlade data till den här datainsamlingsslutpunkten. Mer information finns i Komponenter för en datainsamlingsslutpunkt.

Resurser

Skärmelement	beskrivning
+ Lägg till resurser	Associera virtuella datorer, VM-skalningsuppsättningar och Azure Arc för servrar med datainsamlingsregeln. Azure-portalen installerar Azure Monitor Agent på resurser som inte redan har agenten installerad.
Aktivera slutpunkter för datainsamling	Om datorn du övervakar inte finns i samma region som log analytics-målarbetsytan aktiverar du slutpunkter för datainsamling och väljer en slutpunkt i den övervakade datorns region för att samla in Linux-syslogdata, IIS-loggar, anpassade textloggar eller anpassade JSON-loggar. Om den övervakade datorn finns i samma region som log analytics-målarbetsytan, eller om du samlar in prestandaräknare och Windows-händelseloggar, väljer du inte en slutpunkt för datainsamling på fliken Resurser . Datainsamlingsslutpunkten på fliken Resurser är slutpunkten för konfigurationsåtkomst enligt beskrivningen i Komponenter för en datainsamlingsslutpunkt. Om du behöver nätverksisolering med privata länkar väljer du befintliga slutpunkter från samma region för respektive resurser eller skapar en ny slutpunkt.
Agenttilläggsidentitet	Använd en systemtilldelad hanterad identitet eller välj en befintlig användartilldelad identitet som tilldelats den virtuella datorn. Mer information finns i Hanterade identitetstyper.

Samla in och leverera

På fliken Samla in och leverera väljer du Lägg till datakälla och konfigurerar inställningarna på flikarna Källa och Mål enligt beskrivningen nedan.

Skärmelement	beskrivning
Datakälla	Välj en typ av datakälla och definiera relaterade fält baserat på vilken typ av datakälla du väljer. Mer information om hur du samlar in data från olika typer av datakällor finns i Samla in data med Azure Monitor Agent
Mål	Lägg till ett eller flera mål för varje källa. Du kan välja flera mål av samma eller olika typer.

Granska + skapa

Granska information om datainsamlingsregeln och välj Skapa för att skapa datainsamlingsregeln.

Kommentar

Det kan ta upp till 5 minuter innan data skickas till målen när du skapar en datainsamlingsregel med hjälp av datainsamlingsregelguiden.

CLI

Använd kommandot az monitor data-collection rule create för att skapa en DCR från din JSON-fil med hjälp av Azure CLI enligt följande exempel.

az monitor data-collection rule create --location 'eastus' --resource-group 'my-resource-group' --name 'myDCRName' --rule-file 'C:\MyNewDCR.json' --description 'This is my new DCR'

PowerShell

Använd cmdleten New-AzDataCollectionRule för att skapa DCR från din JSON-fil med PowerShell enligt följande exempel.

New-AzDataCollectionRule -Location 'east-us' -ResourceGroupName 'my-resource-group' -RuleName 'myDCRName' -RuleFile 'C:\MyNewDCR.json' -Description 'This is my new DCR'

Regler för datainsamling

Åtgärd	Command
Hämta regler	Get-AzDataCollectionRule
Skapa en regel	New-AzDataCollectionRule
Uppdatera en regel	Update-AzDataCollectionRule
Ta bort regel	Remove-AzDataCollectionRule
Uppdatera "Taggar" för en regel	Update-AzDataCollectionRule

Regelassociationer för datainsamling

Åtgärd	Command
Hämta associationer	Get-AzDataCollectionRuleAssociation
Skapa en association	New-AzDataCollectionRuleAssociation
Ta bort en association	Remove-AzDataCollectionRuleAssociation

API

Använd DCR create-API:et för att skapa DCR från din JSON-fil. Du kan använda valfri metod för att anropa ett REST API enligt följande exempel.

$ResourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
$FilePath = ".\my-dcr.json"
$DCRContent = Get-Content $FilePath -Raw 
Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method PUT -Payload $DCRContent

ResourceId="/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
FilePath="my-dcr.json"
az rest --method put --url $ResourceId"?api-version=2022-06-01" --body @$FilePath

ARM

Se följande referenser för att definiera domänkontrollanter och associationer i en mall.

• Regler för datainsamling
• Regelassociationer för datainsamling

Använd följande mall för att skapa en DCR med hjälp av information från Strukturen för en datainsamlingsregel i Azure Monitor och dcr-regler (Sample data collection rules) i Azure Monitor för att definiera dcr-properties.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "dataCollectionRuleName": {
            "type": "string",
            "metadata": {
                "description": "Specifies the name of the Data Collection Rule to create."
            }
        },
        "location": {
            "type": "string",
            "metadata": {
                "description": "Specifies the location in which to create the Data Collection Rule."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "[parameters('dataCollectionRuleName')]",
            "location": "[parameters('location')]",
            "apiVersion": "2021-09-01-preview",
            "properties": {
                "<dcr-properties>"
            }
        }
    ]
}

DCR Association – virtuell Azure-dator

Följande exempel skapar en association mellan en virtuell Azure-dator och en datainsamlingsregel.

Bicep-mallfil

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

ARM-mallfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Parameterfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

DCR Association –Arc-aktiverad server

Följande exempel skapar en association mellan en Azure Arc-aktiverad server och en datainsamlingsregel.

Bicep-mallfil

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

ARM-mallfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.HybridCompute/machines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this Arc server.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Parameterfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-hybrid-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Redigera en DCR

Om du vill redigera en DCR kan du använda någon av metoderna som beskrivs i föregående avsnitt för att skapa en DCR med hjälp av en modifierad version av JSON.

Om du behöver hämta JSON för en befintlig DCR kan du kopiera den från JSON-vyn för DCR i Azure-portalen. Du kan också hämta den med hjälp av ett API-anrop enligt följande PowerShell-exempel.

$ResourceId = "<ResourceId>" # Resource ID of the DCR to edit
$FilePath = "<FilePath>" # Store DCR content in this file
$DCR = Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method GET
$DCR.Content | ConvertFrom-Json | ConvertTo-Json -Depth 20 | Out-File -FilePath $FilePath

En självstudiekurs som går igenom processen för att hämta och sedan redigera en befintlig DOMÄNKONTROLLant finns i Självstudie: Redigera en datainsamlingsregel (DCR).

Nästa steg

• Läs mer om den detaljerade strukturen för en datainsamlingsregel
• Hämta information om transformeringar i en datainsamlingsregel