Microsoft.Insights-dataCollectionRules
Bicep-resursdefinition
Resurstypen dataCollectionRules kan distribueras med åtgärder som mål:
- Resursgrupper – Se resursgruppsdistributionskommandon
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Insights/dataCollectionRules-resurs lägger du till följande Bicep i mallen.
resource symbolicname 'Microsoft.Insights/dataCollectionRules@2023-03-11' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
kind: 'string'
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
agentSettings: {
logs: [
{
name: 'string'
value: 'string'
}
]
}
dataCollectionEndpointId: 'string'
dataFlows: [
{
builtInTransform: 'string'
captureOverflow: bool
destinations: [
'string'
]
outputStream: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
dataSources: {
dataImports: {
eventHub: {
consumerGroup: 'string'
name: 'string'
stream: 'string'
}
}
extensions: [
{
extensionName: 'string'
extensionSettings: any()
inputDataSources: [
'string'
]
name: 'string'
streams: [
'string'
]
}
]
iisLogs: [
{
logDirectories: [
'string'
]
name: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
logFiles: [
{
filePatterns: [
'string'
]
format: 'string'
name: 'string'
settings: {
text: {
recordStartTimestampFormat: 'string'
}
}
streams: [
'string'
]
transformKql: 'string'
}
]
performanceCounters: [
{
counterSpecifiers: [
'string'
]
name: 'string'
samplingFrequencyInSeconds: int
streams: [
'string'
]
transformKql: 'string'
}
]
platformTelemetry: [
{
name: 'string'
streams: [
'string'
]
}
]
prometheusForwarder: [
{
labelIncludeFilter: {
{customized property}: 'string'
}
name: 'string'
streams: 'Microsoft-PrometheusMetrics'
}
]
syslog: [
{
facilityNames: [
'string'
]
logLevels: [
'string'
]
name: 'string'
streams: 'Microsoft-Syslog'
transformKql: 'string'
}
]
windowsEventLogs: [
{
name: 'string'
streams: [
'string'
]
transformKql: 'string'
xPathQueries: [
'string'
]
}
]
windowsFirewallLogs: [
{
name: 'string'
profileFilter: [
'string'
]
streams: [
'string'
]
}
]
}
description: 'string'
destinations: {
azureDataExplorer: [
{
databaseName: 'string'
name: 'string'
resourceId: 'string'
}
]
azureMonitorMetrics: {
name: 'string'
}
eventHubs: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
eventHubsDirect: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
logAnalytics: [
{
name: 'string'
workspaceResourceId: 'string'
}
]
microsoftFabric: [
{
artifactId: 'string'
databaseName: 'string'
ingestionUri: 'string'
name: 'string'
tenantId: 'string'
}
]
monitoringAccounts: [
{
accountResourceId: 'string'
name: 'string'
}
]
storageAccounts: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageBlobsDirect: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageTablesDirect: [
{
name: 'string'
storageAccountResourceId: 'string'
tableName: 'string'
}
]
}
references: {
enrichmentData: {
storageBlobs: [
{
blobUrl: 'string'
lookupType: 'string'
name: 'string'
resourceId: 'string'
}
]
}
}
streamDeclarations: {
{customized property}: {
columns: [
{
name: 'string'
type: 'string'
}
]
}
}
}
}
Egenskapsvärden
dataCollectionRules
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Resursnamnet | sträng (krävs) |
| plats | Den geo-plats där resursen finns. | sträng (krävs) |
| Taggar | Resurstaggar. | Ordlista med taggnamn och värden. Se taggar i mallar |
| sort | Typen av resurs. | "Linux" "Windows" |
| identitet | Resursens hanterade tjänstidentitet. | DataCollectionRuleResourceIdentity |
| Egenskaper | Resursegenskaper. | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| Namn | Beskrivning | Värde |
|---|---|---|
| typ | Typ av hanterad tjänstidentitet (där både SystemAssigned- och UserAssigned-typer tillåts). | "Ingen" "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (krävs) |
| userAssignedIdentities | Uppsättningen användartilldelade identiteter som är associerade med resursen. Ordlistenycklarna userAssignedIdentities är ARM-resurs-ID:er i formuläret: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Ordlistevärdena kan vara tomma objekt ({}) i begäranden. | UserAssignedIdentiteter |
UserAssignedIdentiteter
| Namn | Beskrivning | Värde |
|---|---|---|
| {anpassad egenskap} | UserAssignedIdentity |
UserAssignedIdentity
Det här objektet innehåller inga egenskaper som ska anges under distributionen. Alla egenskaper är ReadOnly.
DataCollectionRuleResourceProperties
| Namn | Beskrivning | Värde |
|---|---|---|
| agentInställningar | Agentinställningar som används för att ändra agentbeteende på en viss värd | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | Resurs-ID för den datainsamlingsslutpunkt som den här regeln kan användas med. | sträng |
| dataflöden | Specifikationen av dataflöden. | DataFlow[] |
| dataSources | Specifikationen av datakällor. Den här egenskapen är valfri och kan utelämnas om regeln är avsedd att användas via direkta anrop till den etablerade slutpunkten. |
DataCollectionRuleDataSources |
| beskrivning | Beskrivning av datainsamlingsregeln. | sträng |
| resmål | Specifikationen av destinationer. | DataCollectionRuleDestinations |
| referenser | Definierar alla referenser som kan användas i andra delar av DCR | DataCollectionRuleReferences |
| streamDeclarations | Deklaration av anpassade strömmar som används i den här regeln. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| Namn | Beskrivning | Värde |
|---|---|---|
| Loggar | Alla inställningar som gäller för loggagenten (AMA) | AgentInställningar[] |
AgentInställningar
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Namnet på inställningen. Måste ingå i listan över inställningar som stöds |
"MaxDiskQuotaInMB" "UseTimeReceivedForForwardedEvents" |
| värde | Värdet för inställningen | sträng |
Dataflöde
| Namn | Beskrivning | Värde |
|---|---|---|
| builtInTransform | Den inbyggda transformeringen för att transformera dataströmmar | sträng |
| captureOverflow | Flagga för att aktivera spillkolumn i LA-mål | Bool |
| resmål | Lista över mål för det här dataflödet. | string[] |
| outputStream | Utdataströmmen för transformen. Krävs endast om transformeringen ändrar data till en annan ström. | sträng |
| Strömmar | Lista över strömmar för det här dataflödet. | Strängmatris som innehåller något av: "Microsoft-Event" "Microsoft-InsightsMetrics" "Microsoft-Perf" "Microsoft-Syslog" "Microsoft-WindowsEvent" |
| transformKql | KQL-frågan för att transformera dataströmmar. | sträng |
DataCollectionRuleDataSources
| Namn | Beskrivning | Värde |
|---|---|---|
| dataImporter | Specifikationer för pull-baserade datakällor | DataSourcesSpecDataImports |
| Tillägg | Listan över konfigurationer av datakällan för Azure VM-tillägget. | ExtensionDataSource[] |
| iisLogs | Listan över källkonfigurationer för IIS-loggar. | IisLogsDataSource[] |
| logFiles | Listan över källkonfigurationer för Loggfiler. | LogFilesDataSource[] |
| performanceCounters | Listan över konfigurationer av datakällor för prestandaräknare. | PerfCounterDataSource[] |
| platformTelemetry | Listan över plattformstelemetrikonfigurationer | PlatformTelemetryDataSource[] |
| prometheusForwarder | Listan över Konfigurationer för Prometheus-vidarebefordrare av datakällor. | PrometheusForwarderDataSource[] |
| syslog | Listan över Syslog-datakällans konfigurationer. | SyslogDataSource[] |
| windowsEventLogs | Listan över konfigurationer för Windows-händelseloggens datakälla. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Listan över källkonfigurationer för Windows-brandväggens loggar. | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| Namn | Beskrivning | Värde |
|---|---|---|
| eventHub | Definition av Event Hub-konfiguration. | DataImportSourcesEventHub |
DataImportSourcesEventHub
| Namn | Beskrivning | Värde |
|---|---|---|
| consumerGroup | Namn på händelsehubbkonsumentgrupp | sträng |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| ström | Dataströmmen som ska samlas in från EventHub | sträng |
ExtensionDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| extensionName | Namnet på VM-tillägget. | sträng (krävs) |
| extensionSettings | Tilläggsinställningarna. Formatet är specifikt för ett visst tillägg. | För Bicep kan du använda funktionen any(). |
| inputDataSources | Listan över datakällor som tillägget behöver data från. | string[] |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-Event" "Microsoft-InsightsMetrics" "Microsoft-Perf" "Microsoft-Syslog" "Microsoft-WindowsEvent" |
IisLogsDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| logDirectories | Filplats för absoluta sökvägar | string[] |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | IIS-strömmar | string[] (krävs) |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
LogFilesDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| filePatterns | Filmönster där loggfilerna finns | string[] (krävs) |
| format | Dataformatet för loggfilerna | "json" "text" (krävs) |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Inställningar | Loggfilernas specifika inställningar. | LogFilesDataSourceSettings |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En ström anger vilket schema som ska användas för den här datakällan |
string[] (krävs) |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
LogFilesDataSourceSettings
| Namn | Beskrivning | Värde |
|---|---|---|
| SMS | Textinställningar | LogFileSettingsText |
LogFileSettingsText
| Namn | Beskrivning | Värde |
|---|---|---|
| recordStartTimestampFormat | Ett av de tidsstämpelformat som stöds | "ISO 8601" "M/D/ÅÅÅÅÅ HH:MM:SS AM/PM" "MMM d hh:mm:ss" "Mon DD, ÅÅÅÅ HH:MM:SS" "ÅÅÅÅ-MM-DD HH:MM:SS" 'dd/MMM/åååå:HH:mm:ss zzz' 'ddMMyy HH:mm:ss' "yyMMdd HH:mm:ss" "åååå-MM-ddTHH:mm:ssK" (krävs) |
PerfCounterDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| counterSpecifiers | En lista med specificerarnamn för de prestandaräknare som du vill samla in. Använd ett jokertecken (*) för att samla in en räknare för alla instanser. Om du vill hämta en lista över prestandaräknare i Windows kör du kommandot "typeperf". |
string[] |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| samplingFrequencyInSeconds | Antalet sekunder mellan på varandra följande räknarmätningar (exempel). | Int |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-InsightsMetrics" "Microsoft-Perf" |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
PlatformTelemetryDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över plattformstelemetriströmmar att samla in | string[] (krävs) |
PrometheusForwarderDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| labelIncludeFilter | Listan över etikettinkluderingsfilter i form av etiketten "name-value"-par. För närvarande stöds endast en etikett: "microsoft_metrics_include_label". Etikettvärden matchas skiftlägesokänsligt. |
PrometheusForwarderDataSourceLabelIncludeFilter |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. | Strängmatris som innehåller något av: "Microsoft-PrometheusMetrics" |
PrometheusForwarderDataSourceLabelIncludeFilter
| Namn | Beskrivning | Värde |
|---|---|---|
| {anpassad egenskap} | sträng |
SyslogDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| facilityNames | Listan över anläggningsnamn. | Strängmatris som innehåller något av: '*' "alert" "granskning" "auth" "authpriv" "klocka" "cron" "daemon" "ftp" "kern" "local0" "local1" "local2" "local3" "local4" "local5" "local6" "local7" "lpr" "e-post" "mark" "nyheter" "nopri" "ntp" "syslog" "användare" "uucp" |
| logLevels | Loggnivåerna som ska samlas in. | Strängmatris som innehåller något av: '*' "Avisering" "Kritisk" "Felsöka" "Nödsituation" "Fel" "Info" "Meddelande" "Varning" |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-Syslog" |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
WindowsEventLogDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-Event" "Microsoft-WindowsEvent" |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
| xPathQueries | En lista över Windows-händelseloggfrågor i XPATH-format. | string[] |
WindowsFirewallLogsDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| profileFilter | Profilfilter för brandväggsloggar | Strängmatris som innehåller något av: "Domän" "Privat" "Offentlig" |
| Strömmar | Brandväggsloggar strömmar | string[] (krävs) |
DataCollectionRuleDestinations
| Namn | Beskrivning | Värde |
|---|---|---|
| azureDataExplorer | Lista över Azure Data Explorer-mål. | AdxDestination[] |
| azureMonitorMetrics | Azure Monitor Metrics-mål. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Lista över Event Hubs-mål. | EventHubDestination[] |
| eventHubsDirect | Lista över Event Hubs Direct-mål. | EventHubDirectDestination[] |
| logAnalytics | Lista över Log Analytics-mål. | LogAnalyticsDestination[] |
| microsoftFabric | Lista över Microsoft Fabric-mål. | MicrosoftFabricDestination[] |
| monitoringAccounts | Lista över mål för övervakningskonton. | MonitoringAccountDestination[] |
| storageAccounts | Lista över mål för lagringskonton. | StorageBlobDestination[] |
| storageBlobsDirect | Lista över Mål för Lagringsblobdirigering. Ska endast användas för att skicka data direkt för lagring från agenten. | StorageBlobDestination[] |
| storageTablesDirect | Lista över mål för Lagringstabelldirigering. | StorageTableDestination[] |
AdxDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| databaseName | Namnet på databasen som data ska matas in till. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| resourceId | ARM-resurs-ID för Adx-resursen. | sträng |
DestinationsSpecAzureMonitorMetrics
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
EventHubDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| eventHubResourceId | Resurs-ID för händelsehubben. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
EventHubDirectDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| eventHubResourceId | Resurs-ID för händelsehubben. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
LogAnalyticsDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| workspaceResourceId | Resurs-ID för Log Analytics-arbetsytan. | sträng |
MicrosoftFabricDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| artifactId | Artefakt-ID för Microsoft Fabric-resursen. | sträng |
| databaseName | Namnet på databasen som data ska matas in till. | sträng |
| ingestionUri | Inmatnings-URI för Microsoft Fabric-resursen. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| tenantId | Klient-ID för Microsoft Fabric-resursen. | sträng |
MonitoringAccountDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| accountResourceId | Resurs-ID för övervakningskontot. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
StorageBlobDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| containerName | Containernamnet för lagringsbloben. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| storageAccountResourceId | Lagringskontots resurs-ID. | sträng |
StorageTableDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| storageAccountResourceId | Lagringskontots resurs-ID. | sträng |
| tableName | Namnet på lagringstabellen. | sträng |
DataCollectionRuleReferences
| Namn | Beskrivning | Värde |
|---|---|---|
| enrichmentData | Alla berikande datakällor som refereras i dataflöden | ReferencesSpecEnrichmentData |
ReferenserSpecEnrichmentData
| Namn | Beskrivning | Värde |
|---|---|---|
| storageBlobs | Alla lagringsblobar som används som berikande datakällor | StorageBlob[] |
StorageBlob
| Namn | Beskrivning | Värde |
|---|---|---|
| blobUrl | Url för lagringsbloben | sträng |
| lookupType | Typ av sökning som ska utföras på bloben | "Cidr" "Sträng" |
| Namn | Namnet på den berikningsdatakälla som används som alias när du refererar till den här datakällan i dataflöden | sträng |
| resourceId | Resurs-ID för lagringskontot som är värd för bloben | sträng |
DataCollectionRuleStreamDeclarations
| Namn | Beskrivning | Värde |
|---|---|---|
| {anpassad egenskap} | StreamDeclaration |
StreamDeclaration
| Namn | Beskrivning | Värde |
|---|---|---|
| Kolumner | Lista över kolumner som används av data i den här strömmen. | ColumnDefinition[] |
ColumnDefinition
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Namnet på kolumnen. | sträng |
| typ | Typen av kolumndata. | "booleskt" "datetime" "dynamisk" "int" "long" "verklig" "sträng" |
Snabbstartsmallar
Följande snabbstartsmallar distribuerar den här resurstypen.
| Mall | Beskrivning |
|---|---|
Distribuera darktrace autoskalning vSensors
|
Med den här mallen kan du distribuera en automatisk automatisk skalningsdistribution av Darktrace vSensors |
|
datainsamlingsregel för Syslog
|
Den här mallen skapar en datainsamlingsregel som definierar datakällan (Syslog) och målarbetsytan. |
Resursdefinition för ARM-mall
Resurstypen dataCollectionRules kan distribueras med åtgärder som mål:
- Resursgrupper – Se resursgruppsdistributionskommandon
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Insights/dataCollectionRules-resurs lägger du till följande JSON i mallen.
{
"type": "Microsoft.Insights/dataCollectionRules",
"apiVersion": "2023-03-11",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"kind": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"agentSettings": {
"logs": [
{
"name": "string",
"value": "string"
}
]
},
"dataCollectionEndpointId": "string",
"dataFlows": [
{
"builtInTransform": "string",
"captureOverflow": "bool",
"destinations": [ "string" ],
"outputStream": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"dataSources": {
"dataImports": {
"eventHub": {
"consumerGroup": "string",
"name": "string",
"stream": "string"
}
},
"extensions": [
{
"extensionName": "string",
"extensionSettings": {},
"inputDataSources": [ "string" ],
"name": "string",
"streams": [ "string" ]
}
],
"iisLogs": [
{
"logDirectories": [ "string" ],
"name": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"logFiles": [
{
"filePatterns": [ "string" ],
"format": "string",
"name": "string",
"settings": {
"text": {
"recordStartTimestampFormat": "string"
}
},
"streams": [ "string" ],
"transformKql": "string"
}
],
"performanceCounters": [
{
"counterSpecifiers": [ "string" ],
"name": "string",
"samplingFrequencyInSeconds": "int",
"streams": [ "string" ],
"transformKql": "string"
}
],
"platformTelemetry": [
{
"name": "string",
"streams": [ "string" ]
}
],
"prometheusForwarder": [
{
"labelIncludeFilter": {
"{customized property}": "string"
},
"name": "string",
"streams": "Microsoft-PrometheusMetrics"
}
],
"syslog": [
{
"facilityNames": [ "string" ],
"logLevels": [ "string" ],
"name": "string",
"streams": "Microsoft-Syslog",
"transformKql": "string"
}
],
"windowsEventLogs": [
{
"name": "string",
"streams": [ "string" ],
"transformKql": "string",
"xPathQueries": [ "string" ]
}
],
"windowsFirewallLogs": [
{
"name": "string",
"profileFilter": [ "string" ],
"streams": [ "string" ]
}
]
},
"description": "string",
"destinations": {
"azureDataExplorer": [
{
"databaseName": "string",
"name": "string",
"resourceId": "string"
}
],
"azureMonitorMetrics": {
"name": "string"
},
"eventHubs": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"eventHubsDirect": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"logAnalytics": [
{
"name": "string",
"workspaceResourceId": "string"
}
],
"microsoftFabric": [
{
"artifactId": "string",
"databaseName": "string",
"ingestionUri": "string",
"name": "string",
"tenantId": "string"
}
],
"monitoringAccounts": [
{
"accountResourceId": "string",
"name": "string"
}
],
"storageAccounts": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageBlobsDirect": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageTablesDirect": [
{
"name": "string",
"storageAccountResourceId": "string",
"tableName": "string"
}
]
},
"references": {
"enrichmentData": {
"storageBlobs": [
{
"blobUrl": "string",
"lookupType": "string",
"name": "string",
"resourceId": "string"
}
]
}
},
"streamDeclarations": {
"{customized property}": {
"columns": [
{
"name": "string",
"type": "string"
}
]
}
}
}
}
Egenskapsvärden
dataCollectionRules
| Namn | Beskrivning | Värde |
|---|---|---|
| typ | Resurstypen | "Microsoft.Insights/dataCollectionRules" |
| apiVersion | Resurs-API-versionen | '2023-03-11' |
| Namn | Resursnamnet | sträng (krävs) |
| plats | Den geo-plats där resursen finns. | sträng (krävs) |
| Taggar | Resurstaggar. | Ordlista med taggnamn och värden. Se taggar i mallar |
| sort | Typen av resurs. | "Linux" "Windows" |
| identitet | Resursens hanterade tjänstidentitet. | DataCollectionRuleResourceIdentity |
| Egenskaper | Resursegenskaper. | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| Namn | Beskrivning | Värde |
|---|---|---|
| typ | Typ av hanterad tjänstidentitet (där både SystemAssigned- och UserAssigned-typer tillåts). | "Ingen" "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (krävs) |
| userAssignedIdentities | Uppsättningen användartilldelade identiteter som är associerade med resursen. Ordlistenycklarna userAssignedIdentities är ARM-resurs-ID:er i formuläret: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Ordlistevärdena kan vara tomma objekt ({}) i begäranden. | UserAssignedIdentiteter |
UserAssignedIdentiteter
| Namn | Beskrivning | Värde |
|---|---|---|
| {anpassad egenskap} | UserAssignedIdentity |
UserAssignedIdentity
Det här objektet innehåller inga egenskaper som ska anges under distributionen. Alla egenskaper är ReadOnly.
DataCollectionRuleResourceProperties
| Namn | Beskrivning | Värde |
|---|---|---|
| agentInställningar | Agentinställningar som används för att ändra agentbeteende på en viss värd | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | Resurs-ID för den datainsamlingsslutpunkt som den här regeln kan användas med. | sträng |
| dataflöden | Specifikationen av dataflöden. | DataFlow[] |
| dataSources | Specifikationen av datakällor. Den här egenskapen är valfri och kan utelämnas om regeln är avsedd att användas via direkta anrop till den etablerade slutpunkten. |
DataCollectionRuleDataSources |
| beskrivning | Beskrivning av datainsamlingsregeln. | sträng |
| resmål | Specifikationen av destinationer. | DataCollectionRuleDestinations |
| referenser | Definierar alla referenser som kan användas i andra delar av DCR | DataCollectionRuleReferences |
| streamDeclarations | Deklaration av anpassade strömmar som används i den här regeln. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| Namn | Beskrivning | Värde |
|---|---|---|
| Loggar | Alla inställningar som gäller för loggagenten (AMA) | AgentInställningar[] |
AgentInställningar
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Namnet på inställningen. Måste ingå i listan över inställningar som stöds |
"MaxDiskQuotaInMB" "UseTimeReceivedForForwardedEvents" |
| värde | Värdet för inställningen | sträng |
Dataflöde
| Namn | Beskrivning | Värde |
|---|---|---|
| builtInTransform | Den inbyggda transformeringen för att transformera dataströmmar | sträng |
| captureOverflow | Flagga för att aktivera spillkolumn i LA-mål | Bool |
| resmål | Lista över mål för det här dataflödet. | string[] |
| outputStream | Utdataströmmen för transformen. Krävs endast om transformeringen ändrar data till en annan ström. | sträng |
| Strömmar | Lista över strömmar för det här dataflödet. | Strängmatris som innehåller något av: "Microsoft-Event" "Microsoft-InsightsMetrics" "Microsoft-Perf" "Microsoft-Syslog" "Microsoft-WindowsEvent" |
| transformKql | KQL-frågan för att transformera dataströmmar. | sträng |
DataCollectionRuleDataSources
| Namn | Beskrivning | Värde |
|---|---|---|
| dataImporter | Specifikationer för pull-baserade datakällor | DataSourcesSpecDataImports |
| Tillägg | Listan över konfigurationer av datakällan för Azure VM-tillägget. | ExtensionDataSource[] |
| iisLogs | Listan över källkonfigurationer för IIS-loggar. | IisLogsDataSource[] |
| logFiles | Listan över källkonfigurationer för Loggfiler. | LogFilesDataSource[] |
| performanceCounters | Listan över konfigurationer av datakällor för prestandaräknare. | PerfCounterDataSource[] |
| platformTelemetry | Listan över plattformstelemetrikonfigurationer | PlatformTelemetryDataSource[] |
| prometheusForwarder | Listan över Konfigurationer för Prometheus-vidarebefordrare av datakällor. | PrometheusForwarderDataSource[] |
| syslog | Listan över Syslog-datakällans konfigurationer. | SyslogDataSource[] |
| windowsEventLogs | Listan över konfigurationer för Windows-händelseloggens datakälla. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Listan över källkonfigurationer för Windows-brandväggens loggar. | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| Namn | Beskrivning | Värde |
|---|---|---|
| eventHub | Definition av Event Hub-konfiguration. | DataImportSourcesEventHub |
DataImportSourcesEventHub
| Namn | Beskrivning | Värde |
|---|---|---|
| consumerGroup | Namn på händelsehubbkonsumentgrupp | sträng |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| ström | Dataströmmen som ska samlas in från EventHub | sträng |
ExtensionDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| extensionName | Namnet på VM-tillägget. | sträng (krävs) |
| extensionSettings | Tilläggsinställningarna. Formatet är specifikt för ett visst tillägg. | |
| inputDataSources | Listan över datakällor som tillägget behöver data från. | string[] |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-Event" "Microsoft-InsightsMetrics" "Microsoft-Perf" "Microsoft-Syslog" "Microsoft-WindowsEvent" |
IisLogsDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| logDirectories | Filplats för absoluta sökvägar | string[] |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | IIS-strömmar | string[] (krävs) |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
LogFilesDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| filePatterns | Filmönster där loggfilerna finns | string[] (krävs) |
| format | Dataformatet för loggfilerna | "json" "text" (krävs) |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Inställningar | Loggfilernas specifika inställningar. | LogFilesDataSourceSettings |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En ström anger vilket schema som ska användas för den här datakällan |
string[] (krävs) |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
LogFilesDataSourceSettings
| Namn | Beskrivning | Värde |
|---|---|---|
| SMS | Textinställningar | LogFileSettingsText |
LogFileSettingsText
| Namn | Beskrivning | Värde |
|---|---|---|
| recordStartTimestampFormat | Ett av de tidsstämpelformat som stöds | "ISO 8601" "M/D/ÅÅÅÅÅ HH:MM:SS AM/PM" "MMM d hh:mm:ss" "Mon DD, ÅÅÅÅ HH:MM:SS" "ÅÅÅÅ-MM-DD HH:MM:SS" 'dd/MMM/åååå:HH:mm:ss zzz' 'ddMMyy HH:mm:ss' "yyMMdd HH:mm:ss" "åååå-MM-ddTHH:mm:ssK" (krävs) |
PerfCounterDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| counterSpecifiers | En lista med specificerarnamn för de prestandaräknare som du vill samla in. Använd ett jokertecken (*) för att samla in en räknare för alla instanser. Om du vill hämta en lista över prestandaräknare i Windows kör du kommandot "typeperf". |
string[] |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| samplingFrequencyInSeconds | Antalet sekunder mellan på varandra följande räknarmätningar (exempel). | Int |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-InsightsMetrics" "Microsoft-Perf" |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
PlatformTelemetryDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över plattformstelemetriströmmar att samla in | string[] (krävs) |
PrometheusForwarderDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| labelIncludeFilter | Listan över etikettinkluderingsfilter i form av etiketten "name-value"-par. För närvarande stöds endast en etikett: "microsoft_metrics_include_label". Etikettvärden matchas skiftlägesokänsligt. |
PrometheusForwarderDataSourceLabelIncludeFilter |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. | Strängmatris som innehåller något av: "Microsoft-PrometheusMetrics" |
PrometheusForwarderDataSourceLabelIncludeFilter
| Namn | Beskrivning | Värde |
|---|---|---|
| {anpassad egenskap} | sträng |
SyslogDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| facilityNames | Listan över anläggningsnamn. | Strängmatris som innehåller något av: '*' "alert" "granskning" "auth" "authpriv" "klocka" "cron" "daemon" "ftp" "kern" "local0" "local1" "local2" "local3" "local4" "local5" "local6" "local7" "lpr" "e-post" "mark" "nyheter" "nopri" "ntp" "syslog" "användare" "uucp" |
| logLevels | Loggnivåerna som ska samlas in. | Strängmatris som innehåller något av: '*' "Avisering" "Kritisk" "Felsöka" "Nödsituation" "Fel" "Info" "Meddelande" "Varning" |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-Syslog" |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
WindowsEventLogDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-Event" "Microsoft-WindowsEvent" |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
| xPathQueries | En lista över Windows-händelseloggfrågor i XPATH-format. | string[] |
WindowsFirewallLogsDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| profileFilter | Profilfilter för brandväggsloggar | Strängmatris som innehåller något av: "Domän" "Privat" "Offentlig" |
| Strömmar | Brandväggsloggar strömmar | string[] (krävs) |
DataCollectionRuleDestinations
| Namn | Beskrivning | Värde |
|---|---|---|
| azureDataExplorer | Lista över Azure Data Explorer-mål. | AdxDestination[] |
| azureMonitorMetrics | Azure Monitor Metrics-mål. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Lista över Event Hubs-mål. | EventHubDestination[] |
| eventHubsDirect | Lista över Event Hubs Direct-mål. | EventHubDirectDestination[] |
| logAnalytics | Lista över Log Analytics-mål. | LogAnalyticsDestination[] |
| microsoftFabric | Lista över Microsoft Fabric-mål. | MicrosoftFabricDestination[] |
| monitoringAccounts | Lista över mål för övervakningskonton. | MonitoringAccountDestination[] |
| storageAccounts | Lista över mål för lagringskonton. | StorageBlobDestination[] |
| storageBlobsDirect | Lista över Mål för Lagringsblobdirigering. Ska endast användas för att skicka data direkt för lagring från agenten. | StorageBlobDestination[] |
| storageTablesDirect | Lista över mål för Lagringstabelldirigering. | StorageTableDestination[] |
AdxDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| databaseName | Namnet på databasen som data ska matas in till. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| resourceId | ARM-resurs-ID för Adx-resursen. | sträng |
DestinationsSpecAzureMonitorMetrics
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
EventHubDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| eventHubResourceId | Resurs-ID för händelsehubben. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
EventHubDirectDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| eventHubResourceId | Resurs-ID för händelsehubben. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
LogAnalyticsDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| workspaceResourceId | Resurs-ID för Log Analytics-arbetsytan. | sträng |
MicrosoftFabricDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| artifactId | Artefakt-ID för Microsoft Fabric-resursen. | sträng |
| databaseName | Namnet på databasen som data ska matas in till. | sträng |
| ingestionUri | Inmatnings-URI för Microsoft Fabric-resursen. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| tenantId | Klient-ID för Microsoft Fabric-resursen. | sträng |
MonitoringAccountDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| accountResourceId | Resurs-ID för övervakningskontot. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
StorageBlobDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| containerName | Containernamnet för lagringsbloben. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| storageAccountResourceId | Lagringskontots resurs-ID. | sträng |
StorageTableDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| storageAccountResourceId | Lagringskontots resurs-ID. | sträng |
| tableName | Namnet på lagringstabellen. | sträng |
DataCollectionRuleReferences
| Namn | Beskrivning | Värde |
|---|---|---|
| enrichmentData | Alla berikande datakällor som refereras i dataflöden | ReferencesSpecEnrichmentData |
ReferenserSpecEnrichmentData
| Namn | Beskrivning | Värde |
|---|---|---|
| storageBlobs | Alla lagringsblobar som används som berikande datakällor | StorageBlob[] |
StorageBlob
| Namn | Beskrivning | Värde |
|---|---|---|
| blobUrl | Url för lagringsbloben | sträng |
| lookupType | Typ av sökning som ska utföras på bloben | "Cidr" "Sträng" |
| Namn | Namnet på den berikningsdatakälla som används som alias när du refererar till den här datakällan i dataflöden | sträng |
| resourceId | Resurs-ID för lagringskontot som är värd för bloben | sträng |
DataCollectionRuleStreamDeclarations
| Namn | Beskrivning | Värde |
|---|---|---|
| {anpassad egenskap} | StreamDeclaration |
StreamDeclaration
| Namn | Beskrivning | Värde |
|---|---|---|
| Kolumner | Lista över kolumner som används av data i den här strömmen. | ColumnDefinition[] |
ColumnDefinition
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Namnet på kolumnen. | sträng |
| typ | Typen av kolumndata. | "booleskt" "datetime" "dynamisk" "int" "long" "verklig" "sträng" |
Snabbstartsmallar
Följande snabbstartsmallar distribuerar den här resurstypen.
| Mall | Beskrivning |
|---|---|
|
Distribuera darktrace autoskalning vSensors
|
Med den här mallen kan du distribuera en automatisk automatisk skalningsdistribution av Darktrace vSensors |
|
datainsamlingsregel för Syslog
|
Den här mallen skapar en datainsamlingsregel som definierar datakällan (Syslog) och målarbetsytan. |
Resursdefinition för Terraform (AzAPI-provider)
Resurstypen dataCollectionRules kan distribueras med åtgärder som mål:
- Resursgrupper
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Insights/dataCollectionRules-resurs lägger du till följande Terraform i mallen.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Insights/dataCollectionRules@2023-03-11"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
agentSettings = {
logs = [
{
name = "string"
value = "string"
}
]
}
dataCollectionEndpointId = "string"
dataFlows = [
{
builtInTransform = "string"
captureOverflow = bool
destinations = [
"string"
]
outputStream = "string"
streams = [
"string"
]
transformKql = "string"
}
]
dataSources = {
dataImports = {
eventHub = {
consumerGroup = "string"
name = "string"
stream = "string"
}
}
extensions = [
{
extensionName = "string"
inputDataSources = [
"string"
]
name = "string"
streams = [
"string"
]
}
]
iisLogs = [
{
logDirectories = [
"string"
]
name = "string"
streams = [
"string"
]
transformKql = "string"
}
]
logFiles = [
{
filePatterns = [
"string"
]
format = "string"
name = "string"
settings = {
text = {
recordStartTimestampFormat = "string"
}
}
streams = [
"string"
]
transformKql = "string"
}
]
performanceCounters = [
{
counterSpecifiers = [
"string"
]
name = "string"
samplingFrequencyInSeconds = int
streams = [
"string"
]
transformKql = "string"
}
]
platformTelemetry = [
{
name = "string"
streams = [
"string"
]
}
]
prometheusForwarder = [
{
labelIncludeFilter = {
{customized property} = "string"
}
name = "string"
streams = "Microsoft-PrometheusMetrics"
}
]
syslog = [
{
facilityNames = [
"string"
]
logLevels = [
"string"
]
name = "string"
streams = "Microsoft-Syslog"
transformKql = "string"
}
]
windowsEventLogs = [
{
name = "string"
streams = [
"string"
]
transformKql = "string"
xPathQueries = [
"string"
]
}
]
windowsFirewallLogs = [
{
name = "string"
profileFilter = [
"string"
]
streams = [
"string"
]
}
]
}
description = "string"
destinations = {
azureDataExplorer = [
{
databaseName = "string"
name = "string"
resourceId = "string"
}
]
azureMonitorMetrics = {
name = "string"
}
eventHubs = [
{
eventHubResourceId = "string"
name = "string"
}
]
eventHubsDirect = [
{
eventHubResourceId = "string"
name = "string"
}
]
logAnalytics = [
{
name = "string"
workspaceResourceId = "string"
}
]
microsoftFabric = [
{
artifactId = "string"
databaseName = "string"
ingestionUri = "string"
name = "string"
tenantId = "string"
}
]
monitoringAccounts = [
{
accountResourceId = "string"
name = "string"
}
]
storageAccounts = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageBlobsDirect = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageTablesDirect = [
{
name = "string"
storageAccountResourceId = "string"
tableName = "string"
}
]
}
references = {
enrichmentData = {
storageBlobs = [
{
blobUrl = "string"
lookupType = "string"
name = "string"
resourceId = "string"
}
]
}
}
streamDeclarations = {
{customized property} = {
columns = [
{
name = "string"
type = "string"
}
]
}
}
}
kind = "string"
})
}
Egenskapsvärden
dataCollectionRules
| Namn | Beskrivning | Värde |
|---|---|---|
| typ | Resurstypen | "Microsoft.Insights/dataCollectionRules@2023-03-11" |
| Namn | Resursnamnet | sträng (krävs) |
| plats | Den geo-plats där resursen finns. | sträng (krävs) |
| parent_id | Om du vill distribuera till en resursgrupp använder du ID:t för den resursgruppen. | sträng (krävs) |
| Taggar | Resurstaggar. | Ordlista med taggnamn och värden. |
| sort | Typen av resurs. | "Linux" "Windows" |
| identitet | Resursens hanterade tjänstidentitet. | DataCollectionRuleResourceIdentity |
| Egenskaper | Resursegenskaper. | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| Namn | Beskrivning | Värde |
|---|---|---|
| typ | Typ av hanterad tjänstidentitet (där både SystemAssigned- och UserAssigned-typer tillåts). | "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (krävs) |
| identity_ids | Uppsättningen användartilldelade identiteter som är associerade med resursen. Ordlistenycklarna userAssignedIdentities är ARM-resurs-ID:er i formuläret: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Ordlistevärdena kan vara tomma objekt ({}) i begäranden. | Matris med användaridentitets-ID:t. |
UserAssignedIdentiteter
| Namn | Beskrivning | Värde |
|---|---|---|
| {anpassad egenskap} | UserAssignedIdentity |
UserAssignedIdentity
Det här objektet innehåller inga egenskaper som ska anges under distributionen. Alla egenskaper är ReadOnly.
DataCollectionRuleResourceProperties
| Namn | Beskrivning | Värde |
|---|---|---|
| agentInställningar | Agentinställningar som används för att ändra agentbeteende på en viss värd | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | Resurs-ID för den datainsamlingsslutpunkt som den här regeln kan användas med. | sträng |
| dataflöden | Specifikationen av dataflöden. | DataFlow[] |
| dataSources | Specifikationen av datakällor. Den här egenskapen är valfri och kan utelämnas om regeln är avsedd att användas via direkta anrop till den etablerade slutpunkten. |
DataCollectionRuleDataSources |
| beskrivning | Beskrivning av datainsamlingsregeln. | sträng |
| resmål | Specifikationen av destinationer. | DataCollectionRuleDestinations |
| referenser | Definierar alla referenser som kan användas i andra delar av DCR | DataCollectionRuleReferences |
| streamDeclarations | Deklaration av anpassade strömmar som används i den här regeln. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| Namn | Beskrivning | Värde |
|---|---|---|
| Loggar | Alla inställningar som gäller för loggagenten (AMA) | AgentInställningar[] |
AgentInställningar
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Namnet på inställningen. Måste ingå i listan över inställningar som stöds |
"MaxDiskQuotaInMB" "UseTimeReceivedForForwardedEvents" |
| värde | Värdet för inställningen | sträng |
Dataflöde
| Namn | Beskrivning | Värde |
|---|---|---|
| builtInTransform | Den inbyggda transformeringen för att transformera dataströmmar | sträng |
| captureOverflow | Flagga för att aktivera spillkolumn i LA-mål | Bool |
| resmål | Lista över mål för det här dataflödet. | string[] |
| outputStream | Utdataströmmen för transformen. Krävs endast om transformeringen ändrar data till en annan ström. | sträng |
| Strömmar | Lista över strömmar för det här dataflödet. | Strängmatris som innehåller något av: "Microsoft-Event" "Microsoft-InsightsMetrics" "Microsoft-Perf" "Microsoft-Syslog" "Microsoft-WindowsEvent" |
| transformKql | KQL-frågan för att transformera dataströmmar. | sträng |
DataCollectionRuleDataSources
| Namn | Beskrivning | Värde |
|---|---|---|
| dataImporter | Specifikationer för pull-baserade datakällor | DataSourcesSpecDataImports |
| Tillägg | Listan över konfigurationer av datakällan för Azure VM-tillägget. | ExtensionDataSource[] |
| iisLogs | Listan över källkonfigurationer för IIS-loggar. | IisLogsDataSource[] |
| logFiles | Listan över källkonfigurationer för Loggfiler. | LogFilesDataSource[] |
| performanceCounters | Listan över konfigurationer av datakällor för prestandaräknare. | PerfCounterDataSource[] |
| platformTelemetry | Listan över plattformstelemetrikonfigurationer | PlatformTelemetryDataSource[] |
| prometheusForwarder | Listan över Konfigurationer för Prometheus-vidarebefordrare av datakällor. | PrometheusForwarderDataSource[] |
| syslog | Listan över Syslog-datakällans konfigurationer. | SyslogDataSource[] |
| windowsEventLogs | Listan över konfigurationer för Windows-händelseloggens datakälla. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Listan över källkonfigurationer för Windows-brandväggens loggar. | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| Namn | Beskrivning | Värde |
|---|---|---|
| eventHub | Definition av Event Hub-konfiguration. | DataImportSourcesEventHub |
DataImportSourcesEventHub
| Namn | Beskrivning | Värde |
|---|---|---|
| consumerGroup | Namn på händelsehubbkonsumentgrupp | sträng |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| ström | Dataströmmen som ska samlas in från EventHub | sträng |
ExtensionDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| extensionName | Namnet på VM-tillägget. | sträng (krävs) |
| extensionSettings | Tilläggsinställningarna. Formatet är specifikt för ett visst tillägg. | |
| inputDataSources | Listan över datakällor som tillägget behöver data från. | string[] |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-Event" "Microsoft-InsightsMetrics" "Microsoft-Perf" "Microsoft-Syslog" "Microsoft-WindowsEvent" |
IisLogsDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| logDirectories | Filplats för absoluta sökvägar | string[] |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | IIS-strömmar | string[] (krävs) |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
LogFilesDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| filePatterns | Filmönster där loggfilerna finns | string[] (krävs) |
| format | Dataformatet för loggfilerna | "json" "text" (krävs) |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Inställningar | Loggfilernas specifika inställningar. | LogFilesDataSourceSettings |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En ström anger vilket schema som ska användas för den här datakällan |
string[] (krävs) |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
LogFilesDataSourceSettings
| Namn | Beskrivning | Värde |
|---|---|---|
| SMS | Textinställningar | LogFileSettingsText |
LogFileSettingsText
| Namn | Beskrivning | Värde |
|---|---|---|
| recordStartTimestampFormat | Ett av de tidsstämpelformat som stöds | "ISO 8601" "M/D/ÅÅÅÅÅ HH:MM:SS AM/PM" "MMM d hh:mm:ss" "Mon DD, ÅÅÅÅ HH:MM:SS" "ÅÅÅÅ-MM-DD HH:MM:SS" "dd/MMM/åååå:HH:mm:ss zzz" "ddMMyy HH:mm:ss" "yyMMdd HH:mm:ss" "åååå-MM-ddTHH:mm:ssK" (krävs) |
PerfCounterDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| counterSpecifiers | En lista med specificerarnamn för de prestandaräknare som du vill samla in. Använd ett jokertecken (*) för att samla in en räknare för alla instanser. Om du vill hämta en lista över prestandaräknare i Windows kör du kommandot "typeperf". |
string[] |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| samplingFrequencyInSeconds | Antalet sekunder mellan på varandra följande räknarmätningar (exempel). | Int |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-InsightsMetrics" "Microsoft-Perf" |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
PlatformTelemetryDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över plattformstelemetriströmmar att samla in | string[] (krävs) |
PrometheusForwarderDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| labelIncludeFilter | Listan över etikettinkluderingsfilter i form av etiketten "name-value"-par. För närvarande stöds endast en etikett: "microsoft_metrics_include_label". Etikettvärden matchas skiftlägesokänsligt. |
PrometheusForwarderDataSourceLabelIncludeFilter |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. | Strängmatris som innehåller något av: "Microsoft-PrometheusMetrics" |
PrometheusForwarderDataSourceLabelIncludeFilter
| Namn | Beskrivning | Värde |
|---|---|---|
| {anpassad egenskap} | sträng |
SyslogDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| facilityNames | Listan över anläggningsnamn. | Strängmatris som innehåller något av: "*" "alert" "granskning" "auth" "authpriv" "klocka" "cron" "daemon" "ftp" "kern" "local0" "local1" "local2" "local3" "local4" "local5" "local6" "local7" "lpr" "e-post" "markera" "nyheter" "nopri" "ntp" "syslog" "användare" "uucp" |
| logLevels | Loggnivåerna som ska samlas in. | Strängmatris som innehåller något av: "*" "Avisering" "Kritisk" "Felsöka" "Nödsituation" "Fel" "Info" "Meddelande" "Varning" |
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-Syslog" |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
WindowsEventLogDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| Strömmar | Lista över strömmar som den här datakällan ska skickas till. En dataström anger vilket schema som ska användas för dessa data och vanligtvis vilken tabell i Log Analytics som data skickas till. |
Strängmatris som innehåller något av: "Microsoft-Event" "Microsoft-WindowsEvent" |
| transformKql | KQL-frågan för att transformera datakällan. | sträng |
| xPathQueries | En lista över Windows-händelseloggfrågor i XPATH-format. | string[] |
WindowsFirewallLogsDataSource
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för datakällan. Det här namnet ska vara unikt för alla datakällor (oavsett typ) i datainsamlingsregeln. |
sträng |
| profileFilter | Profilfilter för brandväggsloggar | Strängmatris som innehåller något av: "Domän" "Privat" "Offentlig" |
| Strömmar | Brandväggsloggar strömmar | string[] (krävs) |
DataCollectionRuleDestinations
| Namn | Beskrivning | Värde |
|---|---|---|
| azureDataExplorer | Lista över Azure Data Explorer-mål. | AdxDestination[] |
| azureMonitorMetrics | Azure Monitor Metrics-mål. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Lista över Event Hubs-mål. | EventHubDestination[] |
| eventHubsDirect | Lista över Event Hubs Direct-mål. | EventHubDirectDestination[] |
| logAnalytics | Lista över Log Analytics-mål. | LogAnalyticsDestination[] |
| microsoftFabric | Lista över Microsoft Fabric-mål. | MicrosoftFabricDestination[] |
| monitoringAccounts | Lista över mål för övervakningskonton. | MonitoringAccountDestination[] |
| storageAccounts | Lista över mål för lagringskonton. | StorageBlobDestination[] |
| storageBlobsDirect | Lista över Mål för Lagringsblobdirigering. Ska endast användas för att skicka data direkt för lagring från agenten. | StorageBlobDestination[] |
| storageTablesDirect | Lista över mål för Lagringstabelldirigering. | StorageTableDestination[] |
AdxDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| databaseName | Namnet på databasen som data ska matas in till. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| resourceId | ARM-resurs-ID för Adx-resursen. | sträng |
DestinationsSpecAzureMonitorMetrics
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
EventHubDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| eventHubResourceId | Resurs-ID för händelsehubben. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
EventHubDirectDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| eventHubResourceId | Resurs-ID för händelsehubben. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
LogAnalyticsDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| workspaceResourceId | Resurs-ID för Log Analytics-arbetsytan. | sträng |
MicrosoftFabricDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| artifactId | Artefakt-ID för Microsoft Fabric-resursen. | sträng |
| databaseName | Namnet på databasen som data ska matas in till. | sträng |
| ingestionUri | Inmatnings-URI för Microsoft Fabric-resursen. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| tenantId | Klient-ID för Microsoft Fabric-resursen. | sträng |
MonitoringAccountDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| accountResourceId | Resurs-ID för övervakningskontot. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
StorageBlobDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| containerName | Containernamnet för lagringsbloben. | sträng |
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| storageAccountResourceId | Lagringskontots resurs-ID. | sträng |
StorageTableDestination
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Ett eget namn för målet. Det här namnet ska vara unikt för alla mål (oavsett typ) i datainsamlingsregeln. |
sträng |
| storageAccountResourceId | Lagringskontots resurs-ID. | sträng |
| tableName | Namnet på lagringstabellen. | sträng |
DataCollectionRuleReferences
| Namn | Beskrivning | Värde |
|---|---|---|
| enrichmentData | Alla berikande datakällor som refereras i dataflöden | ReferencesSpecEnrichmentData |
ReferenserSpecEnrichmentData
| Namn | Beskrivning | Värde |
|---|---|---|
| storageBlobs | Alla lagringsblobar som används som berikande datakällor | StorageBlob[] |
StorageBlob
| Namn | Beskrivning | Värde |
|---|---|---|
| blobUrl | Url för lagringsbloben | sträng |
| lookupType | Typ av sökning som ska utföras på bloben | "Cidr" "Sträng" |
| Namn | Namnet på den berikningsdatakälla som används som alias när du refererar till den här datakällan i dataflöden | sträng |
| resourceId | Resurs-ID för lagringskontot som är värd för bloben | sträng |
DataCollectionRuleStreamDeclarations
| Namn | Beskrivning | Värde |
|---|---|---|
| {anpassad egenskap} | StreamDeclaration |
StreamDeclaration
| Namn | Beskrivning | Värde |
|---|---|---|
| Kolumner | Lista över kolumner som används av data i den här strömmen. | ColumnDefinition[] |
ColumnDefinition
| Namn | Beskrivning | Värde |
|---|---|---|
| Namn | Namnet på kolumnen. | sträng |
| typ | Typen av kolumndata. | "booleskt" "datetime" "dynamisk" "int" "long" "verklig" "sträng" |