Dela via


Dataexport för Log Analytics-arbetsyta i Azure Monitor

Med dataexport på en Log Analytics-arbetsyta kan du kontinuerligt exportera data per valda tabeller på din arbetsyta. Du kan exportera till ett Azure Storage-konto eller Azure Event Hubs när data kommer till en Azure Monitor-pipeline. Den här artikeln innehåller information om den här funktionen och steg för att konfigurera dataexport på dina arbetsytor.

Översikt

Data i Log Analytics är tillgängliga för den kvarhållningsperiod som definierats på din arbetsyta. Det används i olika upplevelser som tillhandahålls i Azure Monitor- och Azure-tjänster. Det finns fall där du behöver använda andra verktyg:

  • Efterlevnad av manipulationsskyddat arkiv: Data kan inte ändras i Log Analytics när de har matats in, men de kan rensas. Exportera till en lagringskontouppsättning med oföränderliga principer för att skydda datamanipulering.
  • Integrering med Azure-tjänster och andra verktyg: Exportera till Event Hubs när data tas emot och bearbetas i Azure Monitor.
  • Långsiktig kvarhållning av gransknings- och säkerhetsdata: Exportera till ett lagringskonto i arbetsytans region. Eller så kan du replikera data till andra regioner med hjälp av något av redundansalternativen för Azure Storage, inklusive GRS och GZRS.

När du har konfigurerat regler för dataexport på en Log Analytics-arbetsyta exporteras nya data för tabeller i regler från Azure Monitor-pipelinen till ditt lagringskonto eller händelsehubbar när de tas emot. Dataexporttrafiken finns i Azures stamnätverk och lämnar inte Azure-nätverket.

Diagram som visar ett dataexportflöde.

Data exporteras utan filter. När du till exempel konfigurerar en dataexportregel för en SecurityEvent-tabell exporteras alla data som skickas till tabellen SecurityEvent från och med konfigurationstiden. Du kan också filtrera eller ändra exporterade data genom att konfigurera transformeringar på din arbetsyta, som gäller för inkommande data, innan de skickas till dina Log Analytics-arbetsytor och för att exportera mål.

Andra exportalternativ

Log Analytics-arbetsytedataexport exporterar kontinuerligt data som skickas till din Log Analytics-arbetsyta. Det finns andra alternativ för att exportera data för specifika scenarier:

  • Konfigurera diagnostikinställningar i Azure-resurser. Loggar skickas direkt till ett mål. Den här metoden har lägre svarstid jämfört med dataexport i Log Analytics.
  • Schemalägg export av data baserat på en loggfråga som du definierar med Log Analytics-fråge-API:et. Använd Azure Data Factory, Azure Functions eller Azure Logic Apps för att samordna frågor på din arbetsyta och exportera data till ett mål. Den här metoden liknar funktionen för dataexport, men du kan använda den för att exportera historiska data från din arbetsyta med hjälp av filter och aggregering. Den här metoden omfattas av loggfrågegränser och är inte avsedd för skalning. Mer information finns i Exportera data från en Log Analytics-arbetsyta till ett lagringskonto med hjälp av Logic Apps.
  • Engångsexport till en lokal dator med hjälp av ett PowerShell-skript. Mer information finns i Invoke-AzOperationalInsightsQueryExport.

Begränsningar

  • Anpassade loggar som skapats med HTTP Data Collector-API:et kan inte exporteras, inklusive textbaserade loggar som används av Log Analytics-agenten. Anpassade loggar som skapats med hjälp av datainsamlingsregler, inklusive textbaserade loggar, kan exporteras.
  • Dataexport stöder gradvis fler tabeller, men är för närvarande begränsat till tabeller som anges i avsnittet tabeller som stöds. Du kan inkludera tabeller som ännu inte stöds i regler, men inga data exporteras för dem förrän tabellerna stöds.
  • Du kan definiera upp till 10 aktiverade regler på din arbetsyta, var och en kan innehålla flera tabeller. Du kan skapa fler regler i arbetsytan i inaktiverat tillstånd.
  • Mål måste finnas i samma region som Log Analytics-arbetsytan.
  • Lagringskontot måste vara unikt mellan regler på arbetsytan.
  • Tabellnamn kan vara 60 tecken långa när du exporterar till ett lagringskonto. De kan vara 47 tecken när du exporterar till Event Hubs. Tabeller med längre namn exporteras inte.
  • Export till Premium Storage-konto stöds inte.

Data fullständighet

Dataexport är optimerad för att flytta stora datavolymer till dina mål. I händelse av mål med otillräcklig skalning eller tillgänglighet fortsätter en återförsöksprocess i upp till 12 timmar och kan resultera i en bråkdel av dupliceringen av de exporterade posterna. Följ rekommendationerna för mål för lagringskonton och eventhubbar för att förbättra tillförlitligheten. Mer information om målgränser och rekommenderade aviseringar finns i Skapa eller uppdatera en regel för dataexport. Om målen fortfarande inte är tillgängliga efter återförsöksperioden ignoreras data.

Prismodell

Dataexportavgifter baseras på antalet byte som exporteras till mål i JSON-formaterade data och mäts i GB (10^9 byte). Storleksberäkning i arbetsytans fråga kan inte motsvara exportavgifter eftersom den inte innehåller JSON-formaterade data. Du kan använda PowerShell för att beräkna den totala faktureringsstorleken för en blobcontainer.

Mer information, inklusive faktureringstidslinjen för dataexport, finns i Prissättning för Azure Monitor. Fakturering för dataexport aktiverades i början av oktober 2023.

Exportera mål

Dataexportmålet måste vara tillgängligt innan du skapar exportregler på din arbetsyta. Mål behöver inte finnas i samma prenumeration som din arbetsyta. När du använder Azure Lighthouse är det också möjligt att skicka data till mål i en annan Microsoft Entra-klientorganisation.

Du måste ha skrivbehörighet till både arbetsytan och målet för att konfigurera en dataexportregel i en tabell på en arbetsyta. Principen för delad åtkomst för Event Hubs-namnområdet definierar de behörigheter som strömningsmekanismen har. Direktuppspelning till Event Hubs kräver behörighet att hantera, skicka och lyssna. Om du vill uppdatera exportregeln måste du ha listnyckelbehörigheten för den händelsehubbens auktoriseringsregel.

Lagringskonto

Undvik att använda ett befintligt lagringskonto som har andra data som inte övervakas, för att bättre kontrollera åtkomsten till data, förhindra att ingressgränsen för lagring når fel och svarstid.

Om du vill skicka data till ett oföränderligt lagringskonto anger du den oföränderliga principen för lagringskontot enligt beskrivningen i Ange och hantera oföränderliga principer för Azure Blob Storage. Du måste följa alla steg i den här artikeln, inklusive att aktivera skrivning av skyddade tilläggsblobar.

Lagringskontot kan inte vara Premium, måste vara StorageV1 eller senare och finnas i samma region som din arbetsyta. Om du behöver replikera dina data till andra lagringskonton i andra regioner kan du använda något av redundansalternativen för Azure Storage, inklusive GRS och GZRS.

Data skickas till lagringskonton när de når Azure Monitor och exporteras till mål som finns i en arbetsyteregion. En container skapas för varje tabell i lagringskontot med namnet am följt av tabellens namn. Tabellen SecurityEvent skulle till exempel skicka till en container med namnet am-SecurityEvent.

Blobar lagras i mappar på 5 minuter i följande sökvägsstruktur: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<fyrsiffrigt numeriskt år>/m=<tvåsiffrig numerisk månad>/d=<tvåsiffrig numerisk dag>/h=<tvåsiffrig 24-timmars klocktimm>/m=<tvåsiffrig 60-minuters klockminut>/PT05M.json. Tillägg till blobar är begränsade till 50 K-skrivningar. Fler blobar läggs till i mappen som PT05M_#.json*, där '#' är det inkrementella blobantalet.

Kommentar

Tillägg till blobar skrivs baserat på fältet "TimeGenerated" och inträffar när källdata tas emot. Data som anländer till Azure Monitor med fördröjning, eller som görs om efter målbegränsning, skrivs till blobar enligt dess TimeGenerated.

Formatet för blobar i ett lagringskonto finns i JSON-rader, där varje post avgränsas av en ny rad, utan matris med yttre poster och inga kommatecken mellan JSON-poster.

Skärmbild som visar dataformat i en blob.

Event Hubs

Undvik att använda en befintlig händelsehubb som inte har övervakningsdata för att förhindra att ingressfrekvensbegränsningen för Event Hubs når fel och svarstider.

Data skickas till din händelsehubb när den når Azure Monitor och exporteras till mål som finns i en arbetsyteregion. Du kan skapa flera exportregler till samma Event Hubs-namnområde genom att ange en annan Event Hub name i regeln. När en Event Hub name inte anges skapas en standardhändelsehubb för tabeller som du exporterar med namnet am följt av tabellens namn. Tabellen SecurityEvent skickas till exempel till en händelsehubb med namnet am-SecurityEvent.

Antalet eventhubbar som stöds på basic- och standardnivå är 10. När du exporterar fler än 10 tabeller till dessa nivåer delar du antingen upp tabellerna mellan flera exportregler till olika Event Hubs-namnområden eller anger ett Event Hub-namn för att exportera alla tabeller till den.

Kommentar

  • Basic Event Hubs-namnområdesnivån är begränsad. Den har stöd för lägre händelsestorlek och inget alternativ för automatisk uppskalning för att automatiskt skala upp och öka antalet dataflödesenheter. Eftersom datavolymen till din arbetsyta ökar med tiden och därför krävs event hub-skalning, använder du Standard-, Premium- eller Dedikerade Event Hubs-nivåer med funktionen Auto-inflate aktiverad. Mer information finns i Skala upp dataflödesenheter för Azure Event Hubs automatiskt.
  • Dataexport kan inte nå Event Hubs-resurser när virtuella nätverk är aktiverade. Du måste markera kryssrutan Tillåt Azure-tjänster i listan över betrodda tjänster att komma åt det här lagringskontot för att kringgå den här brandväggsinställningen i en händelsehubb för att bevilja åtkomst till dina händelsehubbar.

Fråga exporterade data

Om du exporterar data från arbetsytor till lagringskonton kan du uppfylla olika scenarier som nämns i översikten och kan användas av verktyg som kan läsa blobar från lagringskonton. Med följande metoder kan du fråga efter data med hjälp av Log Analytics-frågespråket, vilket är detsamma för Azure Data Explorer.

  1. Använd Azure Data Explorer för att fråga efter data i Azure Data Lake.
  2. Använd Azure Data Explorer för att mata in data från ett lagringskonto.
  3. Använd Log Analytics-arbetsytan för att fråga inmatade data med hjälp av LOGS Ingestion API . Inmatade data är till en anpassad loggtabell och inte till den ursprungliga tabellen.

Aktivera dataexport

Följande steg måste utföras för att aktivera Log Analytics-dataexport. Mer information om var och en finns i följande avsnitt:

  • Registrera resursprovidern
  • Tillåt betrodda Microsoft-tjänster
  • Skapa eller uppdatera en dataexportregel

Registrera resursprovidern

Azure-resursprovidern Microsoft.Insights måste registreras i din prenumeration för att aktivera Log Analytics-dataexport.

Den här resursprovidern är förmodligen redan registrerad för de flesta Azure Monitor-användare. Kontrollera genom att gå till Prenumerationer i Azure Portal. Välj din prenumeration och välj sedan Resursprovidrar under avsnittet Inställningar på menyn. Leta upp Microsoft.Insights. Om dess status är Registrerad är den redan registrerad. Om inte väljer du Registrera för att registrera det.

Du kan också använda någon av de tillgängliga metoderna för att registrera en resursprovider enligt beskrivningen i Azure-resursprovidrar och -typer. Följande exempelkommando använder Azure CLI:

az provider register --namespace 'Microsoft.insights'

Följande exempelkommando använder PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Tillåt betrodda Microsoft-tjänster

Om du har konfigurerat ditt lagringskonto för att tillåta åtkomst från valda nätverk måste du lägga till ett undantag så att Azure Monitor kan skriva till kontot. Från Brandväggar och virtuella nätverk för ditt lagringskonto väljer du Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot.

Skärmbild som visar alternativet Tillåt Azure-tjänster i listan över betrodda tjänster.

Övervaka mål

Viktigt!

Exportmål har gränser och bör övervakas för att minimera begränsning, fel och svarstid. Mer information finns i Lagringskontots skalbarhet och Event Hubs-namnområdeskvoter.

Följande mått är tillgängliga för dataexportåtgärder och aviseringar

Måttnamn beskrivning
Exporterade byte Totalt antal byte som exporterats till målet från Log Analytics-arbetsytan inom det valda tidsintervallet. Storleken på data som exporteras är antalet byte i de exporterade JSON-formaterade data. 1 GB = 10^9 byte.
Exportfel Totalt antal misslyckade exportbegäranden till målet från Log Analytics-arbetsytan inom det valda tidsintervallet. Det här numret omfattar exportförsöksfel på grund av begränsning av målresurser, förbjudet åtkomstfel eller serverfel. En återförsöksprocess hanterar misslyckade försök och talet är inte en indikation för saknade data.
Exporterade poster Totalt antal poster som exporterats från Log Analytics-arbetsytan inom det valda tidsintervallet. Det här antalet räknar poster för åtgärder som avslutades med framgång.

Övervaka ett lagringskonto

  1. Använd ett separat lagringskonto för export.

  2. Konfigurera en avisering för måttet:

    Omfattning Namnområde för mått Mått Aggregering Threshold
    lagringsnamn Konto Ingress Sum 80 % av den maximala ingressen per utvärderingsperiod för aviseringar. Till exempel är gränsen 60 Gbit/s för generell användning v2 i USA, västra. Aviseringströskelvärdet är 1676 GiB per utvärderingsperiod på 5 minuter.
  3. Åtgärder för aviseringsreparation:

    • Använd ett separat lagringskonto för export som inte delas med data som inte övervakas.
    • Azure Storage Standard-konton har stöd för högre ingressgräns per begäran. Kontakta Azure Support om du vill begära en ökning.
    • Dela upp tabeller mellan fler lagringskonton.

Övervaka Event Hubs

  1. Konfigurera aviseringar för måtten:

    Omfattning Namnområde för mått Mått Aggregering Threshold
    namespaces-name Standardmått för Event Hubs Inkommande byte Sum 80 % av den maximala ingressen per utvärderingsperiod för aviseringar. Gränsen är till exempel 1 MB/s per enhet (TU eller PU) och fem enheter används. Tröskelvärdet är 228 MiB per utvärderingsperiod på 5 minuter.
    namespaces-name Standardmått för Event Hubs Inkommande begäranden Antal 80 % av maximala händelser per utvärderingsperiod för aviseringar. Till exempel är gränsen 1 000/s per enhet (TU eller PU) och fem enheter används. Tröskelvärdet är 1 200 000 per utvärderingsperiod på 5 minuter.
    namespaces-name Standardmått för Event Hubs Fel om överskriden kvot Antal Mellan 1 % av begäran. Till exempel är begäranden per 5 minuter 600 000. Tröskelvärdet är 6 000 per utvärderingsperiod på 5 minuter.
  2. Åtgärder för aviseringsreparation:

    • Använd ett separat Event Hubs-namnområde för export som inte delas med data som inte övervakas.
    • Konfigurera funktionen Auto-inflate för att automatiskt skala upp och öka antalet dataflödesenheter för att uppfylla användningsbehoven.
    • Kontrollera ökningen av dataflödesenheter för att hantera datavolym.
    • Dela upp tabeller mellan fler namnområden.
    • Använd Premium- eller Dedikerade nivåer för högre dataflöde.

Skapa eller uppdatera en dataexportregel

En dataexportregel definierar målet och tabellerna för vilka data exporteras. Regeletablering tar cirka 30 minuter innan exportåtgärden initierades. Överväganden för dataexportregler:

  • Lagringskontot måste vara unikt mellan regler på arbetsytan.
  • Flera regler kan använda samma Event Hubs-namnområde när du skickar till separata Event Hubs.
  • Exportera till ett lagringskonto: En separat container skapas i lagringskontot för varje tabell.
  • Exportera till Event Hubs: Om ett händelsehubbnamn inte anges skapas en separat händelsehubb för varje tabell. Antalet eventhubbar som stöds på basic- och standardnivå är 10. När du exporterar fler än 10 tabeller till dessa nivåer delar du antingen upp tabellerna mellan flera exportregler till olika Event Hubs-namnområden eller anger ett Event Hub-namn i regeln för att exportera alla tabeller till den.
  1. På log analytics-arbetsytans meny i Azure Portal väljer du Dataexport under avsnittet Inställningar. Välj Ny exportregel överst i fönstret.

    Skärmbild som visar startpunkten för dataexport.

  2. Följ stegen och välj sedan Skapa. Endast tabellerna med data i dem visas under fliken "Källa".

    Skärmbild av konfiguration av exportregler.

Visa konfiguration av dataexportregel

  1. På log analytics-arbetsytans meny i Azure Portal väljer du Dataexport under avsnittet Inställningar.

    Skärmbild som visar skärmen Dataexport.

  2. Välj en regel för en konfigurationsvy.

    Skärmbild av dataexportregelvyn.

Inaktivera eller uppdatera en exportregel

Du kan inaktivera exportregler för att stoppa exporten under en viss period, till exempel när testningen hålls. På log analytics-arbetsytans meny i Azure Portal väljer du Dataexport under avsnittet Inställningar. Välj växlingsknappen Status för att inaktivera eller aktivera exportregeln.

Skärmbild som visar inaktivering av dataexportregeln.

Ta bort en exportregel

På log analytics-arbetsytans meny i Azure Portal väljer du Dataexport under avsnittet Inställningar. Välj ellipsen till höger om regeln och välj Ta bort.

Skärmbild som visar hur du tar bort dataexportregeln.

Visa alla dataexportregler på en arbetsyta

På log analytics-arbetsytans meny i Azure Portal väljer du Dataexport under avsnittet Inställningar för att visa alla exportregler på arbetsytan.

Skärmbild som visar vyn dataexportregler.

Tabeller inte stöds

Om dataexportregeln innehåller en tabell som inte stöds kommer konfigurationen att lyckas, men inga data exporteras för den tabellen. Om tabellen senare stöds exporteras dess data vid den tidpunkten.

Tabeller som stöds

Kommentar

Vi håller på att lägga till stöd för fler tabeller. Läs den här artikeln regelbundet.

 Bord  Begränsningar
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsAllmänt
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXIngestionBatching
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
ALBHealthEvent
Varning Partiellt stöd. Datainmatning för Zabbix-aviseringar stöds inte.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataLabelEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
AMWMetricsUsageDetails
ANFFileAccess
Avvikelser
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
ApiManagementWebSocketConnectionLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformBuildLogs
AppPlatformContainerEventLogs
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoskalningVärdeslogg
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSDiagnosticErrorLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
Datorgrupp
ConfidentialWatchlist
ConfigurationData Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksBrickStoreHttpGateway
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksCloudStorageMetadata
DatabricksClusterLibraries
DatabricksClusters
DatabricksDashboards
DatabricksDataMonitoring
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksFilesystem
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksIngestion
DatabricksInstancePools
DatabricksJobs
DatabricksLineageTracking
DatabricksMarketplaceConsumer
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksPredictiveOptimization
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
Event Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Pulsslag
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
IntuneAuditLogs
IntuneEnhetComplianceOrg
IntuneEnheter
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MDCFileIntegrityMonitoringEvents
MDECustomCollectionDeviceFileEvents
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemSessionHistoryUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAInsights
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorDNSResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Åtgärd Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
ServiceFabricReliableActorEvent Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
ServiceFabricReliableServiceEvent Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SqlAtpStatus
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXCommand
SynapseDXFailedIngestion
SynapseDXIngestionBatching
SynapseDXQuery
SynapseDXSucceededIngestion
SynapseDXTableDetails
SynapseDXTableUsageStatistics
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Uppdatera Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Förbrukning
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
W3CIISLog Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Visningslista
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDAutoscaleEvaluationPooled
WVDCheckpoints
WVDConnectionGraphicsDataPreview
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement
WVDSessionHostManagement

Nästa steg

Fråga efter exporterade data från Azure Data Explorer