你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Monitor 中的 Log Analytics 工作区数据导出功能

使用 Log Analytics 工作区中的数据导出功能,可以连续导出工作区中所选表的数据。 数据到达 Azure Monitor 管道时,可以将其导出到 Azure 存储帐户或 Azure 事件中心。 本文提供了有关此功能的详细信息以及在工作区中配置数据导出的步骤。

概述

Log Analytics 中的数据在工作区中定义的保留期内可用。 这些数据用于 Azure Monitor 和 Azure 服务中提供的各种体验。 在下列情况下,你需要使用其他工具:

  • 符合防篡改保护的存储:数据一旦引入,便不可在 Log Analytics 中更改,但可以清除。 导出到使用不可变策略设置的存储帐户,以防止数据被篡改。
  • 与 Azure 服务和其他工具集成:在数据到达 Azure Monitor 并在其中进行处理时,导出到事件中心。
  • 审核和安全数据的长期保留:导出到工作区区域中的存储帐户。 或者,你可以使用任何 Azure 存储冗余选项(包括 GRS 和 GZRS)将数据复制到其他区域。

在 Log Analytics 工作区中配置数据导出规则后,规则中表的新数据会从 Azure Monitor 管道导出到存储帐户或事件中心。 数据导出流量位于 Azure 主干网络中,不会离开 Azure 网络。

Diagram that shows a data export flow.

导出数据时没有使用筛选器。 例如,为 SecurityEvent 表配置数据导出规则时,发送到 SecurityEvent 表的所有数据将从配置时开始导出。 或者,可以先通过在工作区中配置转换(它们可应用于传入的数据)来筛选或修改导出的数据,然后再将其发送到 Log Analytics 工作区和导出目标。

其他导出选项

Log Analytics 工作区数据导出会持续导出发送到 Log Analytics 工作区的数据。 针对特定场景导出数据的其他选项包括:

  • 在 Azure 资源中配置诊断设置。 日志直接发送到目标位置。 与 Log Analytics 中的数据导出相比,此方法具有更低的延迟。
  • 根据通过 Log Analytics 查询 API 定义的日志查询计划数据导出。 使用 Azure 数据工厂、Azure Functions 或 Azure 逻辑应用协调工作区中的查询并将数据导出到目标位置。 此方法类似于数据导出功能,但该方法可以通过使用筛选器和聚合从工作区导出历史数据。 此方法受日志查询限制的约束,不适合用于缩放。 有关详细信息,请参阅使用逻辑应用将数据从 Log Analytics 工作区导出到存储帐户
  • 使用 PowerShell 脚本一次性导出到本地计算机。 有关详细信息,请参阅 Invoke-AzOperationalInsightsQueryExport

限制

  • 无法导出使用 HTTP 数据收集器 API 创建的自定义日志,包括 Log Analytics 代理使用的基于文本的日志。 可以导出使用数据收集规则创建的自定义日志,包括基于文本的日志。
  • 数据导出将逐渐支持更多表,但目前仅限于支持的表部分中指定的表。 可包括规则中尚不支持的表,但仅在支持表的情况下才导出数据。
  • 最多可以在工作区中定义 10 个已启用的规则,每个规则可以包含多个表。 可以在处于禁用状态的工作区中创建更多规则。
  • 目标必须与 Log Analytics 工作区位于同一区域。
  • 存储帐户在工作区规则中必须是唯一的。
  • 导出到存储帐户时,表名称可以为 60 个字符。 导出到事件中心时,表名称可以为 47 个字符。 名称较长的表将不会被导出。
  • 不支持导出到高级存储帐户。

数据完整性

数据导出针对将大量数据移动到目标位置进行了优化。 如果目标容量不足或不可用,则导出操作可能会失败。 如果失败,重试过程将最多持续 12 小时。 有关目标限制和建议的警报的详细信息,请参阅创建或更新数据导出规则。 如果目标在重试期限过后仍然不可用,则会丢弃数据。 在某些情况下,重试可能会导致部分导出记录重复。

定价模型

数据导出费用基于导出到目标(采用 JSON 格式的数据)的字节数,并以 GB(10^9 字节)为单位进行度量。 工作区查询中的大小计算不能与导出费用相对应,因为它不包含 JSON 格式的数据。 可以使用 PowerShell 来计算要计费的 Blob 容器总大小

有关详细信息,包括数据导出计费时间线,请参阅 Azure Monitor 定价。 数据导出在 2023 年 10 月初启用计费。

导出目标

在工作区中创建导出规则之前,必须存在数据导出目标位置。 目标不必要与工作区位于同一个订阅中。 在使用 Azure Lighthouse 时,还可以将数据发送到另一个 Microsoft Entra 租户中的目标。

需要对工作区和目标位置都具有“写入”权限,才能在工作区中的任何表上配置数据导出规则。 事件中心命名空间的共享访问策略定义了流式传输机制拥有的权限。 流式传输到事件中心需要“管理”、“发送”和“侦听”权限。 若要更新导出规则,必须对该事件中心授权规则拥有 ListKey 权限。

存储帐户

避免使用包含其他非监视数据的现有存储帐户,以便能够更好地控制对数据的访问,并防止达到存储流入量速率限制,进而引发故障和延迟。

若要将数据发送到不可变存储帐户,请按照设置和管理 Azure Blob 存储的不可变性策略中所述为存储帐户设置不可变策略。 必须按照本文中的所有步骤操作,包括启用受保护的追加 blob 写入操作。

存储帐户无法为高级版,必须为 StorageV1 或更高版本,并且与工作区位于同一区域。 如果需要将数据复制到其他区域中的其他存储帐户,可以使用任何 Azure 存储冗余选项,包括“GRS”和“GZRS”。

数据将在到达 Azure Monitor 时发送到存储帐户并导出到位于工作区区域中的目标位置。 将为存储帐户中的每个表创建一个容器,其名称为 am- 后跟表名称。 例如,表 SecurityEvent 将发送到名为 am-SecurityEvent 的容器中。

Blob 存储在以下路径结构的 5 分钟文件夹中:WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=<two-digit 60-minute clock minute>/PT05M.json。 对 blob 的追加限制为 50-K 写入。 超过上限的 blob 将添加到文件夹中:PT05M_#.json*,其中 # 是增量 blob 计数。

注意

对 Blob 的追加基于“TimeGenerated”字段写入,并在接收源数据时发生。 延迟到达 Azure Monitor 或尝试在目标限制后重试的数据将根据其生成时间写入 Blob。

存储帐户中 Blob 的格式位于 JSON 行中,其中每个记录将由换行符分隔,JSON 记录之间没有外部记录数组和逗号。

Screenshot that shows data format in a blob.

事件中心

避免使用包含非监视数据的现有事件中心,以防止达到事件中心命名空间流入量速率限制,进而引发故障和延迟。

数据将在到达 Azure Monitor 时发送到事件中心并导出到位于工作区区域中的目标位置。 可以通过在规则中提供不同的 Event Hub name,为同一事件中心命名空间创建多个导出规则。 未提供 Event Hub name 时,会为导出的表创建默认事件中心,其名称为 am- 后跟表的名称。 例如,表 SecurityEvent 将发送到名为 am-SecurityEvent 的事件中心中。

每个“基本”和“标准”命名空间层支持的事件中心数为 10 个。 如果向这些层导出的表格超过 10 个,则可在多个导出规则之间将表格拆分到不同的事件中心命名空间,或提供事件中心名称,并将所有表格导出到该事件中心。

注意

  • “基本”事件中心命名空间层具有限制。 它支持较低的事件大小,且无自动扩充选项,无法自动纵向扩展和增加吞吐量单位的数量。 由于工作区的数据量随着时间的推移而增加,导致必须缩放事件中心,因此请使用启用了自动扩充功能的“标准”层、“高级”层或“专用”事件中心层。 有关详细信息,请参阅自动扩展 Azure 事件中心吞吐量单位
  • 启用虚拟网络后,数据导出无法访问事件中心资源。 必须选中“允许受信任服务列表中的 Azure 服务访问此存储帐户”复选框以绕过事件中心中的此防火墙设置,才能授予对事件中心的访问权限。

查询导出的数据

将数据从工作区导出到存储帐户有助于满足概述中提到的各种方案,并且可以由从存储帐户读取 Blob 的工具使用。 以下方法允许使用 Log Analytics 查询语言查询数据,这与 Azure 数据资源管理器相同。

  1. 使用 Azure 数据资源管理器查询 Azure Data Lake 中的数据
  2. 使用 Azure 数据资源管理器从存储帐户引入数据
  3. 使用 Log Analytics 工作区通过日志引入 API 查询引入的数据 。 引入的数据是自定义日志表,而不是原始表。

启用数据导出

需要执行以下步骤才能启用 Log Analytics 数据导出。 有关各个内容的详细信息,请参阅以下部分:

  • 注册资源提供程序
  • 允许受信任的 Microsoft 服务
  • 创建或更新数据导出规则

注册资源提供程序

需要在订阅中注册 Azure 资源提供程序 Microsoft.Insights 才能启用 Log Analytics 数据导出。

可能已为大多数 Azure Monitor 用户注册此资源提供程序。 若要验证,请转到 Azure 门户中的“订阅”。 选择订阅,然后在菜单的“设置”部分下选择“资源提供程序”。 找到 Microsoft.Insights。 如果其状态为“已注册”,表示已注册。 如果未注册,请选择“注册”进行注册。

还可使用任何可用的方法来注册资源提供程序,如 Azure 资源提供程序和类型中所述。 以下示例命令使用 Azure CLI:

az provider register --namespace 'Microsoft.insights'

以下示例命令使用 PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

允许受信任的 Microsoft 服务

如果你已将存储帐户配置为允许从所选网络进行访问,则需要添加一个例外来允许 Azure Monitor 写入帐户。 在存储帐户的“防火墙和虚拟网络”中,选择“允许受信任服务列表中的 Azure 服务访问此存储帐户”。

Screenshot that shows the option Allow Azure services on the trusted services list.

监视目标

重要

导出目标存在限制,应监视这些目标,以最大程度地减少限制、失败和延迟的情况。 有关详细信息,请参阅存储帐户可伸缩性事件中心命名空间配额

监视存储帐户

  1. 使用单独的存储帐户进行导出。

  2. 在指标上配置警报:

    作用域 指标命名空间 指标 聚合 阈值
    存储名称 帐户 流入量 Sum 每个警报评估期的最大流入量的 80%。 例如,在美国西部,常规用途 v2 的限制为 60Gbps。 警报阈值为每 5 分钟的评估期 1676 GiB。
  3. 警报修正操作:

    • 为不与非监视数据共享的导出使用单独的存储帐户。
    • Azure 存储标准帐户支持根据请求提高流入量上限。 要请求提高限制,请联系 Azure 支持
    • 在多个存储帐户之间拆分表。

监视事件中心

  1. 指标上配置警报:

    范围 指标命名空间 指标 聚合 阈值
    命名空间-名称 事件中心标准指标 传入字节数 Sum 每个警报评估期的最大流入量的 80%。 例如,限制为每个单位 1 MB/秒(TU 或 PU),使用 5 个单位。 阈值为每 5 分钟的评估期 228 MiB。
    命名空间-名称 事件中心标准指标 传入请求数 Count 每个警报评估期的最大事件数的 80%。 例如,限制为每个单位 1000/秒(TU 或 PU),使用 5 个单位。 阈值为每个 5 分钟的评估期 1,200,000。
    命名空间-名称 事件中心标准指标 超过限额错误 Count 请求的 1%。 例如,每 5 分钟的请求数为 600,000。 阈值为每个 5 分钟的评估期 6,000。
  2. 警报修正操作:

    • 为不与非监视数据共享的导出使用单独的事件中心命名空间。
    • 配置自动扩充功能来自动进行纵向扩展并增加吞吐量单位数,以满足使用需求。
    • 验证吞吐量单位是否增加以适应数据量。
    • 在更多命名空间之间拆分表。
    • 使用“高级”或“专用”层以获得更高的吞吐量。

创建或更新数据导出规则

数据导出规则定义导出数据的目标位置和表。 在启动导出操作之前,规则预配大约需要 30 分钟。 数据导出规则注意事项:

  • 存储帐户在工作区规则中必须是唯一的。
  • 发送到不同的事件中心时,多个规则可以使用同一事件中心命名空间。
  • 导出到存储帐户:在存储帐户中为每个表创建一个单独的容器。
  • 导出到事件中心:如果未提供事件中心名称,将为每个表创建一个单独的事件中心。 每个“基本”和“标准”命名空间层支持的事件中心数为 10 个。 如果向这些层导出的表格超过 10 个,则可在多个导出规则之间将表格拆分到不同的事件中心命名空间,或在规则中提供事件中心名称,并将所有表格导出到该事件中心。
  1. 在 Azure 门户的“Log Analytics 工作区”菜单中,从“设置”部分下选择“数据导出”。 选择窗格顶部的“新建导出规则”。

    Screenshot that shows the data export entry point.

  2. 按照步骤操作,然后选择“创建”。

    Screenshot of export rule configuration.

查看数据导出规则配置

  1. 在 Azure 门户的“Log Analytics 工作区”菜单中,从“设置”部分下选择“数据导出”。

    Screenshot that shows the Data Export screen.

  2. 选择配置视图的规则。

    Screenshot of data export rule view.

禁用或更新导出规则

对于特定时间段(例如执行测试时),可以禁用导出规则来停止导出。 在 Azure 门户的“Log Analytics 工作区”菜单中,从“设置”部分下选择“数据导出”。 选择“状态”切换开关,以禁用或启用导出规则。

Screenshot that shows disabling the data export rule.

删除导出规则

在 Azure 门户的“Log Analytics 工作区”菜单中,从“设置”部分下选择“数据导出”。 选择规则右侧的省略号,然后选择“删除”。

Screenshot that shows deleting the data export rule.

查看工作区中的所有数据导出规则

在 Azure 门户的“Log Analytics 工作区”菜单中,从“设置”部分下选择“数据导出”,以查看工作区中的所有导出规则。

Screenshot that shows the data export rules view.

不受支持的表

如果数据导出规则包含不受支持的表,配置不会失败,但不会导出该表的任何数据。 如果该表在之后得到支持,则将在那时导出其数据。

受支持的表

注意

我们正在添加对更多表的支持。 请定期查看本文。

 表  限制
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
警报 部分支持。 不支持 Zabbix 警报的数据引入。
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
异常
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureActivity 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureDiagnostics
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidentialWatchlist
ConfigurationData 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。
ContainerAppConsoleLogs
ContainerAppSystemLogs
容器事件
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksClusterLibraries
DatabricksClusters
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksInstancePools
DatabricksJobs
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEve
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。
活动 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
检测信号
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operation 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。
性能
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。
ServiceFabricReliableActorEvent 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。
ServiceFabricReliableServiceEvent 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXFailedIngestion
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
更新 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。
UpdateRunProgress
UpdateSummary
UrlClickEvents
使用情况
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。
W3CIISLog 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Watchlist
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement

后续步骤

从 Azure 数据资源管理器查询导出的数据