Dataexport för Log Analytics-arbetsyta i Azure Monitor
Med dataexport på en Log Analytics-arbetsyta kan du kontinuerligt exportera data per valda tabeller på din arbetsyta. Du kan exportera till ett Azure Storage-konto eller Azure Event Hubs när data kommer till en Azure Monitor-pipeline. Den här artikeln innehåller information om den här funktionen och steg för att konfigurera dataexport på dina arbetsytor.
Översikt
Data i Log Analytics är tillgängliga för den kvarhållningsperiod som definierats på din arbetsyta. Det används i olika upplevelser som tillhandahålls i Azure Monitor- och Azure-tjänster. Det finns fall där du behöver använda andra verktyg:
- Efterlevnad av manipulationsskyddat arkiv: Data kan inte ändras i Log Analytics när de har matats in, men de kan rensas. Exportera till en lagringskontouppsättning med oföränderliga principer för att skydda datamanipulering.
- Integrering med Azure-tjänster och andra verktyg: Exportera till Event Hubs när data tas emot och bearbetas i Azure Monitor.
- Långsiktig kvarhållning av gransknings- och säkerhetsdata: Exportera till ett lagringskonto i arbetsytans region. Eller så kan du replikera data till andra regioner med hjälp av något av redundansalternativen för Azure Storage, inklusive GRS och GZRS.
När du har konfigurerat regler för dataexport på en Log Analytics-arbetsyta exporteras nya data för tabeller i regler från Azure Monitor-pipelinen till ditt lagringskonto eller händelsehubbar när de tas emot. Dataexporttrafiken finns i Azures stamnätverk och lämnar inte Azure-nätverket.
Data exporteras utan filter. När du till exempel konfigurerar en dataexportregel för en SecurityEvent-tabell exporteras alla data som skickas till tabellen SecurityEvent från och med konfigurationstiden. Du kan också filtrera eller ändra exporterade data genom att konfigurera transformeringar på din arbetsyta, som gäller för inkommande data, innan de skickas till dina Log Analytics-arbetsytor och för att exportera mål.
Andra exportalternativ
Log Analytics-arbetsytedataexport exporterar kontinuerligt data som skickas till din Log Analytics-arbetsyta. Det finns andra alternativ för att exportera data för specifika scenarier:
- Konfigurera diagnostikinställningar i Azure-resurser. Loggar skickas direkt till ett mål. Den här metoden har lägre svarstid jämfört med dataexport i Log Analytics.
- Schemalägg export av data baserat på en loggfråga som du definierar med Log Analytics-fråge-API:et. Använd Azure Data Factory, Azure Functions eller Azure Logic Apps för att samordna frågor på din arbetsyta och exportera data till ett mål. Den här metoden liknar funktionen för dataexport, men du kan använda den för att exportera historiska data från din arbetsyta med hjälp av filter och aggregering. Den här metoden omfattas av loggfrågegränser och är inte avsedd för skalning. Mer information finns i Exportera data från en Log Analytics-arbetsyta till ett lagringskonto med hjälp av Logic Apps.
- Engångsexport till en lokal dator med hjälp av ett PowerShell-skript. Mer information finns i Invoke-AzOperationalInsightsQueryExport.
Begränsningar
- Anpassade loggar som skapats med HTTP Data Collector-API:et kan inte exporteras, inklusive textbaserade loggar som används av Log Analytics-agenten. Anpassade loggar som skapats med hjälp av datainsamlingsregler, inklusive textbaserade loggar, kan exporteras.
- Dataexport stöder gradvis fler tabeller, men är för närvarande begränsat till tabeller som anges i avsnittet tabeller som stöds. Du kan inkludera tabeller som ännu inte stöds i regler, men inga data exporteras för dem förrän tabellerna stöds.
- Du kan definiera upp till 10 aktiverade regler på din arbetsyta, var och en kan innehålla flera tabeller. Du kan skapa fler regler i arbetsytan i inaktiverat tillstånd.
- Mål måste finnas i samma region som Log Analytics-arbetsytan.
- Lagringskontot måste vara unikt mellan regler på arbetsytan.
- Tabellnamn kan vara 60 tecken långa när du exporterar till ett lagringskonto. De kan vara 47 tecken när du exporterar till Event Hubs. Tabeller med längre namn exporteras inte.
- Export till Premium Storage-konto stöds inte.
Data fullständighet
Dataexport är optimerad för att flytta stora datavolymer till dina mål. I händelse av mål med otillräcklig skalning eller tillgänglighet fortsätter en återförsöksprocess i upp till 12 timmar och kan resultera i en bråkdel av dupliceringen av de exporterade posterna. Följ rekommendationerna för mål för lagringskonton och eventhubbar för att förbättra tillförlitligheten. Mer information om målgränser och rekommenderade aviseringar finns i Skapa eller uppdatera en regel för dataexport. Om målen fortfarande inte är tillgängliga efter återförsöksperioden ignoreras data.
Prismodell
Dataexportavgifter baseras på antalet byte som exporteras till mål i JSON-formaterade data och mäts i GB (10^9 byte). Storleksberäkning i arbetsytans fråga kan inte motsvara exportavgifter eftersom den inte innehåller JSON-formaterade data. Du kan använda PowerShell för att beräkna den totala faktureringsstorleken för en blobcontainer.
Mer information, inklusive faktureringstidslinjen för dataexport, finns i Prissättning för Azure Monitor. Fakturering för dataexport aktiverades i början av oktober 2023.
Exportera mål
Dataexportmålet måste vara tillgängligt innan du skapar exportregler på din arbetsyta. Mål behöver inte finnas i samma prenumeration som din arbetsyta. När du använder Azure Lighthouse är det också möjligt att skicka data till mål i en annan Microsoft Entra-klientorganisation.
Du måste ha skrivbehörighet till både arbetsytan och målet för att konfigurera en dataexportregel i en tabell på en arbetsyta. Principen för delad åtkomst för Event Hubs-namnområdet definierar de behörigheter som strömningsmekanismen har. Direktuppspelning till Event Hubs kräver behörighet att hantera, skicka och lyssna. Om du vill uppdatera exportregeln måste du ha listnyckelbehörigheten för den händelsehubbens auktoriseringsregel.
Lagringskonto
Undvik att använda ett befintligt lagringskonto som har andra data som inte övervakas, för att bättre kontrollera åtkomsten till data, förhindra att ingressgränsen för lagring når fel och svarstid.
Om du vill skicka data till ett oföränderligt lagringskonto anger du den oföränderliga principen för lagringskontot enligt beskrivningen i Ange och hantera oföränderliga principer för Azure Blob Storage. Du måste följa alla steg i den här artikeln, inklusive att aktivera skrivning av skyddade tilläggsblobar.
Lagringskontot kan inte vara Premium, måste vara StorageV1 eller senare och finnas i samma region som din arbetsyta. Om du behöver replikera dina data till andra lagringskonton i andra regioner kan du använda något av redundansalternativen för Azure Storage, inklusive GRS och GZRS.
Data skickas till lagringskonton när de når Azure Monitor och exporteras till mål som finns i en arbetsyteregion. En container skapas för varje tabell i lagringskontot med namnet am följt av tabellens namn. Tabellen SecurityEvent skulle till exempel skicka till en container med namnet am-SecurityEvent.
Blobar lagras i mappar på 5 minuter i följande sökvägsstruktur: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<fyrsiffrigt numeriskt år>/m=<tvåsiffrig numerisk månad>/d=<tvåsiffrig numerisk dag>/h=<tvåsiffrig 24-timmars klocktimm>/m=<tvåsiffrig 60-minuters klockminut>/PT05M.json. Tillägg till blobar är begränsade till 50 K-skrivningar. Fler blobar läggs till i mappen som PT05M_#.json*, där '#' är det inkrementella blobantalet.
Kommentar
Tillägg till blobar skrivs baserat på fältet "TimeGenerated" och inträffar när källdata tas emot. Data som anländer till Azure Monitor med fördröjning, eller som görs om efter målbegränsning, skrivs till blobar enligt dess TimeGenerated.
Formatet för blobar i ett lagringskonto finns i JSON-rader, där varje post avgränsas av en ny rad, utan matris med yttre poster och inga kommatecken mellan JSON-poster.
Event Hubs
Undvik att använda en befintlig händelsehubb som inte har övervakningsdata för att förhindra att ingressfrekvensbegränsningen för Event Hubs når fel och svarstider.
Data skickas till din händelsehubb när den når Azure Monitor och exporteras till mål som finns i en arbetsyteregion. Du kan skapa flera exportregler till samma Event Hubs-namnområde genom att ange en annan Event Hub name
i regeln. När en Event Hub name
inte anges skapas en standardhändelsehubb för tabeller som du exporterar med namnet am följt av tabellens namn. Tabellen SecurityEvent skickas till exempel till en händelsehubb med namnet am-SecurityEvent.
Antalet eventhubbar som stöds på basic- och standardnivå är 10. När du exporterar fler än 10 tabeller till dessa nivåer delar du antingen upp tabellerna mellan flera exportregler till olika Event Hubs-namnområden eller anger ett Event Hub-namn för att exportera alla tabeller till den.
Kommentar
- Basic Event Hubs-namnområdesnivån är begränsad. Den har stöd för lägre händelsestorlek och inget alternativ för automatisk uppskalning för att automatiskt skala upp och öka antalet dataflödesenheter. Eftersom datavolymen till din arbetsyta ökar med tiden och därför krävs event hub-skalning, använder du Standard-, Premium- eller Dedikerade Event Hubs-nivåer med funktionen Auto-inflate aktiverad. Mer information finns i Skala upp dataflödesenheter för Azure Event Hubs automatiskt.
- Dataexport kan inte nå Event Hubs-resurser när virtuella nätverk är aktiverade. Du måste markera kryssrutan Tillåt Azure-tjänster i listan över betrodda tjänster att komma åt det här lagringskontot för att kringgå den här brandväggsinställningen i en händelsehubb för att bevilja åtkomst till dina händelsehubbar.
Fråga exporterade data
Om du exporterar data från arbetsytor till lagringskonton kan du uppfylla olika scenarier som nämns i översikten och kan användas av verktyg som kan läsa blobar från lagringskonton. Med följande metoder kan du fråga efter data med hjälp av Log Analytics-frågespråket, vilket är detsamma för Azure Data Explorer.
- Använd Azure Data Explorer för att fråga efter data i Azure Data Lake.
- Använd Azure Data Explorer för att mata in data från ett lagringskonto.
- Använd Log Analytics-arbetsytan för att fråga inmatade data med hjälp av LOGS Ingestion API . Inmatade data är till en anpassad loggtabell och inte till den ursprungliga tabellen.
Aktivera dataexport
Följande steg måste utföras för att aktivera Log Analytics-dataexport. Mer information om var och en finns i följande avsnitt:
- Registrera resursprovidern
- Tillåt betrodda Microsoft-tjänster
- Skapa eller uppdatera en dataexportregel
Registrera resursprovidern
Azure-resursprovidern Microsoft.Insights måste registreras i din prenumeration för att aktivera Log Analytics-dataexport.
Den här resursprovidern är förmodligen redan registrerad för de flesta Azure Monitor-användare. Kontrollera genom att gå till Prenumerationer i Azure Portal. Välj din prenumeration och välj sedan Resursprovidrar under avsnittet Inställningar på menyn. Leta upp Microsoft.Insights. Om dess status är Registrerad är den redan registrerad. Om inte väljer du Registrera för att registrera det.
Du kan också använda någon av de tillgängliga metoderna för att registrera en resursprovider enligt beskrivningen i Azure-resursprovidrar och -typer. Följande exempelkommando använder Azure CLI:
az provider register --namespace 'Microsoft.insights'
Följande exempelkommando använder PowerShell:
Register-AzResourceProvider -ProviderNamespace Microsoft.insights
Tillåt betrodda Microsoft-tjänster
Om du har konfigurerat ditt lagringskonto för att tillåta åtkomst från valda nätverk måste du lägga till ett undantag så att Azure Monitor kan skriva till kontot. Från Brandväggar och virtuella nätverk för ditt lagringskonto väljer du Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot.
Övervaka mål
Viktigt!
Exportmål har gränser och bör övervakas för att minimera begränsning, fel och svarstid. Mer information finns i Lagringskontots skalbarhet och Event Hubs-namnområdeskvoter.
Följande mått är tillgängliga för dataexportåtgärder och aviseringar
Måttnamn | beskrivning |
---|---|
Exporterade byte | Totalt antal byte som exporterats till målet från Log Analytics-arbetsytan inom det valda tidsintervallet. Storleken på data som exporteras är antalet byte i de exporterade JSON-formaterade data. 1 GB = 10^9 byte. |
Exportfel | Totalt antal misslyckade exportbegäranden till målet från Log Analytics-arbetsytan inom det valda tidsintervallet. Det här numret omfattar exportförsöksfel på grund av begränsning av målresurser, förbjudet åtkomstfel eller serverfel. En återförsöksprocess hanterar misslyckade försök och talet är inte en indikation för saknade data. |
Exporterade poster | Totalt antal poster som exporterats från Log Analytics-arbetsytan inom det valda tidsintervallet. Det här antalet räknar poster för åtgärder som avslutades med framgång. |
Övervaka ett lagringskonto
Använd ett separat lagringskonto för export.
Konfigurera en avisering för måttet:
Omfattning Namnområde för mått Mått Aggregering Threshold lagringsnamn Konto Ingress Sum 80 % av den maximala ingressen per utvärderingsperiod för aviseringar. Till exempel är gränsen 60 Gbit/s för generell användning v2 i USA, västra. Aviseringströskelvärdet är 1676 GiB per utvärderingsperiod på 5 minuter. Åtgärder för aviseringsreparation:
- Använd ett separat lagringskonto för export som inte delas med data som inte övervakas.
- Azure Storage Standard-konton har stöd för högre ingressgräns per begäran. Kontakta Azure Support om du vill begära en ökning.
- Dela upp tabeller mellan fler lagringskonton.
Övervaka Event Hubs
Konfigurera aviseringar för måtten:
Omfattning Namnområde för mått Mått Aggregering Threshold namespaces-name Standardmått för Event Hubs Inkommande byte Sum 80 % av den maximala ingressen per utvärderingsperiod för aviseringar. Gränsen är till exempel 1 MB/s per enhet (TU eller PU) och fem enheter används. Tröskelvärdet är 228 MiB per utvärderingsperiod på 5 minuter. namespaces-name Standardmått för Event Hubs Inkommande begäranden Antal 80 % av maximala händelser per utvärderingsperiod för aviseringar. Till exempel är gränsen 1 000/s per enhet (TU eller PU) och fem enheter används. Tröskelvärdet är 1 200 000 per utvärderingsperiod på 5 minuter. namespaces-name Standardmått för Event Hubs Fel om överskriden kvot Antal Mellan 1 % av begäran. Till exempel är begäranden per 5 minuter 600 000. Tröskelvärdet är 6 000 per utvärderingsperiod på 5 minuter. Åtgärder för aviseringsreparation:
- Använd ett separat Event Hubs-namnområde för export som inte delas med data som inte övervakas.
- Konfigurera funktionen Auto-inflate för att automatiskt skala upp och öka antalet dataflödesenheter för att uppfylla användningsbehoven.
- Kontrollera ökningen av dataflödesenheter för att hantera datavolym.
- Dela upp tabeller mellan fler namnområden.
- Använd Premium- eller Dedikerade nivåer för högre dataflöde.
Skapa eller uppdatera en dataexportregel
En dataexportregel definierar målet och tabellerna för vilka data exporteras. Regeletablering tar cirka 30 minuter innan exportåtgärden initierades. Överväganden för dataexportregler:
- Lagringskontot måste vara unikt mellan regler på arbetsytan.
- Flera regler kan använda samma Event Hubs-namnområde när du skickar till separata Event Hubs.
- Exportera till ett lagringskonto: En separat container skapas i lagringskontot för varje tabell.
- Exportera till Event Hubs: Om ett händelsehubbnamn inte anges skapas en separat händelsehubb för varje tabell. Antalet eventhubbar som stöds på basic- och standardnivå är 10. När du exporterar fler än 10 tabeller till dessa nivåer delar du antingen upp tabellerna mellan flera exportregler till olika Event Hubs-namnområden eller anger ett Event Hub-namn i regeln för att exportera alla tabeller till den.
Visa konfiguration av dataexportregel
Inaktivera eller uppdatera en exportregel
Du kan inaktivera exportregler för att stoppa exporten under en viss period, till exempel när testningen hålls. På log analytics-arbetsytans meny i Azure Portal väljer du Dataexport under avsnittet Inställningar. Välj växlingsknappen Status för att inaktivera eller aktivera exportregeln.
Ta bort en exportregel
På log analytics-arbetsytans meny i Azure Portal väljer du Dataexport under avsnittet Inställningar. Välj ellipsen till höger om regeln och välj Ta bort.
Visa alla dataexportregler på en arbetsyta
På log analytics-arbetsytans meny i Azure Portal väljer du Dataexport under avsnittet Inställningar för att visa alla exportregler på arbetsytan.
Tabeller inte stöds
Om dataexportregeln innehåller en tabell som inte stöds kommer konfigurationen att lyckas, men inga data exporteras för den tabellen. Om tabellen senare stöds exporteras dess data vid den tidpunkten.
Tabeller som stöds
Kommentar
Vi håller på att lägga till stöd för fler tabeller. Läs den här artikeln regelbundet.
Bord | Begränsningar |
---|---|
AACAudit | |
AACHttpRequest | |
AADB2CRequestLogs | |
AADCustomSecurityAttributeAuditLogs | |
AADDomainServicesAccountLogon | |
AADDomainServicesAccountManagement | |
AADDomainServicesDirectoryServiceAccess | |
AADDomainServicesDNSAuditsDynamicUpdates | |
AADDomainServicesDNSAuditsAllmänt | |
AADDomainServicesLogonLogoff | |
AADDomainServicesPolicyChange | |
AADDomainServicesPrivilegeUse | |
AADManagedIdentitySignInLogs | |
AADNonInteractiveUserSignInLogs | |
AADProvisioningLogs | |
AADRiskyServicePrincipals | |
AADRiskyUsers | |
AADServicePrincipalRiskEvents | |
AADServicePrincipalSignInLogs | |
AADUserRiskEvents | |
ABSBotRequests | |
ACICollaborationAudit | |
ACRConnectedClientList | |
ACSAuthIncomingOperations | |
ACSBillingUsage | |
ACSCallAutomationIncomingOperations | |
ACSCallAutomationMediaSummary | |
ACSCallClientMediaStatsTimeSeries | |
ACSCallClientOperations | |
ACSCallClosedCaptionsSummary | |
ACSCallDiagnostics | |
ACSCallRecordingIncomingOperations | |
ACSCallRecordingSummary | |
ACSCallSummary | |
ACSCallSurvey | |
ACSChatIncomingOperations | |
ACSEmailSendMailOperational | |
ACSEmailStatusUpdateOperational | |
ACSEmailUserEngagementOperational | |
ACSJobRouterIncomingOperations | |
ACSNetworkTraversalDiagnostics | |
ACSNetworkTraversalIncomingOperations | |
ACSRoomsIncomingOperations | |
ACSSMSIncomingOperations | |
ADAssessmentRecommendation | |
AddonAzureBackupAlerts | |
AddonAzureBackupJobs | |
AddonAzureBackupPolicy | |
AddonAzureBackupProtectedInstance | |
AddonAzureBackupStorage | |
ADFActivityRun | |
ADFAirflowSchedulerLogs | |
ADFAirflowTaskLogs | |
ADFAirflowWebLogs | |
ADFAirflowWorkerLogs | |
ADFPipelineRun | |
ADFSandboxActivityRun | |
ADFSandboxPipelineRun | |
ADFSSignInLogs | |
ADFSSISIntegrationRuntimeLogs | |
ADFSSISPackageEventMessageContext | |
ADFSSISPackageEventMessages | |
ADFSSISPackageExecutableStatistics | |
ADFSSISPackageExecutionComponentPhases | |
ADFSSISPackageExecutionDataStatistics | |
ADFTriggerRun | |
ADPAudit | |
ADPDiagnostics | |
ADPRequests | |
ADReplicationResult | |
ADSecurityAssessmentRecommendation | |
ADTDataHistoryOperation | |
ADTDigitalTwinsOperation | |
ADTEventRoutesOperation | |
ADTModelsOperation | |
ADTQueryOperation | |
ADXCommand | |
ADXIngestionBatching | |
ADXJournal | |
ADXQuery | |
ADXTableDetails | |
ADXTableUsageStatistics | |
AegDataPlaneRequests | |
AegDeliveryFailureLogs | |
AegPublishFailureLogs | |
AEWAssignmentBlobLogs | |
AEWAuditLogs | |
AEWComputePipelinesLogs | |
AFSAuditLogs | |
AGCAccessLogs | |
AgriFoodApplicationAuditLogs | |
AgriFoodFarmManagementLogs | |
AgriFoodFarmOperationLogs | |
AgriFoodInsightLogs | |
AgriFoodJobProcessedLogs | |
AgriFoodModelInferenceLogs | |
AgriFoodProviderAuthLogs | |
AgriFoodSatelliteLogs | |
AgriFoodSensorManagementLogs | |
AgriFoodWeatherLogs | |
AGSGrafanaLoginEvents | |
AGWAccessLogs | |
AGWFirewallLogs | |
AGWPerformanceLogs | |
AHDSDicomAuditLogs | |
AHDSDicomDiagnosticLogs | |
AHDSMedTechDiagnosticLogs | |
AirflowDagProcessingLogs | |
AKSAudit | |
AKSAuditAdmin | |
AKSControlPlane | |
ALBHealthEvent | |
Varning | Partiellt stöd. Datainmatning för Zabbix-aviseringar stöds inte. |
AlertEvidence | |
AlertInfo | |
AmlComputeClusterEvent | |
AmlComputeCpuGpuUtilization | |
AmlComputeInstanceEvent | |
AmlComputeJobEvent | |
AmlDataLabelEvent | |
AmlDataSetEvent | |
AmlDataStoreEvent | |
AmlDeploymentEvent | |
AmlEnvironmentEvent | |
AmlInferencingEvent | |
AmlModelsEvent | |
AmlOnlineEndpointConsoleLog | |
AmlOnlineEndpointEventLog | |
AmlOnlineEndpointTrafficLog | |
AmlPipelineEvent | |
AmlRegistryReadEventsLog | |
AmlRegistryWriteEventsLog | |
AmlRunEvent | |
AmlRunStatusChangedEvent | |
AMSKeyDeliveryRequests | |
AMSLiveEventOperations | |
AMSMediaAccountHealth | |
AMSStreamingEndpointRequests | |
AMWMetricsUsageDetails | |
ANFFileAccess | |
Avvikelser | |
AOIDatabaseQuery | |
AOIDigestion | |
AOIStorage | |
ApiManagementGatewayLogs | |
ApiManagementWebSocketConnectionLogs | |
AppAvailabilityResults | |
AppBrowserTimings | |
AppCenterError | |
AppDependencies | |
AppEnvSpringAppConsoleLogs | |
AppEvents | |
AppExceptions | |
AppMetrics | |
AppPageViews | |
AppPerformanceCounters | |
AppPlatformBuildLogs | |
AppPlatformContainerEventLogs | |
AppPlatformIngressLogs | |
AppPlatformLogsforSpring | |
AppPlatformSystemLogs | |
AppRequests | |
AppServiceAntivirusScanAuditLogs | |
AppServiceAppLogs | |
AppServiceAuditLogs | |
AppServiceAuthenticationLogs | |
AppServiceConsoleLogs | |
AppServiceEnvironmentPlatformLogs | |
AppServiceFileAuditLogs | |
AppServiceHTTPLogs | |
AppServiceIPSecAuditLogs | |
AppServicePlatformLogs | |
AppServiceServerlessSecurityPluginData | |
AppSystemEvents | |
AppTraces | |
ArcK8sAudit | |
ArcK8sAuditAdmin | |
ArcK8sControlPlane | |
ASCAuditLogs | |
ASCDeviceEvents | |
ASimAuditEventLogs | |
ASimAuthenticationEventLogs | |
ASimDhcpEventLogs | |
ASimDnsActivityLogs | |
ASimFileEventLogs | |
ASimNetworkSessionLogs | |
ASimProcessEventLogs | |
ASimRegistryEventLogs | |
ASimUserManagementActivityLogs | |
ASimWebSessionLogs | |
ASRJobs | |
ASRReplicatedItems | |
ATCExpressRouteCircuitIpfix | |
AuditLogs | |
AutoskalningVärdeslogg | |
AutoscaleScaleActionsLog | |
AVNMConnectivityConfigurationChange | |
AVNMIPAMPoolAllocationChange | |
AVNMNetworkGroupMembershipChange | |
AVNMRuleCollectionChange | |
AVSSyslog | |
AWSCloudTrail | |
AWSCloudWatch | |
AWSGuardDuty | |
AWSVPCFlow | |
AZFWApplicationRule | |
AZFWApplicationRuleAggregation | |
AZFWDnsQuery | |
AZFWFatFlow | |
AZFWFlowTrace | |
AZFWIdpsSignature | |
AZFWInternalFqdnResolutionFailure | |
AZFWNatRule | |
AZFWNatRuleAggregation | |
AZFWNetworkRule | |
AZFWNetworkRuleAggregation | |
AZFWThreatIntel | |
AZKVAuditLogs | |
AZKVPolicyEvaluationDetailsLogs | |
AZMSApplicationMetricLogs | |
AZMSArchiveLogs | |
AZMSAutoscaleLogs | |
AZMSCustomerManagedKeyUserLogs | |
AZMSDiagnosticErrorLogs | |
AZMSHybridConnectionsEvents | |
AZMSKafkaCoordinatorLogs | |
AZMSKafkaUserErrorLogs | |
AZMSOperationalLogs | |
AZMSRunTimeAuditLogs | |
AZMSVnetConnectionEvents | |
AzureAssessmentRecommendation | |
AzureAttestationDiagnostics | |
AzureBackupOperations | |
AzureDevOpsAuditing | |
AzureLoadTestingOperation | |
AzureMetricsV2 | |
BehaviorAnalytics | |
CassandraAudit | |
CassandraLogs | |
CCFApplicationLogs | |
CDBCassandraRequests | |
CDBControlPlaneRequests | |
CDBDataPlaneRequests | |
CDBGremlinRequests | |
CDBMongoRequests | |
CDBPartitionKeyRUConsumption | |
CDBPartitionKeyStatistics | |
CDBQueryRuntimeStatistics | |
ChaosStudioExperimentEventLogs | |
CHSMManagementAuditLogs | |
CIEventsAudit | |
CIEventsOperational | |
CloudAppEvents | |
CommonSecurityLog | |
Datorgrupp | |
ConfidentialWatchlist | |
ConfigurationData | Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten. |
ContainerAppConsoleLogs | |
ContainerAppSystemLogs | |
ContainerEvent | |
ContainerImageInventory | |
ContainerInstanceLog | |
ContainerInventory | |
ContainerLog | |
ContainerLogV2 | |
ContainerNodeInventory | |
ContainerRegistryLoginEvents | |
ContainerRegistryRepositoryEvents | |
ContainerServiceLog | |
CoreAzureBackup | |
DatabricksAccounts | |
DatabricksBrickStoreHttpGateway | |
DatabricksCapsule8Dataplane | |
DatabricksClamAVScan | |
DatabricksCloudStorageMetadata | |
DatabricksClusterLibraries | |
DatabricksClusters | |
DatabricksDashboards | |
DatabricksDataMonitoring | |
DatabricksDBFS | |
DatabricksDeltaPipelines | |
DatabricksFeatureStore | |
DatabricksFilesystem | |
DatabricksGenie | |
DatabricksGitCredentials | |
DatabricksGlobalInitScripts | |
DatabricksIAMRole | |
DatabricksIngestion | |
DatabricksInstancePools | |
DatabricksJobs | |
DatabricksLineageTracking | |
DatabricksMarketplaceConsumer | |
DatabricksMLflowAcledArtifact | |
DatabricksMLflowExperiment | |
DatabricksModelRegistry | |
DatabricksNotebook | |
DatabricksPartnerHub | |
DatabricksPredictiveOptimization | |
DatabricksRemoteHistoryService | |
DatabricksRepos | |
DatabricksSecrets | |
DatabricksServerlessRealTimeInference | |
DatabricksSQLPermissions | |
DatabricksSSH | |
DatabricksUnityCatalog | |
DatabricksWebTerminal | |
DatabricksWorkspace | |
DatabricksWorkspaceLogs | |
DataTransferOperations | |
DataverseActivity | |
DCRLogErrors | |
DCRLogTroubleshooting | |
DevCenterBillingEventLogs | |
DevCenterDiagnosticLogs | |
DevCenterResourceOperationLogs | |
DeviceEvents | |
DeviceFileCertificateInfo | |
DeviceFileEvents | |
DeviceImageLoadEvents | |
DeviceInfo | |
DeviceLogonEvents | |
DeviceNetworkEvents | |
DeviceNetworkInfo | |
DeviceProcessEvents | |
DeviceRegistryEvents | |
DeviceTvmSecureConfigurationAssessment | |
DeviceTvmSecureConfigurationAssessmentKB | |
DeviceTvmSoftwareInventory | |
DeviceTvmSoftwareVulnerabilities | |
DeviceTvmSoftwareVulnerabilitiesKB | |
DnsEvents | |
DnsInventory | |
DNSQueryLogs | |
DSMAzureBlobStorageLogs | |
DSMDataClassificationLogs | |
DSMDataLabelingLogs | |
Dynamics365Activity | |
DynamicSummary | |
EGNFailedMqttConnections | |
EGNFailedMqttPublishedMessages | |
EGNFailedMqttSubscriptions | |
EGNMqttDisconnections | |
EGNSuccessfulMqttConnections | |
EmailAttachmentInfo | |
EmailEvents | |
EmailPostDeliveryEvents | |
EmailUrlInfo | |
EnrichedMicrosoft365AuditLogs | |
ETWEvent | Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export. |
Event | Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export. |
ExchangeAssessmentRecommendation | |
ExchangeOnlineAssessmentRecommendation | |
FailedIngestion | |
FunctionAppLogs | |
GCPAuditLogs | |
GoogleCloudSCC | |
HDInsightAmbariClusterAlerts | |
HDInsightAmbariSystemMetrics | |
HDInsightGatewayAuditLogs | |
HDInsightHadoopAndYarnLogs | |
HDInsightHadoopAndYarnMetrics | |
HDInsightHBaseLogs | |
HDInsightHBaseMetrics | |
HDInsightHiveAndLLAPLogs | |
HDInsightHiveAndLLAPMetrics | |
HDInsightHiveQueryAppStats | |
HDInsightHiveTezAppStats | |
HDInsightJupyterNotebookEvents | |
HDInsightKafkaLogs | |
HDInsightKafkaMetrics | |
HDInsightOozieLogs | |
HDInsightRangerAuditLogs | |
HDInsightSecurityLogs | |
HDInsightSparkApplicationEvents | |
HDInsightSparkBlockManagerEvents | |
HDInsightSparkEnvironmentEvents | |
HDInsightSparkExecutorEvents | |
HDInsightSparkExtraEvents | |
HDInsightSparkJobEvents | |
HDInsightSparkLogs | |
HDInsightSparkSQLExecutionEvents | |
HDInsightSparkStageEvents | |
HDInsightSparkStageTaskAccumulables | |
HDInsightSparkTaskEvents | |
HDInsightStormLogs | |
HDInsightStormMetrics | |
HDInsightStormTopologyMetrics | |
HealthStateChangeEvent | |
Pulsslag | |
HuntingBookmark | |
IdentityDirectoryEvents | |
IdentityInfo | |
IdentityLogonEvents | |
IdentityQueryEvents | |
InsightsMetrics | Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten. |
IntuneAuditLogs | |
IntuneEnhetComplianceOrg | |
IntuneEnheter | |
IntuneOperationalLogs | |
KubeEvents | |
KubeHealth | |
KubeMonAgentEvents | |
KubeNodeInventory | |
KubePodInventory | |
KubePVInventory | |
KubeServices | |
LAQueryLogs | |
LASummaryLogs | |
LinuxAuditLog | |
LogicAppWorkflowRuntime | |
McasShadowItReporting | |
MCCEventLogs | |
MCVPAuditLogs | |
MCVPOperationLogs | |
MDCFileIntegrityMonitoringEvents | |
MDECustomCollectionDeviceFileEvents | |
MicrosoftAzureBastionAuditLogs | |
MicrosoftDataShareReceivedSnapshotLog | |
MicrosoftDataShareSentSnapshotLog | |
MicrosoftDataShareShareLog | |
MicrosoftGraphActivityLogs | |
MicrosoftHealthcareApisAuditLogs | |
MicrosoftPurviewInformationProtection | |
MNFDeviceUpdates | |
MNFSystemSessionHistoryUpdates | |
MNFSystemStateMessageUpdates | |
NCBMBreakGlassAuditLogs | |
NCBMSecurityDefenderLogs | |
NCBMSecurityLogs | |
NCBMSystemLogs | |
NCCKubernetesLogs | |
NCCVMOrchestrationLogs | |
NCSStorageAlerts | |
NCSStorageLogs | |
NetworkAccessTraffic | |
NetworkMonitoring | |
NGXOperationLogs | |
NSPAccessLogs | |
NTAInsights | |
NTAIpDetails | |
NTANetAnalytics | |
NTATopologyDetails | |
NWConnectionMonitorDestinationListenerResult | |
NWConnectionMonitorDNSResult | |
NWConnectionMonitorPathResult | |
NWConnectionMonitorTestResult | |
OEPAirFlowTask | |
OEPAuditLogs | |
OEPDataplaneLogs | |
OEPElasticOperator | |
OEPElasticsearch | |
OfficeActivity | |
OLPSupplyChainEntityOperations | |
OLPSupplyChainEvents | |
Åtgärd | Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten. |
Perf | |
PFTitleAuditLogs | |
PowerAppsActivity | |
PowerAutomateActivity | |
PowerBIActivity | |
PowerBIAuditTenant | |
PowerBIDatasetsTenant | |
PowerBIDatasetsWorkspace | |
PowerBIReportUsageWorkspace | |
PowerPlatformAdminActivity | |
PowerPlatformConnectorActivity | |
PowerPlatformDlpActivity | |
ProjectActivity | |
PurviewDataSensitivityLogs | |
PurviewScanStatusLogs | |
PurviewSecurityLogs | |
REDConnectionEvents | |
RemoteNetworkHealthLogs | |
ResourceManagementPublicAccessLogs | |
SCCMAssessmentRecommendation | |
SCOMAssessmentRecommendation | |
SecureScoreControls | |
SecureScores | |
SecurityAlert | |
SecurityAttackPathData | |
SecurityBaseline | |
SecurityBaselineSummary | |
SecurityDetection | |
SecurityEvent | |
SecurityIncident | |
SecurityIoTRawEvent | |
SecurityNestedRecommendation | |
SecurityRecommendation | |
SecurityRegulatoryCompliance | |
SentinelAudit | |
SentinelHealth | |
ServiceFabricOperationalEvent | Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export. |
ServiceFabricReliableActorEvent | Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export. |
ServiceFabricReliableServiceEvent | Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export. |
SfBAssessmentRecommendation | |
SharePointOnlineAssessmentRecommendation | |
SignalRServiceDiagnosticLogs | |
SigninLogs | |
SPAssessmentRecommendation | |
SQLAssessmentRecommendation | |
SqlAtpStatus | |
SQLSecurityAuditEvents | |
SqlVulnerabilityAssessmentScanStatus | |
StorageBlobLogs | |
StorageCacheOperationEvents | |
StorageCacheUpgradeEvents | |
StorageCacheWarningEvents | |
StorageFileLogs | |
StorageMalwareScanningResults | |
StorageMoverCopyLogsFailed | |
StorageMoverCopyLogsTransferred | |
StorageMoverJobRunLogs | |
StorageQueueLogs | |
StorageTableLogs | |
SucceededIngestion | |
SynapseBigDataPoolApplicationsEnded | |
SynapseBuiltinSqlPoolRequestsEnded | |
SynapseDXCommand | |
SynapseDXFailedIngestion | |
SynapseDXIngestionBatching | |
SynapseDXQuery | |
SynapseDXSucceededIngestion | |
SynapseDXTableDetails | |
SynapseDXTableUsageStatistics | |
SynapseGatewayApiRequests | |
SynapseIntegrationActivityRuns | |
SynapseIntegrationPipelineRuns | |
SynapseIntegrationTriggerRuns | |
SynapseLinkEvent | |
SynapseRbacOperations | |
SynapseScopePoolScopeJobsEnded | |
SynapseScopePoolScopeJobsStateChange | |
SynapseSqlPoolDmsWorkers | |
SynapseSqlPoolExecRequests | |
SynapseSqlPoolRequestSteps | |
SynapseSqlPoolSqlRequests | |
SynapseSqlPoolWaits | |
Syslog | |
ThreatIntelligenceIndicator | |
TSIIngress | |
UCClient | |
UCClientReadinessStatus | |
UCClientUpdateStatus | |
UCDeviceAlert | |
UCDOAggregatedStatus | |
UCDOStatus | |
UCServiceUpdateStatus | |
UCUpdateAlert | |
Uppdatera | Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten. |
UpdateRunProgress | |
UpdateSummary | |
UrlClickEvents | |
Förbrukning | |
UserAccessAnalytics | |
UserPeerAnalytics | |
VCoreMongoRequests | |
VIAudit | |
VIIndexing | |
VMConnection | Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten. |
W3CIISLog | Partiellt stöd. Data som anländer från Log Analytics-agenten eller Azure Monitor-agenten stöds fullt ut vid export. Data som anländer via agenten för diagnostiktillägget samlas in via lagring. Den här sökvägen stöds inte vid export. |
WaaSDeploymentStatus | |
WaaSInsiderStatus | |
WaaSUpdateStatus | |
Visningslista | |
WebPubSubConnectivity | |
WebPubSubHttpRequest | |
WebPubSubMessaging | |
Windows365AuditLogs | |
WindowsClientAssessmentRecommendation | |
WindowsEvent | |
WindowsFirewall | |
WindowsServerAssessmentRecommendation | |
WireData | Partiellt stöd. En del av data matas in via interna tjänster som inte stöds vid export. För närvarande saknas den här delen i exporten. |
WorkloadDiagnosticLogs | |
WUDOAggregatedStatus | |
WUDOStatus | |
WVDAgentHealthStatus | |
WVDAutoscaleEvaluationPooled | |
WVDCheckpoints | |
WVDConnectionGraphicsDataPreview | |
WVDConnectionNetworkData | |
WVDConnections | |
WVDErrors | |
WVDFeeds | |
WVDHostRegistrations | |
WVDManagement | |
WVDSessionHostManagement |