تصدير بيانات مساحة عمل Log Analytics في Azure Monitor

مقالة
05/10/2022
قراءة خلال 19 دقائق

يتيح لك تصدير البيانات في مساحة عمل Log Analytics تصدير البيانات باستمرار لكل جداول محددة في مساحة العمل الخاصة بك، إلى حساب تخزين Azure أو مراكز أحداث Azure عند وصولها إلى البنية الأساسية لبرنامج ربط العمليات التجارية Azure Monitor. توفر هذه المقالة تفاصيل حول هذه الميزة، وخطوات لتكوين تصدير البيانات في مساحات العمل الخاصة بك.

نظرة عامة

تتوفر البيانات في Log Analytics لفترة الاستبقاء المحددة في مساحة العمل الخاصة بك، وتستخدم في تجارب مختلفة متوفرة في Azure Monitor وخدمات Azure. هناك حالات تحتاج فيها إلى استخدام أدوات أخرى:

الامتثال للمخزن المحمي بالعبث - لا يمكن تغيير البيانات في Log Analytics بمجرد استيعابها، ولكن يمكن إزالتها. التصدير إلى حساب التخزين الذي تم تعيينه باستخدام نهج عدم قابلية التغيير للحفاظ على حماية العبث بالبيانات.
التكامل مع خدمات Azure والأدوات الأخرى - التصدير إلى مراكز الأحداث بمجرد وصولها ومعالجتها في Azure Monitor.
احتفظ ببيانات التدقيق والأمان لفترة طويلة جدا - التصدير إلى حساب التخزين في منطقة مساحة العمل، أو نسخ البيانات نسخا متماثلا إلى مناطق أخرى باستخدام أي من خيارات تكرار تخزين Azure بما في ذلك "GRS" و"GZRS".

بعد تكوين قواعد تصدير البيانات في مساحة عمل Log Analytics، يتم تصدير بيانات جديدة للجداول في القواعد من مسار Azure Monitor إلى حساب التخزين أو مراكز الأحداث عند وصولها.

يتم تصدير البيانات بدون عامل تصفية. على سبيل المثال، عند تكوين قاعدة تصدير البيانات لجدول ⁧⁩ SecurityEvent ⁧⁩، يتم تصدير جميع البيانات المرسلة إلى الجدول ⁧⁩ SecurityEvent ⁧⁩ بدءًا من وقت التكوين.

خيارات التصدير الأخرى

تصدير بيانات مساحة عمل Log Analytics يصدر باستمرار البيانات التي يتم إرسالها إلى مساحة عمل Log Analytics. هناك خيارات أخرى لتصدير البيانات لسيناريوهات معينة:

تكوين الإعدادات التشخيص في موارد Azure. يتم إرسال السجلات إلى الوجهة مباشرة ولها زمن انتقال أقل مقارنة بتصدير البيانات في Log Analytics.
تصدير مجدول من استعلام السجل باستخدام Logic App. يشبه هذا ميزة تصدير البيانات، ولكنه يسمح لك بتصدير البيانات التاريخية من مساحة العمل الخاصة بك، باستخدام عوامل التصفية والتجميع. يخضع هذا الأسلوب لحدود استعلام السجل وليس مخصصا للمقياس. راجع أرشفة البيانات من مساحة عمل Log Analytics إلى حساب تخزين Azure باستخدام Logic App.
تصدير مرة واحدة إلى الجهاز المحلي باستخدام برنامج PowerShell النصي. راجع ⁧⁩ Invoke-AzOperationalInsightsQueryExport ⁧⁩.

التقييدات

سيتم دعم كافة الجداول في التصدير، ولكن تقتصر حاليا على تلك المحددة في قسم الجداول المدعومة .
لن يتم دعم السجل المخصص القديم باستخدام واجهة برمجة تطبيقات HTTP Data Collector في التصدير، بينما يمكن تصدير البيانات للسجلات المخصصة المستندة إلى DCR .
يمكنك تحديد ما يصل إلى 10 قواعد ممكنة في مساحة العمل الخاصة بك. يتم السماح بمزيد من القواعد عند التعطيل.
يجب أن تكون الوجهات في نفس المنطقة حيث توجد مساحة عمل Log Analytics.
يجب أن يكون حساب التخزين فريدا عبر القواعد في مساحة العمل.
لا يمكن أن تزيد أسماء الجداول عن 60 حرفا عند التصدير إلى حساب التخزين و47 حرفا إلى مراكز الأحداث. لن يتم تصدير الجداول ذات الأسماء الأطول.
تصدير البيانات غير مدعوم في الصين حاليا.

اكتمال البيانات

تم تحسين تصدير البيانات لنقل حجم البيانات الكبير إلى وجهاتك، وفي بعض حالات إعادة المحاولة، يمكن أن يتضمن جزءا من السجلات المكررة. قد تفشل عملية التصدير عند الوصول إلى حدود الدخول، راجع التفاصيل ضمن إنشاء قاعدة تصدير البيانات أو تحديثها. في مثل هذه الحالة، تستمر إعادة المحاولة لمدة تصل إلى 30 دقيقة، وإذا كانت الوجهة غير متوفرة بعد، فسيتم تجاهل البيانات حتى تصبح الوجهة متوفرة.

نموذج الأسعار

تستند رسوم تصدير البيانات إلى حجم البيانات المصدرة التي يتم قياسها بالبايت. حجم البيانات التي تم تصديرها بواسطة تصدير بيانات Log Analytics هو عدد وحدات البايت في بيانات JSON المنسقة المصدرة. يتم قياس حجم البيانات بالجيجابايت (10^9 بايت)

لمزيد من المعلومات، بما في ذلك المخطط الزمني لفواتير تصدير البيانات، راجع تسعير Azure Monitor.

وجهات التصدير

يجب أن تكون وجهة تصدير البيانات متوفرة قبل إنشاء قواعد التصدير في مساحة العمل الخاصة بك. لا يجب أن تكون الوجهات في نفس الاشتراك مثل مساحة العمل الخاصة بك. عند استخدام Azure Lighthouse، من الممكن أيضا إرسال البيانات إلى وجهات في مستأجر Azure Active Directory آخر.

حساب التخزين

يجب أن يكون لديك أذونات "كتابة" لكل من مساحة العمل والوجهة؛ لتكوين قاعدة تصدير البيانات.

لا تستخدم حساب تخزين موجودا يحتوي على بيانات أخرى غير مراقبة للتحكم بشكل أفضل في الوصول إلى البيانات، ومنع الوصول إلى حد معدل دخول التخزين والفشل وزمن الانتقال.

لإرسال البيانات إلى حساب تخزين غير قابل للتغيير، قم بتعيين النهج غير القابل للتغيير لحساب التخزين كما هو موضح في تعيين نهج عدم قابلية التغيير لتخزين Blob وإدارتها. يجب اتباع جميع الخطوات الواردة في هذه المقالة، بما في ذلك تمكين عمليات كتابة الكائنات الثنائية كبيرة الحجم للإلحاق المحمية.

يجب أن يكون حساب التخزين StorageV1 أو أعلى وفي نفس منطقة مساحة العمل الخاصة بك. إذا كنت بحاجة إلى نسخ البيانات إلى حسابات تخزين أخرى في مناطق أخرى، يمكنك استخدام أي من خيارات تكرار تخزين Azure، بما في ذلك "GRS" و"GZRS".

يتم إرسال البيانات إلى حسابات التخزين أثناء وصولها إلى Azure Monitor وتصديرها إلى الوجهات الموجودة في منطقة مساحة العمل. يتم إنشاء حاوية لكل جدول في Storage Account، بالاسم am- متبوعا باسم الجدول. على سبيل المثال، سيرسل الجدول SecurityEvent إلى حاوية تسمى am-SecurityEvent.

يتم تخزين الكائنات الثنائية كبيرة الحجم في مجلدات مدتها 5 دقائق في بنية المسار: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-رقم السنة> الرقمية/m=<شهر> رقمي مكون من رقمين/d=<يوم>/ساعة رقمي مكون من رقمين=<رقمان ساعة>/m=<رقمان من 60 دقيقة> ساعة/PT05M.json. تقتصر الكائنات الثنائية كبيرة الحجم للإلحاق على 50 كيلوبايت من الكتابات ويمكن الوصول إليها، وستتم إضافة المزيد من الكائنات الثنائية كبيرة الحجم في المجلد كما يلي: PT05M_#.json*، حيث # هو عدد الكائنات الثنائية كبيرة الحجم التزايدية.

تنسيق الكائنات الثنائية كبيرة الحجم في حساب التخزين موجود في خطوط JSON، حيث يتم تحديد كل سجل بواسطة خط جديد، مع عدم وجود صفيف سجلات خارجية ولا توجد فواصل بين سجلات JSON.

مراكز الأحداث

يجب أن يكون لديك أذونات "كتابة" لكل من مساحة العمل والوجهة؛ لتكوين قاعدة تصدير البيانات. يحدد نهج الوصول المشترك لمساحة اسم مراكز الأحداث الأذونات التي تمتلكها آلية البث. يتطلب البث إلى Event Hubs أذونات الإدارة والإرسال والاستماع. لتحديث قاعدة التصدير، يجب أن يكون لديك إذن ListKey في قاعدة تفويض Event Hubs.

لا تستخدم مراكز الأحداث الموجودة التي تحتوي على بيانات غير مراقبة لمنع الوصول إلى حد معدل دخول مساحة اسم مراكز الأحداث والفشل وزمن الانتقال.

يتم إرسال البيانات إلى مراكز الأحداث الخاصة بك أثناء وصولها إلى Azure Monitor وتصديرها إلى الوجهات الموجودة في منطقة مساحة العمل. يمكنك إنشاء قواعد تصدير متعددة إلى نفس مساحة اسم مراكز الأحداث عن طريق توفير قاعدة مختلفة event hub name . عندما event hub name لا يتم توفيرها، يتم إنشاء مراكز الأحداث الافتراضية للجداول التي تقوم بتصديرها بالاسم: am- متبوعا باسم الجدول. على سبيل المثال، سيتم إرسال الجدول SecurityEvent إلى Event Hub المسمى: am-SecurityEvent. عدد مراكز الأحداث المدعومة في طبقات مساحات الأسماء "الأساسية" و"القياسية" هو 10. عند تصدير أكثر من 10 جداول إلى هذه المستويات، إما تقسيم الجداول بين عدة قواعد تصدير، إلى مساحات أسماء مراكز أحداث مختلفة، أو توفير اسم Event Hub لتصدير كافة الجداول إليه.

ملاحظة

طبقة مساحة اسم "مراكز الأحداث الأساسية" محدودة - فهي تدعم حجم الحدث الأقل ولا يوجد خيار تضخيم تلقائي لتوسيع نطاق وحدات الإنتاجية وزيادة عددها تلقائيا. نظرا إلى أن حجم البيانات إلى مساحة العمل الخاصة بك يزداد بمرور الوقت ونتيجة لذلك يلزم تغيير حجم مراكز الأحداث، استخدم مستويات "قياسية" أو "Premium" أو "مخصصة" لمراكز الأحداث مع تمكين ميزة التضخيم التلقائي. راجع ⁧⁩ توسيع نطاق وحدات إنتاجية Azure Event Hubs تلقائيًا ⁧⁩.
لا يمكن لتصدير البيانات الوصول إلى موارد مراكز الأحداث عند تمكين الشبكات الظاهرية. يجب عليك تمكين إعداد السماح خدمات Microsoft الموثوق به بتجاوز جدار الحماية هذا في مركز الأحداث، لمنح حق الوصول إلى مراكز الأحداث.

قم بتمكين تصدير البيانات

يجب تنفيذ الخطوات التالية لتمكين تصدير بيانات تحليلات السجل. راجع الأقسام التالية للحصول على مزيد من التفاصيل حول كل منها.

سجل مزود الموارد.
اسمح بخدمات Microsoft الموثوقة.
قم بإنشاء قاعدة واحدة أو أكثر من قواعد تصدير البيانات التي تحدد الجداول المراد تصديرها ووجهتها.

موفر موارد التسجيل

موفر موارد Azure Microsoft. يجب تسجيل Insights في اشتراكك لتمكين تصدير بيانات Log Analytics.

من المحتمل أن يكون موفر الموارد هذا مسجلا بالفعل لمعظم مستخدمي Azure Monitor. للتحقق، انتقل إلى ⁧⁩ الاشتراكات ⁧⁩ في بوابة Azure. حدد اشتراكك، ثم انقر فوق ⁧⁩ موفرو الموارد ⁧⁩ في قسم ⁧⁩ الإعدادات ⁧⁩ من القائمة. حدد موقع ⁧⁩ Microsoft.Insights ⁧⁩. إذا كانت حالته ⁧⁩ مسجّل ⁧⁩، فهذا يعني أنه مسجّل بالفعل. إذا لم يكن كذلك، فانقر فوق ⁧⁩ تسجيل ⁧⁩ لتسجيله.

يمكنك أيضًا استخدام أي من الطرق المتاحة لتسجيل موفر مورد كما هو موضح في ⁧⁩ أنواع وأنواع موفري موارد Azure ⁧⁩. فيما يلي نموذج أمر باستخدام CLI:

az provider register --namespace 'Microsoft.insights'

فيما يلي نموذج لأمر باستخدام PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

اسمح بخدمات Microsoft الموثوقة

إذا قمت بتكوين حساب التخزين الخاص بك للسماح بالوصول من الشبكات المحددة، فستحتاج إلى إضافة استثناء للسماح لـ Azure Monitor بالكتابة إلى الحساب. من جدران الحماية والشبكات الظاهرية لحساب التخزين الخاص بك، حدد السماح خدمات Microsoft الموثوق به بالوصول إلى حساب التخزين هذا.

مراقبة الوجهات

هام

وجهات التصدير لها حدود ويجب مراقبتها لتقليل التقييد والفشل وزمن الانتقال. راجع قابلية توسع حسابات التخزين والحصة النسبية لمساحة اسم مراكز الأحداث.

مراقبة حساب التخزين

استخدام حساب تخزين منفصل للتصدير

تكوين التنبيه على المقياس:

النطاق	مساحة الاسم المترية	متري	التجميع	الحد
اسم التخزين	الحساب	الدخول	المجموع	80٪ من الحد الأقصى للدخول لكل فترة تقييم تنبيه. على سبيل المثال: الحد 60 جيجابت في الثانية للإصدار 2 للأغراض العامة في غرب الولايات المتحدة. الحد هو 14400 غيغابايت لكل فترة تقييم 5 دقائق

إجراءات علاج التنبيه
- استخدم حساب تخزين منفصل للتصدير الذي لا تتم مشاركته مع بيانات غير مراقبة.
- تدعم حسابات Azure Storage القياسية حد دخول أعلى حسب الطلب. لطلب زيادة، اتصل بدعم Azure.
- تقسيم الجداول بين المزيد من حسابات التخزين.

مراقبة مراكز الأحداث

تكوين التنبيهات على المقاييس:

النطاق	مساحة الاسم المترية	متري	التجميع	الحد
مساحات الاسم	مقاييس Event Hub القياسية	البايت الواردة	المجموع	80٪ من الحد الأقصى للدخول لكل فترة تقييم تنبيه. على سبيل المثال، الحد هو 1 ميغابايت/ثانية لكل وحدة ("TU" أو "PU") وخمس وحدات مستخدمة. العتبة 1200 ميجابايت لكل فترة تقييم مدتها 5 دقائق
مساحات الاسم	مقاييس Event Hub القياسية	الطلبات الواردة	العدد	80٪ من الحد الأقصى للأحداث لكل فترة تقييم تنبيه. على سبيل المثال، الحد هو 1000/ثانية لكل وحدة ("TU" أو ""PU") وخمس وحدات مستخدمة. الحد هو 1200000 لكل فترة تقييم مدتها 5 دقائق
مساحات الاسم	مقاييس Event Hub القياسية	تجاوزت الحصة أخطاء	العدد	بين 1٪ من الطلب. على سبيل المثال، الطلبات لكل 5 دقائق هي 600000. الحد هو 6000 لكل فترة تقييم مدتها 5 دقائق

إجراءات علاج التنبيه
- استخدم مساحة اسم مراكز الأحداث المنفصلة للتصدير التي لا تتم مشاركتها مع بيانات غير مراقبة.
- تكوين ميزة ⁧⁩ تضخيم تلقائي ⁧⁩ لتوسيع وزيادة عدد وحدات الإنتاجية تلقائيًا لتلبية احتياجات الاستخدام
- تحقق من زيادة وحدات معدل النقل لاستيعاب حجم البيانات
- تقسيم الجداول بين المزيد من مساحات الأسماء
- استخدم المستويات "Premium" أو "Dedicated" للحصول على إنتاجية أعلى

إنشاء أو تحديث قاعدة تصدير البيانات

تحدد قاعدة تصدير البيانات الوجهة والجداول التي يتم تصدير البيانات لها. يمكنك إنشاء 10 قواعد في حالة "تمكين" في مساحة العمل الخاصة بك، يسمح بمزيد من القواعد في حالة "التعطيل". يجب أن يكون حساب التخزين فريدا عبر القواعد في مساحة العمل. يمكن أن تستخدم قواعد متعددة نفس مساحة اسم مراكز الأحداث عند الإرسال إلى مراكز الأحداث المنفصلة.

ملاحظة

يمكنك تضمين جداول غير معتمدة بعد في التصدير، ولن يتم تصدير أي بيانات لها حتى يتم دعم الجداول.
لن يتم دعم السجل المخصص القديم في التصدير. يمكن تصدير الجيل التالي من السجل المخصص المتوفر في المعاينة في أوائل عام 2022.
التصدير إلى حساب التخزين - يتم إنشاء حاوية منفصلة في حساب التخزين لكل جدول.
التصدير إلى مراكز الأحداث - إذا لم يتم توفير اسم Event Hub، يتم إنشاء Event Hub منفصل لكل جدول. عدد مراكز الأحداث المدعومة في طبقات مساحات الأسماء "الأساسية" و"القياسية" هو 10. عند تصدير أكثر من 10 جداول إلى هذه المستويات، إما تقسيم الجداول بين العديد من قواعد التصدير إلى مساحات أسماء مراكز الأحداث المختلفة، أو توفير اسم Event Hub في القاعدة لتصدير كافة الجداول إليه.

في قائمة ⁧⁩ مساحة عمل تحليلات السجل ⁧⁩ في بوابة Azure، حدد ⁧⁩ تصدير البيانات ⁧⁩ من قسم ⁧⁩ الإعدادات ⁧⁩، وانقر ⁧⁩ قاعدة تصدير جديدة ⁧⁩ من أعلى الجزء الأوسط.

اتبع الخطوات، ثم انقر على ⁧⁩ إنشاء ⁧⁩.

Screenshot of data export rule configuration.

استخدم الأمر التالي لإنشاء قاعدة تصدير بيانات إلى حساب تخزين باستخدام PowerShell. يتم إنشاء حاوية منفصلة لكل جدول.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

استخدم الأمر التالي لإنشاء قاعدة تصدير بيانات إلى Event Hub معين باستخدام PowerShell. يتم تصدير كافة الجداول إلى اسم Event Hub المتوفر ويمكن تصفيتها حسب حقل "النوع" لفصل الجداول.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

استخدم الأمر التالي لإنشاء قاعدة تصدير بيانات إلى Event Hub باستخدام PowerShell. عند عدم توفير اسم Event Hub محدد، يتم إنشاء حاوية منفصلة لكل جدول، حتى عدد مراكز الأحداث المدعومة في طبقة مراكز الأحداث. لتصدير المزيد من الجداول، قم بتوفير اسم Event Hub في القاعدة، أو قم بتعيين قاعدة أخرى وتصدير الجداول المتبقية إلى مساحة اسم Event Hubs أخرى.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

استخدم الأمر التالي لإنشاء قاعدة تصدير بيانات إلى حساب تخزين باستخدام CLI. يتم إنشاء حاوية منفصلة لكل جدول.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

استخدم الأمر التالي لإنشاء قاعدة تصدير بيانات إلى Event Hub معين باستخدام CLI. يتم تصدير كافة الجداول إلى اسم Event Hub المتوفر ويمكن تصفيتها حسب حقل "النوع" لفصل الجداول.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

استخدم الأمر التالي لإنشاء قاعدة تصدير بيانات إلى مراكز الأحداث باستخدام CLI. عند عدم توفير اسم محدد لمركز الأحداث، يتم إنشاء حاوية منفصلة لكل جدول حتى عدد مراكز الأحداث المدعومة لمستوى مراكز الأحداث. إذا كان لديك المزيد من الجداول لتصديرها، فقم بتوفير اسم Event Hub لتصدير أي عدد من الجداول، أو قم بتعيين قاعدة أخرى لتصدير الجداول المتبقية إلى مساحة اسم مراكز أحداث أخرى.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

استخدم الطلب التالي لإنشاء قاعدة تصدير بيانات حساب تخزين باستخدام واجهة برمجة تطبيقات REST. يتم إنشاء حاوية منفصلة لكل جدول. يجب أن يستخدم الطلب ترخيص رمز الحامل ونوع المحتوى application / json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

نص الطلب يحدد وجهة الجداول. فيما يلي نموذج نص لطلب REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

فيما يلي نموذج أساسي لطلب REST لمراكز الأحداث.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

فيما يلي نموذج أساسي لطلب REST لمراكز الأحداث حيث يتم توفير اسم Event Hub. في هذه الحالة، يتم إرسال جميع البيانات المصدرة إليها.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

استخدم الأمر التالي لإنشاء قاعدة تصدير بيانات إلى حساب تخزين باستخدام قالب Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

استخدم الأمر التالي لإنشاء قاعدة تصدير بيانات إلى مراكز الأحداث باستخدام قالب Resource Manager. يتم إنشاء Event Hub منفصل لكل جدول.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

استخدم الأمر التالي لإنشاء قاعدة تصدير بيانات إلى Event Hub معين باستخدام قالب Resource Manager. يتم تصدير جميع الجداول إليه.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

عرض تكوين قاعدة تصدير البيانات

في قائمة ⁧⁩ تسجيل مساحة عمل Analytics ⁧⁩ في بوابة Azure، حدد ⁧⁩ تصدير البيانات ⁧⁩ من قسم ⁧⁩ الإعدادات ⁧⁩.

انقر فوق قاعدة لعرض التكوين.

استخدم الأمر التالي لعرض تكوين قاعدة تصدير البيانات باستخدام PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

استخدم الأمر التالي لعرض تكوين قاعدة تصدير البيانات باستخدام CLI.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

استخدم الطلب التالي لعرض تكوين قاعدة تصدير البيانات باستخدام REST API. يجب أن يستخدم الطلب ترخيص الرمز المميز لحامله.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

تعطيل قاعدة تصدير أو تحديثها

يمكن تعطيل قواعد التصدير للسماح لك بإيقاف التصدير لفترة معينة مثل وقت إجراء الاختبار. في قائمة ⁧⁩ مساحة عمل تحليلات السجل ⁧⁩ في بوابة Azure، حدد ⁧⁩ تصدير البيانات ⁧⁩ من قسم ⁧⁩ الإعدادات ⁧⁩، وانقر تبديل الحالة لتعطيل أو تمكين قاعدة التصدير.

يمكن تعطيل قواعد التصدير للسماح لك بإيقاف التصدير لفترة معينة مثل وقت إجراء الاختبار. استخدم الأمر التالي لتعطيل معلمات القاعدة أو تحديثها باستخدام PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

يمكن تعطيل قواعد التصدير للسماح لك بإيقاف التصدير لفترة معينة مثل وقت إجراء الاختبار. استخدم الأمر التالي لتعطيل معلمات القاعدة أو تحديثها باستخدام CLI.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

يمكن تعطيل قواعد التصدير للسماح لك بإيقاف التصدير لفترة معينة مثل وقت إجراء الاختبار. استخدم الأمر التالي لتعطيل معلمات القاعدة أو تحديثها باستخدام واجهة برمجة تطبيقات REST. يجب أن يستخدم الطلب ترخيص الرمز المميز لحامله.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

احذف قاعدة التصدير

في قائمة ⁧⁩ مساحة عمل تحليلات السجل ⁧⁩ في بوابة Azure، حدد ⁧⁩ تصدير البيانات ⁧⁩ من قسم ⁧⁩ الإعدادات ⁧⁩، ثم انقر فوق علامة الحذف الموجودة على يمين القاعدة، وانقر فوق ⁧⁩ حذف ⁧⁩.

استخدم الأمر التالي لحذف قاعدة تصدير البيانات باستخدام PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

استخدم الأمر التالي لحذف قاعدة تصدير البيانات باستخدام CLI.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

استخدم الطلب التالي لحذف قاعدة تصدير البيانات باستخدام REST API. يجب أن يستخدم الطلب ترخيص الرمز المميز لحامله.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

اعرض كل قواعد تصدير البيانات في مساحة العمل

في قائمة ⁧⁩ مساحة عمل تحليلات السجل ⁧⁩ في بوابة Azure، حدد ⁧⁩ تصدير البيانات ⁧⁩ من قسم ⁧⁩ الإعدادات ⁧⁩ لعرضها جميع قواعد التصدير في مساحة العمل.

استخدم الأمر التالي لعرض كافة قواعد تصدير البيانات في مساحة عمل باستخدام PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

استخدم الأمر التالي لعرض جميع قواعد تصدير البيانات في مساحة عمل باستخدام CLI.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

استخدم الطلب التالي لعرض جميع قواعد تصدير البيانات في مساحة عمل باستخدام واجهة برمجة تطبيقات REST. يجب أن يستخدم الطلب ترخيص الرمز المميز لحامله.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

جداول غير مدعومة

إذا تضمنت قاعدة تصدير البيانات جدولًا غير مدعوم، فإن التكوين سينجح؛ ولكن لن يتم تصدير أي بيانات لهذا الجدول. إذا تم دعم الجدول لاحقًا، فسيتم تصدير بياناته في ذلك الوقت.

الجداول المدعومة

سيتم تصدير جميع البيانات من الجدول ما لم يتم تحديد قيود. يتم تحديث هذه القائمة مع إضافة المزيد من الجداول.

الجدول	التقييدات
AACAudit
AACHttpRequest
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
أحداث AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallDiagnostics
ACSCallSummary
ACSChatIncomingOperations
ACSNetworkTraversalIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
⁧⁩ADFActivityRun⁧⁩
⁧⁩ADFPipelineRun⁧⁩
ADFSSignInLogs
⁧⁩ADFTriggerRun⁧⁩
ADPAudit
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXQuery
طلبات AegDataPlane
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAuditLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodJobProcessedLogs
أحداث AGSGrafanaLoginEvents
التنبيه	الدعم الجزئي - استيعاب البيانات لتنبيهات Zabbix غير مدعوم.
AlertEvidence
AlertInfo
AmlOnlineEndpointConsoleLog
ApiManagementGatewayLogs
AppCenterError
AppPlatformSystemLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceConsoleLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServicePlatformLogs
سجلات نشاط ASimDns
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AWSCloudTrail
AWSGuardDuty
AWSVPCFlow
AzureAssessmentRecommendation
تشخيصات AzureAttestation
AzureDevOpsAuditing
BehaviorAnalytics
سجلات Cassandra
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
مجموعة الكمبيوتر
بيانات التكوين	الدعم الجزئي – يتم تناول بعض البيانات من خلال الخدمات الداخلية غير المدعومة في التصدير. هذا الجزء مفقود في التصدير حاليًا.
ContainerImageInventory
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksClusters
DatabricksDBFS
DatabricksInstancePools
DatabricksJobs
DatabricksNotebook
DatabricksSecrets
DatabricksSQLPermissions
DatabricksSSH
DatabricksWorkspace
DnsEvents
DnsInventory
سجلات DSMAzureBlobStorageLogs
سجلات تصنيف DSMData
سجلات DSMDataLabelingLogs
Dynamics365Activity
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
الحدث	الدعم الجزئي - البيانات التي تصل من وكيل تحليلات السجل (MMA) أو وكيل المراقبة في Azure (AMA) مدعومة بالكامل في التصدير. يتم جمع البيانات التي تصل عبر عامل ملحق Diagnostics من خلال التخزين بينما هذا المسار غير مدعوم في التصدير.
ExchangeAssessmentRecommendation
FailedIngestion
FunctionAppLogs
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
رسالة كشف أخطاء الاتصال
HuntingBookmark
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	الدعم الجزئي – يتم تناول بعض البيانات من خلال الخدمات الداخلية غير المدعومة في التصدير. هذا الجزء مفقود في التصدير حاليًا.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubeServices
LAQueryLogs
McasShadowItReporting
سجلات MCVPAudit
سجلات MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftHealthcareApisAuditLogs
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OfficeActivity	الدعم الجزئي في السحابات الحكومية – بعض البيانات إلى بلعها عبر webhooks من O365 إلى لوس انجليس. هذا الجزء مفقود في التصدير حاليًا.
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
‏‏التشغيل	الدعم الجزئي – يتم تناول بعض البيانات من خلال الخدمات الداخلية غير المدعومة في التصدير. هذا الجزء مفقود في التصدير حاليًا.
الاداء	الدعم الجزئي – يتم حاليا دعم بيانات الإطارات فقط. بيانات لينكس perf مفقودة في التصدير حاليًا.
PowerBIActivity
PowerBIDatasetsWorkspace
ProjectActivity
سجلات PurviewDataSensitivityLogs
PurviewScanStatusLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent	الدعم الجزئي - البيانات التي تصل من وكيل تحليلات السجل (MMA) أو وكيل المراقبة في Azure (AMA) مدعومة بالكامل في التصدير. يتم جمع البيانات التي تصل عبر عامل ملحق Diagnostics من خلال التخزين بينما هذا المسار غير مدعوم في التصدير.
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SentinelAudit
SentinelHealth
SfBAssessmentRecommendation
SfBOnlineAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
أحداث StorageCacheOperation
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
syslog	الدعم الجزئي - البيانات التي تصل من وكيل تحليلات السجل (MMA) أو وكيل المراقبة في Azure (AMA) مدعومة بالكامل في التصدير. يتم جمع البيانات التي تصل عبر عامل ملحق Diagnostics من خلال التخزين بينما هذا المسار غير مدعوم في التصدير.
ThreatIntelligenceIndicator
UCClient
UCClientUpdateStatus
UCDeviceAlert
UCServiceUpdateStatus
UCUpdateAlert
Update	الدعم الجزئي – يتم تناول بعض البيانات من خلال الخدمات الداخلية غير المدعومة في التصدير. هذا الجزء مفقود في التصدير حاليًا.
UpdateRunProgress
UpdateSummary
الاستخدام
UserAccessAnalytics
UserPeerAnalytics
قائمة المشاهدة
WindowsEvent
WindowsFirewall
WireData	الدعم الجزئي – يتم تناول بعض البيانات من خلال الخدمات الداخلية غير المدعومة في التصدير. هذا الجزء مفقود في التصدير حاليًا.
WorkloadDiagnosticLogs
WVDAgentHealthStatus
WVDCheckpoints
WVDConnections
WVDErrors
WVDFeeds
WVDManagement

الخطوات التالية

⁧⁩استعلم عن البيانات التي تم تصديرها من Azure Data Explorer⁧⁩.