你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft.Insights dataCollectionRules
Bicep 资源定义
可以使用目标操作部署 dataCollectionRules 资源类型:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Insights/dataCollectionRules 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Insights/dataCollectionRules@2023-03-11' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
kind: 'string'
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
agentSettings: {
logs: [
{
name: 'string'
value: 'string'
}
]
}
dataCollectionEndpointId: 'string'
dataFlows: [
{
builtInTransform: 'string'
captureOverflow: bool
destinations: [
'string'
]
outputStream: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
dataSources: {
dataImports: {
eventHub: {
consumerGroup: 'string'
name: 'string'
stream: 'string'
}
}
extensions: [
{
extensionName: 'string'
extensionSettings: any()
inputDataSources: [
'string'
]
name: 'string'
streams: [
'string'
]
}
]
iisLogs: [
{
logDirectories: [
'string'
]
name: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
logFiles: [
{
filePatterns: [
'string'
]
format: 'string'
name: 'string'
settings: {
text: {
recordStartTimestampFormat: 'string'
}
}
streams: [
'string'
]
transformKql: 'string'
}
]
performanceCounters: [
{
counterSpecifiers: [
'string'
]
name: 'string'
samplingFrequencyInSeconds: int
streams: [
'string'
]
transformKql: 'string'
}
]
platformTelemetry: [
{
name: 'string'
streams: [
'string'
]
}
]
prometheusForwarder: [
{
labelIncludeFilter: {
{customized property}: 'string'
}
name: 'string'
streams: 'Microsoft-PrometheusMetrics'
}
]
syslog: [
{
facilityNames: [
'string'
]
logLevels: [
'string'
]
name: 'string'
streams: 'Microsoft-Syslog'
transformKql: 'string'
}
]
windowsEventLogs: [
{
name: 'string'
streams: [
'string'
]
transformKql: 'string'
xPathQueries: [
'string'
]
}
]
windowsFirewallLogs: [
{
name: 'string'
profileFilter: [
'string'
]
streams: [
'string'
]
}
]
}
description: 'string'
destinations: {
azureDataExplorer: [
{
databaseName: 'string'
name: 'string'
resourceId: 'string'
}
]
azureMonitorMetrics: {
name: 'string'
}
eventHubs: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
eventHubsDirect: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
logAnalytics: [
{
name: 'string'
workspaceResourceId: 'string'
}
]
microsoftFabric: [
{
artifactId: 'string'
databaseName: 'string'
ingestionUri: 'string'
name: 'string'
tenantId: 'string'
}
]
monitoringAccounts: [
{
accountResourceId: 'string'
name: 'string'
}
]
storageAccounts: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageBlobsDirect: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageTablesDirect: [
{
name: 'string'
storageAccountResourceId: 'string'
tableName: 'string'
}
]
}
references: {
enrichmentData: {
storageBlobs: [
{
blobUrl: 'string'
lookupType: 'string'
name: 'string'
resourceId: 'string'
}
]
}
}
streamDeclarations: {
{customized property}: {
columns: [
{
name: 'string'
type: 'string'
}
]
}
}
}
}
属性值
dataCollectionRules
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 资源名称 | string (必需) |
| 位置 | 资源所在的地理位置。 | string (必需) |
| 标签 | 资源标记。 | 标记名称和值的字典。 请参阅模板 中的 |
| 类 | 资源的种类。 | “Linux” “Windows” |
| 身份 | 资源的托管服务标识。 | DataCollectionRuleResourceIdentity |
| 性能 | 资源属性。 | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| 名字 | 描述 | 价值 |
|---|---|---|
| 类型 | 托管服务标识的类型(其中允许 SystemAssigned 和 UserAssigned 类型)。 | “None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned”(必需) |
| userAssignedIdentities | 与资源关联的用户分配标识集。 userAssignedIdentities 字典密钥将为 ARM 资源 ID,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 字典值可以是请求中的空对象({})。 | UserAssignedIdentities |
UserAssignedIdentities
| 名字 | 描述 | 价值 |
|---|---|---|
| {自定义属性} | UserAssignedIdentity |
UserAssignedIdentity
此对象不包含在部署期间设置的任何属性。 所有属性都是 ReadOnly。
DataCollectionRuleResourceProperties
| 名字 | 描述 | 价值 |
|---|---|---|
| agentSettings | 用于修改给定主机上的代理行为的代理设置 | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | 此规则可用于的数据收集终结点的资源 ID。 | 字符串 |
| dataFlows | 数据流的规范。 | DataFlow[] |
| dataSources | 数据源的规范。 此属性是可选的,如果规则旨在通过对预配的终结点的直接调用使用,则可以省略此属性。 |
DataCollectionRuleDataSources |
| 描述 | 数据收集规则的说明。 | 字符串 |
| 目的地 | 目标的规范。 | DataCollectionRuleDestinations |
| 引用 | 定义可在 DCR 的其他部分使用的所有引用 | DataCollectionRuleReferences |
| streamDeclarations | 此规则中使用的自定义流的声明。 | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| 名字 | 描述 | 价值 |
|---|---|---|
| 原木 | 适用于日志代理的所有设置(AMA) | AgentSetting[] |
AgentSetting
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 设置的名称。 必须是受支持设置列表的一部分 |
“MaxDiskQuotaInMB” “UseTimeReceivedForForwardedEvents” |
| 价值 | 设置的值 | 字符串 |
数据流
| 名字 | 描述 | 价值 |
|---|---|---|
| builtInTransform | 用于转换流数据的 builtIn 转换 | 字符串 |
| captureOverflow | 用于在 LA 目标中启用溢出列的标志 | bool |
| 目的地 | 此数据流的目标列表。 | string[] |
| outputStream | 转换的输出流。 仅当转换将数据更改为其他流时,才是必需的。 | 字符串 |
| 流 | 此数据流的流列表。 | 包含任一项的字符串数组: “Microsoft-event” “Microsoft-InsightsMetrics” “Microsoft-Perf” “Microsoft-Syslog” “Microsoft-WindowsEvent” |
| transformKql | 用于转换流数据的 KQL 查询。 | 字符串 |
DataCollectionRuleDataSources
| 名字 | 描述 | 价值 |
|---|---|---|
| dataImports | 基于拉取的数据源的规范 | DataSourcesSpecDataImports |
| 扩展 | Azure VM 扩展数据源配置的列表。 | ExtensionDataSource[] |
| iisLogs | IIS 日志源配置的列表。 | IisLogsDataSource[] |
| logFiles | 日志文件源配置的列表。 | LogFilesDataSource[] |
| performanceCounters | 性能计数器数据源配置的列表。 | PerfCounterDataSource[] |
| platformTelemetry | 平台遥测配置列表 | PlatformTelemetryDataSource[] |
| prometheusForwarder | Prometheus 转发器数据源配置的列表。 | PrometheusForwarderDataSource[] |
| syslog | Syslog 数据源配置的列表。 | SyslogDataSource[] |
| windowsEventLogs | Windows 事件日志数据源配置的列表。 | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Windows 防火墙日志源配置的列表。 | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| 名字 | 描述 | 价值 |
|---|---|---|
| eventHub | 事件中心配置的定义。 | DataImportSourcesEventHub |
DataImportSourcesEventHub
| 名字 | 描述 | 价值 |
|---|---|---|
| consumerGroup | 事件中心使用者组名称 | 字符串 |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 要从 EventHub 收集的流 | 字符串 |
ExtensionDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| extensionName | VM 扩展的名称。 | string (必需) |
| extensionSettings | 扩展设置。 该格式特定于特定扩展。 | 对于 Bicep,可以使用 any() 函数。 |
| inputDataSources | 此扩展插件需要数据的数据源列表。 | string[] |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-event” “Microsoft-InsightsMetrics” “Microsoft-Perf” “Microsoft-Syslog” “Microsoft-WindowsEvent” |
IisLogsDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| logDirectories | 绝对路径文件位置 | string[] |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | IIS 流 | string[] (必需) |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
LogFilesDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| filePatterns | 日志文件所在的文件模式 | string[] (必需) |
| 格式 | 日志文件的数据格式 | “json” “text”(必需) |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 设置 | 日志文件特定设置。 | LogFilesDataSourceSettings |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据源的架构 |
string[] (必需) |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
LogFilesDataSourceSettings
| 名字 | 描述 | 价值 |
|---|---|---|
| 发短信 | 文本设置 | LogFileSettingsText |
LogFileSettingsText
| 名字 | 描述 | 价值 |
|---|---|---|
| recordStartTimestampFormat | 支持的时间戳格式之一 | “ISO 8601” 'M/D/YYYY HH:MM:SS AM/PM' 'MMM d hh:mm:ss' “Mon DD, YYYY HH:MM:SS” “YYYY-MM-DD HH:MM:SS” 'dd/MMM/yyyy:HH:mm:ss zzz' 'ddMMyy HH:mm:ss' 'yyMMdd HH:mm:ss' 'yyyy-MM-ddTHH:mm:ssK' (必需) |
PerfCounterDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| counterSpecifiers | 要收集的性能计数器说明符名称的列表。 使用通配符 \ 为所有实例收集计数器。 若要获取 Windows 上的性能计数器列表,请运行命令“typeperf”。 |
string[] |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| samplingFrequencyInSeconds | 连续计数器度量(样本)之间的秒数。 | int |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-InsightsMetrics” “Microsoft-Perf” |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
PlatformTelemetryDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 要收集的平台遥测流列表 | string[] (必需) |
PrometheusForwarderDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| labelIncludeFilter | 标签包含筛选器的列表,格式为标签“name-value”对。 目前仅支持一个标签:“microsoft_metrics_include_label”。 标签值不区分大小写。 |
PrometheusForwarderDataSourceLabelIncludeFilter |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 | 包含任一项的字符串数组: “Microsoft-PrometheusMetrics” |
PrometheusForwarderDataSourceLabelIncludeFilter
| 名字 | 描述 | 价值 |
|---|---|---|
| {自定义属性} | 字符串 |
SyslogDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| facilityNames | 设施名称的列表。 | 包含任一项的字符串数组: '*' “alert” “audit” “auth” “authpriv” “clock” 'cron' “守护程序” “ftp” “kern” “local0” “local1” “local2” “local3” “local4” “local5” “local6” “local7” 'lpr' “mail” “mark” “新闻” “nopri” “ntp” “syslog” “user” “uucp” |
| logLevels | 要收集的日志级别。 | 包含任一项的字符串数组: '*' “Alert” “Critical” “Debug” “紧急” “Error” “Info” “注意” “Warning” |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-Syslog” |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
WindowsEventLogDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-event” “Microsoft-WindowsEvent” |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
| xPathQueries | XPATH 格式的 Windows 事件日志查询列表。 | string[] |
WindowsFirewallLogsDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| profileFilter | 防火墙日志配置文件筛选器 | 包含任一项的字符串数组: “域” “Private” “Public” |
| 流 | 防火墙日志流 | string[] (必需) |
DataCollectionRuleDestinations
| 名字 | 描述 | 价值 |
|---|---|---|
| azureDataExplorer | Azure 数据资源管理器目标列表。 | AdxDestination[] |
| azureMonitorMetrics | Azure Monitor 指标目标。 | DestinationsSpecAzureMonitorMetrics |
| eventHubs | 事件中心目标列表。 | EventHubDestination[] |
| eventHubsDirect | 事件中心直接目标列表。 | EventHubDirectDestination[] |
| logAnalytics | Log Analytics 目标列表。 | LogAnalyticsDestination[] |
| microsoftFabric | Microsoft Fabric 目标的列表。 | MicrosoftFabricDestination[] |
| monitoringAccounts | 监视帐户目标列表。 | MonitoringAccountDestination[] |
| storageAccounts | 存储帐户目标列表。 | StorageBlobDestination[] |
| storageBlobsDirect | 存储 Blob Direct 目标的列表。 仅用于将数据直接从代理发送到存储。 | StorageBlobDestination[] |
| storageTablesDirect | 存储表直接目标的列表。 | StorageTableDestination[] |
AdxDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| databaseName | 将数据引入到的数据库的名称。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| resourceId | Adx 资源的 ARM 资源 ID。 | 字符串 |
DestinationsSpecAzureMonitorMetrics
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
EventHubDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| eventHubResourceId | 事件中心的资源 ID。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
EventHubDirectDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| eventHubResourceId | 事件中心的资源 ID。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
LogAnalyticsDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| workspaceResourceId | Log Analytics 工作区的资源 ID。 | 字符串 |
MicrosoftFabricDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| artifactId | Microsoft Fabric 资源的项目 ID。 | 字符串 |
| databaseName | 将数据引入到的数据库的名称。 | 字符串 |
| ingestionUri | Microsoft Fabric 资源的引入 URI。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| tenantId | Microsoft Fabric 资源的租户 ID。 | 字符串 |
MonitoringAccountDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| accountResourceId | 监视帐户的资源 ID。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
StorageBlobDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| containerName | 存储 Blob 的容器名称。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| storageAccountResourceId | 存储帐户的资源 ID。 | 字符串 |
StorageTableDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| storageAccountResourceId | 存储帐户的资源 ID。 | 字符串 |
| tableName | 存储表的名称。 | 字符串 |
DataCollectionRuleReferences
| 名字 | 描述 | 价值 |
|---|---|---|
| 扩充数据 | 数据流中引用的所有扩充数据源 | ReferencesSpecEnrichmentData |
ReferencesSpecEnrichmentData
| 名字 | 描述 | 价值 |
|---|---|---|
| storageBlobs | 用作扩充数据源的所有存储 Blob | StorageBlob[] |
StorageBlob
| 名字 | 描述 | 价值 |
|---|---|---|
| blobUrl | 存储 Blob 的 URL | 字符串 |
| lookupType | 要对 Blob 执行的查找类型 | “Cidr” “String” |
| 名字 | 在数据流中引用此数据源时用作别名的扩充数据源的名称 | 字符串 |
| resourceId | 托管 Blob 的存储帐户的资源 ID | 字符串 |
DataCollectionRuleStreamDeclarations
| 名字 | 描述 | 价值 |
|---|---|---|
| {自定义属性} | StreamDeclaration |
StreamDeclaration
| 名字 | 描述 | 价值 |
|---|---|---|
| 列 | 此流中的数据使用的列列表。 | ColumnDefinition[] |
ColumnDefinition
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 列的名称。 | 字符串 |
| 类型 | 列数据的类型。 | “boolean” “datetime” “dynamic” “int” “long” “real” “string” |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 描述 |
|---|---|
部署 Darktrace 自动缩放 vSensors
|
此模板允许你部署 Darktrace vSensors 的自动自动缩放部署 |
| Syslog 的
|
此模板创建定义数据源(Syslog)和目标工作区的数据收集规则。 |
ARM 模板资源定义
可以使用目标操作部署 dataCollectionRules 资源类型:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Insights/dataCollectionRules 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.Insights/dataCollectionRules",
"apiVersion": "2023-03-11",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"kind": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"agentSettings": {
"logs": [
{
"name": "string",
"value": "string"
}
]
},
"dataCollectionEndpointId": "string",
"dataFlows": [
{
"builtInTransform": "string",
"captureOverflow": "bool",
"destinations": [ "string" ],
"outputStream": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"dataSources": {
"dataImports": {
"eventHub": {
"consumerGroup": "string",
"name": "string",
"stream": "string"
}
},
"extensions": [
{
"extensionName": "string",
"extensionSettings": {},
"inputDataSources": [ "string" ],
"name": "string",
"streams": [ "string" ]
}
],
"iisLogs": [
{
"logDirectories": [ "string" ],
"name": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"logFiles": [
{
"filePatterns": [ "string" ],
"format": "string",
"name": "string",
"settings": {
"text": {
"recordStartTimestampFormat": "string"
}
},
"streams": [ "string" ],
"transformKql": "string"
}
],
"performanceCounters": [
{
"counterSpecifiers": [ "string" ],
"name": "string",
"samplingFrequencyInSeconds": "int",
"streams": [ "string" ],
"transformKql": "string"
}
],
"platformTelemetry": [
{
"name": "string",
"streams": [ "string" ]
}
],
"prometheusForwarder": [
{
"labelIncludeFilter": {
"{customized property}": "string"
},
"name": "string",
"streams": "Microsoft-PrometheusMetrics"
}
],
"syslog": [
{
"facilityNames": [ "string" ],
"logLevels": [ "string" ],
"name": "string",
"streams": "Microsoft-Syslog",
"transformKql": "string"
}
],
"windowsEventLogs": [
{
"name": "string",
"streams": [ "string" ],
"transformKql": "string",
"xPathQueries": [ "string" ]
}
],
"windowsFirewallLogs": [
{
"name": "string",
"profileFilter": [ "string" ],
"streams": [ "string" ]
}
]
},
"description": "string",
"destinations": {
"azureDataExplorer": [
{
"databaseName": "string",
"name": "string",
"resourceId": "string"
}
],
"azureMonitorMetrics": {
"name": "string"
},
"eventHubs": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"eventHubsDirect": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"logAnalytics": [
{
"name": "string",
"workspaceResourceId": "string"
}
],
"microsoftFabric": [
{
"artifactId": "string",
"databaseName": "string",
"ingestionUri": "string",
"name": "string",
"tenantId": "string"
}
],
"monitoringAccounts": [
{
"accountResourceId": "string",
"name": "string"
}
],
"storageAccounts": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageBlobsDirect": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageTablesDirect": [
{
"name": "string",
"storageAccountResourceId": "string",
"tableName": "string"
}
]
},
"references": {
"enrichmentData": {
"storageBlobs": [
{
"blobUrl": "string",
"lookupType": "string",
"name": "string",
"resourceId": "string"
}
]
}
},
"streamDeclarations": {
"{customized property}": {
"columns": [
{
"name": "string",
"type": "string"
}
]
}
}
}
}
属性值
dataCollectionRules
| 名字 | 描述 | 价值 |
|---|---|---|
| 类型 | 资源类型 | “Microsoft.Insights/dataCollectionRules” |
| apiVersion | 资源 API 版本 | '2023-03-11' |
| 名字 | 资源名称 | string (必需) |
| 位置 | 资源所在的地理位置。 | string (必需) |
| 标签 | 资源标记。 | 标记名称和值的字典。 请参阅模板 中的 |
| 类 | 资源的种类。 | “Linux” “Windows” |
| 身份 | 资源的托管服务标识。 | DataCollectionRuleResourceIdentity |
| 性能 | 资源属性。 | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| 名字 | 描述 | 价值 |
|---|---|---|
| 类型 | 托管服务标识的类型(其中允许 SystemAssigned 和 UserAssigned 类型)。 | “None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned”(必需) |
| userAssignedIdentities | 与资源关联的用户分配标识集。 userAssignedIdentities 字典密钥将为 ARM 资源 ID,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 字典值可以是请求中的空对象({})。 | UserAssignedIdentities |
UserAssignedIdentities
| 名字 | 描述 | 价值 |
|---|---|---|
| {自定义属性} | UserAssignedIdentity |
UserAssignedIdentity
此对象不包含在部署期间设置的任何属性。 所有属性都是 ReadOnly。
DataCollectionRuleResourceProperties
| 名字 | 描述 | 价值 |
|---|---|---|
| agentSettings | 用于修改给定主机上的代理行为的代理设置 | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | 此规则可用于的数据收集终结点的资源 ID。 | 字符串 |
| dataFlows | 数据流的规范。 | DataFlow[] |
| dataSources | 数据源的规范。 此属性是可选的,如果规则旨在通过对预配的终结点的直接调用使用,则可以省略此属性。 |
DataCollectionRuleDataSources |
| 描述 | 数据收集规则的说明。 | 字符串 |
| 目的地 | 目标的规范。 | DataCollectionRuleDestinations |
| 引用 | 定义可在 DCR 的其他部分使用的所有引用 | DataCollectionRuleReferences |
| streamDeclarations | 此规则中使用的自定义流的声明。 | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| 名字 | 描述 | 价值 |
|---|---|---|
| 原木 | 适用于日志代理的所有设置(AMA) | AgentSetting[] |
AgentSetting
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 设置的名称。 必须是受支持设置列表的一部分 |
“MaxDiskQuotaInMB” “UseTimeReceivedForForwardedEvents” |
| 价值 | 设置的值 | 字符串 |
数据流
| 名字 | 描述 | 价值 |
|---|---|---|
| builtInTransform | 用于转换流数据的 builtIn 转换 | 字符串 |
| captureOverflow | 用于在 LA 目标中启用溢出列的标志 | bool |
| 目的地 | 此数据流的目标列表。 | string[] |
| outputStream | 转换的输出流。 仅当转换将数据更改为其他流时,才是必需的。 | 字符串 |
| 流 | 此数据流的流列表。 | 包含任一项的字符串数组: “Microsoft-event” “Microsoft-InsightsMetrics” “Microsoft-Perf” “Microsoft-Syslog” “Microsoft-WindowsEvent” |
| transformKql | 用于转换流数据的 KQL 查询。 | 字符串 |
DataCollectionRuleDataSources
| 名字 | 描述 | 价值 |
|---|---|---|
| dataImports | 基于拉取的数据源的规范 | DataSourcesSpecDataImports |
| 扩展 | Azure VM 扩展数据源配置的列表。 | ExtensionDataSource[] |
| iisLogs | IIS 日志源配置的列表。 | IisLogsDataSource[] |
| logFiles | 日志文件源配置的列表。 | LogFilesDataSource[] |
| performanceCounters | 性能计数器数据源配置的列表。 | PerfCounterDataSource[] |
| platformTelemetry | 平台遥测配置列表 | PlatformTelemetryDataSource[] |
| prometheusForwarder | Prometheus 转发器数据源配置的列表。 | PrometheusForwarderDataSource[] |
| syslog | Syslog 数据源配置的列表。 | SyslogDataSource[] |
| windowsEventLogs | Windows 事件日志数据源配置的列表。 | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Windows 防火墙日志源配置的列表。 | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| 名字 | 描述 | 价值 |
|---|---|---|
| eventHub | 事件中心配置的定义。 | DataImportSourcesEventHub |
DataImportSourcesEventHub
| 名字 | 描述 | 价值 |
|---|---|---|
| consumerGroup | 事件中心使用者组名称 | 字符串 |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 要从 EventHub 收集的流 | 字符串 |
ExtensionDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| extensionName | VM 扩展的名称。 | string (必需) |
| extensionSettings | 扩展设置。 该格式特定于特定扩展。 | |
| inputDataSources | 此扩展插件需要数据的数据源列表。 | string[] |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-event” “Microsoft-InsightsMetrics” “Microsoft-Perf” “Microsoft-Syslog” “Microsoft-WindowsEvent” |
IisLogsDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| logDirectories | 绝对路径文件位置 | string[] |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | IIS 流 | string[] (必需) |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
LogFilesDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| filePatterns | 日志文件所在的文件模式 | string[] (必需) |
| 格式 | 日志文件的数据格式 | “json” “text”(必需) |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 设置 | 日志文件特定设置。 | LogFilesDataSourceSettings |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据源的架构 |
string[] (必需) |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
LogFilesDataSourceSettings
| 名字 | 描述 | 价值 |
|---|---|---|
| 发短信 | 文本设置 | LogFileSettingsText |
LogFileSettingsText
| 名字 | 描述 | 价值 |
|---|---|---|
| recordStartTimestampFormat | 支持的时间戳格式之一 | “ISO 8601” 'M/D/YYYY HH:MM:SS AM/PM' 'MMM d hh:mm:ss' “Mon DD, YYYY HH:MM:SS” “YYYY-MM-DD HH:MM:SS” 'dd/MMM/yyyy:HH:mm:ss zzz' 'ddMMyy HH:mm:ss' 'yyMMdd HH:mm:ss' 'yyyy-MM-ddTHH:mm:ssK' (必需) |
PerfCounterDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| counterSpecifiers | 要收集的性能计数器说明符名称的列表。 使用通配符 \ 为所有实例收集计数器。 若要获取 Windows 上的性能计数器列表,请运行命令“typeperf”。 |
string[] |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| samplingFrequencyInSeconds | 连续计数器度量(样本)之间的秒数。 | int |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-InsightsMetrics” “Microsoft-Perf” |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
PlatformTelemetryDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 要收集的平台遥测流列表 | string[] (必需) |
PrometheusForwarderDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| labelIncludeFilter | 标签包含筛选器的列表,格式为标签“name-value”对。 目前仅支持一个标签:“microsoft_metrics_include_label”。 标签值不区分大小写。 |
PrometheusForwarderDataSourceLabelIncludeFilter |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 | 包含任一项的字符串数组: “Microsoft-PrometheusMetrics” |
PrometheusForwarderDataSourceLabelIncludeFilter
| 名字 | 描述 | 价值 |
|---|---|---|
| {自定义属性} | 字符串 |
SyslogDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| facilityNames | 设施名称的列表。 | 包含任一项的字符串数组: '*' “alert” “audit” “auth” “authpriv” “clock” 'cron' “守护程序” “ftp” “kern” “local0” “local1” “local2” “local3” “local4” “local5” “local6” “local7” 'lpr' “mail” “mark” “新闻” “nopri” “ntp” “syslog” “user” “uucp” |
| logLevels | 要收集的日志级别。 | 包含任一项的字符串数组: '*' “Alert” “Critical” “Debug” “紧急” “Error” “Info” “注意” “Warning” |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-Syslog” |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
WindowsEventLogDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-event” “Microsoft-WindowsEvent” |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
| xPathQueries | XPATH 格式的 Windows 事件日志查询列表。 | string[] |
WindowsFirewallLogsDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| profileFilter | 防火墙日志配置文件筛选器 | 包含任一项的字符串数组: “域” “Private” “Public” |
| 流 | 防火墙日志流 | string[] (必需) |
DataCollectionRuleDestinations
| 名字 | 描述 | 价值 |
|---|---|---|
| azureDataExplorer | Azure 数据资源管理器目标列表。 | AdxDestination[] |
| azureMonitorMetrics | Azure Monitor 指标目标。 | DestinationsSpecAzureMonitorMetrics |
| eventHubs | 事件中心目标列表。 | EventHubDestination[] |
| eventHubsDirect | 事件中心直接目标列表。 | EventHubDirectDestination[] |
| logAnalytics | Log Analytics 目标列表。 | LogAnalyticsDestination[] |
| microsoftFabric | Microsoft Fabric 目标的列表。 | MicrosoftFabricDestination[] |
| monitoringAccounts | 监视帐户目标列表。 | MonitoringAccountDestination[] |
| storageAccounts | 存储帐户目标列表。 | StorageBlobDestination[] |
| storageBlobsDirect | 存储 Blob Direct 目标的列表。 仅用于将数据直接从代理发送到存储。 | StorageBlobDestination[] |
| storageTablesDirect | 存储表直接目标的列表。 | StorageTableDestination[] |
AdxDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| databaseName | 将数据引入到的数据库的名称。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| resourceId | Adx 资源的 ARM 资源 ID。 | 字符串 |
DestinationsSpecAzureMonitorMetrics
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
EventHubDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| eventHubResourceId | 事件中心的资源 ID。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
EventHubDirectDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| eventHubResourceId | 事件中心的资源 ID。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
LogAnalyticsDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| workspaceResourceId | Log Analytics 工作区的资源 ID。 | 字符串 |
MicrosoftFabricDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| artifactId | Microsoft Fabric 资源的项目 ID。 | 字符串 |
| databaseName | 将数据引入到的数据库的名称。 | 字符串 |
| ingestionUri | Microsoft Fabric 资源的引入 URI。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| tenantId | Microsoft Fabric 资源的租户 ID。 | 字符串 |
MonitoringAccountDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| accountResourceId | 监视帐户的资源 ID。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
StorageBlobDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| containerName | 存储 Blob 的容器名称。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| storageAccountResourceId | 存储帐户的资源 ID。 | 字符串 |
StorageTableDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| storageAccountResourceId | 存储帐户的资源 ID。 | 字符串 |
| tableName | 存储表的名称。 | 字符串 |
DataCollectionRuleReferences
| 名字 | 描述 | 价值 |
|---|---|---|
| 扩充数据 | 数据流中引用的所有扩充数据源 | ReferencesSpecEnrichmentData |
ReferencesSpecEnrichmentData
| 名字 | 描述 | 价值 |
|---|---|---|
| storageBlobs | 用作扩充数据源的所有存储 Blob | StorageBlob[] |
StorageBlob
| 名字 | 描述 | 价值 |
|---|---|---|
| blobUrl | 存储 Blob 的 URL | 字符串 |
| lookupType | 要对 Blob 执行的查找类型 | “Cidr” “String” |
| 名字 | 在数据流中引用此数据源时用作别名的扩充数据源的名称 | 字符串 |
| resourceId | 托管 Blob 的存储帐户的资源 ID | 字符串 |
DataCollectionRuleStreamDeclarations
| 名字 | 描述 | 价值 |
|---|---|---|
| {自定义属性} | StreamDeclaration |
StreamDeclaration
| 名字 | 描述 | 价值 |
|---|---|---|
| 列 | 此流中的数据使用的列列表。 | ColumnDefinition[] |
ColumnDefinition
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 列的名称。 | 字符串 |
| 类型 | 列数据的类型。 | “boolean” “datetime” “dynamic” “int” “long” “real” “string” |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 描述 |
|---|---|
|
部署 Darktrace 自动缩放 vSensors
|
此模板允许你部署 Darktrace vSensors 的自动自动缩放部署 |
| Syslog 的
|
此模板创建定义数据源(Syslog)和目标工作区的数据收集规则。 |
Terraform (AzAPI 提供程序)资源定义
可以使用目标操作部署 dataCollectionRules 资源类型:
- 资源组
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Insights/dataCollectionRules 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Insights/dataCollectionRules@2023-03-11"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
agentSettings = {
logs = [
{
name = "string"
value = "string"
}
]
}
dataCollectionEndpointId = "string"
dataFlows = [
{
builtInTransform = "string"
captureOverflow = bool
destinations = [
"string"
]
outputStream = "string"
streams = [
"string"
]
transformKql = "string"
}
]
dataSources = {
dataImports = {
eventHub = {
consumerGroup = "string"
name = "string"
stream = "string"
}
}
extensions = [
{
extensionName = "string"
inputDataSources = [
"string"
]
name = "string"
streams = [
"string"
]
}
]
iisLogs = [
{
logDirectories = [
"string"
]
name = "string"
streams = [
"string"
]
transformKql = "string"
}
]
logFiles = [
{
filePatterns = [
"string"
]
format = "string"
name = "string"
settings = {
text = {
recordStartTimestampFormat = "string"
}
}
streams = [
"string"
]
transformKql = "string"
}
]
performanceCounters = [
{
counterSpecifiers = [
"string"
]
name = "string"
samplingFrequencyInSeconds = int
streams = [
"string"
]
transformKql = "string"
}
]
platformTelemetry = [
{
name = "string"
streams = [
"string"
]
}
]
prometheusForwarder = [
{
labelIncludeFilter = {
{customized property} = "string"
}
name = "string"
streams = "Microsoft-PrometheusMetrics"
}
]
syslog = [
{
facilityNames = [
"string"
]
logLevels = [
"string"
]
name = "string"
streams = "Microsoft-Syslog"
transformKql = "string"
}
]
windowsEventLogs = [
{
name = "string"
streams = [
"string"
]
transformKql = "string"
xPathQueries = [
"string"
]
}
]
windowsFirewallLogs = [
{
name = "string"
profileFilter = [
"string"
]
streams = [
"string"
]
}
]
}
description = "string"
destinations = {
azureDataExplorer = [
{
databaseName = "string"
name = "string"
resourceId = "string"
}
]
azureMonitorMetrics = {
name = "string"
}
eventHubs = [
{
eventHubResourceId = "string"
name = "string"
}
]
eventHubsDirect = [
{
eventHubResourceId = "string"
name = "string"
}
]
logAnalytics = [
{
name = "string"
workspaceResourceId = "string"
}
]
microsoftFabric = [
{
artifactId = "string"
databaseName = "string"
ingestionUri = "string"
name = "string"
tenantId = "string"
}
]
monitoringAccounts = [
{
accountResourceId = "string"
name = "string"
}
]
storageAccounts = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageBlobsDirect = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageTablesDirect = [
{
name = "string"
storageAccountResourceId = "string"
tableName = "string"
}
]
}
references = {
enrichmentData = {
storageBlobs = [
{
blobUrl = "string"
lookupType = "string"
name = "string"
resourceId = "string"
}
]
}
}
streamDeclarations = {
{customized property} = {
columns = [
{
name = "string"
type = "string"
}
]
}
}
}
kind = "string"
})
}
属性值
dataCollectionRules
| 名字 | 描述 | 价值 |
|---|---|---|
| 类型 | 资源类型 | “Microsoft.Insights/dataCollectionRules@2023-03-11” |
| 名字 | 资源名称 | string (必需) |
| 位置 | 资源所在的地理位置。 | string (必需) |
| parent_id | 若要部署到资源组,请使用该资源组的 ID。 | string (必需) |
| 标签 | 资源标记。 | 标记名称和值的字典。 |
| 类 | 资源的种类。 | “Linux” “Windows” |
| 身份 | 资源的托管服务标识。 | DataCollectionRuleResourceIdentity |
| 性能 | 资源属性。 | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| 名字 | 描述 | 价值 |
|---|---|---|
| 类型 | 托管服务标识的类型(其中允许 SystemAssigned 和 UserAssigned 类型)。 | “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned”(必需) |
| identity_ids | 与资源关联的用户分配标识集。 userAssignedIdentities 字典密钥将为 ARM 资源 ID,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 字典值可以是请求中的空对象({})。 | 用户标识 ID 的数组。 |
UserAssignedIdentities
| 名字 | 描述 | 价值 |
|---|---|---|
| {自定义属性} | UserAssignedIdentity |
UserAssignedIdentity
此对象不包含在部署期间设置的任何属性。 所有属性都是 ReadOnly。
DataCollectionRuleResourceProperties
| 名字 | 描述 | 价值 |
|---|---|---|
| agentSettings | 用于修改给定主机上的代理行为的代理设置 | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | 此规则可用于的数据收集终结点的资源 ID。 | 字符串 |
| dataFlows | 数据流的规范。 | DataFlow[] |
| dataSources | 数据源的规范。 此属性是可选的,如果规则旨在通过对预配的终结点的直接调用使用,则可以省略此属性。 |
DataCollectionRuleDataSources |
| 描述 | 数据收集规则的说明。 | 字符串 |
| 目的地 | 目标的规范。 | DataCollectionRuleDestinations |
| 引用 | 定义可在 DCR 的其他部分使用的所有引用 | DataCollectionRuleReferences |
| streamDeclarations | 此规则中使用的自定义流的声明。 | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| 名字 | 描述 | 价值 |
|---|---|---|
| 原木 | 适用于日志代理的所有设置(AMA) | AgentSetting[] |
AgentSetting
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 设置的名称。 必须是受支持设置列表的一部分 |
“MaxDiskQuotaInMB” “UseTimeReceivedForForwardedEvents” |
| 价值 | 设置的值 | 字符串 |
数据流
| 名字 | 描述 | 价值 |
|---|---|---|
| builtInTransform | 用于转换流数据的 builtIn 转换 | 字符串 |
| captureOverflow | 用于在 LA 目标中启用溢出列的标志 | bool |
| 目的地 | 此数据流的目标列表。 | string[] |
| outputStream | 转换的输出流。 仅当转换将数据更改为其他流时,才是必需的。 | 字符串 |
| 流 | 此数据流的流列表。 | 包含任一项的字符串数组: “Microsoft-Event” “Microsoft-InsightsMetrics” “Microsoft-Perf” “Microsoft-Syslog” “Microsoft-WindowsEvent” |
| transformKql | 用于转换流数据的 KQL 查询。 | 字符串 |
DataCollectionRuleDataSources
| 名字 | 描述 | 价值 |
|---|---|---|
| dataImports | 基于拉取的数据源的规范 | DataSourcesSpecDataImports |
| 扩展 | Azure VM 扩展数据源配置的列表。 | ExtensionDataSource[] |
| iisLogs | IIS 日志源配置的列表。 | IisLogsDataSource[] |
| logFiles | 日志文件源配置的列表。 | LogFilesDataSource[] |
| performanceCounters | 性能计数器数据源配置的列表。 | PerfCounterDataSource[] |
| platformTelemetry | 平台遥测配置列表 | PlatformTelemetryDataSource[] |
| prometheusForwarder | Prometheus 转发器数据源配置的列表。 | PrometheusForwarderDataSource[] |
| syslog | Syslog 数据源配置的列表。 | SyslogDataSource[] |
| windowsEventLogs | Windows 事件日志数据源配置的列表。 | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Windows 防火墙日志源配置的列表。 | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| 名字 | 描述 | 价值 |
|---|---|---|
| eventHub | 事件中心配置的定义。 | DataImportSourcesEventHub |
DataImportSourcesEventHub
| 名字 | 描述 | 价值 |
|---|---|---|
| consumerGroup | 事件中心使用者组名称 | 字符串 |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 要从 EventHub 收集的流 | 字符串 |
ExtensionDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| extensionName | VM 扩展的名称。 | string (必需) |
| extensionSettings | 扩展设置。 该格式特定于特定扩展。 | |
| inputDataSources | 此扩展插件需要数据的数据源列表。 | string[] |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-Event” “Microsoft-InsightsMetrics” “Microsoft-Perf” “Microsoft-Syslog” “Microsoft-WindowsEvent” |
IisLogsDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| logDirectories | 绝对路径文件位置 | string[] |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | IIS 流 | string[] (必需) |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
LogFilesDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| filePatterns | 日志文件所在的文件模式 | string[] (必需) |
| 格式 | 日志文件的数据格式 | “json” “text”(必需) |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 设置 | 日志文件特定设置。 | LogFilesDataSourceSettings |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据源的架构 |
string[] (必需) |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
LogFilesDataSourceSettings
| 名字 | 描述 | 价值 |
|---|---|---|
| 发短信 | 文本设置 | LogFileSettingsText |
LogFileSettingsText
| 名字 | 描述 | 价值 |
|---|---|---|
| recordStartTimestampFormat | 支持的时间戳格式之一 | “ISO 8601” “M/D/YYYY HH:MM:SS AM/PM” “MMM d hh:mm:ss” “Mon DD, YYYY HH:MM:SS” “YYYY-MM-DD HH:MM:SS” “dd/MMM/yyyy:HH:mm:ss zzz” “ddMMyy HH:mm:ss” “yyMMdd HH:mm:ss” “yyyy-MM-ddTHH:mm:ssK” (必需) |
PerfCounterDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| counterSpecifiers | 要收集的性能计数器说明符名称的列表。 使用通配符 \ 为所有实例收集计数器。 若要获取 Windows 上的性能计数器列表,请运行命令“typeperf”。 |
string[] |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| samplingFrequencyInSeconds | 连续计数器度量(样本)之间的秒数。 | int |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-InsightsMetrics” “Microsoft-Perf” |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
PlatformTelemetryDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 要收集的平台遥测流列表 | string[] (必需) |
PrometheusForwarderDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| labelIncludeFilter | 标签包含筛选器的列表,格式为标签“name-value”对。 目前仅支持一个标签:“microsoft_metrics_include_label”。 标签值不区分大小写。 |
PrometheusForwarderDataSourceLabelIncludeFilter |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 | 包含任一项的字符串数组: “Microsoft-PrometheusMetrics” |
PrometheusForwarderDataSourceLabelIncludeFilter
| 名字 | 描述 | 价值 |
|---|---|---|
| {自定义属性} | 字符串 |
SyslogDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| facilityNames | 设施名称的列表。 | 包含任一项的字符串数组: "*" “alert” “audit” “身份验证” “authpriv” “clock” “cron” “守护程序” “ftp” “kern” “local0” “local1” “local2” “local3” “local4” “local5” “local6” “local7” “lpr” “mail” “mark” “新闻” “nopri” “ntp” “syslog” “user” “uucp” |
| logLevels | 要收集的日志级别。 | 包含任一项的字符串数组: "*" “警报” “Critical” “调试” “紧急” “Error” “信息” “注意” “Warning” |
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-Syslog” |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
WindowsEventLogDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| 流 | 此数据源将发送到的流列表。 流指示将用于此数据的架构,以及 Log Analytics 中要发送到的数据的表。 |
包含任一项的字符串数组: “Microsoft-Event” “Microsoft-WindowsEvent” |
| transformKql | 用于转换数据源的 KQL 查询。 | 字符串 |
| xPathQueries | XPATH 格式的 Windows 事件日志查询列表。 | string[] |
WindowsFirewallLogsDataSource
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 数据源的友好名称。 此名称应在数据收集规则中的所有数据源(无论类型)中是唯一的。 |
字符串 |
| profileFilter | 防火墙日志配置文件筛选器 | 包含任一项的字符串数组: “域” “Private” “Public” |
| 流 | 防火墙日志流 | string[] (必需) |
DataCollectionRuleDestinations
| 名字 | 描述 | 价值 |
|---|---|---|
| azureDataExplorer | Azure 数据资源管理器目标列表。 | AdxDestination[] |
| azureMonitorMetrics | Azure Monitor 指标目标。 | DestinationsSpecAzureMonitorMetrics |
| eventHubs | 事件中心目标列表。 | EventHubDestination[] |
| eventHubsDirect | 事件中心直接目标列表。 | EventHubDirectDestination[] |
| logAnalytics | Log Analytics 目标列表。 | LogAnalyticsDestination[] |
| microsoftFabric | Microsoft Fabric 目标的列表。 | MicrosoftFabricDestination[] |
| monitoringAccounts | 监视帐户目标列表。 | MonitoringAccountDestination[] |
| storageAccounts | 存储帐户目标列表。 | StorageBlobDestination[] |
| storageBlobsDirect | 存储 Blob Direct 目标的列表。 仅用于将数据直接从代理发送到存储。 | StorageBlobDestination[] |
| storageTablesDirect | 存储表直接目标的列表。 | StorageTableDestination[] |
AdxDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| databaseName | 将数据引入到的数据库的名称。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| resourceId | Adx 资源的 ARM 资源 ID。 | 字符串 |
DestinationsSpecAzureMonitorMetrics
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
EventHubDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| eventHubResourceId | 事件中心的资源 ID。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
EventHubDirectDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| eventHubResourceId | 事件中心的资源 ID。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
LogAnalyticsDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| workspaceResourceId | Log Analytics 工作区的资源 ID。 | 字符串 |
MicrosoftFabricDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| artifactId | Microsoft Fabric 资源的项目 ID。 | 字符串 |
| databaseName | 将数据引入到的数据库的名称。 | 字符串 |
| ingestionUri | Microsoft Fabric 资源的引入 URI。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| tenantId | Microsoft Fabric 资源的租户 ID。 | 字符串 |
MonitoringAccountDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| accountResourceId | 监视帐户的资源 ID。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
StorageBlobDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| containerName | 存储 Blob 的容器名称。 | 字符串 |
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| storageAccountResourceId | 存储帐户的资源 ID。 | 字符串 |
StorageTableDestination
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 目标的友好名称。 此名称应在数据收集规则中的所有目标(无论类型是什么)中是唯一的。 |
字符串 |
| storageAccountResourceId | 存储帐户的资源 ID。 | 字符串 |
| tableName | 存储表的名称。 | 字符串 |
DataCollectionRuleReferences
| 名字 | 描述 | 价值 |
|---|---|---|
| 扩充数据 | 数据流中引用的所有扩充数据源 | ReferencesSpecEnrichmentData |
ReferencesSpecEnrichmentData
| 名字 | 描述 | 价值 |
|---|---|---|
| storageBlobs | 用作扩充数据源的所有存储 Blob | StorageBlob[] |
StorageBlob
| 名字 | 描述 | 价值 |
|---|---|---|
| blobUrl | 存储 Blob 的 URL | 字符串 |
| lookupType | 要对 Blob 执行的查找类型 | “Cidr” “String” |
| 名字 | 在数据流中引用此数据源时用作别名的扩充数据源的名称 | 字符串 |
| resourceId | 托管 Blob 的存储帐户的资源 ID | 字符串 |
DataCollectionRuleStreamDeclarations
| 名字 | 描述 | 价值 |
|---|---|---|
| {自定义属性} | StreamDeclaration |
StreamDeclaration
| 名字 | 描述 | 价值 |
|---|---|---|
| 列 | 此流中的数据使用的列列表。 | ColumnDefinition[] |
ColumnDefinition
| 名字 | 描述 | 价值 |
|---|---|---|
| 名字 | 列的名称。 | 字符串 |
| 类型 | 列数据的类型。 | “boolean” “datetime” “dynamic” “int” “long” “real” “string” |