Azure İzleyici'de Log Analytics çalışma alanı verilerini dışarı aktarma

Log Analytics çalışma alanında veri dışarı aktarma, çalışma alanınızdaki seçili tablolara göre verileri sürekli dışarı aktarmanıza olanak tanır. Veriler bir Azure İzleyici işlem hattına ulaştığında bir Azure Depolama Hesabına veya Azure Event Hubs'a aktarabilirsiniz. Bu makalede, bu özellik hakkında ayrıntılar ve çalışma alanlarınızda veri dışarı aktarmayı yapılandırma adımları sağlanır.

Genel bakış

Log Analytics'teki veriler, çalışma alanınızda tanımlanan saklama süresi için kullanılabilir. Azure İzleyici ve Azure hizmetlerinde sağlanan çeşitli deneyimlerde kullanılır. Diğer araçları kullanmanız gereken durumlar vardır:

• Kurcalama korumalı mağaza uyumluluğu: Veriler alındıktan sonra Log Analytics'te değiştirilemez, ancak silinebilir. Verilerin değiştirilmeye karşı korunmasını sağlamak için değişmezlik ilkeleriyle bir Depolama Hesabı kümesine aktarın.
• Azure hizmetleri ve diğer araçlarla tümleştirme: Veriler geldikçe Event Hubs'a aktarın ve Azure İzleyici'de işlenir.
• Denetim ve güvenlik verilerinin uzun süreli saklanması: Çalışma alanının bölgesindeki bir Depolama Hesabına aktarın. Veya GRS ve GZRS gibi Azure Depolama yedeklilik seçeneklerinden herhangi birini kullanarak verileri diğer bölgelere çoğaltabilirsiniz.

Log Analytics çalışma alanında veri dışarı aktarma kurallarını yapılandırdıktan sonra, kurallardaki tablolar için yeni veriler Azure İzleyici işlem hattından Depolama Hesabınıza veya Event Hubs'a aktarılır. Veri dışarı aktarma trafiği Azure omurga ağındadır ve Azure ağından ayrılmaz.

Veriler filtre olmadan dışarı aktarılır. Örneğin, bir SecurityEvent tablosu için veri dışarı aktarma kuralı yapılandırdığınızda, SecurityEvent tablosuna gönderilen tüm veriler yapılandırma zamanından itibaren dışarı aktarılır. Alternatif olarak, çalışma alanınızda gelen veriler için geçerli olan dönüştürmeleri yapılandırarak, bu veriler Log Analytics çalışma alanlarınıza ve dışa aktarma hedeflerine gönderilmeden önce, dışa aktarılan verileri filtreleyebilir veya değiştirebilirsiniz.

Diğer dışarı aktarma seçenekleri

Log Analytics çalışma alanı verilerini dışarı aktarma sürekli olarak Log Analytics çalışma alanınıza gönderilen verileri dışarı aktarır. Belirli senaryolar için verileri dışarı aktarmaya yönelik başka seçenekler de vardır:

• Bir Azure kaynağı zaten tanılama günlüğü ayarları aracılığıyla Log Analytics çalışma alanınıza günlük gönderiyorsa, düzenli olarak veri dışarı aktarma kullanmak yerine yeni hedefi eklemek için doğrudan Azure kaynağındaki tanılama ayarlarını güncelleştirmeyi göz önünde bulundurun. Bu yaklaşım, veri dışarı aktarma işlemine kıyasla daha düşük gecikme süresine sahiptir ancak geçmiş verileri göndermez.
• Log Analytics sorgu API'si ile tanımladığınız bir günlük sorgusuna göre verileri dışarı aktarmayı zamanlayın. Çalışma alanınızdaki sorguları yönetmek ve verileri bir hedefe aktarmak için Azure Data Factory, Azure İşlevleri veya Azure Logic Apps kullanın. Bu yöntem veri dışarı aktarma özelliğine benzer, ancak filtreleri ve toplamayı kullanarak çalışma alanınızdaki geçmiş verileri dışarı aktarmak için bunu kullanabilirsiniz. Bu yöntem günlük sorgusu sınırlarına tabidir ve ölçeklendirme için tasarlanmamıştır. Daha fazla bilgi için bkz. Logic Apps kullanarak verileri Log Analytics çalışma alanından Depolama Hesabına aktarma.
• PowerShell betiği kullanarak yerel bilgisayara veri aktarımını bir kez gerçekleştirin. Daha fazla bilgi için bkz . Invoke-AzOperationalInsightsQueryExport.

Gerekli izinler

Eylem	Gerekli izinler
Veri dışarı aktarma kuralı oluşturma veya güncelleştirme	Microsoft.OperationalInsights/workspaces/dataexports/write Log Analytics çalışma alanındaki izinler, örneğin, Log Analytics Katkıda Bulunan yerleşik rolü tarafından sağlandığı gibi
Veri dışarı aktarma kuralını silme	Microsoft.OperationalInsights/workspaces/dataexports/delete Log Analytics çalışma alanındaki izinler, örneğin, Log Analytics Katkıda Bulunan yerleşik rolü tarafından sağlandığı gibi
Depolama Hesabına Aktar	Microsoft.Storage/storageAccounts/blobServices/containers/write Depolama Hesabı izinleri, örneğin Depolama Hesabı Katkıda Bulunanı yerleşik rolü tarafından sağlandığı gibi
Olay Hub'ına aktar	Microsoft.EventHub/namespaces/eventhubs/write, Microsoft.EventHub/namespaces/eventhubs/messages/write, Microsoft.EventHub/namespaces/authorizationRules/listkeys/action izinleri, örneğin, Azure Event Hubs Veri Sahibi yerleşik rolleri tarafından sağlanan biçimde Olay Hub'ına verilir.
Tablodaki sorgu günlükleri	Microsoft.OperationalInsights/workspaces/query/<table>/readLog Analytics Reader yerleşik rolü tarafından sağlanan izinler ile Log Analytics çalışma alanına erişim, örneğin
Tablodaki sorgu günlükleri (tabloda işlem)	Microsoft.OperationalInsights/workspaces/tables/query/readLog Analytics Reader yerleşik rolü tarafından sağlanan izinler ile Log Analytics çalışma alanına erişim, örneğin

Sınırlamalar

• HTTP Veri Toplayıcı API'si kullanılarak oluşturulan özel günlükler, Log Analytics aracısı tarafından kullanılan metin tabanlı günlükler de dahil olmak üzere dışarı aktarılamaz. Metin tabanlı günlükler de dahil olmak üzere veri toplama kuralları kullanılarak oluşturulan özel günlükler dışarı aktarılabilir.
• Veri dışarı aktarma işlemi yavaş yavaş daha fazla tabloyu destekleyecektir. Desteklenmeyen tablolar bölümüne bakın.
• Çalışma alanı başına en fazla etkin kural sayısı 10'dur ve her biri birden çok tablo içerebilir.
• Depolama Hesabı, çalışma alanında kurallar arasında benzersiz olmalıdır.
• Desteklenen tablo planları Analytics ve Basic'tir. Yardımcı plan desteklenmiyor.
• Hedefler Log Analytics çalışma alanıyla aynı bölgede olmalıdır.
• Premium Depolama Hesabına dışarı aktarma desteklenmez.

Veri eksiksizliği

Veri dışarı aktarma, büyük veri hacimlerini hedeflerinize taşımak için iyileştirilmiştir. Ölçeği veya kullanılabilirliği yetersiz olan bir hedef durumunda, tekrar deneme işlemi 12 saate kadar devam eder ve dışa aktarılan kayıtların bir kısmının yinelenmesiyle sonuçlanabilir. Güvenilirliği artırmak için Depolama Hesabı ve Event Hubs hedefleri için önerileri izleyin. Yeniden deneme süresinden sonra hedefler hala kullanılamıyorsa veriler silinir.

Hedef sınırları ve önerilen uyarılar hakkında daha fazla bilgi için bkz. Veri dışarı aktarma kuralı oluşturma veya güncelleştirme.

Fiyatlandırma modeli

Veri dışarı aktarma ücretleri, JSON biçimli verilerdeki hedeflere dışarı aktarılan bayt sayısını temel alır ve GB (10^9 bayt) olarak ölçülür. Boyut hesaplaması JSON biçimlendirme ek yükünü içermediğinden, veri dışarı aktarma boyutu hesaplamaları çalışma alanı sorgusuyla yapılamaz. Blob kapsayıcısının toplam faturalama boyutunu hesaplamak için bu örnek PowerShell betiğindeki yöntemini kullanın. Şu anda bağımsız bulutlara dışarı aktarma için ücret alınmaz. Etkinleştirmeden önce bir bildirim gönderilir.

Veri dışarı aktarma faturalama zaman çizelgesi de dahil olmak üzere daha fazla bilgi için bkz. Azure İzleyici fiyatlandırması. Veri İhracı faturalaması Ekim 2023 başında aktif hale getirildi.

İhracat destinasyonları

Çalışma alanınızda dışarı aktarma kuralları oluşturmadan önce veri dışarı aktarma hedefi kullanılabilir olmalıdır. Hedefler farklı aboneliklerde olabilir. Azure Lighthouse ile verileri başka bir Microsoft Entra kiracısında bulunan hedeflere göndermek de mümkündür.

Depolama Hesabı

Başka izleme verileri olmayan mevcut bir Depolama Hesabı kullanarak gecikme süresi veya hız sınırlarını aşma nedeniyle depolama girişi hatalarını önleyin. Bu, verilere erişimi daha iyi denetlemenize yardımcı olur ve veri dışarı aktarma güvenilirliğini artırır.

Sabit bir Depolama Hesabına veri göndermek için, Azure Blob Depolama için değişmezlik ilkelerini ayarlama ve yönetme başlığı altında açıklandığı gibi Depolama Hesabı için sabit ilkeyi ayarlayın. Korumalı ek blob yazmalarını etkinleştirme de dahil olmak üzere bu makaledeki tüm adımları takip etmeniz gerekir.

Depolama Hesabı Premium olamaz, StorageV1 veya üzeri olmalıdır ve çalışma alanınızla aynı bölgede yer almalıdır. Verilerinizi diğer bölgelerdeki diğer Depolama Hesaplarına çoğaltmanız gerekiyorsa GRS ve GZRS dahil olmak üzere Azure Depolama yedekliliği seçeneklerinden herhangi birini kullanın.

Veriler Azure İzleyici'ye ulaştıkça Depolama Hesaplarına gönderilir ve çalışma alanı bölgesinde bulunan hedeflere aktarılır. Depolama Hesabı'ndaki her tablo için, adı am- ile başlayan ve ardından tablonun adı gelen bir kapsayıcı oluşturulur. Örneğin, SecurityEvent tablosu -SecurityEvent adlı bir kapsayıcıya gönderir.

Bloblar şu yol yapısında 5 dakikalık klasörlerde depolanır: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<dört basamaklı sayısal yıl>/m=<iki basamaklı sayısal ay>/d=<iki basamaklı sayısal gün>/h=<iki basamaklı 24 saatlik saat saat>/m=<iki basamaklı 60 dakikalık saat dakika>/PT05M.json. Bloblara eklemeler 50.000 yazma işlemiyle sınırlıdır. Klasöre PT05M_#.json* olarak daha fazla blob eklenir; burada '#' artımlı blob sayısıdır.

Not

Bloblara eklemeler "TimeGenerated" alanına göre yazılır ve kaynak veriler alınırken gerçekleşir. Azure Monitor'a gecikmeli olarak gelen veya hedef yerlerdeki kısıtlama nedeniyle yeniden denenen veriler, oluşturulma zamanlarına (TimeGenerated) göre bloblara yazılır.

Depolama Hesabı'ndaki blobların biçimi, her kaydın yeni bir satırla sınırlandırıldığı, dış kayıt dizisi olmayan ve JSON kayıtları arasında virgül bulunmayan JSON satırlarındadır.

Event Hubs

Mevcut ve izleme amaçlı olmayan veriler içeren bir Olay Hub'ı kullanmaktan kaçının. Bu en iyi uygulama, gecikme süresi veya hız sınırlarını aşma nedeniyle giriş hatalarını önlemeye yardımcı olur.

Veriler Azure İzleyici'ye ulaştıkça Olay Hub'ınıza gönderilir ve çalışma alanı bölgesinde bulunan hedeflere aktarılır. Kurala farklı bir Event Hub name sağlayarak aynı Event Hub ad alanına birden çok dışarı aktarma kuralı oluşturun. Event Hub name sağlanmadığında, dışarı aktardığınız tablolar için tablonun adıyla başlayarak "am-" ile başlayan varsayılan bir Olay Hub oluşturulur. Örneğin, SecurityEvent tablosu -SecurityEvent adlı bir Olay Hub'ına gönderilir.

Temel ve Standart ad alanı katmanlarında desteklenen Event Hubs sayısı 10'dur. tr-TR: Bu katmanlara 10'dan fazla tablo dışarı aktarırken, tabloları farklı Event Hubs ad alanlarındaki çeşitli dışa aktarma kuralları arasında dağıtın veya tüm tabloları bu adla aktarmak için bir Event Hub adı sağlayın.

Not

• Temel Event Hubs ad alanı katmanı sınırlıdır. Daha düşük olay boyutunu destekler ve aktarım hızı birimi sayısını otomatik olarak artırmak için Otomatik şişirme seçeneği yoktur. Çalışma alanınızdaki veri hacmi zamanla arttığı ve bunun sonucunda Event Hubs ölçeklendirilmesi gerektiği için, Otomatik şişirme özelliği etkin durumdayken Standart, Premium veya Ayrılmış Event Hubs katmanlarını kullanın. Daha fazla bilgi için bkz. Azure Event Hubs aktarım hızı birimlerinin ölçeğini otomatik olarak artırma.
• Sanal ağlar etkinleştirildiğinde veri dışarı aktarma Işlemi Event Hubs kaynaklarına erişemez. Event Hubs'ınıza erişim izni vermek için bir Olay Hub'ında bu güvenlik duvarı ayarını atlamak için güvenilen hizmetler listesindeki Azure hizmetlerinin bu Depolama Hesabına erişmesine izin ver onay kutusunu seçmeniz gerekir.

Dışarı aktarılan verileri sorgulama

Çalışma alanlarındaki verileri Depolama Hesaplarına aktarmak, genel bakışta bahsedilen çeşitli senaryoları karşılamaya yardımcı olur ve Depolama Hesaplarındaki blobları okuyabilen araçlar tarafından kullanılabilir. Aşağıdaki yöntemler, Azure Veri Gezgini için aynı olan Log Analytics sorgu dilini kullanarak verileri sorgulamanıza olanak sağlar.

1. Azure Data Lake'te verileri sorgulamak için Azure Veri Gezgini'ni kullanın.
2. Depolama Hesabından veri almak için Azure Veri Gezgini'ni kullanın.
3. Günlük Alımı API'sini kullanarak alınan verileri sorgulamak için Log Analytics çalışma alanını kullanın. Alınan veriler orijinal tabloya değil, özel bir günlük tablosuna gönderilir.

Veri dışarı aktarmayı etkinleştirme

Log Analytics veri dışarı aktarmayı etkinleştirmek için aşağıdaki adımların gerçekleştirilmesi gerekir.

• Kaynak sağlayıcısını kaydetme
• Güvenilen Microsoft hizmetlerine izin ver
• Hedefleri İzle (Önerilen)
• Veri dışarı aktarma kuralı oluşturma veya güncelleştirme

Kaynak sağlayıcısını kaydetme

Log Analytics veri dışarı aktarmayı etkinleştirmek için Azure kaynak sağlayıcısı Microsoft.Insights'ın aboneliğinize kaydedilmesi gerekir.

Bu kaynak sağlayıcısı büyük olasılıkla çoğu Azure İzleyici kullanıcısı için zaten kayıtlıdır. Doğrulamak için Azure portalında Abonelikler'e gidin. Aboneliğinizi seçin ve ardından menünün Ayarlar bölümünde Kaynak sağlayıcıları'nı seçin. Microsoft.Insights'ın yerini belirleyin. Durumu Kayıtlı ise zaten kayıtlıdır. Aksi takdirde kaydolmak için Kaydol'u seçin.

Azure kaynak sağlayıcıları ve türlerinde açıklandığı gibi bir kaynak sağlayıcısını kaydetmek için kullanılabilir yöntemlerden herhangi birini de kullanabilirsiniz. Aşağıdaki örnek komut Azure CLI'yi kullanır:

az provider register --namespace 'Microsoft.insights'

Aşağıdaki örnek komut PowerShell'i kullanır:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Güvenilen Microsoft hizmetleri izin ver

Depolama Hesabınızı seçili ağlardan erişime izin verecek şekilde yapılandırdıysanız, Azure İzleyici'nin hesaba yazmasına izin vermek için bir özel durum eklemeniz gerekir. Depolama Hesabınız için güvenlik duvarları ve sanal ağlar'dan, güvenilen hizmetler listesinden Azure hizmetlerinin bu Depolama Hesabına erişmesine izin ver'i seçin.

Hedefleri izleme

Önemli

Dışarı aktarma hedeflerinin sınırları vardır ve kesintileri, hataları ve gecikme süresini en aza indirmek için izlenmelidir. Daha fazla bilgi için bkz . Depolama Hesabı ölçeklenebilirliği ve Event Hubs ad alanı kotaları.

Veri dışarı aktarma işlemi ve uyarıları için aşağıdaki ölçümler kullanılabilir

Ölçüm adı	Açıklama
Dışarı Aktarılan Bayt Sayısı	Seçilen zaman aralığında Log Analytics çalışma alanından hedefe aktarılan toplam bayt sayısı. Dışarı aktarılan verilerin boyutu, dışarı aktarılan JSON biçimli verilerdeki bayt sayısıdır. 1 GB = 10^9 bayt.
Dışarı Aktarma Hataları	Seçilen zaman aralığında Log Analytics çalışma alanından hedefe yapılan başarısız dışarı aktarma isteklerinin toplam sayısı. Hedef kaynağın sınırlanması, erişim yasağı hatası veya herhangi bir sunucu hatası nedeniyle dışa aktarma girişimi hatalarını içeren bu sayı. Yeniden deneme işlemi başarısız girişimleri işler ve sayı eksik veriler için bir gösterge değildir.
Dışarı aktarılan kayıtlar	Seçilen zaman aralığında Log Analytics çalışma alanından dışarı aktarılan toplam kayıt sayısı. Bu sayı, başarıyla biten işlemlerin kayıtlarını sayar.

Depolama Hesabını İzleme

1. Dışarı aktarmak için ayrı bir Depolama Hesabı kullanın.

2. Ölçümde bir uyarı yapılandırın:

   Kapsam	Ölçüm ad alanı	Metrik	Toplama	Eşik
   depolama adı	Firma	Giriş	Toplam	Uyarı değerlendirme dönemi başına maksimum girişin %80'i. Örneğin, Batı ABD'de genel amaçlı v2 için sınır 60 Gb/sn'dir. Uyarı eşiği, 5 dakikalık değerlendirme süresi başına 1676 GiB'dir.

3. Uyarı düzeltme eylemleri:

   • İzleme verilerini içermeyen dışa aktarma için ayrı bir Depolama Hesabı kullanın.
   • Azure Depolama Standart hesapları isteklere göre daha yüksek giriş sınırını destekler. Artış istemek için Azure Desteği'ne başvurun.
   • Tabloları daha fazla Depolama Hesabı arasında bölme.

Event Hubs'ı izleme

1. Ölçümlerle ilgili uyarıları yapılandırın:

   Kapsam	Ölçüm ad alanı	Metrik	Toplama	Eşik
   ad alanı ismi	Event Hubs standart ölçümleri	Gelen baytlar	Toplam	Uyarı değerlendirme dönemi başına maksimum girişin %80'i. Örneğin, sınır birim başına 1 MB/sn (TU veya PU) ve beş birim kullanılır. Eşik, 5 dakikalık değerlendirme süresi başına 228 MiB'dir.
   ad alanı ismi	Event Hubs standart ölçümleri	Gelen istekler	Sayı	Uyarı değerlendirme dönemi başına en fazla olayların %80'i. Örneğin, sınır birim başına 1.000/sn (TU veya PU) ve beş birim kullanılır. Eşik, 5 dakikalık değerlendirme süresi başına 1.200.000'dir.
   ad alanı ismi	Event Hubs standart ölçümleri	Kota Aşımı Hataları	Sayı	İsteklerin %1'i civarında. Örneğin, 5 dakika başına istek sayısı 600.000'dir. Eşik, 5 dakikalık değerlendirme süresi başına 6.000'dir.

2. Uyarı düzeltme eylemleri:

   • Dışarı aktarma için izleme olmayan verilerle paylaşılmayan ayrı bir Event Hubs ad alanı kullanın.
   • Kullanım gereksinimlerini karşılamak için otomatik olarak ölçeği artırmak ve aktarım hızı birimi sayısını artırmak için Otomatik şişir özelliğini yapılandırın.
   • Veri hacmine uyum sağlamak için aktarım hızı birimlerinin arttığını doğrulayın.
   • Tabloları daha fazla ad alanı arasında bölme.
   • Daha yüksek aktarım hızı için Premium veya Ayrılmış katmanları kullanın.

Veri dışarı aktarma kuralı oluşturma veya güncelleştirme

Veri dışarı aktarma kuralı, verilerin dışarı aktarıldığı hedefi ve tabloları tanımlar. Kural sağlama işlemi, dışarı aktarma işleminin başlatılmasından yaklaşık 30 dakika önce gerçekleşir. Veri dışarı aktarma kurallarında dikkat edilmesi gerekenler:

• Depolama Hesabı, çalışma alanında kurallar arasında benzersiz olmalıdır.
• Ayrı Event Hubs'a gönderirken birden çok kural aynı Event Hubs ad alanını kullanabilir.
• Depolama Hesabına Aktar: Her tablo için Depolama Hesabında ayrı bir kapsayıcı oluşturulur.
• Event Hubs'a Aktarım: Eğer bir Event Hub adı belirtilmezse, her tablo için ayrı bir Event Hub oluşturulur. Temel ve Standart ad alanı katmanlarında desteklenen Event Hubs sayısı 10'dur. Bu katmanlara 10'dan fazla tablo dışa aktarırken, tabloları farklı Event Hubs ad alanlarına çeşitli dışa aktarma kuralları arasında bölün veya tüm tabloları dışa aktarmak için kuralda bir Event Hub adı sağlayın.

Azure portalı

1. Azure portalındaki Log Analytics çalışma alanı menüsünde Ayarlarbölümünden Veri Dışarı Aktarma'yı seçin. Bölmenin üst kısmındaki Yeni dışarı aktarma kuralı'nı seçin.

   

2. Adımları izleyin ve oluştur'u seçin. Yalnızca içinde veri bulunan tablolar "Kaynak" sekmesi altında görüntülenir.

   

PowerShell

PowerShell kullanarak depolama hesabına veri dışarı aktarma kuralı oluşturmak için aşağıdaki komutu kullanın. Her tablo için ayrı bir kapsayıcı oluşturulur.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

PowerShell kullanarak belirli bir Olay Hub'ına veri dışarı aktarma kuralı oluşturmak için aşağıdaki komutu kullanın. Tüm tablolar, sağlanan Olay Hub'ı adına aktarılır ve Tür alanına göre ayrı tablolara filtrelenebilir.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

PowerShell kullanarak olay hub'ına veri dışarı aktarma kuralı oluşturmak için aşağıdaki komutu kullanın. Belirli bir Event Hub adı sağlanmadığında, her tablo için ayrı bir kapsayıcı oluşturulur; bu, her bir Event Hubs katmanında desteklenen Event Hubs sayısına kadar devam eder. Daha fazla tabloyu dışarı aktarmak için kuralda bir Olay Hub'ı adı sağlayın. Alternatif olarak, başka bir kural ayarlayabilir ve kalan tabloları başka bir Event Hubs ad alanına aktarabilirsiniz.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure CLI

CLI kullanarak depolama hesabına veri dışarı aktarma kuralı oluşturmak için aşağıdaki komutu kullanın. Her tablo için ayrı bir kapsayıcı oluşturulur.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

CLI kullanarak belirli bir Olay Hub'ına veri dışarı aktarma kuralı oluşturmak için aşağıdaki komutu kullanın. Tüm tablolar, sağlanan Olay Hub'ı adına aktarılır ve Tür alanına göre ayrı tablolara filtrelenebilir.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

CLI kullanarak bir Olay Hub'ına veri dışarı aktarma kuralı oluşturmak için aşağıdaki komutu kullanın. Belirli bir Olay Hub'ı adı sağlanmazsa, Event Hubs katmanınız için desteklenen Olay Hub'ları sayısına kadar her tablo için ayrı bir kapsayıcı oluşturulur. Dışarı aktarabileceğiniz daha fazla tablo varsa, istediğiniz sayıda tabloyu dışarı aktarmak için bir Olay Hub'ı adı sağlayın. Ya da kalan tabloları başka bir Event Hubs ad alanına dışarı aktarmak için başka bir kural ayarlayabilirsiniz.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

REST API kullanarak depolama hesabına veri dışarı aktarma kuralı oluşturmak için aşağıdaki isteği kullanın. Her tablo için ayrı bir kapsayıcı oluşturulur. İstekte taşıyıcı belirteci yetkilendirmesi ve içerik türü application/json kullanılmalıdır.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

İsteğin gövdesi tablonun hedefini belirtir. Aşağıdaki örnek REST isteği için örnek bir gövdedir.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Aşağıdaki örnek, bir Olay Hub'ı için REST isteğinin örnek gövdesidir.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Aşağıdaki örnek, Olay Hub'ı adının sağlandığı bir Olay Hub'ı için REST isteğinin örnek gövdesidir. Bu durumda, dışarı aktarılan tüm veriler ona gönderilir.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Şablon

Azure Resource Manager şablonu kullanarak depolama hesabına veri dışarı aktarma kuralı oluşturmak için aşağıdaki komutu kullanın.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Resource Manager şablonu kullanarak olay hub'ına veri dışarı aktarma kuralı oluşturmak için aşağıdaki komutu kullanın. Her tablo için ayrı bir Olay Hub'ı oluşturulur.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Resource Manager şablonu kullanarak belirli bir Olay Hub'ına veri dışarı aktarma kuralı oluşturmak için aşağıdaki komutu kullanın. Tüm tablolar bu tabloya aktarılır.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Veri dışarı aktarma kuralı yapılandırmasını görüntüleme

Azure portalı

1. Azure portalındaki Log Analytics çalışma alanı menüsünde Ayarlarbölümünden Veri Dışarı Aktarma'yı seçin.

   

2. Yapılandırma görünümü için bir kural seçin.

   

PowerShell

PowerShell kullanarak bir veri dışarı aktarma kuralının yapılandırmasını görüntülemek için aşağıdaki komutu kullanın.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

CLI kullanarak bir veri dışarı aktarma kuralının yapılandırmasını görüntülemek için aşağıdaki komutu kullanın.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

REST API kullanarak bir veri dışarı aktarma kuralının yapılandırmasını görüntülemek için aşağıdaki isteği kullanın. Talep bearer token yetkilendirmesini kullanmalıdır.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Şablon

Şablon seçeneği geçerli değildir.

Dışarı aktarma kuralını devre dışı bırakma veya güncelleştirme

Azure portalı

Dışarı aktarma kurallarını devre dışı bırakarak, örneğin test yapılırken belirli bir süre boyunca dışarı aktarmayı durdurabilirsiniz. Azure portalındaki Log Analytics çalışma alanı menüsünde Ayarlarbölümünden Veri Dışarı Aktarma'yı seçin. Dışarı aktarma kuralını devre dışı bırakmak veya etkinleştirmek için Durum anahtarını seçin.

PowerShell

Dışarı aktarma kurallarını devre dışı bırakarak, örneğin test yapılırken belirli bir süre boyunca dışarı aktarmayı durdurabilirsiniz. PowerShell kullanarak kural parametrelerini devre dışı bırakmak veya güncelleştirmek için aşağıdaki komutu kullanın.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure CLI

Dışarı aktarma kurallarını devre dışı bırakarak, örneğin test yapılırken belirli bir süre boyunca dışarı aktarmayı durdurabilirsiniz. CLI kullanarak kural parametrelerini devre dışı bırakmak veya güncelleştirmek için aşağıdaki komutu kullanın.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Dışarı aktarma kurallarını devre dışı bırakarak, örneğin test yapılırken belirli bir süre boyunca dışarı aktarmayı durdurabilirsiniz. REST API kullanarak kural parametrelerini devre dışı bırakmak veya güncelleştirmek için aşağıdaki komutu kullanın. Talep bearer token yetkilendirmesini kullanmalıdır.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Şablon

Test gerçekleştirilirken dışarı aktarmayı durdurmak için dışarı aktarma kurallarını devre dışı bırakabilirsiniz ve hedefe veri gönderilmesi gerekmez. Veri dışarı aktarmayı devre dışı bırakmak için şablonda ayarlayın "enable": false .

Dışarı aktarma kuralını silme

Azure portalı

Azure portalındaki Log Analytics çalışma alanı menüsünde Ayarlarbölümünden Veri Dışarı Aktarma'yı seçin. Kuralın sağındaki üç noktayı seçin ve Sil'i seçin.

PowerShell

PowerShell kullanarak bir veri dışarı aktarma kuralını silmek için aşağıdaki komutu kullanın.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

CLI kullanarak veri dışarı aktarma kuralını silmek için aşağıdaki komutu kullanın.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

REST API kullanarak bir veri dışarı aktarma kuralını silmek için aşağıdaki isteği kullanın. Talep bearer token yetkilendirmesini kullanmalıdır.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Şablon

Şablon seçeneği geçerli değildir.

Çalışma alanında tüm veri dışarı aktarma kurallarını görüntüleme

Azure portalı

Çalışma alanında tüm dışarı aktarma kurallarını görüntülemek için Azure portalındaki Log Analytics çalışma alanı menüsünde Ayarlar bölümünde Veri Dışarı Aktarma'yı seçin.

PowerShell

PowerShell kullanarak bir çalışma alanında tüm veri dışarı aktarma kurallarını görüntülemek için aşağıdaki komutu kullanın.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure CLI

CLI kullanarak bir çalışma alanında tüm veri dışarı aktarma kurallarını görüntülemek için aşağıdaki komutu kullanın.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

REST API kullanarak bir çalışma alanında tüm veri dışarı aktarma kurallarını görüntülemek için aşağıdaki isteği kullanın. Talep bearer token yetkilendirmesini kullanmalıdır.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2023-09-01

Şablon

Şablon seçeneği geçerli değildir.

Desteklenmeyen tablolar

Not

Veri dışarı aktarma kuralı desteklenmeyen bir tablo içeriyorsa, yapılandırma başarılı olur, ancak bu tablo için hiçbir veri dışarı aktarılmaz. Tablo desteklendiğinde veri dışarı aktarma işlemi başlar. Daha fazla tablo için destek ekleme sürecindeyiz. Lütfen bu makaleyi düzenli olarak kontrol edin.

Masa	Sınırlama
ADX Veri İşlemi
Uyarı	Kısmi destek. Zabbix uyarıları için veri alımı desteklenmez.
Uyarı Geçmişi
AzureActivity	Kısmi destek. Log Analytics aracısından veya Azure İzleyici Aracısı'ndan gelen veriler dışarı aktarmada tam olarak desteklenir. Tanılama uzantısı aracısı aracılığıyla gelen veriler depolama aracılığıyla toplanır. Bu yol dışarı aktarmada desteklenmez.
AzureDiagnostics
AzureMetrics
Yapılandırma Değişikliği
Yapılandırma Verileri	Kısmi destek. Bazı veriler, dışarı aktarmada desteklenmeyen dahili hizmetler aracılığıyla alınır. Şu anda bu bölüm ihracatta eksik.
DatabricksDatabricksSQL
DatabricksSQL
CihazUygulamaAçılışı
Cihaz Takvimi
DeviceConnectSession
DeviceEtw
DeviceHealth
CihazKalpAtışı
ETWEvent	Kısmi destek. Log Analytics aracısından veya Azure İzleyici Aracısı'ndan gelen veriler dışarı aktarmada tam olarak desteklenir. Tanılama uzantısı aracısı aracılığıyla gelen veriler depolama aracılığıyla toplanır. Bu yol dışarı aktarmada desteklenmez.
Etkinlik	Kısmi destek. Log Analytics aracısından veya Azure İzleyici Aracısı'ndan gelen veriler dışarı aktarmada tam olarak desteklenir. Tanılama uzantısı aracısı aracılığıyla gelen veriler depolama aracılığıyla toplanır. Bu yol dışarı aktarmada desteklenmez.
InsightsMetrics	Kısmi destek. Bazı veriler, dışarı aktarmada desteklenmeyen dahili hizmetler aracılığıyla alınır. Şu anda bu bölüm ihracatta eksik.
Ağ Oturumları
İşlem	Kısmi destek. Bazı veriler, dışarı aktarmada desteklenmeyen dahili hizmetler aracılığıyla alınır. Şu anda bu bölüm ihracatta eksik.
Koruma Durumu
Service Fabric Operasyonel Olayı	Kısmi destek. Log Analytics aracısından veya Azure İzleyici Aracısı'ndan gelen veriler dışarı aktarmada tam olarak desteklenir. Tanılama uzantısı aracısı aracılığıyla gelen veriler depolama aracılığıyla toplanır. Bu yol dışarı aktarmada desteklenmez.
ServiceFabricGüvenilirAktörEtkinliği	Kısmi destek. Log Analytics aracısından veya Azure İzleyici Aracısı'ndan gelen veriler dışarı aktarmada tam olarak desteklenir. Tanılama uzantısı aracısı aracılığıyla gelen veriler depolama aracılığıyla toplanır. Bu yol dışarı aktarmada desteklenmez.
ServiceFabricGüvenilirServisEtkinliği	Kısmi destek. Log Analytics aracısından veya Azure İzleyici Aracısı'ndan gelen veriler dışarı aktarmada tam olarak desteklenir. Tanılama uzantısı aracısı aracılığıyla gelen veriler depolama aracılığıyla toplanır. Bu yol dışarı aktarmada desteklenmez.
Güncelleştir	Kısmi destek. Bazı veriler, dışarı aktarmada desteklenmeyen dahili hizmetler aracılığıyla alınır. Şu anda bu bölüm ihracatta eksik.
VMBoundPort
VMComputer
VMConnection
VMProcess
W3CIISLog	Kısmi destek. Log Analytics aracısından veya Azure İzleyici Aracısı'ndan gelen veriler dışarı aktarmada tam olarak desteklenir. Tanılama uzantısı aracısı aracılığıyla gelen veriler depolama aracılığıyla toplanır. Bu yol dışarı aktarmada desteklenmez.
WireData	Kısmi destek. Bazı veriler, dışarı aktarmada desteklenmeyen dahili hizmetler aracılığıyla alınır. Şu anda bu bölüm ihracatta eksik.

Sonraki adımlar

Azure Veri Gezgini'nden dışarı aktarılan verileri sorgulama