Dataexport för Log Analytics-arbetsyta i Azure Monitor

Med dataexport på en Log Analytics-arbetsyta kan du kontinuerligt exportera data per valda tabeller på din arbetsyta. Du kan exportera till ett Azure Storage-konto eller Azure Event Hubs när data kommer till en Azure Monitor-pipeline. Den här artikeln innehåller information om den här funktionen och steg för att konfigurera dataexport på dina arbetsytor.

Översikt

Data i Log Analytics är tillgängliga för den kvarhållningsperiod som definierats på din arbetsyta. Det används i olika upplevelser som tillhandahålls i Azure Monitor- och Azure-tjänster. Det finns fall där du behöver använda andra verktyg:

• Efterlevnad av manipulationsskyddat arkiv: Data kan inte ändras i Log Analytics när de har matats in, men de kan rensas. Exportera till en lagringskontouppsättning med oföränderliga principer för att skydda datamanipulering.
• Integrering med Azure-tjänster och andra verktyg: Exportera till Event Hubs när data tas emot och bearbetas i Azure Monitor.
• Långsiktig kvarhållning av gransknings- och säkerhetsdata: Exportera till ett lagringskonto i arbetsytans region. Eller så kan du replikera data till andra regioner med hjälp av något av redundansalternativen för Azure Storage, inklusive GRS och GZRS.

När du har konfigurerat regler för dataexport på en Log Analytics-arbetsyta exporteras nya data för tabeller i regler från Azure Monitor-pipelinen till ditt lagringskonto eller händelsehubbar när de tas emot. Dataexporttrafiken finns i Azures stamnätverk och lämnar inte Azure-nätverket.

Data exporteras utan filter. När du till exempel konfigurerar en dataexportregel för en SecurityEvent-tabell exporteras alla data som skickas till tabellen SecurityEvent från och med konfigurationstiden. Du kan också filtrera eller ändra exporterade data genom att konfigurera transformeringar på din arbetsyta, som gäller för inkommande data, innan de skickas till dina Log Analytics-arbetsytor och för att exportera mål.

Andra exportalternativ

Log Analytics-arbetsytedataexport exporterar kontinuerligt data som skickas till din Log Analytics-arbetsyta. Det finns andra alternativ för att exportera data för specifika scenarier:

• Konfigurera diagnostikinställningar i Azure-resurser. Loggar skickas direkt till ett mål. Den här metoden har lägre svarstid jämfört med dataexport i Log Analytics.
• Schemalägg export av data baserat på en loggfråga som du definierar med Log Analytics-fråge-API:et. Använd Azure Data Factory, Azure Functions eller Azure Logic Apps för att samordna frågor på din arbetsyta och exportera data till ett mål. Den här metoden liknar funktionen för dataexport, men du kan använda den för att exportera historiska data från din arbetsyta med hjälp av filter och aggregering. Den här metoden omfattas av loggfrågegränser och är inte avsedd för skalning. Mer information finns i Exportera data från en Log Analytics-arbetsyta till ett lagringskonto med hjälp av Logic Apps.
• Engångsexport till en lokal dator med hjälp av ett PowerShell-skript. Mer information finns i Invoke-AzOperationalInsightsQueryExport.

Begränsningar

• Anpassade loggar som skapats med HTTP Data Collector-API:et kan inte exporteras, inklusive textbaserade loggar som används av Log Analytics-agenten. Anpassade loggar som skapats med hjälp av datainsamlingsregler, inklusive textbaserade loggar, kan exporteras.
• Dataexport stöder gradvis fler tabeller, men är för närvarande begränsat till tabeller som anges i avsnittet tabeller som stöds. Du kan inkludera tabeller som ännu inte stöds i regler, men inga data exporteras för dem förrän tabellerna stöds.
• Du kan definiera upp till 10 aktiverade regler på din arbetsyta, var och en kan innehålla flera tabeller. Du kan skapa fler regler i arbetsytan i inaktiverat tillstånd.
• Mål måste finnas i samma region som Log Analytics-arbetsytan.
• Lagringskontot måste vara unikt mellan regler på arbetsytan.
• Tabellnamn kan vara 60 tecken långa när du exporterar till ett lagringskonto. De kan vara 47 tecken när du exporterar till Event Hubs. Tabeller med längre namn exporteras inte.
• Export till Premium Storage-konto stöds inte.

Data fullständighet

Dataexport är optimerad för att flytta stora datavolymer till dina mål. Exportåtgärden kan misslyckas om målet inte har tillräcklig kapacitet eller inte är tillgänglig. Vid fel fortsätter återförsöksprocessen i upp till 12 timmar. Mer information om målgränser och rekommenderade aviseringar finns i Skapa eller uppdatera en regel för dataexport. Om målen fortfarande inte är tillgängliga efter återförsöksperioden ignoreras data. I vissa fall kan återförsök orsaka duplicering av en bråkdel av de exporterade posterna.

Prismodell

Dataexportavgifter baseras på antalet byte som exporteras till mål i JSON-formaterade data och mäts i GB (10^9 byte). Storleksberäkning i arbetsytans fråga kan inte motsvara exportavgifter eftersom den inte innehåller JSON-formaterade data. Du kan använda PowerShell för att beräkna den totala faktureringsstorleken för en blobcontainer.

Mer information, inklusive faktureringstidslinjen för dataexport, finns i Prissättning för Azure Monitor. Fakturering för dataexport aktiverades i början av oktober 2023.

Exportera mål

Dataexportmålet måste vara tillgängligt innan du skapar exportregler på din arbetsyta. Mål behöver inte finnas i samma prenumeration som din arbetsyta. När du använder Azure Lighthouse är det också möjligt att skicka data till mål i en annan Microsoft Entra-klientorganisation.

Du måste ha skrivbehörighet till både arbetsytan och målet för att konfigurera en dataexportregel i en tabell på en arbetsyta. Principen för delad åtkomst för Event Hubs-namnområdet definierar de behörigheter som strömningsmekanismen har. Direktuppspelning till Event Hubs kräver behörighet att hantera, skicka och lyssna. Om du vill uppdatera exportregeln måste du ha listnyckelbehörigheten för den händelsehubbens auktoriseringsregel.

Lagringskonto

Undvik att använda ett befintligt lagringskonto som har andra data som inte övervakas, för att bättre kontrollera åtkomsten till data, förhindra att ingressgränsen för lagring når fel och svarstid.

Om du vill skicka data till ett oföränderligt lagringskonto anger du den oföränderliga principen för lagringskontot enligt beskrivningen i Ange och hantera oföränderliga principer för Azure Blob Storage. Du måste följa alla steg i den här artikeln, inklusive att aktivera skrivning av skyddade tilläggsblobar.

Lagringskontot kan inte vara Premium, måste vara StorageV1 eller senare och finnas i samma region som din arbetsyta. Om du behöver replikera dina data till andra lagringskonton i andra regioner kan du använda något av redundansalternativen för Azure Storage, inklusive GRS och GZRS.

Data skickas till lagringskonton när de når Azure Monitor och exporteras till mål som finns i en arbetsyteregion. En container skapas för varje tabell i lagringskontot med namnet am följt av tabellens namn. Tabellen SecurityEvent skulle till exempel skicka till en container med namnet am-SecurityEvent.

Blobar lagras i mappar på 5 minuter i följande sökvägsstruktur: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<fyrsiffrigt numeriskt år>/m=<tvåsiffrig numerisk månad>/d=<tvåsiffrig numerisk dag>/h=<tvåsiffrig 24-timmars klocktimm>/m=<tvåsiffrig 60-minuters klockminut>/PT05M.json. Tillägg till blobar är begränsade till 50 K-skrivningar. Fler blobar läggs till i mappen som PT05M_#.json*, där '#' är det inkrementella blobantalet.

Kommentar

Tillägg till blobar skrivs baserat på fältet "TimeGenerated" och inträffar när källdata tas emot. Data som anländer till Azure Monitor med fördröjning, eller som görs om efter målbegränsning, skrivs till blobar enligt dess TimeGenerated.

Formatet för blobar i ett lagringskonto finns i JSON-rader, där varje post avgränsas av en ny rad, utan matris med yttre poster och inga kommatecken mellan JSON-poster.

Event Hubs

Undvik att använda en befintlig händelsehubb som inte har övervakningsdata för att förhindra att ingressfrekvensbegränsningen för Event Hubs når fel och svarstider.

Data skickas till din händelsehubb när den når Azure Monitor och exporteras till mål som finns i en arbetsyteregion. Du kan skapa flera exportregler till samma Event Hubs-namnområde genom att ange en annan Event Hub name i regeln. När en Event Hub name inte anges skapas en standardhändelsehubb för tabeller som du exporterar med namnet am följt av tabellens namn. Tabellen SecurityEvent skickas till exempel till en händelsehubb med namnet am-SecurityEvent.

Antalet eventhubbar som stöds på basic- och standardnivå är 10. När du exporterar fler än 10 tabeller till dessa nivåer delar du antingen upp tabellerna mellan flera exportregler till olika Event Hubs-namnområden eller anger ett Event Hub-namn för att exportera alla tabeller till den.

Kommentar

• Basic Event Hubs-namnområdesnivån är begränsad. Den har stöd för lägre händelsestorlek och inget alternativ för automatisk uppskalning för att automatiskt skala upp och öka antalet dataflödesenheter. Eftersom datavolymen till din arbetsyta ökar med tiden och därför krävs event hub-skalning, använder du Standard-, Premium- eller Dedikerade Event Hubs-nivåer med funktionen Auto-inflate aktiverad. Mer information finns i Skala upp dataflödesenheter för Azure Event Hubs automatiskt.
• Dataexport kan inte nå Event Hubs-resurser när virtuella nätverk är aktiverade. Du måste markera kryssrutan Tillåt Azure-tjänster i listan över betrodda tjänster att komma åt det här lagringskontot för att kringgå den här brandväggsinställningen i en händelsehubb för att bevilja åtkomst till dina händelsehubbar.

Fråga exporterade data

Om du exporterar data från arbetsytor till lagringskonton kan du uppfylla olika scenarier som nämns i översikten och kan användas av verktyg som kan läsa blobar från lagringskonton. Med följande metoder kan du fråga efter data med hjälp av Log Analytics-frågespråket, vilket är detsamma för Azure Data Explorer.

1. Använd Azure Data Explorer för att fråga efter data i Azure Data Lake.
2. Använd Azure Data Explorer för att mata in data från ett lagringskonto.
3. Använd Log Analytics-arbetsytan för att fråga inmatade data med hjälp av LOGS Ingestion API . Inmatade data är till en anpassad loggtabell och inte till den ursprungliga tabellen.

Aktivera dataexport

Följande steg måste utföras för att aktivera Log Analytics-dataexport. Mer information om var och en finns i följande avsnitt:

• Registrera resursprovidern
• Tillåt betrodda Microsoft-tjänster
• Skapa eller uppdatera en dataexportregel

Registrera resursprovidern

Azure-resursprovidern Microsoft.Insights måste registreras i din prenumeration för att aktivera Log Analytics-dataexport.

Den här resursprovidern är förmodligen redan registrerad för de flesta Azure Monitor-användare. Kontrollera genom att gå till Prenumerationer i Azure-portalen. Välj din prenumeration och välj sedan Resursprovidrar under avsnittet Inställningar på menyn. Leta upp Microsoft.Insights. Om dess status är Registrerad är den redan registrerad. Om inte väljer du Registrera för att registrera det.

Du kan också använda någon av de tillgängliga metoderna för att registrera en resursprovider enligt beskrivningen i Azure-resursprovidrar och -typer. Följande exempelkommando använder Azure CLI:

az provider register --namespace 'Microsoft.insights'

Följande exempelkommando använder PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Tillåt betrodda Microsoft-tjänster

Om du har konfigurerat ditt lagringskonto för att tillåta åtkomst från valda nätverk måste du lägga till ett undantag så att Azure Monitor kan skriva till kontot. Från Brandväggar och virtuella nätverk för ditt lagringskonto väljer du Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot.

Övervaka mål

Viktigt!

Exportmål har gränser och bör övervakas för att minimera begränsning, fel och svarstid. Mer information finns i Lagringskontots skalbarhet och Event Hubs-namnområdeskvoter.

Följande mått är tillgängliga för dataexportåtgärder och aviseringar

Måttnamn	beskrivning
Exporterade byte	Totalt antal byte som exporterats till målet från Log Analytics-arbetsytan inom det valda tidsintervallet. Storleken på data som exporteras är antalet byte i de exporterade JSON-formaterade data. 1 GB = 10^9 byte.
Exportfel	Totalt antal misslyckade exportbegäranden till målet från Log Analytics-arbetsytan inom det valda tidsintervallet. Det här numret omfattar exportförsöksfel på grund av begränsning av målresurser, förbjudet åtkomstfel eller serverfel. En återförsöksprocess hanterar misslyckade försök och talet är inte en indikation för saknade data.
Exporterade poster	Totalt antal poster som exporterats från Log Analytics-arbetsytan inom det valda tidsintervallet. Det här antalet räknar poster för åtgärder som avslutades med framgång.

Övervaka ett lagringskonto

1. Använd ett separat lagringskonto för export.

2. Konfigurera en avisering för måttet:

   Omfattning	Namnområde för mått	Metric	Aggregering	Threshold
   lagringsnamn	Konto	Ingress	Sum	80 % av den maximala ingressen per utvärderingsperiod för aviseringar. Till exempel är gränsen 60 Gbit/s för generell användning v2 i USA, västra. Aviseringströskelvärdet är 1676 GiB per utvärderingsperiod på 5 minuter.

3. Åtgärder för aviseringsreparation:

   • Använd ett separat lagringskonto för export som inte delas med data som inte övervakas.
   • Azure Storage Standard-konton har stöd för högre ingressgräns per begäran. Kontakta Azure Support om du vill begära en ökning.
   • Dela upp tabeller mellan fler lagringskonton.

Övervaka Event Hubs

1. Konfigurera aviseringar för måtten:

   Omfattning	Namnområde för mått	Metric	Aggregering	Threshold
   namespaces-name	Standardmått för Event Hubs	Inkommande byte	Sum	80 % av den maximala ingressen per utvärderingsperiod för aviseringar. Gränsen är till exempel 1 MB/s per enhet (TU eller PU) och fem enheter används. Tröskelvärdet är 228 MiB per utvärderingsperiod på 5 minuter.
   namespaces-name	Standardmått för Event Hubs	Inkommande begäranden	Antal	80 % av maximala händelser per utvärderingsperiod för aviseringar. Till exempel är gränsen 1 000/s per enhet (TU eller PU) och fem enheter används. Tröskelvärdet är 1 200 000 per utvärderingsperiod på 5 minuter.
   namespaces-name	Standardmått för Event Hubs	Fel om överskriden kvot	Antal	Mellan 1 % av begäran. Till exempel är begäranden per 5 minuter 600 000. Tröskelvärdet är 6 000 per utvärderingsperiod på 5 minuter.

2. Åtgärder för aviseringsreparation:

   • Använd ett separat Event Hubs-namnområde för export som inte delas med data som inte övervakas.
   • Konfigurera funktionen Auto-inflate för att automatiskt skala upp och öka antalet dataflödesenheter för att uppfylla användningsbehoven.
   • Kontrollera ökningen av dataflödesenheter för att hantera datavolym.
   • Dela upp tabeller mellan fler namnområden.
   • Använd Premium- eller Dedikerade nivåer för högre dataflöde.

Skapa eller uppdatera en dataexportregel

En dataexportregel definierar målet och tabellerna för vilka data exporteras. Regeletablering tar cirka 30 minuter innan exportåtgärden initierades. Överväganden för dataexportregler:

• Lagringskontot måste vara unikt mellan regler på arbetsytan.
• Flera regler kan använda samma Event Hubs-namnområde när du skickar till separata Event Hubs.
• Exportera till ett lagringskonto: En separat container skapas i lagringskontot för varje tabell.
• Exportera till Event Hubs: Om ett händelsehubbnamn inte anges skapas en separat händelsehubb för varje tabell. Antalet eventhubbar som stöds på basic- och standardnivå är 10. När du exporterar fler än 10 tabeller till dessa nivåer delar du antingen upp tabellerna mellan flera exportregler till olika Event Hubs-namnområden eller anger ett Event Hub-namn i regeln för att exportera alla tabeller till den.

Azure-portalen

1. På log analytics-arbetsytans meny i Azure-portalen väljer du Dataexport under avsnittet Inställningar. Välj Ny exportregel överst i fönstret.

   

2. Följ stegen och välj sedan Skapa.

   

PowerShell

Använd följande kommando för att skapa en dataexportregel till ett lagringskonto med hjälp av PowerShell. En separat container skapas för varje tabell.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Använd följande kommando för att skapa en dataexportregel till en specifik händelsehubb med hjälp av PowerShell. Alla tabeller exporteras till det angivna Event Hub-namnet och kan filtreras efter fältet Typ för att separera tabeller.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Använd följande kommando för att skapa en dataexportregel till en händelsehubb med hjälp av PowerShell. När ett specifikt Event Hub-namn inte anges skapas en separat container för varje tabell, upp till det antal eventhubbar som stöds på varje Event Hubs-nivå. Om du vill exportera fler tabeller anger du ett Event Hub-namn i regeln. Eller så kan du ange en annan regel och exportera de återstående tabellerna till ett annat Event Hubs-namnområde.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure CLI

Använd följande kommando för att skapa en dataexportregel till ett lagringskonto med hjälp av CLI. En separat container skapas för varje tabell.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Använd följande kommando för att skapa en dataexportregel till en specifik händelsehubb med hjälp av CLI. Alla tabeller exporteras till det angivna Event Hub-namnet och kan filtreras efter fältet Typ för att separera tabeller.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Använd följande kommando för att skapa en dataexportregel till en händelsehubb med hjälp av CLI. När ett specifikt Event Hub-namn inte anges skapas en separat container för varje tabell upp till antalet eventhubbar som stöds för din Event Hubs-nivå. Om du har fler tabeller att exportera anger du ett Event Hub-namn för att exportera valfritt antal tabeller. Eller så kan du ange en annan regel för att exportera de återstående tabellerna till ett annat Event Hubs-namnområde.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Använd följande begäran för att skapa en dataexportregel till ett lagringskonto med hjälp av REST-API:et. En separat container skapas för varje tabell. Begäran bör använda auktorisering av ägartoken och program/json för innehållstyp.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Brödtexten i begäran anger tabellens mål. Följande exempel är en exempeltext för REST-begäran.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Följande exempel är en exempeltext för REST-begäran för en händelsehubb.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Följande exempel är en exempeltext för REST-begäran för en händelsehubb där eventhubbens namn anges. I det här fallet skickas alla exporterade data till den.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Mall

Använd följande kommando för att skapa en dataexportregel till ett lagringskonto med hjälp av en Azure Resource Manager-mall.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Använd följande kommando för att skapa en dataexportregel till en händelsehubb med hjälp av en Resource Manager-mall. En separat händelsehubb skapas för varje tabell.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Använd följande kommando för att skapa en dataexportregel till en specifik händelsehubb med hjälp av en Resource Manager-mall. Alla tabeller exporteras till den.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Visa konfiguration av dataexportregel

Azure-portalen

1. På log analytics-arbetsytans meny i Azure-portalen väljer du Dataexport under avsnittet Inställningar.

   

2. Välj en regel för en konfigurationsvy.

   

PowerShell

Använd följande kommando för att visa konfigurationen av en dataexportregel med hjälp av PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

Använd följande kommando för att visa konfigurationen av en dataexportregel med hjälp av CLI.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Använd följande begäran för att visa konfigurationen av en dataexportregel med hjälp av REST-API:et. Begäran bör använda ägartokensauktorisering.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Mall

Mallalternativet gäller inte.

Inaktivera eller uppdatera en exportregel

Azure-portalen

Du kan inaktivera exportregler för att stoppa exporten under en viss period, till exempel när testningen hålls. På log analytics-arbetsytans meny i Azure-portalen väljer du Dataexport under avsnittet Inställningar. Välj växlingsknappen Status för att inaktivera eller aktivera exportregeln.

PowerShell

Du kan inaktivera exportregler för att stoppa exporten under en viss period, till exempel när testningen hålls. Använd följande kommando för att inaktivera eller uppdatera regelparametrar med hjälp av PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure CLI

Du kan inaktivera exportregler för att stoppa exporten under en viss period, till exempel när testningen hålls. Använd följande kommando för att inaktivera eller uppdatera regelparametrar med hjälp av CLI.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Du kan inaktivera exportregler för att stoppa exporten under en viss period, till exempel när testningen hålls. Använd följande kommando för att inaktivera eller uppdatera regelparametrar med hjälp av REST-API:et. Begäran bör använda ägartokensauktorisering.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Mall

Du kan inaktivera exportregler för att stoppa exporten när testningen utförs och du behöver inte data som skickas till ett mål. Ange "enable": false i mallen för att inaktivera en dataexport.

Ta bort en exportregel

Azure-portalen

På log analytics-arbetsytans meny i Azure-portalen väljer du Dataexport under avsnittet Inställningar. Välj ellipsen till höger om regeln och välj Ta bort.

PowerShell

Använd följande kommando för att ta bort en dataexportregel med hjälp av PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

Använd följande kommando för att ta bort en dataexportregel med hjälp av CLI.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Använd följande begäran för att ta bort en dataexportregel med hjälp av REST-API:et. Begäran bör använda ägartokensauktorisering.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Mall

Mallalternativet gäller inte.

Visa alla dataexportregler på en arbetsyta

Azure-portalen

På Log Analytics-arbetsytans meny i Azure-portalen väljer du Dataexport under avsnittet Inställningar för att visa alla exportregler på arbetsytan.

PowerShell

Använd följande kommando för att visa alla dataexportregler på en arbetsyta med hjälp av PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure CLI

Använd följande kommando för att visa alla dataexportregler på en arbetsyta med hjälp av CLI.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Använd följande begäran för att visa alla dataexportregler på en arbetsyta med hjälp av REST-API:et. Begäran bör använda ägartokensauktorisering.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Mall

Mallalternativet gäller inte.

Tabeller inte stöds

Om dataexportregeln innehåller en tabell som inte stöds kommer konfigurationen att lyckas, men inga data exporteras för den tabellen. Om tabellen senare stöds exporteras dess data vid den tidpunkten.

Tabeller som stöds

Kommentar

Vi håller på att lägga till stöd för fler tabeller. Läs den här artikeln regelbundet. Data måste finnas i en av dessa tabeller för att de ska visas i en dataexportregel.

Tabell	Begränsningar
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamic Uppdateringar
AADDomainServicesDNSAuditsAllmänt
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACR Anslut edClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
Varning	Partiellt stöd. Datainmatning för Zabbix-aviseringar stöds inte.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
Avvikelser
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoskalningVärdeslogg
AutoscaleScaleActionsLog
AVNM Anslut ivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSHybrid Anslut ionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnet Anslut ionEvents
AzureActivity	Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
Datorgrupp
ConfidentialWatchlist
ConfigurationData	Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksClusterLibraries
DatabricksClusters
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksInstancePools
DatabricksJobs
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqtt Anslut ions
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqtt Anslut ions
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent	Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
Händelse	Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Pulsslag
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
IntuneAuditLogs
IntuneEnheter
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFEnhet Uppdateringar
MNFSystemStateMessage Uppdateringar
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NW Anslut ionMonitorDestinationListenerResult
NW Anslut ionMonitorPathResult
NW Anslut ionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Åtgärd	Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatform Anslut orActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
RED Anslut ionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent	Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent	Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
ServiceFabricReliableActorEvent	Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
ServiceFabricReliableServiceEvent	Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXFailedIngestion
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog	Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Uppdatera	Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Användning
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VM Anslut ion	Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
W3CIISLog	Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Övervakningslista
WebPubSub Anslut ivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData	Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVD Anslut ionNetworkData
WVD Anslut ions
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement

Nästa steg

Fråga efter exporterade data från Azure Data Explorer