Exportación de datos del área de trabajo de Log Analytics en Azure Monitor

Artículo
07/15/2022
Tiempo de lectura: 24 minutos

La exportación de datos del área de trabajo de Log Analytics le permite exportar continuamente datos de tablas seleccionadas del área de trabajo a una cuenta de Azure Storage o Azure Event Hubs a medida que se llegan a la canalización de Azure Monitor. En este artículo se ofrecen detalles sobre esta característica y pasos para configurar la exportación de datos en las áreas de trabajo.

Introducción

Los datos de Log Analytics están disponibles durante el período de retención definido en el área de trabajo y se usan en varias experiencias de Azure Monitor y servicios de Azure. Hay casos en los que necesita usar otras herramientas:

Cumplimiento con el almacenamiento protegido contra alteraciones: los datos no se pueden modificar en Log Analytics una vez ingeridos, pero se pueden purgar. Expórtelos a una cuenta de almacenamiento con directivas de inmutabilidad para proteger los datos de posibles alteraciones.
Integración con los servicios de Azure y otras herramientas: se exportan a Event Hubs a medida que llegan y se procesan en Azure Monitor.
Mantenga los datos de auditoría y seguridad durante mucho tiempo: exporte a una cuenta de Storage en la región del área de trabajo o replique los datos en otras regiones mediante cualquiera de las opciones de redundancia de Azure Storage, como "GRS" y "GZRS".

Después de configurar las reglas de exportación de datos en el área de trabajo de Log Analytics, los nuevos datos de las tablas en las reglas se exportan desde una canalización Azure Monitor a la cuenta de Storage o Event Hubs cuando llegan.

Los datos se exportan sin filtro. Por ejemplo, al configurar una regla de exportación de datos para la tabla SecurityEvent, todos los datos enviados a la tabla SecurityEvent se exportan a partir de la hora de configuración.

Otras opciones de exportación

La exportación continua de datos del área de trabajo de Log Analytics exporta continuamente los datos que se envían a dicho área de trabajo. Hay otras opciones para exportar datos para escenarios concretos:

Configure la configuración diagnóstico en recursos de Azure. Los registros se envían directamente al destino y tienen una latencia menor en comparación con la exportación de datos en Log Analytics.
Programe la exportación de datos en función de una consulta de registro que defina con la API de consulta de Log Analytics. Use servicios como Azure Data Factory, Azure Functions o Azure Logic Apps para orquestar las consultas en el área de trabajo y exportar los datos a un destino. Esto es similar a la característica de exportación de datos, pero permite exportar datos históricos desde el área de trabajo mediante filtros y agregaciones. Este método está sujeto a los límites de la consulta de registro y no está pensado para modificar la escala. Consulte Archivado de datos de un área de trabajo de Log Analytics a Azure Storage mediante Logic Apps.
Exportación única a la máquina local mediante el script de PowerShell. Consulte Invoke-AzOperationalInsightsQueryExport.

Limitaciones

Todas las tablas se podrán exportar, pero, actualmente, están limitadas a las que se especifican en la sección Tablas admitidas.
El registro personalizado heredado mediante la API del recopilador de datos HTTP no se admite en la exportación, pero los datos de los registros personalizados basados en DCR sí se pueden exportar.
Puede definir hasta 10 reglas habilitadas en el área de trabajo. Se permiten más reglas cuando se deshabilitan.
Los destinos deben estar en la misma región que el área de trabajo de Log Analytics.
La cuenta de almacenamiento debe ser única entre las reglas del área de trabajo.
Los nombres de tablas no pueden tener más de 60 caracteres cuando se exporta a la cuenta de almacenamiento y 47 caracteres cuando se exporta al centro de eventos. Las tablas con nombres más largos no se exportarán.
La exportación de datos no se admite actualmente en China.

Integridad de los datos

La exportación de datos está optimizada para mover grandes volúmenes de datos a los destinos y, en determinadas condiciones de reintento, puede incluir una fracción de registros duplicados. La operación de exportación podría dar un error cuando se alcanzan los límites de entrada. Consulte los detalles en Creación o actualización de una regla de exportación de datos. En tal caso, un reintento continúa hasta 30 minutos y, si el destino aún no está disponible, los datos se descartarán hasta que el destino esté disponible.

Modelo de precios

Los cargos por exportación de datos se basan en el volumen de datos exportados medidos en bytes. El tamaño de los datos exportados por la exportación de datos de Log Analytics es el número de bytes de los datos exportados con formato JSON. El volumen de datos se mide en GB (10^9 bytes).

Para más información, incluida la escala de tiempo de facturación de la exportación de datos, consulte Precios de Azure Monitor.

Destinos de la exportación

El destino de exportación de los datos debe crearse antes de crear la regla de exportación en el área de trabajo. No es necesario que el destino esté en la misma suscripción que el área de trabajo. Cuando se usa Azure Lighthouse, también se pueden enviar datos a destinos que estén en otro inquilino de Azure Active Directory.

Cuenta de almacenamiento

Debe tener permisos de "escritura" en el área de trabajo y el destino para poder configurar la regla de exportación de datos.

No use una cuenta de almacenamiento existente que tenga otros datos que no son de supervisión para controlar mejor el acceso a los datos y evitar alcanzar el límite de velocidad de entrada de almacenamiento, los errores y la latencia.

Para enviar los datos a la cuenta de almacenamiento inmutable, establezca la directiva de inmutabilidad para la cuenta de almacenamiento, tal como se escribe en Establecimiento y administración de directivas de inmutabilidad para el almacenamiento de blobs. Debe seguir todos los pasos que se indican en este artículo, incluida la habilitación de las operaciones de escritura en blobs en anexos protegidos.

La cuenta de almacenamiento debe tener la versión StorageV1 u otra superior y estar en la misma región que el área de trabajo. Si tiene que replicar los datos en otras cuentas de almacenamiento de otras regiones, puede usar cualquiera de las opciones de redundancia de Azure Storage, incluidos GRS y GZRS.

Los datos se envían a las cuentas de almacenamiento a medida que llegan a Azure Monitor, y se exportan a destinos ubicados en la región del área de trabajo. Se crea un contenedor para cada tabla en la cuenta de almacenamiento denominado am- seguido del nombre de la tabla. Por ejemplo, la tabla SecurityEvent se enviaría a un contenedor denominado am-SecurityEvent.

Los blobs se almacenan en carpetas de cinco minutos con la estructura de ruta de acceso: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<grupo-de-recursos>/providers/microsoft.operationalinsights/workspaces/<área-de-trabajo>/y=<cuatro-dígitos-del-año>/m=<dos-dígitos-del-mes>/d=<dos-dígitos-del-día>/h=<dos-dígitos-de-la-hora-en-un-reloj-de-24-horas>/m=<dos-dígitos-de-los-minutos>/PT05M.json. Los blobs en anexos se limitan a escrituras de 50 K y se pueden alcanzar, y se agregarán más blobs en la carpeta como: PT05M_#.json*, donde # es el recuento incremental de blobs.

El formato de los blobs de la cuenta de almacenamiento está en las líneas JSON, donde cada registro está delimitado por una nueva línea, sin matriz de registros externos y sin comas entre los registros JSON.

Event Hubs

Debe tener permisos de "escritura" en el área de trabajo y el destino para poder configurar la regla de exportación de datos. La directiva de acceso compartido del espacio de nombres de Event Hubs, define los permisos que tiene el mecanismo de transmisión. Para transmitir a Event Hubs, se necesitan permisos de administración, envío y escucha. Para actualizar la regla de exportación, debe tener el permiso ListKey en esa regla de autorización de Event Hubs.

No use una instancia de Event Hubs existente que tenga datos que no son de supervisión para evitar que se alcance el límite de velocidad de entrada, errores y latencia de un espacio de nombres de Event Hubs.

Los datos se envían a Event Hubs a medida que llegan a Azure Monitor, y se exportan a destinos ubicados en la región del área de trabajo. Puede crear varias reglas de exportación en el mismo espacio de nombres de la instancia de Event Hubs proporcionando diferentes event hub name en la regla. Cuando event hub name no se proporciona, se crean instancias de Event Hubs predeterminadas para las tablas que se exportan con el nombre: am- seguido del nombre de la tabla. Por ejemplo, la tabla SecurityEvent se enviaría a un centro de eventos denominado am-SecurityEvent. El número de centros de eventos admitidos en los niveles de espacios de nombres "Básico" y "Estándar" es 10. Para exportar más de 10 tablas a estos niveles, divida las tablas entre varias reglas de exportación a distintos espacios de nombres de centros de eventos, o bien proporcione el nombre de un centro de eventos para exportar todas las tablas a él.

Nota:

El nivel de espacio de nombres "Básico" de Event Hubs es limitado: admite un tamaño de evento inferior y no admite el inflado automático para escalar verticalmente y aumentar el número de unidades de procesamiento de forma automática. Dado que el volumen de datos del área de trabajo aumenta con el tiempo y, por tanto, es necesario escalar a Event Hubs, use los niveles "Estándar", "Premium" o "Dedicado" de las instancias de Event Hubs con la característica Inflado automático habilitada. Consulte Escalado vertical y automático de las unidades de procesamiento de Azure Event Hubs.
La exportación de datos no puede acceder a los recursos de Event Hubs cuando las redes virtuales están habilitadas. Debe habilitar la opción Habilitación de los servicios de Microsoft de confianza a fin de omitir esta configuración del firewall en el centro de eventos para conceder acceso a las instancias de Event Hubs.

Habilitación de la exportación de datos

Para habilitar la exportación de datos de Log Analytics, hay que seguir los pasos que se detallan a continuación. Consulte las siguientes secciones para obtener más información sobre cada uno de ellos.

Registre el proveedor de recursos.
Habilite los servicios de Microsoft de confianza.
Cree una o varias reglas de exportación de datos que definan las tablas que se van a exportar y su destino.

Registro del proveedor de recursos

El proveedor de recursos de Azure Microsoft.Insights debe registrarse en su suscripción para habilitar la exportación de datos de Log Analytics.

Probablemente, este proveedor de recursos ya esté registrado para la mayoría de los usuarios de Azure Monitor. Para comprobarlo, vaya a Suscripciones en Azure Portal. Seleccione su suscripción y, luego, haga clic en Proveedores de recursos, en la sección Configuración del menú. Busque Microsoft.Insights. Si su estado es Registrado, entonces ya está registrado. Si no es así, haga clic en Registrar para registrarlo.

También puede usar cualquiera de los métodos disponibles para registrar un proveedor de recursos, tal y como se describe en Tipos y proveedores de recursos de Azure. El siguiente es un comando de ejemplo con la CLI:

az provider register --namespace 'Microsoft.insights'

El siguiente es un comando de ejemplo con PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Habilitación de los servicios de Microsoft de confianza

Si ha configurado la cuenta de almacenamiento para permitir el acceso desde las redes seleccionadas, tiene que agregar una excepción para permitir que Azure Monitor escriba en la cuenta. En la opción Firewalls y redes virtuales de la cuenta de almacenamiento, seleccione Permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento.

Supervisión de destinos

Importante

Los destinos de exportación tienen restricciones y deben supervisarse para minimizar la limitación, los errores y la latencia. Consulte los temas sobre escalabilidad de las cuentas de almacenamiento y cuotas de espacio de nombres de Event Hubs.

Supervisión de una cuenta de almacenamiento

Uso de una cuenta de almacenamiento independiente para la exportación

Configure la alerta en la métrica:

Ámbito	Espacio de nombres de métrica	Métrica	Agregación	Umbral
storage-name	Cuenta	Entrada	Sum	80 % de entrada máxima por período de evaluación de alertas. Por ejemplo: el límite es 60 Gbps para la versión 2 de uso general en la región Oeste de EE. UU. El umbral es de 14 400 Gb por período de evaluación de cinco minutos.

Acciones de corrección de alertas
- Use una cuenta de almacenamiento independiente para la exportación que no se comparta con datos que no sean de supervisión.
- Las cuentas estándar de Azure Storage admiten límites de entrada más altos por solicitud. Para solicitar un aumento, póngase en contacto con Soporte técnico de Azure.
- Divida las tablas entre más cuentas de almacenamiento.

Supervisión de Event Hubs

Configure las alertas en las métricas:

Ámbito	Espacio de nombres de métrica	Métrica	Agregación	Umbral
namespaces-name	Métricas estándar del centro de eventos	Bytes de entrada	Sum	80 % de entrada máxima por período de evaluación de alertas. Por ejemplo, el límite es de 1 MB/s por unidad (TU o PU) y cinco unidades usadas. El umbral es de 1200 MB por período de evaluación de 5 minutos.
namespaces-name	Métricas estándar del centro de eventos	Solicitudes entrantes	Count	80 % de número máximo de eventos por período de evaluación de alertas. Por ejemplo, el límite es de 1000/s por unidad (TU o PU) y cinco unidades usadas. El umbral es de 1 200 000 Gb por período de evaluación de 5 minutos.
namespaces-name	Métricas estándar del centro de eventos	Cuota de errores superada	Count	1 % de la solicitud. Por ejemplo, las solicitudes por período de 5 minutos son 600000. El umbral es de 6000 MB por período de evaluación de 5 minutos.

Acciones de corrección de alertas
- Usar un espacio de nombres de Event Hubs aparte para la exportación que no se comparta con datos que no sean de supervisión.
- Configure la característica de inflado automático para escalar verticalmente y aumentar el número de unidades de procesamiento de forma automática y, de este modo, satisfacer las necesidades de uso.
- Comprobar el aumento de las unidades de procesamiento para dar cabida al volumen de datos.
- Dividir las tablas entre más espacios de nombres.
- Usar los niveles "Premium" o "Dedicado" para obtener un mayor rendimiento

Creación o actualización de una regla de exportación de datos

Una regla de exportación de datos define el destino y las tablas cuyos datos se exportan. Puede crear diez reglas con el estado "habilitar" en el área de trabajo. Se permiten más reglas con el estado "deshabilitar". La cuenta de almacenamiento debe ser única entre las reglas del área de trabajo. Varias reglas pueden usar el mismo espacio de nombres de Event Hubs al enviar a instancias de Event Hubs independientes.

Nota

Puede incluir tablas que aún no se admiten en la exportación y no se exportarán sus datos hasta que se admitan las tablas.
El registro personalizado heredado no se admite en la exportación. Se puede exportar la próxima generación del registro personalizado, que estará disponible en versión preliminar a principios de 2022.
Exportación a una cuenta de almacenamiento: se crea un contenedor aparte en la cuenta de almacenamiento para cada tabla.
Exportación a Event Hubs: si no se proporciona el nombre del centro de eventos, se crea uno diferente para cada tabla. El número de centros de eventos admitidos en los niveles de espacios de nombres "Básico" y "Estándar" es 10. Para exportar más de 10 tablas a estos niveles, divida las tablas entre varias reglas de exportación a distintos espacios de nombres de Event Hubs, o bien proporcione el nombre de un centro de eventos en la regla para exportar todas las tablas a él.

En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración y haga clic en Nueva regla de exportación en la parte superior del panel central.

Siga los pasos y, a continuación, haga clic en Crear.

Captura de pantalla de la configuración de la regla de exportación de datos.

Utilice el siguiente comando para crear una regla de exportación de datos a una cuenta de almacenamiento con PowerShell. Se crea un contenedor aparte para cada tabla.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Utilice el siguiente comando para crear una regla de exportación de datos a un centro de eventos específico con PowerShell. Todas las tablas se exportan al centro de eventos proporcionado y se pueden filtrar por el campo "Tipo" para separar las tablas.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Utilice el siguiente comando para crear una regla de exportación de datos a un centro de eventos con PowerShell. Cuando no se proporciona el nombre de un centro de eventos específico, se crea un contenedor aparte para cada tabla hasta el número de instancias de Event Hubs admitidas para el nivel de su centro de eventos. Para exportar más tablas, proporcione un nombre de centro de eventos en la regla o establezca otra regla y exporte las tablas restantes a otro espacio de nombres de Event Hubs.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Use el siguiente comando para crear una regla de exportación de datos en una cuenta de almacenamiento mediante la CLI. Se crea un contenedor aparte para cada tabla.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Use el siguiente comando para crear una regla de exportación de datos en un centro de eventos específico mediante la CLI. Todas las tablas se exportan al centro de eventos proporcionado y se pueden filtrar por el campo "Tipo" para separar las tablas.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Use el siguiente comando para crear una regla de exportación de datos en una instancia de Event Hubs mediante la CLI. Cuando no se proporciona el nombre de un centro de eventos específico, se crea un contenedor aparte para cada tabla hasta el número de instancias de Event Hubs admitidas para el nivel de su centro de eventos. Si tiene más tablas para exportar, proporcione el nombre de la instancia de Event Hubs para exportar cualquier número de tablas o establezca otra regla para exportar las tablas restantes a otro espacio de nombres de Event Hubs.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

Utilice la siguiente solicitud para crear una regla de exportación de datos a una cuenta de almacenamiento con la API REST. Se crea un contenedor aparte para cada tabla. La solicitud debe usar la autorización del token de portador y el tipo de contenido aplicación/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

El cuerpo de la solicitud especifica el destino de las tablas. El siguiente es un cuerpo de ejemplo para la solicitud REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

El siguiente es un cuerpo de ejemplo para la solicitud REST para una instancia de Event Hubs.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

El siguiente es un cuerpo de ejemplo para la solicitud REST para una instancia de Event Hubs, donde se proporciona el nombre del centro de eventos. En este caso, se le envían todos los datos exportados.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Utilice el siguiente comando para crear una regla de exportación de datos a una cuenta de almacenamiento con una plantilla de Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Use el siguiente comando para crear una regla de exportación de datos a una instancia de Event Hubs con una plantilla de Resource Manager. Se crea un centro de eventos independiente para cada tabla.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Utilice el siguiente comando para crear una regla de exportación de datos a un centro de eventos específico con una plantilla de Resource Manager. Todas las tablas se exportan a ella.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Consulta de la configuración de la regla de exportación de datos

En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración.

Haga clic en una regla para acceder a la vista de configuración.

Captura de pantalla de la vista de la regla de exportación de datos.

Utilice el siguiente comando para ver la configuración de una regla de exportación de datos con PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Use el siguiente comando para ver la configuración de una regla de exportación de datos mediante la CLI.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

Use la siguiente solicitud para ver la configuración de una regla de exportación de datos mediante la API REST. La solicitud debe utilizar la autorización del token de portador.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Deshabilitación o actualización de una regla de exportación

Las reglas de exportación se pueden deshabilitar para que pueda detener la exportación durante un período determinado; por ejemplo, cuando se realizan pruebas. En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración y haga clic en el botón de alternancia de estado para habilitar o deshabilitar la regla de exportación.

Las reglas de exportación se pueden deshabilitar para que pueda detener la exportación durante un período determinado; por ejemplo, cuando se realizan pruebas. Utilice el siguiente comando para deshabilitar o actualizar parámetros de reglas con PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Eliminación de una regla de exportación

En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración y, a continuación, haga clic en los puntos suspensivos de la derecha de la regla y seleccione Eliminar.

Utilice el siguiente comando para eliminar una regla de exportación de datos con PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Use el siguiente comando para eliminar una regla de exportación de datos mediante la CLI.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

Use la siguiente solicitud para eliminar una regla de exportación de datos mediante la API REST. La solicitud debe utilizar la autorización del token de portador.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Consulta de todas las reglas de exportación de datos en un área de trabajo

En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración para ver todas las reglas de exportación del área de trabajo.

Utilice el siguiente comando para ver todas las reglas de exportación de datos de un área de trabajo con PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Use el siguiente comando para ver todas las reglas de exportación de datos en un área de trabajo mediante la CLI.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

Use la siguiente solicitud para ver todas las reglas de exportación de datos en un área de trabajo mediante la API REST. La solicitud debe utilizar la autorización del token de portador.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Tablas no admitidas

Si la regla de exportación de datos incluye una tabla no admitida, la configuración se realizará correctamente, pero no se exportará ningún dato de esa tabla. Si la tabla se admite posteriormente, sus datos se exportarán en ese momento.

Tablas admitidas

Todos los datos de la tabla se exportarán a menos que se especifiquen limitaciones. Esta lista se actualiza a medida que se agregan más tablas.

Tabla	Limitaciones
AACAudit
AACHttpRequest
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallDiagnostics
ACSCallSummary
ACSChatIncomingOperations
ACSNetworkTraversalIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
ADFActivityRun
ADFPipelineRun
ADFSSignInLogs
ADFTriggerRun
ADPAudit
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXQuery
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAuditLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodJobProcessedLogs
AGSGrafanaLoginEvents
Alerta	Compatibilidad parcial: no se admite la ingesta de datos para alertas de Zabbix.
AlertEvidence
AlertInfo
AmlOnlineEndpointConsoleLog
ApiManagementGatewayLogs
AppCenterError
AppPlatformSystemLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceConsoleLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServicePlatformLogs
ASimDnsActivityLogs
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AWSCloudTrail
AWSGuardDuty
AWSVPCFlow
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureDevOpsAuditing
BehaviorAnalytics
CassandraLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfigurationData	Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Esta parte no está disponible en la exportación actualmente.
ContainerImageInventory
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksClusters
DatabricksDBFS
DatabricksInstancePools
DatabricksJobs
DatabricksNotebook
DatabricksSecrets
DatabricksSQLPermissions
DatabricksSSH
DatabricksWorkspace
DnsEvents
DnsInventory
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
Evento	Compatibilidad parcial: los datos que llegan del agente de Log Analytics (MMA) o el agente de Azure Monitor (AMA) son totalmente compatibles con la exportación. Los datos que llegan a través del agente de la extensión de diagnóstico se recopilan a través del almacenamiento, mientras que esta ruta de acceso no se admite en la exportación.2
ExchangeAssessmentRecommendation
FailedIngestion
FunctionAppLogs
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
Latido
HuntingBookmark
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Esta parte no está disponible en la exportación actualmente.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubeServices
LAQueryLogs
McasShadowItReporting
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftHealthcareApisAuditLogs
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OfficeActivity	Compatibilidad parcial en nubes de Administración Pública: algunos de los datos se ingieren mediante webhooks de O365 en LA. Esta parte no está disponible en la exportación actualmente.
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operación	Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Esta parte no está disponible en la exportación actualmente.
Perf	Compatibilidad parcial: actualmente solo se admiten los datos de rendimiento de Windows. En este momento, faltan los datos de rendimiento de Linux en la exportación.
PowerBIActivity
PowerBIDatasetsWorkspace
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent	Compatibilidad parcial: los datos que llegan del agente de Log Analytics (MMA) o el agente de Azure Monitor (AMA) son totalmente compatibles con la exportación. Los datos que llegan a través del agente de la extensión de diagnóstico se recopilan a través del almacenamiento, mientras que esta ruta de acceso no se admite en la exportación.2
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SentinelAudit
SentinelHealth
SfBAssessmentRecommendation
SfBOnlineAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
StorageCacheOperationEvents
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
syslog	Compatibilidad parcial: los datos que llegan del agente de Log Analytics (MMA) o el agente de Azure Monitor (AMA) son totalmente compatibles con la exportación. Los datos que llegan a través del agente de la extensión de diagnóstico se recopilan a través del almacenamiento, mientras que esta ruta de acceso no se admite en la exportación.2
ThreatIntelligenceIndicator
UCClient
UCClientUpdateStatus
UCDeviceAlert
UCServiceUpdateStatus
UCUpdateAlert
Actualizar	Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Esta parte no está disponible en la exportación actualmente.
UpdateRunProgress
UpdateSummary
Uso
UserAccessAnalytics
UserPeerAnalytics
Watchlist
WindowsEvent
WindowsFirewall
WireData	Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Esta parte no está disponible en la exportación actualmente.
WorkloadDiagnosticLogs
WVDAgentHealthStatus
WVDCheckpoints
WVDConnections
WVDErrors
WVDFeeds
WVDManagement

Pasos siguientes

Consulta de datos exportados desde Azure Monitor mediante Azure Data Explorer (versión preliminar)