Azure 監視器中的 Log Analytics 工作區資料匯出

Log Analytics 工作區中的資料匯出功能可讓您持續匯出工作區中每個所選資料表的資料。 當資料送達 Azure 監視器管道時，您就可以匯出至 Azure 儲存體帳戶或 Azure 事件中樞。 本文提供此功能的詳細資料，及在工作區中設定資料匯出的步驟。

概觀

Log Analytics 中的資料可在工作區中定義的保留期間使用。 可用於 Azure 監視器和 Azure 服務中提供的各種體驗。 在部分案例時，您必須使用其他工具：

• 防竄改的儲存合規性：資料內嵌後即無法在 Log Analytics 中變更，但可以清除。 匯出至已設定不變性原則的儲存體帳戶，以防止資料遭竄改。
• 整合 Azure 服務和其他工具：資料送達 Azure 監視器並在其中進行處理後，匯出至事件中樞。
• 稽核和安全性資料的長期保留：匯出至工作區區域中的儲存體帳戶。 或者，您可以使用任何 Azure 儲存體備援選項 (包括 GRS 和 GZRS)，將資料復寫至其他區域。

在 Log Analytics 工作區中設定資料匯出規則後，資料送達後，規則中資料表的新資料會從 Azure 監視器管道，匯出至儲存體帳戶或事件中樞。 資料匯出流量位於 Azure 骨幹網路中，且不會離開 Azure 網路。

資料會在沒有篩選的情況下匯出。 例如，設定 SecurityEvent 資料表的資料匯出規則後，傳送至 SecurityEvent 資料表的所有資料會從設定時間開始匯出。 或者，您可以在工作區中設定套用至傳入資料的轉換，先篩選或修改匯出的資料，再傳送至 Log Analytics 工作區和匯出目的地。

其他匯出選項

Log Analytics 工作區資料匯出會連續匯出傳送至 Log Analytics 工作區的資料。 匯出特定案例資料的其他選項：

• 在 Azure 資源中設定診斷設定。 記錄會直接傳送至目的地。 相較於 Log Analytics 中的資料匯出，此方法的延遲較低。
• 根據您使用 Log Analytics 查詢 API 定義的記錄查詢來排程資料匯出。 使用 Azure Data Factory、Azure Functions 或 Azure Logic Apps 等來協調工作區中的查詢，並將資料匯出至目的地。 此方法類似於資料匯出功能，但可用來透過篩選和彙總，從工作區匯出歷程記錄資料。 此方法受記錄查詢限制規範，且不適用縮放。 如需詳細資訊，請參閱使用 Logic Apps 從 Log Analytics 工作區將資料匯出至儲存體帳戶。
• 使用 PowerShell 指令碼將單次匯出至本機電腦。 如需詳細資訊，請參閱 Invoke-AzOperationalInsightsQueryExport。

限制

• 無法匯出使用 HTTP 資料收集器 API 建立的自訂記錄，包括 Log Analytics 代理程式所使用的文字型記錄。 您可以匯出使用資料收集規則建立的自訂記錄，包括文字型記錄。
• 資料匯出會逐漸支援更多資料表，但目前僅限於支援資料表區段中指定的資料表。 您可以包含規則中尚未支援的資料表，但在這些資料表受到支援之前，不會有資料匯出。
• 您可以在工作區中定義最多 10 個啟用的規則，每個規則都可以包含多個資料表。 您可以在處於停用狀態的工作區中建立更多規則。
• 目的地必須與 Log Analytics 工作區位於相同的區域。
• 在工作區的規則中，儲存體帳戶必須是唯一的。
• 當您匯出至儲存體帳戶時，資料表名稱長度可以包含 60 個字元。 當您匯出至事件中樞時，其長度可包含 47 個字元。 較長名稱的資料表不會匯出。
• 不支援匯出至進階儲存體帳戶。

資料完整性

資料匯出已最佳化，可將大量資料量移至目的地。 如果目的地沒有足夠的容量或無法使用，匯出作業可能會失敗。 如果發生失敗，重試程序會持續最多 12 個小時。 如需有關目的地限制和建議警示的詳細資訊，請參閱建立或更新資料匯出規則。 如果目的地在重試期間之後仍然無法使用，則會捨棄資料。 在某些情況下，重試可能會導致匯出的記錄有一小部分重複。

計價模式

資料匯出費用會根據 JSON 格式資料匯出至目的地的位元組數目，以 GB (10^9 個位元組) 為單位來計算。 工作區查詢中的大小計算無法與匯出費用相對應，因為不包含 JSON 格式的資料。 您可以使用 PowerShell 來計算 Blob 容器的總計費大小。

如需詳細資訊，包括資料匯出計費時間表，請參閱 Azure 監視器定價。 資料匯出的計費已在 2023 年 10 月初啟用。

匯出目的地

在工作區中建立匯出規則前，資料匯出目的地必須可供使用。 目的地不必與工作區位於相同的訂閱。 當您使用 Azure Lighthouse 時，也可以將資料傳送至另一個 Microsoft Entra 租用戶中的目的地。

您必須擁有工作區和目的地的「寫入」權限，才能在工作區的任何資料表上設定資料匯出規則。 事件中樞命名空間的共用存取原則會定義串流機制的權限。 串流處理至事件中樞需要「管理」、「傳送」及「接聽」權限。 若要更新匯出規則，您必須擁有該事件中樞授權規則的 ListKey 權限。

儲存體帳戶

為進一步控制資料存取，及防止達到儲存體輸入速率限制、失敗和延遲，請避免使用包含其他非監視資料的現有儲存體帳戶。

若要傳送資料至不可變儲存體帳戶，請設定儲存體帳戶的不可變原則，如設定並管理 Azure Blob 儲存體的不變性原則所述。 您必須遵循本文中所有的步驟，包括啟用受保護的附加 Blob 寫入。

儲存體帳戶不能是進階帳戶、必須是 StorageV1 或更新版本，且位於與工作區相同的區域中。 如果您需要將資料複寫至其他區域的其他儲存體帳戶，您可以使用任何 Azure 儲存體備援選項，包括 GRS 和 GZRS。

資料到達 Azure 監視器並匯出至工作區區域的目的地後，即傳送至儲存體帳戶。 系統會針對儲存體帳戶中每個資料表，使用 am- 後方接著資料表名稱的名稱，建立容器。 例如，SecurityEvent 資料表會傳送至名為 am-SecurityEvent 的容器。

Blob 儲存在以下路徑結構 5 分鐘的資料夾中：WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=<two-digit 60-minute clock minute>/PT05M.json。 對 Blob 附加限制為 50 K 寫入。 將在資料夾中以此形式新增更多 Blob：PT05M_#.json*,，其中的 # 為遞增 Blob 計數。

注意

附加至 Blob 會根據 "TimeGenerated" 欄位來寫入，並會在接收來源資料時發生。 延遲抵達 Azure 監視器或在目的地節流之後重試的資料會根據其 TimeGenerated 寫入 Blob。

儲存體帳戶中的 Blob 格式是 JSON 行，並使用新行分隔每項記錄、不使用外部記錄陣列，且 JSON 記錄間沒有逗號。

事件中樞

為防止到達事件中樞命名空間輸入速率限制、失敗和延遲，請避免使用包含非監視資料的現有事件中樞。

資料到達 Azure 監視器並匯出至工作區區域的目的地後，即傳送至事件中樞。 您可以在規則中提供不同的 Event Hub name，在相同的事件中樞命名空間建立多個匯出規則。 未提供 Event Hub name 時，系統會針對您以 am- 後方接著資料表名稱為名稱匯出的資料表，建立預設事件中樞。 例如，資料表 SecurityEvent 會傳送至名為 am-SecurityEvent 的事件中樞。

「基本」和「標準」命名空間層支援的事件中樞數目為 10。 當您匯出 10 個以上的資料表至這些命名空間層時，若要匯出所有資料表，您可以將資料表分割成多個匯出規則、匯出至不同的事件中樞命名空間，或提供事件中樞名稱。

注意

• 基本事件中樞的命名空間層級有限。 其支援較低的事件大小，而且沒有自動擴充選項可自動擴大和增加輸送量單位數目。 基於工作區的資料量日漸增長，因此事件中樞需要縮放，請使用啟用自動擴充功能的「標準」、「進階」或「專用」事件中樞層。 如需詳細資訊，請參閱自動擴大 Azure 事件中樞輸送量單位。
• 啟用虛擬網路時，資料匯出無法傳送至事件中樞資源。 您必須選取 [允許受信任服務清單中的 Azure 服務存取此儲存器帳戶] 核取方塊，以略過事件中樞中的此防火牆設定，進而授與事件中樞的存取權。

查詢匯出的資料

將資料從工作區匯出至儲存體帳戶有助於滿足概觀中所述的各種案例，而且可讓可從儲存體帳戶讀取 Blob 的工具取用。 下列方法可讓您使用 Log Analytics 查詢語言來查詢資料，如同 Azure Data Explorer。

1. 使用 Azure Data Explorer 查詢 Azure Data Lake 中的資料。
2. 使用 Azure Data Explorer 從儲存體帳戶擷取資料。
3. 使用 Log Analytics 工作區查詢使用記錄擷取 API 擷取的資料。 擷取的資料會傳送至自訂記錄資料表，而不是原始資料表。

啟用資料匯出

若要啟用 Log Analytics 資料匯出，請執行下列步驟。 如需每個步驟的詳細資訊，請參閱下列各節：

• 註冊資源提供者
• 允許信任的 Microsoft 服務
• 建立或更新資料匯出規則

註冊資源提供者

若要啟用 Log Analytics 資料匯出，請在訂閱中登錄 Azure 資源提供者 Microsoft.Insights。

此資源提供者可能已登錄大部分的 Azure 監視器使用者。 若要確認，請移至 Azure 入口網站中的訂閱。 選取您的訂閱，然後選取功能表 [設定] 區段底下的 [資源提供者]。 尋找 Microsoft.Insights。 如果其狀態為已登錄，即已經登錄。 如果不是，請選取 [註冊] 來進行註冊。

您也可以使用任何可用的方法登錄資源提供者，如 Azure 資源提供者和類型所述。 下列範例命令使用 Azure CLI：

az provider register --namespace 'Microsoft.insights'

下列範例命令使用 PowerShell：

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

允許信任的 Microsoft 服務

如果儲存體帳戶已設為允許從選取的網路存取，您必須新增例外狀況，允許 Azure 監視器寫入帳戶。 在您儲存體帳戶的 [防火牆和虛擬網路] 上，選取 [允許受信任服務清單上的 Azure 服務存取此儲存體帳戶]。

監視目的地

重要

為了將節流、失敗和延遲降到最低，匯出目的地須有限制，並受到監視。 如需詳細資訊，請參閱儲存體帳戶可擴縮性和事件中樞命名空間配額。

下列計量適用於數據匯出作業和警示

度量名稱	描述
導出的位元組	從所選時間範圍內從Log Analytics工作區匯出至目的地的位元組總數。 匯出的數據大小是匯出 JSON 格式數據中的位元元組數目。 1 GB = 10^9 個位元組。
匯出失敗	從所選時間範圍內從Log Analytics工作區匯出至目的地的失敗要求總數。 此數目包含匯出嘗試失敗，原因是目的地資源節流、禁止存取錯誤或任何伺服器錯誤。 重試程式會處理失敗的嘗試，而且數位不是遺漏數據的指示。
導出的記錄	從所選時間範圍內從Log Analytics工作區導出的記錄總數。 此數位會計算以成功結束之作業的記錄。

監視儲存體帳戶

1. 使用用於匯出的個別儲存體帳戶。

2. 設定計量的警示：

   範圍	計量命名空間	計量	彙總	臨界值
   storage-name	客戶​​	輸入	Sum	每個警示評估期間最大輸入量的 80%。 例如，美國西部常規用途 v2 的限制為 60 Gbps。 每 5 分鐘評估期間的警示閾值為 1676 GiB。

3. 警示補救動作：

   • 針對不與非監視資料共用的匯出，使用個別的儲存體帳戶。
   • Azure 儲存體標準帳戶會依照要求支援較高的輸入限制。 若要要求提高，請連絡 Azure 支援。
   • 在更多儲存體帳戶間分割資料表。

監視事件中樞

1. 設定計量上的警示：

   範圍	計量命名空間	計量	彙總	臨界值
   namespaces-name	事件中樞標準計量	傳入位元組	Sum	每個警示評估期間最大輸入量的 80%。 例如，每個單位 (TU 或 PU) 的限制為 1 MB/秒，並使用五個單位。 每 5 分鐘評估期間的閾值是 228 MiB。
   namespaces-name	事件中樞標準計量	傳入的要求	計數	每個警示評估期間最大事件量的 80%。 例如，每個單位 (TU 或 PU) 的限制為 1,000/秒，並使用五個單位。 每 5 分鐘評估期間的閾值是 1,200,000。
   namespaces-name	事件中樞標準計量	超出配額的錯誤	計數	介於 1% 的要求。 例如，每 5 分鐘的要求數是 600,000。 每 5 分鐘評估期間的閾值是 6,000。

2. 警示補救動作：

   • 針對不與非監視資料共用的匯出，使用個別的事件中樞命名空間。
   • 設定自動擴充功能，自動擴大並增加輸送量單位的數目，滿足使用量需求。
   • 確認增加的輸送量單位，並調整資料量。
   • 在更多命名空間之間分割資料表。
   • 針對較高的輸送量，使用「進階」或「專用」層。

建立或更新資料匯出規則

資料匯出規則會定義資料匯出的目的地和資料表。 在匯出作業起始之前，規則佈建大約需要 30 分鐘的時間。 資料匯出規則注意事項：

• 在工作區的規則中，儲存體帳戶必須是唯一的。
• 當您傳送至個別的事件中樞時，多個規則可以使用相同的事件中樞命名空間。
• 匯出至儲存體帳戶：系統會在每個資料表的儲存體帳戶中建立個別的容器。
• 匯出至事件中樞：如果未提供事件中樞名稱，即會為每個資料表建立個別的事件中樞。 「基本」和「標準」命名空間層支援的事件中樞數目為 10。 當您匯出 10 個以上的資料表至這些命名空間層時，若要匯出所有資料表，您可以將資料表分割成多個匯出規則至不同的事件中樞命名空間，或在規則中提供事件中樞名稱。

Azure 入口網站

1. 在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取 [資料匯出]。 選取窗格頂端的 [新增匯出規則]。

   

2. 遵循步驟，然後選取 [建立]。

   

PowerShell

使用 PowerShell 並使用下列命令，建立儲存體帳戶的資料匯出規則。 系統會為每個資料表建立個別的容器。

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

使用 PowerShell 並使用下列命令，建立特定事件中樞的資料匯出規則。 所有資料表都會匯出至提供的事件中樞名稱，並可根據類型欄位篩選及分隔資料表。

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

使用 PowerShell 並使用下列命令，建立事件中樞的資料匯出規則。 未提供特定事件中樞名稱時，系統會為每個資料表建立個別的容器，最多到每個事件中樞層中支援的事件中樞數目。 若要匯出更多資料表，請在規則中提供事件中樞名稱。 或者，您可以設定另一個規則，並將其餘資料表匯出至另一個事件中樞命名空間。

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure CLI

使用 CLI 並使用下列命令，建立儲存體帳戶的資料匯出規則。 系統會為每個資料表建立個別的容器。

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

使用 CLI 並使用下列命令，建立特定事件中樞的資料匯出規則。 所有資料表都會匯出至提供的事件中樞名稱，並可根據類型欄位篩選及分隔資料表。

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

使用 CLI 並使用下列命令，建立事件中樞的資料匯出規則。 未提供特定事件中樞名稱時，系統會為每個資料表建立個別的容器，最多到事件中樞層中支援的事件中樞數目。 如果您有更多資料表要匯出，請提供事件中樞名稱來匯出任意數目的資料表。 或者，您可以設定另一個規則，將其餘資料表匯出至另一個事件中樞命名空間。

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

使用 REST API 並使用下列要求，建立儲存體帳戶的資料匯出規則。 系統會為每個資料表建立個別的容器。 要求應該使用持有人權杖授權和內容類型應用程式/json。

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

要求的本文會指定資料表目的地。 下列範例是 REST 要求的範例本文。

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

以下範例是事件中樞的 REST 要求範例本文。

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

以下範例是事件中樞的 REST 要求範例本文，其中提供事件中樞名稱。 在此案例中，所有匯出的資料都會傳送至事件中樞。

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

範本

使用 Azure Resource Manager 範本並使用下列命令，建立儲存體帳戶的資料匯出規則。

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

使用 Resource Manager 範本並使用下列命令，建立事件中樞的資料匯出規則。 系統會為每個資料表建立個別的事件中樞。

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

使用 Resource Manager 範本並使用下列命令，建立特定事件中樞的資料匯出規則。 所有資料表都會匯出至事件中樞。

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

檢視資料匯出規則設定

Azure 入口網站

1. 在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取 [資料匯出]。

   

2. 選取設定檢視的規則。

   

PowerShell

使用 PowerShell 並使用下列命令，檢視資料匯出規則的設定。

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

使用 CLI 並使用下列命令，檢視資料匯出規則的設定。

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

使用 REST API 並使用下列要求，檢視資料匯出規則的設定。 要求應該使用持有人權杖授權。

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

範本

範本選項不適用。

停用或更新匯出規則

Azure 入口網站

您可以停用匯出規則，在特定期間內停止匯出，例如在進行測試時。 在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取 [資料匯出]。 選取 [狀態] 切換開關以停用或啟用匯出規則。

PowerShell

您可以停用匯出規則，在特定期間內停止匯出，例如在進行測試時。 使用 PowerShell 並使用下列命令，停用或更新規則參數。

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure CLI

您可以停用匯出規則，在特定期間內停止匯出，例如在進行測試時。 使用 CLI 並使用下列命令，停用或更新規則參數。

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

您可以停用匯出規則，在特定期間內停止匯出，例如在進行測試時。 使用 REST API 並使用下列命令，停用或更新規則參數。 要求應該使用持有人權杖授權。

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

範本

執行測試及不必傳送資料至目的地時，您可以停用匯出規則來停止匯出。 在範本中設定 "enable": false 來停用資料匯出。

刪除匯出規則

Azure 入口網站

在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取 [資料匯出]。 選取規則右側的省略符號，然後選取 [刪除]。

PowerShell

使用 PowerShell 並使用下列命令，刪除資料匯出規則。

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

使用 CLI 並使用下列命令，刪除資料匯出規則。

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

使用 REST API 並使用下列要求，刪除資料匯出規則。 要求應該使用持有人權杖授權。

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

範本

範本選項不適用。

檢視工作區中所有的資料匯出規則

Azure 入口網站

在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取[資料匯出] 以檢視工作區中所有的匯出規則。

PowerShell

使用 PowerShell 並使用下列命令，檢視工作區中所有的資料匯出規則。

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure CLI

使用 CLI 並使用下列命令，檢視工作區中所有的資料匯出規則。

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

使用 REST API 並使用下列要求，檢視工作區中所有的資料匯出規則。 要求應該使用持有人權杖授權。

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

範本

範本選項不適用。

不支援的資料表

如果資料匯出規則包含不支援的資料表，雖然設定會成功，但不會匯出該資料表的資料。 如果之後支援資料表，即會在支援時匯出該資料表的資料。

支援的資料表

注意

我們正在新增更多資料表的支援。 請定期檢查這篇文章。 數據必須位於其中一個數據表中，才能出現在數據匯出規則中。

表	限制
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
警示	部分支援。 不支援 Zabbix 警示的資料擷取。
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
ANFFileAccess
異常
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureActivity	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidentialWatchlist
ConfigurationData	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksClusterLibraries
DatabricksClusters
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksInstancePools
DatabricksJobs
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
裝置檔案事件
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
裝置流程事件
裝置登錄事件
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
Event	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
活動訊號
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
作業	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
效能
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
ServiceFabricReliableActorEvent	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
ServiceFabricReliableServiceEvent	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXFailedIngestion
SynapseDXSucceededIngestion
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
更新	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
UpdateRunProgress
UpdateSummary
UrlClickEvents
使用方式
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
W3CIISLog	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
關注清單
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement

下一步

從 Azure Data Explorer 查詢匯出的資料