在 Azure 監視器中匯出 Log Analytics 工作區資料

Log Analytics 工作區中的資料匯出功能可讓您持續匯出工作區中每個所選資料表的資料。 當資料送達 Azure 監視器管道時，您就可以匯出至 Azure 儲存體帳戶或 Azure 事件中樞。 本文提供此功能的詳細資料，及在工作區中設定資料匯出的步驟。

概觀

Log Analytics 中的資料可在工作區中定義的保留期間內存取。 可用於 Azure 監視器和 Azure 服務中提供的各種體驗。 在部分案例時，您必須使用其他工具：

• 防竄改的儲存合規性：資料內嵌後即無法在 Log Analytics 中變更，但可以清除。 匯出至已設定不變性原則的儲存體帳戶，以防止資料遭竄改。
• 整合 Azure 服務和其他工具：資料送達 Azure 監視器並在其中進行處理後，匯出至事件中樞。
• 稽核和安全性資料的長期保留：匯出至工作區區域中的儲存體帳戶。 或者，您可以使用任何 Azure 儲存體備援選項 (包括 GRS 和 GZRS)，將資料復寫至其他區域。

在 Log Analytics 工作區中設定資料匯出規則後，資料送達後，規則中資料表的新資料會從 Azure 監視器管道，匯出至儲存體帳戶或事件中樞。 資料匯出流量位於 Azure 骨幹網路中，且不會離開 Azure 網路。

資料會在沒有篩選的情況下匯出。 例如，設定 SecurityEvent 資料表的資料匯出規則後，傳送至 SecurityEvent 資料表的所有資料會從設定時間開始匯出。 或者，您可以在工作區中設定套用至傳入資料的轉換，先篩選或修改匯出的資料，再傳送至 Log Analytics 工作區和匯出目的地。

其他匯出選項

Log Analytics 工作區資料匯出會連續匯出傳送至 Log Analytics 工作區的資料。 匯出特定案例資料的其他選項：

• 如果 Azure 資源已透過其診斷記錄設定將記錄傳送至 Log Analytics 工作區，請考慮直接更新 Azure 資源的診斷設定，以新增目的地，而不是定期使用數據匯出。 相較於數據匯出，此方法的延遲較低，但不會傳送歷程記錄數據。
• 根據您使用 Log Analytics 查詢 API 所定義的查詢記錄，安排數據匯出的時間表。 使用 Azure Data Factory、Azure Functions 或 Azure Logic Apps 等來協調工作區中的查詢，並將資料匯出至目的地。 此方法類似於資料匯出功能，但可用來透過篩選和彙總，從工作區匯出歷程記錄資料。 此方法受記錄查詢限制規範，且不適用縮放。 如需詳細資訊，請參閱使用 Logic Apps 從 Log Analytics 工作區將資料匯出至儲存體帳戶。
• 使用 PowerShell 指令碼以使用單次匯出至本機電腦。 如需詳細資訊，請參閱 Invoke-AzOperationalInsightsQueryExport。

所需權限

動作	所需權限
建立或更新數據匯出規則	例如，Microsoft.OperationalInsights/workspaces/dataexports/write所提供的 Log Analytics 工作區 權限
刪除資料匯出規則	例如，Microsoft.OperationalInsights/workspaces/dataexports/delete所提供的 Log Analytics 工作區 權限
匯出至記憶體帳戶	儲存體帳戶的 Microsoft.Storage/storageAccounts/blobServices/containers/write 權限，例如儲存體帳戶參與者內建角色所提供的權限
匯出至事件中樞	Microsoft.EventHub/namespaces/eventhubs/write、Microsoft.EventHub/namespaces/eventhubs/messages/write、Microsoft.EventHub/namespaces/authorizationRules/listkeys/action 事件中心的權限，例如由 Azure 事件中心資料擁有者內建角色所提供的權限。
查詢資料表中的記錄	例如，Microsoft.OperationalInsights/workspaces/query/<table>/read所提供的 Log Analytics 工作區 權限
資料表中的查詢記錄 (資料表動作)	例如，Microsoft.OperationalInsights/workspaces/tables/query/read所提供的 Log Analytics 工作區 權限

限制

• 無法匯出使用 HTTP 資料收集器 API 建立的自訂記錄，包括 Log Analytics 代理程式所使用的文字型記錄。 您可以匯出使用資料收集規則建立的自訂記錄，包括文字型記錄。
• 數據匯出將逐漸支援更多數據表。 請參閱 不支持的數據表 一節。
• 每個工作區的作用中規則數目上限為10，每個規則可以包含多個資料表。
• 在工作區的規則中，儲存體帳戶必須是唯一的。
• 支持的數據表計劃為 Analytics 和 Basic。 不支援輔助方案。
• 目的地必須與 Log Analytics 工作區位於相同的區域。
• 不支援匯出至進階儲存體帳戶。

資料完整性

數據匯出已經過優化，能夠將大量數據移動到您的目的地。 如果目的地的縮放或可用性不足，重試程式會持續最多 12 小時，而且可能會導致導出記錄的一小部分重複。 請遵循 記憶體帳戶 和 事件中樞 目的地的建議，以改善可靠性。 如果目的地在重試期間之後仍然無法使用，則會捨棄資料。

如需有關目的地限制和建議警示的詳細資訊，請參閱建立或更新資料匯出規則。

計價模式

資料匯出費用會根據 JSON 格式資料匯出至目的地的位元組數目，以 GB (10^9 個位元組) 為單位來計算。 數據匯出大小計算無法透過工作區查詢來完成，因為大小計算不包含 JSON 格式額外負荷。 使用此範例 PowerShell 腳本中的 方法來 計算 Blob 容器的總計費大小。 目前不收取導出至主權雲端的費用。 啟用之前會傳送通知。

如需詳細資訊，包括資料匯出計費時間表，請參閱 Azure 監視器定價。 資料匯出的計費已在 2023 年 10 月初啟用。

匯出目的地

在工作區中建立匯出規則前，資料匯出目的地必須可供使用。 目的地可以位於不同的訂閱方案中。 使用 Azure Lighthouse，您也可以將資料傳送至另一個 Microsoft Entra 租戶中的目的地。

儲存體帳戶

使用沒有包含其他非監控數據的現有儲存帳戶，以防止因延遲或超過速率限制而導致儲存進入失敗。 這可協助您更妥善地控制數據的存取權，並改善數據導出可靠性。

若要傳送資料至不可變儲存體帳戶，請設定儲存體帳戶的不可變原則，如設定並管理 Azure Blob 儲存體的不變性原則所述。 您必須遵循本文中所有的步驟，包括啟用受保護的附加 Blob 寫入。

儲存體帳戶不能是進階帳戶、必須是 StorageV1 或更新版本，且位於與工作區相同的區域中。 如果您需要將數據復寫到其他區域中的其他記憶體帳戶，請使用任何 Azure 記憶體備援選項，包括 GRS 和 GZRS。

資料到達 Azure 監視器並匯出至工作區區域的目的地後，即傳送至儲存體帳戶。 系統會針對儲存體帳戶中每個資料表，使用 am- 後方接著資料表名稱的名稱，建立容器。 例如，SecurityEvent 資料表會傳送至名為 am-SecurityEvent 的容器。

Blob 儲存在以下路徑結構 5 分鐘的資料夾中：WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=<two-digit 60-minute clock minute>/PT05M.json。 對 Blob 附加限制為 50 K 寫入。 將在資料夾中以此形式新增更多資料塊：PT05M_#.json*，其中的 # 為遞增資料塊計數。

附註

附加至 Blob 會根據 "TimeGenerated" 欄位來寫入，並會在接收來源資料時發生。 延遲抵達 Azure 監視器或在目的地節流之後重試的資料會根據其 TimeGenerated 寫入 Blob。

儲存體帳戶中的 Blob 格式是 JSON 行，並使用新行分隔每項記錄、不使用外部記錄陣列，且 JSON 記錄間沒有逗號。

事件中樞

避免使用具有現有非監視數據的事件中樞。 此最佳做法有助於防止因延遲或超出速率限制而導致的流量入口失敗。

資料到達 Azure 監視器並匯出至工作區區域的目的地後，即傳送至事件中樞。 藉由在規則中提供不同的 Event Hub name ，建立多個導出規則至相同的事件中樞命名空間。 當未提供 Event Hub name 時，系統會為您匯出的資料表建立一個預設的事件中樞，並將其命名為 am- 加上資料表的名稱。 例如，資料表 SecurityEvent 會傳送至名為 am-SecurityEvent 的事件中樞。

「基本」和「標準」命名空間層支援的事件中樞數目為 10。 當您要將超過 10 個資料表匯出至這些層級時，可以將資料表分割成多個匯出規則，將其匯出至不同的事件中樞命名空間，或者提供單一事件中樞名稱以將所有資料表匯出至該命名空間。

附註

• 基本事件中樞的命名空間層級有限。 其支援較低的事件大小，而且沒有自動擴充選項可自動擴大和增加輸送量單位數目。 由於工作區的資料量會隨著時間增加，因此需要對事件中樞進行擴展，建議使用啟用自動擴充功能的「標準」、「進階」或「專用」事件中樞層級。 如需詳細資訊，請參閱自動擴大 Azure 事件中樞輸送量單位。
• 啟用虛擬網路時，資料匯出無法傳送至事件中樞資源。 您必須選取 [允許受信任服務清單中的 Azure 服務存取此儲存器帳戶] 核取方塊，以略過事件中樞中的此防火牆設定，進而授與事件中樞的存取權。

查詢匯出的資料

將資料從工作區匯出至儲存體帳戶可協助滿足概觀中所述的各種案例，而且可以供能從儲存體帳戶讀取 Blob 的工具取用。 下列方法可讓您使用 Log Analytics 查詢語言來查詢資料，這與 Azure Data Explorer 的查詢語言相同。

1. 使用 Azure Data Explorer 查詢 Azure Data Lake 中的資料。
2. 使用 Azure Data Explorer 從儲存體帳戶擷取資料。
3. 使用 Log Analytics 工作區查詢使用記錄擷取 API 擷取的資料。 已匯入的數據會傳送至自訂的記錄表，而不是原始表。

啟用資料匯出

若要啟用 Log Analytics 資料匯出，請執行下列步驟。

• 註冊資源提供者
• 允許受信任的Microsoft服務
• 監視目的地 （建議）
• 建立或更新數據匯出規則

註冊資源提供者

若要啟用 Log Analytics 資料匯出，請在訂閱中登錄 Azure 資源提供者 Microsoft.Insights。

此資源提供者可能已為大多數 Azure 監視器使用者註冊。 若要確認，請移至 Azure 入口網站中的訂閱。 選取您的訂閱，然後選取功能表 [設定] 區段底下的 [資源提供者]。 尋找 Microsoft.Insights。 如果其狀態為已登錄，即已經登錄。 如果不是，請選取 [註冊] 來進行註冊。

您也可以使用任何可用的方法登錄資源提供者，如 Azure 資源提供者和類型所述。 下列範例命令使用 Azure CLI：

az provider register --namespace 'Microsoft.insights'

下列範例命令使用 PowerShell：

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

允許信任的 Microsoft 服務

如果儲存體帳戶已設為允許從選取的網路存取，您必須新增例外狀況，允許 Azure 監視器寫入帳戶。 在您儲存體帳戶的 [防火牆和虛擬網路] 上，選取 [允許受信任服務清單上的 Azure 服務存取此儲存體帳戶]。

監視目的地

重要

為了將節流、失敗和延遲降到最低，匯出目的地須有限制，並受到監視。 如需詳細資訊，請參閱儲存體帳戶可擴縮性和事件中樞命名空間配額。

下列計量適用於資料匯出作業和警示

度量名稱	描述
已匯出的位元組	在所選時間範圍內，從 Log Analytics 工作區匯出到目的地的位元組總數。 匯出的資料大小是匯出 JSON 格式資料的位元組數目。 1 GB = 10^9 個位元組。
匯出失敗	在所選時間範圍內，從 Log Analytics 工作區到目的地的匯出失敗要求總數。 此數目包含目的地資源節流、禁止存取錯誤或任何伺服器錯誤所造成的失敗匯出嘗試。 重試程式會處理失敗的嘗試，而且數位不是遺漏數據的指示。
匯出的記錄	在所選時間範圍內，從 Log Analytics 工作區匯出的記錄總數。 此數目會計算成功結束之作業的記錄。

監視儲存體帳戶

1. 請為匯出使用個別的儲存體帳戶。

2. 設定計量的警示：

   範圍	計量命名空間	計量	彙總	臨界值
   儲存名稱	帳戶	輸入	總和	每個警示評估期間最大輸入量的 80%。 例如，美國西部常規用途 v2 的限制為 60 Gbps。 每 5 分鐘評估期間的警示閾值為 1676 GiB。

3. 警示補救動作：

   • 針對不與非監視資料共用的匯出，使用個別的儲存體帳戶。
   • Azure 儲存體標準帳戶會依照要求支援較高的輸入限制。 若要要求提高，請連絡 Azure 支援。
   • 將資料表分配到更多的儲存體帳戶中。

監視事件中樞

1. 設定計量上的警示：

   範圍	計量命名空間	計量	彙總	臨界值
   命名空間名稱	事件中樞標準計量	傳入位元組	總和	每個警示評估期間最大輸入量的 80%。 例如，每個單位 (TU 或 PU) 的限制為 1 MB/秒，並使用五個單位。 每 5 分鐘評估期間的閾值是 228 MiB。
   命名空間名稱	事件中樞標準計量	收到的請求	計數	每個警示評估期間最大事件量的 80%。 例如，每個單位 (TU 或 PU) 的限制為 1,000/秒，並使用五個單位。 每 5 分鐘評估期間的閾值是 1,200,000。
   命名空間名稱	事件中樞標準計量	超出配額的錯誤	計數	介於 1% 的要求。 例如，每 5 分鐘的要求數是 600,000。 每 5 分鐘評估期間的閾值是 6,000。

2. 警示補救動作：

   • 請使用單獨的事件中樞命名空間來匯出，不與非監控資料共用。
   • 設定自動擴充功能，自動擴大並增加輸送量單位的數目，滿足使用量需求。
   • 確認傳輸單位的增加以適應資料量。
   • 在更多命名空間之間分割資料表。
   • 針對較高的輸送量，使用「進階」或「專用」層。

建立或更新資料匯出規則

資料匯出規則會定義資料匯出的目的地和資料表。 在匯出作業起始之前，規則佈建大約需要 30 分鐘的時間。 資料匯出規則注意事項：

• 在工作區的規則中，儲存體帳戶必須是唯一的。
• 當您傳送至個別的事件中樞時，多個規則可以使用相同的事件中樞命名空間。
• 匯出至儲存體帳戶：系統會在每個資料表的儲存體帳戶中建立個別的容器。
• 匯出至事件中樞：如果未提供事件中樞名稱，即會為每個資料表建立個別的事件中樞。 「基本」和「標準」命名空間層支援的事件中樞數目為 10。 當您匯出 10 個以上的資料表至這些命名空間層時，若要匯出所有資料表，您可以將資料表分割成多個匯出規則至不同的事件中樞命名空間，或在規則中提供事件中樞名稱。

Azure 入口網站

1. 在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取 [資料匯出]。 選取窗格頂端的 [新增匯出規則]。

   

2. 遵循步驟，然後選取 [建立]。 只有包含資料的資料表會顯示在 [來源] 索引標籤下。

   

PowerShell

使用 PowerShell 執行下列命令，建立到儲存體帳戶的資料匯出規則。 系統會為每個資料表建立個別的容器。

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

使用下列命令透過 PowerShell 建立到特定事件中樞的資料匯出規則。 所有資料表都會匯出至提供的事件中樞名稱，並可根據類型欄位篩選及分隔資料表。

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

使用 PowerShell 來使用下列命令，建立匯出資料至事件中樞的規則。 未提供特定事件中樞名稱時，系統會為每個資料表建立個別的容器，最多到每個事件中樞層中支援的事件中樞數目。 若要匯出更多資料表，請在規則中提供事件中樞名稱。 或者，您可以設定另一個規則，並將其餘資料表匯出至另一個事件中樞命名空間。

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure CLI

使用 CLI 並執行以下命令，以建立到儲存體帳戶的資料匯出規則。 系統會為每個資料表建立個別的容器。

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

透過 CLI，運用下列命令來創建到特定事件中樞的資料匯出規則。 所有資料表都會匯出至提供的事件中樞名稱，並可根據類型欄位篩選及分隔資料表。

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

使用 CLI 的下列命令，建立將資料匯出到事件中樞的規則。 未提供特定事件中樞名稱時，系統會為每個資料表建立個別的容器，最多到事件中樞層中支援的事件中樞數目。 如果您有更多資料表要匯出，請提供事件中樞名稱來匯出任意數目的資料表。 或者，您可以設定另一個規則，將其餘資料表匯出至另一個事件中樞命名空間。

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

休息

使用 REST API 並使用下列要求，建立儲存體帳戶的資料匯出規則。 系統會為每個資料表建立個別的容器。 要求應該使用持有人權杖授權和內容類型應用程式/json。

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

要求的本文會指定資料表目的地。 下列是 REST 要求的範例內容。

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

以下範例是事件中樞的 REST 要求範例本文。

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

以下範例是事件中樞的 REST 要求範例內容，其中載有事件中樞名稱。 在此案例中，所有匯出的資料都會傳送給它。

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

範本

使用 Azure Resource Manager 範本並使用下列命令，建立儲存體帳戶的資料匯出規則。

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

使用 Resource Manager 範本，以下列命令建立資料匯出規則至事件中樞。 系統會為每個資料表建立個別的事件中樞。

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

使用 Resource Manager 範本並使用下列命令，建立特定事件中樞的資料匯出規則。 所有資料表都會匯出至事件中樞。

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

檢視資料匯出規則設定

Azure 入口網站

1. 在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取 [資料匯出]。

   

2. 選取設定檢視的規則。

   

PowerShell

使用 PowerShell 並使用下列命令，檢視資料匯出規則的設定。

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

使用 CLI 並使用下列命令，檢視資料匯出規則的設定。

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

休息

使用 REST API 並使用下列要求，檢視資料匯出規則的設定。 要求應該使用持有人權杖授權。

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

範本

範本選項不適用。

停用或更新匯出規則

Azure 入口網站

您可以停用匯出規則，在特定期間內停止匯出，例如在進行測試時。 在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取 [資料匯出]。 選取 [狀態] 切換開關以停用或啟用匯出規則。

PowerShell

您可以停用匯出規則，在特定期間內停止匯出，例如在進行測試時。 使用 PowerShell 並使用下列命令，停用或更新規則參數。

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure CLI

您可以停用匯出規則，在特定期間內停止匯出，例如在進行測試時。 使用 CLI 並使用下列命令，停用或更新規則參數。

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

休息

您可以停用匯出規則，在特定期間內停止匯出，例如在進行測試時。 使用 REST API 並使用下列命令，停用或更新規則參數。 要求應該使用持有人權杖授權。

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

範本

執行測試及不必傳送資料至目的地時，您可以停用匯出規則來停止匯出。 在範本中設定 "enable": false 來停用資料匯出。

刪除匯出規則

Azure 入口網站

在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取 [資料匯出]。 選取規則右側的省略符號，然後選取 [刪除]。

PowerShell

使用 PowerShell 並使用下列命令，刪除資料匯出規則。

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

使用 CLI 並使用下列命令，刪除資料匯出規則。

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

休息

使用 REST API 並使用下列要求，刪除資料匯出規則。 要求應該使用持有人權杖授權。

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

範本

範本選項不適用。

檢視工作區中所有的資料匯出規則

Azure 入口網站

在Azure 入口網站的 [Log Analytics 工作區] 功能表中，在 [設定] 區段底下選取[資料匯出] 以檢視工作區中所有的匯出規則。

PowerShell

使用 PowerShell 並使用下列命令，檢視工作區中所有的資料匯出規則。

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure CLI

使用 CLI 並使用下列命令，檢視工作區中所有的資料匯出規則。

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

休息

使用 REST API 並使用下列要求，檢視工作區中所有的資料匯出規則。 要求應該使用持有人權杖授權。

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2023-09-01

範本

範本選項不適用。

不支援的資料表

附註

如果資料匯出規則包含不支援的資料表，雖然設定會成功，但不會匯出該資料表的資料。 支持數據表時，數據匯出會隨即啟動。 我們正在新增更多資料表的支援。 請定期檢查這篇文章。

Table	限制
ADXDataOperation
警示	部分支援。 不支援 Zabbix 警示的資料輸入。
警報歷史
AzureActivity	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
AzureDiagnostics
AzureMetrics
組態變更
配置數據	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
Databricks Databricks SQL
DatabricksSQL
設備應用程式啟動
裝置行事曆
DeviceConnectSession
DeviceEtw
DeviceHealth
裝置心跳
ETWEvent	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
事件	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
InsightsMetrics	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
網路會話
作業	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
保護狀態
ServiceFabricOperationalEvent	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
ServiceFabric可靠演員事件 (ServiceFabricReliableActorEvent)	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
ServiceFabricReliableServiceEvent	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
更新	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。
VMBoundPort
VMComputer
VMConnection
VMProcess
W3CIISLog	部分支援。 匯出中完全支援從 Log Analytics 代理程式或 Azure 監視器代理程式傳出的資料。 透過診斷延伸模組代理程式傳送的資料會透過儲存體收集。 匯出中不支援此路徑。
WireData	部分支援。 部分資料擷取是透過不支援匯出的內部服務。 匯出中目前遺漏此部分。

下一步

從 Azure Data Explorer 查詢匯出的資料