分享方式:

建立和編輯 Azure 監視器中的資料收集規則 (DCR)。

  • 文章

在 Azure 監視器中建立資料收集規則 (DCR)的方法有很多種。 在某些情況下,Azure 監視器會根據您在 Azure 入口網站中設定的設定來建立和管理 DCR。 在其他情況下,您可能需要建立自己的 DCR 來自定義特定案例。

本文說明建立和編輯 DCR 的不同方法。 如需 DCR 本身的內容,請參閱 Azure 監視器中資料收集規則的結構

權限

您需要下列權限才能建立 DCR 與關聯:

內建角色 範圍 原因
監視參與者
  • 訂閱和/或
  • 資源群組和/或
  • 現有的 DCR
 建立或編輯 DCR,將規則指派給機器,部署關聯。
虛擬機器參與者
Azure Connected Machine 資源管理員
  • 虛擬機器、虛擬機器擴展集
  • 已啟用 Azure Arc 的伺服器 (英文)
 在 VM 上部署代理程式擴充功能。
包含動作 Microsoft.Resources/deployments/* 的任何角色
  • 訂閱和/或
  • 資源群組和/或
  • 現有的 DCR
 部署 Azure Resource Manager 範本。

建立 DCR 的自動化方法

下表列出使用為您建立 DCR 的 Azure 入口網站來建立資料收集案例的方法。 在這些情況下,您不需要直接與 DCR 本身互動。

案例 資源 描述
監視虛擬機器 啟用 VM 深入解析的概觀 當您在 VM 上啟用 VM 深入解析時,會安裝 Azure 監視器代理程式,並建立 DCR 來收集一組預先定義的性能計數器。 您不應該修改此 DCR。
容器深入解析 啟用容器深入解析 當您在 Kubernetes 叢集上啟用容器深入解析時,會安裝 Azure 監視器代理程式的容器化版本,並根據您選取的組態來建立 DCR 來收集資料。 您可能需要修改此 DCR 以新增轉換。
工作區轉換 使用 Azure 入口網站在工作區資料收集規則中新增轉換 建立 Log Analytics 工作區中任何已支援資料表的轉換。 轉換定義在 DCR 中,然後與工作區相關聯。 這會套用至尚未使用 DCR 的舊版工作負載傳送至該資料表的任何資料。

建立 DCR

Azure 針對來自容器的虛擬機器、虛擬機器擴展集、內部部署機器和 Prometheus 計量,提供集中式雲端式資料收集組態計劃。

本文說明如何從頭開始建立 DCR。 還有其他深入解析解決方案可提供 DCR 建立體驗,例如 Sentinel、VM 深入解析和 Application Insights,這些解決方案會在自己的工作流程中建立 DCR。 有些時候,不同解決方案在這些體驗中建立的 DCR 似乎可能會發生衝突。 Windows 事件可以傳送至其中三個資料表。 Sentinel 安全性稽核事件會移至 SecurityEvents,WEF 連接器事件會移至 WindowsEvent 資料表。 如果您使用臨時 Windows 事件集合,結果會移至事件資料表。

若要使用 Azure CLI、PowerShell、API 或 ARM 範本建立資料收集規則,請從其中一個範例 DCR 開始建立 JSON 檔案。 使用 Azure 監視器中資料收集規則結構中的資訊,修改特定環境和需求的 JSON 檔案。

重要

在與目的地 Log Analytics 工作區或 Azure 監視器工作區相同的區域中建立資料收集規則。 您可以將資料收集規則與租用戶中任何訂閱或資源群組中的機器或容器產生關聯。 若要跨租用戶傳送資料,您必須先啟用 Azure Lighthouse

在 [監視] 功能表上,選取 [資料收集規則]>[建立] 開啟頁面,以建立新的資料收集規則。

螢幕擷取畫面:顯示 [資料收集規則] 畫面上的 [建立] 按鈕。

在精靈的每個步驟中進行設定,如下所示。

基本概念

顯示 [資料收集規則] 畫面基本步驟的螢幕擷取畫面。

螢幕元素 描述
規則名稱 輸入資料收集規則的名稱。
訂用帳戶 將資料收集規則與訂閱產生關聯。
資源群組 將資料收集規則與資源群組產生關聯。
區域 在與目的地 Log Analytics 工作區相同的區域中建立資料收集規則。 您可以將資料收集規則與租用戶中任何訂閱或資源群組中的機器產生關聯。
平台類型 選取 [Windows] 或 [Linux],或 [全部],同時允許 Windows 和 Linux 平台。
資料收集端點 若要收集 Linux syslog 資料IIS 記錄自訂文字記錄自訂 JSON 記錄,請選取現有的資料收集端點或建立新端點。
您不需要端點來收集效能計數器和 Windows 事件記錄。
在此索引標籤上,您只能選取與資料收集規則相同區域中的資料收集端點。 代理程式會將收集的資料傳送至此資料收集端點。 如需詳細資訊,請參閱資料收集端點的元件

資源

螢幕擷取畫面:顯示 [資料收集規則] 畫面的 [資源] 索引標籤。

螢幕元素 描述
+ 新增資源 將虛擬機器、虛擬機器擴展集,以及適用於伺服器的 Azure Arc 關聯至資料收集規則。 Azure 入口網站會在尚未安裝 Azure 監視器代理程式的資源上安裝該代理程式。
啟用資料收集端點 如果您要監視的機器與目的地 Log Analytics 工作區不同,請啟用資料收集端點,然後選取受監視機器區域中的端點,以收集 Linux syslog 資料IIS 資料自訂文字記錄自訂 JSON 記錄
如果受監視的機器位於與目的地 Log Analytics 工作區相同的區域,或您正在收集效能計數器和 Windows 事件記錄,請勿在 [資源] 索引標籤上選取資料收集端點。
[資源] 索引標籤上的資料收集端點為設定存取端點,如資料收集端點的元件中所述。
若必須使用私人連結的網路隔離,各資源應分別選取相同區域的現有端點,或建立新端點
代理程式延伸模組身分識別 使用系統指派的受控識別,或選取指派給虛擬機器的現有使用者指派的身分識別。 如需詳細資訊,請參閱受控識別類型

收集並傳遞

在 [收集並傳遞] 索引標籤上,選取 [新增資料來源],然後在 [來源] 和 [目的地] 索引標籤上進行設定,如下所示。

顯示資料收集規則精靈的 [收集並傳遞] 索引標籤的螢幕擷取畫面。在此索引標籤上,您會定義 Azure 監視器代理程式收集資料的資料來源,以及代理程式傳送資料的目的地。

螢幕元素 描述
資料來源 選取 [資料來源類型],並根據您選取的資料來源類型定義相關欄位。 如需從各種資料來源類型收集資料的詳細資訊,請參閱使用 Azure 監視器代理程式收集資料
目的地 為每個來源新增一或多個目的地。 您可以選取相同或不同類型的多個目的地。

檢閱 + 建立

檢閱資料收集規則詳細資料,然後選取 [建立],以建立資料收集規則。

注意

使用資料收集規則精靈建立資料收集規則時,最多可能需要 5 分鐘的時間,資料才會傳送至目的地。

編輯 DCR

若要編輯 DCR,您可以使用上一節中所述的任何方法,使用修改過的 JSON 版本來建立 DCR。

如果您需要擷取現有 DCR 的 JSON,您可以從 Azure 入口網站中 DCR 的 JSON 檢視複製。 您也可以使用 API 呼叫來擷取,如下列 PowerShell 範例所示。

$ResourceId = "<ResourceId>" # Resource ID of the DCR to edit
$FilePath = "<FilePath>" # Store DCR content in this file
$DCR = Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method GET
$DCR.Content | ConvertFrom-Json | ConvertTo-Json -Depth 20 | Out-File -FilePath $FilePath

如需逐步解說擷取和編輯現有 DCR 程式的教學課程,請參閱教學課程:編輯資料收集規則 (DCR)

下一步