Datenexport im Log Analytics-Arbeitsbereich in Azure Monitor

Der Datenexport im Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten nach ausgewählten Tabellen in Ihrem Arbeitsbereich beim Eintreffen in der Azure Monitor-Pipeline fortlaufend in ein Azure Storage-Konto oder in Azure Event Hubs zu exportieren. In diesem Artikel werden dieses Feature und die Schritte zum Konfigurieren des Datenexports in Ihren Arbeitsbereichen ausführlich beschrieben.

Übersicht

Daten in Log Analytics sind für den in Ihrem Arbeitsbereich definierten Aufbewahrungszeitraum verfügbar und werden in verschiedenen Umgebungen in Azure Monitor und Azure-Diensten verwendet. Es gibt Fälle, in denen Sie andere Tools verwenden müssen:

• Compliance eines manipulationsgeschützten Speichers: Daten können in Log Analytics nach der Erfassung gelöscht, aber nicht mehr geändert werden. Exportieren Sie Daten mit Unveränderlichkeitsrichtlinien in das Speicherkonto, um sie vor Manipulation zu schützen.
• Integration in Azure-Dienste und andere Tools: Exportieren Sie Daten in Event Hubs, sobald sie in Azure Monitor eintreffen und verarbeitet wurden.
• Lange Aufbewahrung von Überwachungs- und Sicherheitsdaten: Exportieren Sie Daten in ein Storage-Konto in der Region des Arbeitsbereichs, oder replizieren Sie sie mithilfe einer der Azure Storage-Redundanzoptionen (einschließlich GRS und GZRS) in anderen Regionen.

Nach dem Konfigurieren von Datenexportregeln im Log Analytics-Arbeitsbereich werden neue Daten für Tabellen in Regeln bei ihrem Eingang aus der Azure Monitor-Pipeline in Ihr Storage-Konto oder in Event Hubs exportiert.

Daten werden ohne Filter exportiert. Wenn Sie z. B. eine Datenexportregel für die Tabelle SecurityEvent konfigurieren, werden alle Daten, die an die Tabelle SecurityEvent gesendet werden, ab dem Zeitpunkt der Konfiguration exportiert.

Weitere Exportoptionen

Mit dem Datenexport im Log Analytics-Arbeitsbereich werden Daten, die an Ihren Log Analytics Arbeitsbereich gesendet werden, fortlaufend exportiert. Es gibt weitere Möglichkeiten zum Exportieren von Daten für bestimmte Szenarien:

• Konfigurieren von Diagnoseeinstellungen in Azure-Ressourcen. Protokolle werden direkt an das Ziel gesendet und weisen im Vergleich zum Datenexport in Log Analytics eine geringere Latenz auf.
• Planen des Exports von Daten basierend auf einer Protokollabfrage, die Sie mit der Log Analytics-Abfrage-API definieren. Verwenden von Diensten wie Azure Data Factory, Azure Functions oder Azure Logic App, um Abfragen in Ihrem Arbeitsbereich zu orchestrieren und Daten an ein Ziel zu exportieren. Dies ähnelt dem Feature zum Exportieren von Daten, ermöglicht es Ihnen jedoch, historische Daten aus Ihrem Arbeitsbereich mithilfe von Filtern und Aggregationen zu exportieren. Diese Methode unterliegt jedoch Beschränkungen für Protokollabfragen und ist nicht für die Skalierung vorgesehen. Weitere Informationen finden Sie unter Archivieren von Daten aus dem Log Analytics-Arbeitsbereich im Azure Storage-Konto mithilfe von Logic Apps.
• Einmaliger Export auf lokalen Computer mit einem PowerShell-Skript. Informationen hierzu finden Sie unter Invoke-AzOperationalInsightsQueryExport.

Einschränkungen

• Beim Export werden alle Tabellen unterstützt. Dies ist derzeit jedoch auf die Tabellen beschränkt, die im Abschnitt Unterstützte Tabellen angegeben sind.
• Benutzerdefinierte Legacy-Protokolle mit der HTTP-Datensammler-API werden beim Export nicht unterstützt, während Daten für DCR-basierte benutzerdefinierte Protokolle exportiert werden können.
• In Ihrem Arbeitsbereich können bis zu 10 aktivierte Regeln definiert werden. Weitere Regeln sind zulässig, wenn sie deaktiviert sind.
• Die Ziele müssen sich in derselben Region befinden wie der Log Analytics-Arbeitsbereich.
• Das Storage-Konto muss für alle Regeln im Arbeitsbereich eindeutig sein.
• Tabellennamen dürfen nicht länger als 60 Zeichen sein, wenn sie in ein Storage-Konto exportiert werden, und nicht länger als 47 Zeichen, wenn sie in Event Hubs exportiert werden. Tabellen mit längeren Namen werden nicht exportiert.
• Der Datenexport wird in China derzeit nicht unterstützt.

Datenvollständigkeit

Der Datenexport ist für das Verschieben großer Datenmengen an Ihre Ziele optimiert und kann unter bestimmten Wiederholungsbedingungen eine geringe Anzahl doppelter Datensätze enthalten. Beim Exportieren kann ein Fehler auftreten, wenn die Obergrenze für eingehenden Datenverkehr erreicht wurde. Weitere Informationen hierzu finden Sie unter Erstellen oder Aktualisieren der Datenexportregel. In diesem Fall wird der Vorgang bis zu 30 Minuten lang wiederholt. Wenn das Ziel bis dann nicht verfügbar ist, werden die Daten verworfen, bis das Ziel wieder verfügbar ist.

Preismodell

Die Gebühren für den Datenexport basieren auf dem exportierten Datenvolumen in Bytes. Die Größe der vom Log Analytics-Datenexport exportierten Daten ist die Anzahl von Bytes bei den exportierten Daten im JSON-Format. Das Datenvolumen wird in GB (10^9 Bytes) gemessen.

Weitere Informationen, einschließlich der Abrechnungszeitachse für den Datenexport, finden Sie unter Azure Monitor – Preise.

Exportziele

Das Datenexportziel muss verfügbar sein, bevor Exportregeln in Ihrem Arbeitsbereich erstellt werden. Das Ziel muss sich nicht im gleichen Abonnement befinden wie Ihr Arbeitsbereich. Bei Verwendung von Azure Lighthouse können Daten auch an Ziele in einem anderen Azure Active Directory-Mandanten gesendet werden.

Speicherkonto

Sie müssen über Schreibberechtigungen für den Arbeitsbereich und das Ziel verfügen, um eine Datenexportregel konfigurieren zu können.

Verwenden Sie kein vorhandenes Storage-Konto, das andere, nicht überwachungsrelevante Daten enthält, um den Zugriff auf die Daten besser steuern zu können und ein Erreichen der maximalen Speichererfassungsrate sowie Fehler und Wartezeit zu vermeiden.

Legen Sie die Unveränderlichkeitsrichtlinie für das Storage-Konto wie unter Festlegen und Verwalten von Unveränderlichkeitsrichtlinien für Blobspeicher beschrieben fest, um Daten an ein unveränderliches Storage-Konto zu senden. Führen Sie alle Schritte in diesem Artikel aus – einschließlich der Aktivierung von Schreibvorgängen in geschützten Anfügeblobs.

Das Storage-Konto muss StorageV1 oder höher sein und sich in derselben Region wie Ihr Arbeitsbereich befinden. Wenn Sie Ihre Daten in andere Storage-Konten in anderen Regionen replizieren müssen, können Sie eine der Azure Storage-Redundanzoptionen verwenden, einschließlich GRS (georedundanter Speicher) und GZRS (geozonenredundanter Speicher).

Bei Azure Monitor eingehende Daten werden an Storage-Konten gesendet und in Ziele in der Arbeitsbereichsregion exportiert. Für jede Tabelle im Storage-Konto wird ein Container mit dem Namen am-, gefolgt vom Namen der Tabelle, erstellt. Beispielsweise würde die Tabelle SecurityEvent an einen Container mit dem Namen am-SecurityEvent senden.

Blobs werden in Fünf-Minuten-Ordnern in der folgenden Pfadstruktur gespeichert: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<Ressourcengruppe>/providers/microsoft.operationalinsights/workspaces/<Arbeitsbereich>/y=<Jahr (vierstellige Zahl)>/m=<Monat (zweistellige Zahl)>/d=<Tag (zweistellige Zahl)>/h=<Stunde im 24-Stunden-Format (zweistellige Zahl)>/m=<Minute im 60-Minuten-Format (zweistellige Zahl)>/PT05M.json. Anfügeblobs sind auf 50.000 Schreibvorgänge beschränkt und können erreicht werden, und weitere Blobs werden im Ordner als „PT05M_#.json*“ hinzugefügt, wobei # der inkrementellen Blobanzahl entspricht.

Das Format von Blobs im Storate-Konto ist JSON Lines (JSON-Zeilen). Das bedeutet, dass die einzelnen Datensätze jeweils durch einen Zeilenumbruch getrennt sind und dass kein externes Datensatzarray und keine Kommas zwischen JSON-Datensätzen verwendet werden.

Event Hubs

Sie müssen über Schreibberechtigungen für den Arbeitsbereich und das Ziel verfügen, um eine Datenexportregel konfigurieren zu können. Die SAS-Richtlinie für den Event Hubs-Namespace definiert die Berechtigungen für den Streamingmechanismus. Für das Streaming an Event Hubs werden Berechtigungen für das Verwalten, Senden und Lauschen benötigt. Um die Exportregel zu aktualisieren, müssen Sie über die ListKey-Berechtigung für diese Event Hubs-Autorisierungsregel verfügen.

Verwenden Sie keine vorhandene Event Hubs-Instanz, die nicht überwachungsrelevante Daten enthält, um ein Erreichen der maximalen Erfassungsrate des Event Hubs-Namespace sowie Fehler und Wartezeit zu vermeiden.

Bei Azure Monitor eingehende Daten werden an Ihre Event Hubs-Instanz gesendet und in Ziele in der Arbeitsbereichsregion exportiert. Sie können mehrere Exportregeln für denselben Event Hubs-Namespace erstellen, indem Sie in der Regel einen anderen Event Hub-Namen (event hub name) angeben. Ohne Angabe von event hub name wird für Tabellen, die Sie exportieren, eine standardmäßige Event Hubs-Instanz erstellt, deren Name sich aus am- und dem Namen der Tabelle zusammensetzt. Beispielsweise würde die Tabelle SecurityEvent an einen Event Hub mit dem Namen am-SecurityEvent gesendet. Pro Namespaceebene vom Typ „Basic“ oder „Standard“ werden zehn Event Hubs unterstützt. Wenn Sie mehr als zehn Tabellen in diese Ebenen exportieren, teilen Sie die Tabellen entweder auf mehrere Exportregeln für verschiedene Event Hubs-Namespaces auf, oder geben Sie einen Event Hub-Namen an, um alle Tabellen in diesen Event Hub zu exportieren.

Hinweis

• Die Event Hubs-Namespaceebene „Basic“ ist eingeschränkt. Sie unterstützt eine geringere Ereignisgröße und keine automatische Vergrößerung, um automatisch hochzuskalieren und die Anzahl von Durchsatzeinheiten zu erhöhen. Da das Datenvolumen in Ihrem Arbeitsbereich mit der Zeit zunimmt und eine Event Hubs-Skalierung erforderlich macht, verwenden Sie die Event Hubs-Ebene „Standard“, „Premium“ oder „Dedicated“ mit aktiviertem Feature Automatische Vergrößerung. Siehe Automatisches Hochskalieren von Azure Event Hubs Durchsatzeinheiten.
• Datenexport kann Event Hubs-Ressourcen nicht erreichen, wenn virtuelle Netzwerke aktiviert sind. Sie müssen die Firewalleinstellung Vertrauenswürdige Microsoft-Dienste zulassen im Event Hub aktivieren, um den Zugriff auf Event Hubs zu ermöglichen.

Aktivieren des Datenexports

Die folgenden Schritte müssen ausgeführt werden, um den Log Analytics-Datenexport zu aktivieren. Ausführliche Informationen finden Sie in den entsprechenden Abschnitten weiter unten.

• Registrieren Sie den Ressourcenanbieter.
• Lassen Sie vertrauenswürdige Microsoft-Dienste zu.
• Erstellen Sie mindestens eine Datenexportregel, mit der die zu exportierenden Tabellen und deren Ziel definiert werden.

Registrieren des Ressourcenanbieters

Der Azure-Ressourcenanbieter „Microsoft.Insights“ muss in Ihrem Abonnement registriert werden, um den Log Analytics-Datenexport zu ermöglichen.

Dieser Ressourcenanbieter ist bei den meisten Azure Monitor-Benutzern wahrscheinlich bereits registriert. Um dies zu überprüfen, gehen Sie im Azure-Portal zu Abonnements. Wählen Sie Ihr Abonnement aus, und klicken Sie dann im Bereich Einstellungen im Menü auf Ressourcenanbieter. Suchen Sie nach Microsoft.Insights. Wenn der Status Registriert lautet, ist die Registrierung bereits erfolgt. Andernfalls klicken Sie auf Registrieren, um die Registrierung vorzunehmen.

Sie können auch eine der verfügbaren Methoden zum Registrieren eines Ressourcenanbieters verwenden, die unter Azure-Ressourcenanbieter und -typen beschrieben sind. Hier sehen Sie einen CLI-Beispielbefehl:

az provider register --namespace 'Microsoft.insights'

Im Folgenden finden Sie einen Beispielbefehl für PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Zulassen vertrauenswürdiger Microsoft-Dienste

Wenn Sie Ihr Speicherkonto so konfiguriert haben, dass der Zugriff von ausgewählten Netzwerken aus möglich ist, müssen Sie eine Ausnahme hinzufügen, damit Azure Monitor in das Konto schreiben darf. Wählen Sie unter Firewalls und virtuelle Netzwerke für Ihr Storage-Konto Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben aus.

Überwachen von Zielen

Wichtig

Exportziele haben Grenzwerte und sollten überwacht werden, um Drosselungen, Fehler und Wartezeiten zu minimieren. Weitere Informationen finden Sie unter Skalierbarkeitsziele für Standardspeicherkonten und Kontingente und Grenzwerte in Azure Event Hubs.

Überwachen eines Speicherkontos

1. Verwenden eines separaten Storage-Kontos für den Export

2. Konfigurieren Sie die Warnung für die Metrik:

   `Scope`	Metriknamespace	Metric	Aggregation	Schwellenwert
   Speichername	Konto	Eingehende Daten	Sum	80 % des maximalen Eingangs pro Warnungsauswertungszeitraum. Beispiel: Grenzwert von 60 GBit/s für „Universell v2“ in „USA, Westen“. Der Schwellenwert liegt bei 14.400 GBit pro fünfminütigem Auswertungszeitraum.

3. Warnung vor Abhilfemaßnahmen

   • Verwenden Sie für den Export ein separates Storage-Konto, das nicht für nicht überwachungsrelevante Daten genutzt wird.
   • Azure Storage-Standardkonten unterstützen höhere Eingangsgrenzwerte bei Anforderung. Wenden Sie sich dazu an den Azure-Support.
   • Teilen Sie Tabellen auf mehrere Storage-Konten auf.

Überwachen von Event Hubs

1. Konfigurieren Sie Warnungen für die folgenden Metriken:

   `Scope`	Metriknamespace	Metric	Aggregation	Schwellenwert
   Namespacesname	Event Hub-Standardmetriken	Eingehende Bytes	Sum	80 % des maximalen Eingangs pro Warnungsauswertungszeitraum. Beispiel: Grenzwert von 1 MB/s pro Einheit (TU oder PU) und fünf verwendete Einheiten. Der Schwellenwert beträgt 1.200 MB pro 5-Minuten-Auswertungszeitraum.
   Namespacesname	Event Hub-Standardmetriken	Eingehende Anforderungen	Anzahl	80 % der maximalen Ereignisse pro Warnungsauswertungszeitraum. Beispiel: Grenzwert von 1.000/s pro Einheit (TU oder PU) und fünf verwendete Einheiten. Der Schwellenwert beträgt 1.200.000 pro 5-Minuten-Auswertungszeitraum.
   Namespacesname	Event Hub-Standardmetriken	Fehler aufgrund von Kontingentüberschreitung	Anzahl	1 % der Anforderung. Pro 5 Minuten beispielsweise 600.000 Anforderungen. Der Schwellenwert beträgt 6.000 pro 5-Minuten-Auswertungszeitraum.

2. Warnung vor Abhilfemaßnahmen

   • Verwenden Sie für den Export einen separaten Event Hubs-Namespace, der nicht für nicht überwachungsrelevante Daten genutzt wird.
   • Konfigurieren Sie die Funktion Auto-inflate, um die Anzahl der Durchsatzeinheiten automatisch zu erhöhen, um den Nutzungsanforderungen gerecht zu werden.
   • Überprüfen Sie die Erhöhung der Durchsatzeinheiten, um das Datenvolumen zu bewältigen.
   • Teilen Sie Tabellen auf mehrere Namespaces auf.
   • Verwenden Sie die Stufen "Prämie" oder "Dedizierte" für einen höheren Durchsatz

Erstellen oder Aktualisieren der Datenexportregel

Eine Datenexportregel definiert das Ziel und die Tabellen, für die Daten exportiert werden. Sie können in Ihrem Arbeitsbereich zehn Regeln im aktivierten Zustand erstellen. Weitere Regeln können im deaktivierten Zustand vorhanden sein. Das Storage-Konto muss für alle Regeln im Arbeitsbereich eindeutig sein. Beim Senden an separate Event Hubs können mehrere Regeln denselben Event Hubs-Namespace verwenden.

Hinweis

• Sie können Tabellen einschließen, die noch nicht im Export unterstützt werden. Für diese Tabellen werden allerdings erst Daten exportiert, wenn sie unterstützt werden.
• Das ältere benutzerdefinierte Protokoll wird beim Export nicht unterstützt. Die nächste Generation von benutzerdefinierten Protokollen, die Anfang 2022 als Vorschau verfügbar sind, kann exportiert werden.
• In Storage-Konto exportieren: Im Storage-Konto wird für jede Tabelle ein separater Container erstellt.
• In Event Hubs exportieren: Ohne Angabe eines Event Hub-Namens wird für jede Tabelle ein separater Event Hub erstellt. Pro Namespaceebene vom Typ „Basic“ oder „Standard“ werden zehn Event Hubs unterstützt. Wenn Sie mehr als zehn Tabellen in diese Ebenen exportieren, teilen Sie die Tabellen entweder auf mehrere Exportregeln für verschiedene Event Hubs-Namespaces auf, oder geben Sie in der Regel einen Event Hub-Namen an, um alle Tabellen in diesen Event Hub zu exportieren.

Azure portal

Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport im Abschnitt Einstellungen und klicken Sie oben im mittleren Fenster auf Neue Exportregel.

Folgen Sie den Schritten und klicken Sie dann auf Erstellen.

PowerShell

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell eine Datenexportregel für ein Storage-Konto zu erstellen. Für jede Tabelle wird ein separater Container erstellt.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell eine Datenexportregel für einen bestimmten Event Hub zu erstellen. Alle Tabellen werden in den angegebenen Event Hub-Namen exportiert und können nach dem Feld „Typ“ gefiltert werden, um Tabellen zu trennen.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell eine Datenexportregel für einen Event Hub zu erstellen. Ohne Angabe eines bestimmten Event Hub-Namens wird für jede Tabelle ein separater Container erstellt, bis die Anzahl unterstützter Event Hubs in der Event Hubs-Ebene erreicht ist. Um weitere Tabellen zu exportieren, geben Sie einen Event Hub-Namen in der Regel an, oder legen Sie eine andere Regel fest, und exportieren Sie die verbleibenden Tabellen in einen Event Hubs-Namespace.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um mithilfe der CLI eine Datenexportregel für ein Storage-Konto zu erstellen. Für jede Tabelle wird ein separater Container erstellt.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Verwenden Sie den folgenden Befehl, um mithilfe der CLI eine Datenexportregel für einen bestimmten Event Hub zu erstellen. Alle Tabellen werden in den angegebenen Event Hub-Namen exportiert und können nach dem Feld „Typ“ gefiltert werden, um Tabellen zu trennen.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Verwenden Sie den folgenden Befehl, um mithilfe der CLI eine Datenexportregel für eine Event Hubs-Instanz zu erstellen. Ohne Angabe eines bestimmten Event Hub-Namens wird für jede Tabelle ein separater Container erstellt, bis die Anzahl unterstützter Event Hubs für Ihre Event Hub-Ebene erreicht ist. Wenn weitere Tabellen exportiert werden müssen, geben Sie einen Event Hub-Namen an, um eine beliebige Anzahl von Tabellen zu exportieren, oder legen Sie eine weitere Regel fest, um die restlichen Tabellen in einen anderen Event Hubs-Namespace zu exportieren.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Verwenden Sie die folgende Anforderung, um mithilfe der REST-API eine Datenexportregel für ein Storage-Konto zu erstellen. Für jede Tabelle wird ein separater Container erstellt. Die Anforderung sollte die Bearertokenautorisierung und den Inhaltstyp „application/json“ verwenden.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Der Anforderungstext gibt das Tabellenziel an. Hier sehen Sie einen Beispieltext für die REST-Anforderung:

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Im Folgenden sehen Sie einen Beispieltext für die REST-Anforderung für eine Event Hubs-Instanz.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Es folgt ein Beispieltext für die REST-Anforderung für eine Event Hubs-Instanz, bei der der Event Hub-Name angegeben wird. In diesem Fall werden alle exportierten Daten an diesen Event Hub gesendet.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Vorlage

Verwenden Sie den folgenden Befehl, um mithilfe einer Resource Manager-Vorlage eine Datenexportregel für ein Storage-Konto zu erstellen:

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Verwenden Sie den folgenden Befehl, um mithilfe einer Resource Manager-Vorlage eine Datenexportregel für eine Event Hubs-Instanz zu erstellen. Für jede Tabelle wird ein separater Event Hub erstellt.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Verwenden Sie den folgenden Befehl, um mithilfe einer Resource Manager-Vorlage eine Datenexportregel für einen bestimmten Event Hub zu erstellen. Alle Tabellen werden in diesen Event Hub exportiert.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Anzeigen der Konfiguration der Datenexportregel

Azure portal

Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport im Abschnitt Einstellungen.

Klicken Sie auf eine Regel für die Konfigurationsansicht.

PowerShell

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell die Konfiguration einer Datenexportregel anzuzeigen:

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um die Konfiguration einer Datenexportregel mithilfe der CLI anzuzeigen.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Verwenden Sie die folgende Anforderung, um die Konfiguration einer Datenexportregel mithilfe der REST-API anzuzeigen. Die Anforderung sollte die Bearertokenautorisierung verwenden.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Vorlage

–

Deaktivieren oder Aktualisieren einer Exportregel

Azure portal

Exportregeln können deaktiviert werden, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport im Abschnitt Einstellungen und klicken Sie auf das Statuskästchen, um die Exportregel zu deaktivieren oder zu aktivieren.

PowerShell

Exportregeln können deaktiviert werden, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Verwenden Sie den folgenden Befehl, um Regelparameter mithilfe von PowerShell zu deaktivieren oder zu aktualisieren:

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure-Befehlszeilenschnittstelle

Exportregeln können deaktiviert werden, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Verwenden Sie den folgenden Befehl, um Regelparameter mithilfe der CLI zu deaktivieren oder zu aktualisieren:

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Exportregeln können deaktiviert werden, um den Export für einen bestimmten Zeitraum auszusetzen (beispielsweise während Tests). Verwenden Sie den folgenden Befehl, um Regelparameter mithilfe der REST-API zu deaktivieren oder zu aktualisieren. Die Anforderung sollte die Bearertokenautorisierung verwenden.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Vorlage

Exportregeln können deaktiviert werden, damit Sie den Export beenden können, wenn Tests durchgeführt werden und keine Daten an das Ziel gesendet werden müssen. Legen Sie "enable": false in der Vorlage fest, um einen Datenexport zu deaktivieren.

Löschen einer Exportregel

Azure portal

Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport im Abschnitt Einstellungen, klicken Sie dann auf die Ellipse rechts neben der Regel und dann auf Löschen.

PowerShell

Verwenden Sie den folgenden Befehl, um eine Datenexportregel mithilfe von PowerShell zu löschen:

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um eine Datenexportregel mithilfe der CLI zu löschen.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Verwenden Sie die folgende Anforderung, um eine Datenexportregel mithilfe der REST-API zu löschen. Die Anforderung sollte die Bearertokenautorisierung verwenden.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Vorlage

–

Anzeigen aller Datenexportregeln in einem Arbeitsbereich

Azure portal

Wählen Sie im Menü Log Analytics-Arbeitsbereich im Azure-Portal die Option Datenexport im Abschnitt Einstellungen, um alle Exportregeln im Arbeitsbereich anzuzeigen.

PowerShell

Verwenden Sie den folgenden Befehl, um mithilfe von PowerShell alle Datenexportregeln in einem Arbeitsbereich anzuzeigen:

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um alle Datenexportregeln in einem Arbeitsbereich mithilfe der CLI anzuzeigen.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Verwenden Sie die folgende Anforderung, um alle Datenexportregeln in einem Arbeitsbereich mithilfe der REST-API anzuzeigen. Die Anforderung sollte die Bearertokenautorisierung verwenden.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Vorlage

–

Nicht unterstützte Tabellen

Wenn die Datenexportregel eine nicht unterstützte Tabelle umfasst, wird die Konfiguration erfolgreich ausgeführt, es werden jedoch für diese Tabelle keine Daten exportiert. Wenn die Tabelle zu einem späteren Zeitpunkt unterstützt wird, werden die entsprechenden Daten dann exportiert.

Unterstützte Tabellen

Es werden alle Daten aus der Tabelle exportiert, sofern keine Einschränkungen angegeben werden. Diese Liste wird aktualisiert, wenn weitere Tabellen hinzugefügt werden.

Tabelle	Einschränkungen
AACAudit
AACHttpRequest
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallDiagnostics
ACSCallSummary
ACSChatIncomingOperations
ACSNetworkTraversalIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
ADFActivityRun
ADFPipelineRun
ADFSSignInLogs
ADFTriggerRun
ADPAudit
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXQuery
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAuditLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodJobProcessedLogs
AGSGrafanaLoginEvents
Warnung	Teilweise unterstützt: Die Datenerfassung für Zabbix-Warnungen wird nicht unterstützt.
AlertEvidence
AlertInfo
AmlOnlineEndpointConsoleLog
ApiManagementGatewayLogs
AppCenterError
AppPlatformSystemLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceConsoleLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServicePlatformLogs
ASimDnsActivityLogs
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AWSCloudTrail
AWSGuardDuty
AWSVPCFlow
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureDevOpsAuditing
BehaviorAnalytics
CassandraLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfigurationData	Teilweise unterstützt: Einige Daten werden durch interne Dienste erfasst, die für den Export nicht unterstützt werden. Dieser Teil fehlt derzeit im Export.
ContainerImageInventory
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksClusters
DatabricksDBFS
DatabricksInstancePools
DatabricksJobs
DatabricksNotebook
DatabricksSecrets
DatabricksSQLPermissions
DatabricksSSH
DatabricksWorkspace
DnsEvents
DnsInventory
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
Ereignis	Teilweise Unterstützung: Daten, die vom Log Analytics-Agent (MMA) oder vom Azure Monitor-Agent (AMA) eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export jedoch nicht unterstützt.
ExchangeAssessmentRecommendation
FailedIngestion
FunctionAppLogs
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
Heartbeat
HuntingBookmark
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Teilweise unterstützt: Einige Daten werden durch interne Dienste erfasst, die für den Export nicht unterstützt werden. Dieser Teil fehlt derzeit im Export.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubeServices
LAQueryLogs
McasShadowItReporting
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftHealthcareApisAuditLogs
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OfficeActivity	In Government-Clouds teilweise unterstützt: Einige der Daten werden über Webhooks von O365 in LA erfasst. Dieser Teil fehlt derzeit im Export.
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Vorgang	Teilweise unterstützt: Einige Daten werden durch interne Dienste erfasst, die für den Export nicht unterstützt werden. Dieser Teil fehlt derzeit im Export.
Perf	Teilweise unterstützt: Zurzeit werden nur Windows-Leistungsdaten unterstützt. Linux-Leistungsdaten fehlen derzeit im Export.
PowerBIActivity
PowerBIDatasetsWorkspace
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent	Teilweise Unterstützung: Daten, die vom Log Analytics-Agent (MMA) oder vom Azure Monitor-Agent (AMA) eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export jedoch nicht unterstützt.
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SentinelAudit
SentinelHealth
SfBAssessmentRecommendation
SfBOnlineAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
StorageCacheOperationEvents
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
syslog	Teilweise Unterstützung: Daten, die vom Log Analytics-Agent (MMA) oder vom Azure Monitor-Agent (AMA) eintreffen, werden beim Exportvorgang vollständig unterstützt. Daten, die über den Diagnoseerweiterungs-Agent eingehen, werden über den Speicher gesammelt. Dieser Pfad wird beim Export jedoch nicht unterstützt.
ThreatIntelligenceIndicator
UCClient
UCClientUpdateStatus
UCDeviceAlert
UCServiceUpdateStatus
UCUpdateAlert
Aktualisieren	Teilweise unterstützt: Einige Daten werden durch interne Dienste erfasst, die für den Export nicht unterstützt werden. Dieser Teil fehlt derzeit im Export.
UpdateRunProgress
UpdateSummary
Verwendung
UserAccessAnalytics
UserPeerAnalytics
Watchlist
WindowsEvent
WindowsFirewall
WireData	Teilweise unterstützt: Einige Daten werden durch interne Dienste erfasst, die für den Export nicht unterstützt werden. Dieser Teil fehlt derzeit im Export.
WorkloadDiagnosticLogs
WVDAgentHealthStatus
WVDCheckpoints
WVDConnections
WVDErrors
WVDFeeds
WVDManagement

Nächste Schritte

• Abfragen der exportierten Daten aus Azure Data Explorer