你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Data Collection Rules - Create

创建或更新数据收集规则。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2021-09-01-preview

URI 参数

Name In Required Type Description
dataCollectionRuleName
path True
  • string

数据收集规则的名称。 此名称不区分大小写。

resourceGroupName
path True
  • string

资源组的名称。 此名称不区分大小写。

subscriptionId
path True
  • string

目标订阅的 ID。

api-version
query True
  • string

要用于此操作的 API 版本。

请求正文

Name Required Type Description
location True
  • string

资源所在的地理位置。

kind

资源的种类。

properties.dataCollectionEndpointId
  • string

可以使用此规则的数据收集终结点的资源 ID。

properties.dataFlows

数据流的规范。

properties.dataSources

数据源的规范。 此属性是可选的,如果规则旨在通过对预配终结点的直接调用使用,则可以省略此属性。

properties.description
  • string

数据收集规则的说明。

properties.destinations

目标的规范。

properties.streamDeclarations

此规则中使用的自定义流的声明。

tags
  • object

资源标记。

响应

Name Type Description
200 OK

数据收集规则已成功更新

201 Created

已成功创建数据收集规则

Other Status Codes

错误

安全性

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation 模拟用户帐户

示例

Create or update data collection rule

Sample Request

PUT https://management.azure.com/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2021-09-01-preview

{
  "location": "eastus",
  "properties": {
    "dataSources": {
      "performanceCounters": [
        {
          "name": "cloudTeamCoreCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 15,
          "counterSpecifiers": [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
          ]
        },
        {
          "name": "appTeamExtraCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 30,
          "counterSpecifiers": [
            "\\Process(_Total)\\Thread Count"
          ]
        }
      ],
      "windowsEventLogs": [
        {
          "name": "cloudSecurityTeamEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "Security!"
          ]
        },
        {
          "name": "appTeam1AppEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
          ]
        }
      ],
      "syslog": [
        {
          "name": "cronSyslog",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "cron"
          ],
          "logLevels": [
            "Debug",
            "Critical",
            "Emergency"
          ]
        },
        {
          "name": "syslogBase",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "syslog"
          ],
          "logLevels": [
            "Alert",
            "Critical",
            "Emergency"
          ]
        }
      ]
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
          "name": "centralWorkspace"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Microsoft-Perf",
          "Microsoft-Syslog",
          "Microsoft-WindowsEvent"
        ],
        "destinations": [
          "centralWorkspace"
        ]
      }
    ]
  }
}

Sample Response

{
  "id": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule",
  "name": "myCollectionRule",
  "type": "Microsoft.Insights/dataCollectionRules",
  "location": "eastus",
  "tags": {
    "tag1": "A",
    "tag2": "B"
  },
  "properties": {
    "immutableId": "dcr-b74e0d383fc9415abaa584ec41adece3",
    "dataSources": {
      "performanceCounters": [
        {
          "name": "cloudTeamCoreCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 15,
          "counterSpecifiers": [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
          ]
        },
        {
          "name": "appTeamExtraCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 30,
          "counterSpecifiers": [
            "\\Process(_Total)\\Thread Count"
          ]
        }
      ],
      "windowsEventLogs": [
        {
          "name": "cloudSecurityTeamEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "Security!"
          ]
        },
        {
          "name": "appTeam1AppEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
          ]
        }
      ],
      "syslog": [
        {
          "name": "cronSyslog",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "cron"
          ],
          "logLevels": [
            "Debug",
            "Critical",
            "Emergency"
          ]
        },
        {
          "name": "syslogBase",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "syslog"
          ],
          "logLevels": [
            "Alert",
            "Critical",
            "Emergency"
          ]
        }
      ]
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
          "workspaceId": "9ba8bc53-bd36-4156-8667-e983e7ae0e4f",
          "name": "centralWorkspace"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Microsoft-Perf",
          "Microsoft-Syslog",
          "Microsoft-WindowsEvent"
        ],
        "destinations": [
          "centralWorkspace"
        ]
      }
    ]
  },
  "systemData": {
    "createdBy": "user1",
    "createdByType": "User",
    "createdAt": "2021-04-01T12:34:56.1234567Z",
    "lastModifiedBy": "user2",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2021-04-02T12:34:56.1234567Z"
  },
  "etag": "070057da-0000-0000-0000-5ba70d6c0000"
}
{
  "id": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule",
  "name": "myCollectionRule",
  "type": "Microsoft.Insights/dataCollectionRules",
  "location": "eastus",
  "tags": {
    "tag1": "A",
    "tag2": "B"
  },
  "properties": {
    "immutableId": "dcr-b74e0d383fc9415abaa584ec41adece3",
    "dataSources": {
      "performanceCounters": [
        {
          "name": "cloudTeamCoreCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 15,
          "counterSpecifiers": [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
          ]
        },
        {
          "name": "appTeamExtraCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 30,
          "counterSpecifiers": [
            "\\Process(_Total)\\Thread Count"
          ]
        }
      ],
      "windowsEventLogs": [
        {
          "name": "cloudSecurityTeamEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "Security!"
          ]
        },
        {
          "name": "appTeam1AppEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
          ]
        }
      ],
      "syslog": [
        {
          "name": "cronSyslog",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "cron"
          ],
          "logLevels": [
            "Debug",
            "Critical",
            "Emergency"
          ]
        },
        {
          "name": "syslogBase",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "syslog"
          ],
          "logLevels": [
            "Alert",
            "Critical",
            "Emergency"
          ]
        }
      ]
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
          "workspaceId": "9ba8bc53-bd36-4156-8667-e983e7ae0e4f",
          "name": "centralWorkspace"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Microsoft-Perf",
          "Microsoft-Syslog",
          "Microsoft-WindowsEvent"
        ],
        "destinations": [
          "centralWorkspace"
        ]
      }
    ]
  },
  "systemData": {
    "createdBy": "user1",
    "createdByType": "User",
    "createdAt": "2021-04-01T12:34:56.1234567Z",
    "lastModifiedBy": "user2",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2021-04-02T12:34:56.1234567Z"
  },
  "etag": "070057da-0000-0000-0000-5ba70d6c0000"
}

定义

AzureMonitorMetrics

Azure Monitor 指标目标。

ColumnDefinition

自定义数据列的定义。

createdByType

创建资源的标识的类型。

DataCollectionRuleResource

ARM 跟踪的顶级资源的定义。

DataFlow

将哪些流发送到目标的定义。

DataSources

数据源的规范。 此属性是可选的,如果规则旨在通过对预配终结点的直接调用使用,则可以省略此属性。

Destinations

目标的规范。

ErrorAdditionalInfo

资源管理错误附加信息。

ErrorDetail

错误详细信息。

ErrorResponseCommonV2

错误响应

ExtensionDataSource

将从与 Azure Monitor 代理集成的单独 VM 扩展中收集哪些数据的定义。 从 Windows 和 Linux 计算机收集,具体取决于定义的扩展。

IisLogsDataSource

启用此数据收集规则收集 IIS 日志。

KnownColumnDefinitionType

列数据类型。

KnownDataCollectionRuleProvisioningState

资源预配状态。

KnownDataCollectionRuleResourceKind

资源的种类。

KnownLogFilesDataSourceFormat

日志文件的数据格式

KnownLogFileTextSettingsRecordStartTimestampFormat

支持的时间戳格式之一

LogAnalyticsDestination

Log Analytics 目标。

LogFilesDataSource

此数据收集规则将收集哪些自定义日志文件的定义

Metadata

有关资源的元数据

PerfCounterDataSource

定义将收集哪些性能计数器以及如何通过此数据收集规则收集它们。 从计数器所在的 Windows 和 Linux 计算机收集。

Settings

日志文件特定设置。

StreamDeclaration

自定义流的声明。

SyslogDataSource

将收集哪些 syslog 数据以及收集方式的定义。 仅从 Linux 计算机收集。

SystemData

与创建和上次修改资源相关的元数据。

Text

文本设置

WindowsEventLogDataSource

将收集哪些 Windows 事件日志事件以及如何收集它们的定义。 仅从 Windows 计算机收集。

AzureMonitorMetrics

Azure Monitor 指标目标。

Name Type Description
name
  • string

目标的友好名称。 无论数据收集规则中) 类型如何,此名称都应在所有目标 (唯一。

ColumnDefinition

自定义数据列的定义。

Name Type Description
name
  • string

列的名称。

type

列数据类型。

createdByType

创建资源的标识的类型。

Name Type Description
Application
  • string
Key
  • string
ManagedIdentity
  • string
User
  • string

DataCollectionRuleResource

ARM 跟踪的顶级资源的定义。

Name Type Description
etag
  • string

资源实体标记 (ETag) 。

id
  • string

资源的完全限定 ID。

kind

资源的种类。

location
  • string

资源所在的地理位置。

name
  • string

资源的名称。

properties.dataCollectionEndpointId
  • string

可以使用此规则的数据收集终结点的资源 ID。

properties.dataFlows

数据流的规范。

properties.dataSources

数据源的规范。 此属性是可选的,如果规则旨在通过对预配终结点的直接调用使用,则可以省略此属性。

properties.description
  • string

数据收集规则的说明。

properties.destinations

目标的规范。

properties.immutableId
  • string

此数据收集规则的不可变 ID。 此属性为 READ-ONLY。

properties.metadata

有关资源的元数据

properties.provisioningState

资源预配状态。

properties.streamDeclarations

此规则中使用的自定义流的声明。

systemData

与创建和上次修改资源相关的元数据。

tags
  • object

资源标记。

type
  • string

资源类型。

DataFlow

将哪些流发送到目标的定义。

Name Type Description
destinations
  • string[]

此数据流的目标列表。

outputStream
  • string

转换的输出流。 仅当转换数据更改为其他流时才是必需的。

streams
  • string[]

此数据流的流列表。

transformKql
  • string

用于转换流数据的 KQL 查询。

DataSources

数据源的规范。 此属性是可选的,如果规则旨在通过对预配终结点的直接调用使用,则可以省略此属性。

Name Type Description
extensions

Azure VM 扩展数据源配置列表。

iisLogs

IIS 日志源配置的列表。

logFiles

日志文件源配置列表。

performanceCounters

性能计数器数据源配置列表。

syslog

Syslog 数据源配置列表。

windowsEventLogs

Windows 事件日志数据源配置列表。

Destinations

目标的规范。

Name Type Description
azureMonitorMetrics

Azure Monitor 指标目标。

logAnalytics

Log Analytics 目标列表。

ErrorAdditionalInfo

资源管理错误附加信息。

Name Type Description
info
  • object

其他信息。

type
  • string

其他信息类型。

ErrorDetail

错误详细信息。

Name Type Description
additionalInfo

错误附加信息。

code
  • string

错误代码。

details

错误详细信息。

message
  • string

错误消息。

target
  • string

错误目标。

ErrorResponseCommonV2

错误响应

Name Type Description
error

错误对象。

ExtensionDataSource

将从与 Azure Monitor 代理集成的单独 VM 扩展中收集哪些数据的定义。 从 Windows 和 Linux 计算机收集,具体取决于定义的扩展。

Name Type Description
extensionName
  • string

VM 扩展的名称。

extensionSettings
  • object

扩展设置。 格式特定于特定扩展。

inputDataSources
  • string[]

此扩展所需的数据源列表。

name
  • string

数据源的友好名称。 无论数据收集规则中) 类型如何,此名称都应在所有数据源 (中是唯一的。

streams
  • string[]

此数据源将发送到的流列表。 流指示将用于此数据的架构,并且通常会将数据发送到 Log Analytics 中的表。

IisLogsDataSource

启用此数据收集规则收集 IIS 日志。

Name Type Description
logDirectories
  • string[]

绝对路径文件位置

name
  • string

数据源的友好名称。 无论数据收集规则中) 类型如何,此名称都应在所有数据源 (中是唯一的。

streams
  • string[]

IIS 流

KnownColumnDefinitionType

列数据类型。

Name Type Description
boolean
  • string
datetime
  • string
dynamic
  • string
int
  • string
long
  • string
real
  • string
string
  • string

KnownDataCollectionRuleProvisioningState

资源预配状态。

Name Type Description
Creating
  • string
Deleting
  • string
Failed
  • string
Succeeded
  • string
Updating
  • string

KnownDataCollectionRuleResourceKind

资源的种类。

Name Type Description
Linux
  • string
Windows
  • string

KnownLogFilesDataSourceFormat

日志文件的数据格式

Name Type Description
text
  • string

KnownLogFileTextSettingsRecordStartTimestampFormat

支持的时间戳格式之一

Name Type Description
ISO 8601
  • string
M/D/YYYY HH:MM:SS AM/PM
  • string
MMM d hh:mm:ss
  • string
Mon DD, YYYY HH:MM:SS
  • string
YYYY-MM-DD HH:MM:SS
  • string
dd/MMM/yyyy:HH:mm:ss zzz
  • string
ddMMyy HH:mm:ss
  • string
yyMMdd HH:mm:ss
  • string
yyyy-MM-ddTHH:mm:ssK
  • string

LogAnalyticsDestination

Log Analytics 目标。

Name Type Description
name
  • string

目标的友好名称。 无论数据收集规则中) 类型如何,此名称都应在所有目标 (唯一。

workspaceId
  • string

Log Analytics 工作区的客户 ID。

workspaceResourceId
  • string

Log Analytics 工作区的资源 ID。

LogFilesDataSource

此数据收集规则将收集哪些自定义日志文件的定义

Name Type Description
filePatterns
  • string[]

日志文件所在的文件模式

format

日志文件的数据格式

name
  • string

数据源的友好名称。 无论数据收集规则中) 类型如何,此名称都应在所有数据源 (中是唯一的。

settings

日志文件特定设置。

streams
  • string[]

此数据源将发送到的流列表。 流指示将用于此数据源的架构

Metadata

有关资源的元数据

Name Type Description
provisionedBy
  • string

Azure 产品/服务代表客户管理此资源。

PerfCounterDataSource

定义将收集哪些性能计数器以及如何通过此数据收集规则收集它们。 从计数器所在的 Windows 和 Linux 计算机收集。

Name Type Description
counterSpecifiers
  • string[]

要收集的性能计数器说明符名称的列表。 使用通配符 (*) 为所有实例收集计数器。 若要获取 Windows 上的性能计数器列表,请运行命令“typeperf”。

name
  • string

数据源的友好名称。 无论数据收集规则中) 类型如何,此名称都应在所有数据源 (中是唯一的。

samplingFrequencyInSeconds
  • integer

连续计数器度量之间的秒数 (样本) 。

streams
  • string[]

此数据源将发送到的流列表。 流指示将用于此数据的架构,并且通常会将数据发送到 Log Analytics 中的表。

Settings

日志文件特定设置。

Name Type Description
text

文本设置

StreamDeclaration

自定义流的声明。

Name Type Description
columns

此流中的数据使用的列列表。

SyslogDataSource

将收集哪些 syslog 数据以及收集方式的定义。 仅从 Linux 计算机收集。

Name Type Description
facilityNames
  • string[]

设施名称列表。

logLevels
  • string[]

要收集的日志级别。

name
  • string

数据源的友好名称。 无论数据收集规则中) 类型如何,此名称都应在所有数据源 (中是唯一的。

streams
  • string[]

此数据源将发送到的流列表。 流指示将用于此数据的架构,并且通常会将数据发送到 Log Analytics 中的表。

SystemData

与创建和上次修改资源相关的元数据。

Name Type Description
createdAt
  • string

资源创建时间戳 (UTC) 。

createdBy
  • string

创建资源的标识。

createdByType

创建资源的标识的类型。

lastModifiedAt
  • string

资源上次修改的时间戳 (UTC)

lastModifiedBy
  • string

上次修改资源的标识。

lastModifiedByType

上次修改资源的标识的类型。

Text

文本设置

Name Type Description
recordStartTimestampFormat

支持的时间戳格式之一

WindowsEventLogDataSource

将收集哪些 Windows 事件日志事件以及如何收集它们的定义。 仅从 Windows 计算机收集。

Name Type Description
name
  • string

数据源的友好名称。 无论数据收集规则中) 类型如何,此名称都应在所有数据源 (中是唯一的。

streams
  • string[]

此数据源将发送到的流列表。 流指示将用于此数据的架构,并且通常会将数据发送到 Log Analytics 中的表。

xPathQueries
  • string[]

XPATH 格式的 Windows 事件日志查询列表。