Exportación de datos del área de trabajo de Log Analytics en Azure Monitor (versión preliminar)

La exportación de datos del área de trabajo de Log Analytics en Azure Monitor permite exportar continuamente los datos de las tablas seleccionadas del área de trabajo de Log Analytics en una cuenta de Azure Storage o Azure Event Hubs a medida que se recopilan. En este artículo se ofrecen detalles sobre esta característica y pasos para configurar la exportación de datos en las áreas de trabajo.

Introducción

Una vez configurada la exportación de datos del área de trabajo de Log Analytics, los nuevos datos enviados a las tablas seleccionadas del área de trabajo se exportan automáticamente a la cuenta de almacenamiento en blobs en anexos cada hora o al centro de eventos prácticamente en tiempo real.

Información general sobre la exportación de datos

Todos los datos de las tablas incluidas se exportan sin ningún filtro. Por ejemplo, al configurar una regla de exportación de datos para la tabla SecurityEvent, todos los datos enviados a la tabla SecurityEvent se exportan a partir de la hora de configuración.

Otras opciones de exportación

La exportación de datos del área de trabajo de Log Analytics permite exportar datos continuamente de un área de trabajo de Log Analytics. Otras opciones para exportar datos en determinados escenarios son las siguientes:

Limitaciones

  • Actualmente, la configuración se puede realizar mediante solicitudes REST o la CLI. Todavía no se admiten Azure Portal o PowerShell.
  • La opción --export-all-tables de la CLI y REST no se admite y se quitará. Debe proporcionar la lista de tablas en las reglas de exportación de manera explícita.
  • Las tablas admitidas actualmente se limitan a las especificadas en la sección Tablas admitidas más adelante. Por ejemplo, actualmente no se admiten las tablas de registro personalizadas.
  • Si la regla de exportación de datos incluye una tabla no admitida, la operación se realizará correctamente, pero no se exportará ningún dato de esa tabla hasta que se admita.
  • Si la regla de exportación de datos incluye una tabla que no existe, se producirá un error Table <tableName> does not exist in the workspace.
  • La exportación de datos estará disponible en todas las regiones, pero actualmente no está disponible en las siguientes: Norte de Suiza, Oeste de Suiza, Centro-oeste de Alemania, Centro de Australia 2, Centro de Emiratos Árabes Unidos, Norte de Emiratos Árabes Unidos, Japón Occidental, Sudeste de Brasil, Este de Noruega, Oeste de Noruega, Sur de Francia, Sur de la India, Sur de Corea del Sur, Centro de la India (Jio), Oeste de la India (Jio), Este de Canadá, Oeste de EE. UU. 3, Centro de Suecia, Sur de Suecia, nubes de Administración Pública y China.
  • Puede definir hasta 10 reglas habilitadas en el área de trabajo. Se permiten reglas adicionales, pero en estado de deshabilitación.
  • El destino debe ser único en todas las reglas de exportación del área de trabajo.
  • La cuenta de almacenamiento de destino o el centro de eventos deben estar en la misma región que el área de trabajo de Log Analytics.
  • Los nombres de las tablas que se vayan a exportar no pueden tener más de 60 caracteres para una cuenta de almacenamiento, ni más de 47 caracteres en el caso de un centro de eventos. Las tablas con nombres más largos no se exportarán.

Integridad de los datos

La exportación de datos continuará reintentando el envío de datos durante un máximo de 30 minutos, en el caso de que el destino no esté disponible. Si sigue sin estar disponible después de 30 minutos, los datos se descartarán hasta que el destino esté disponible.

Coste

Actualmente no hay cargos adicionales por la característica de exportación de datos. Los precios de la exportación de datos se anunciarán en el futuro y habrá un periodo de aviso antes del inicio de la facturación. Si decide seguir usando la exportación de datos después del período de aviso, se le facturará según la tarifa aplicable.

Destinos de la exportación

Cuenta de almacenamiento

Los datos se envían a las cuentas de almacenamiento cuando llegan a Azure Monitor y se almacenan en blobs en anexos cada hora. La configuración de la exportación de datos crea un contenedor para cada tabla de la cuenta de almacenamiento con el nombre am- seguido del nombre de la tabla. Por ejemplo, la tabla SecurityEvent se enviaría a un contenedor denominado am-SecurityEvent.

La ruta de acceso a los blobs de la cuenta de almacenamiento es WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=00/PT1H.json. Dado que los blobs en anexos están limitados a 50 000 escrituras en el almacenamiento, el número de blobs exportados puede ampliarse si el número de anexos es elevado. El patrón de nomenclatura de los blobs sería PT1H_#.json en este caso, donde # corresponde al incremento del número de blobs.

El formato de los datos de la cuenta de almacenamiento es en líneas JSON. Esto significa que todos los registros se delimitan mediante una nueva línea, sin matrices de registros exteriores y sin comas entre los registros JSON.

Datos de ejemplo de almacenamiento

La exportación de datos de Log Analytics puede escribir blobs en anexos en cuentas de almacenamiento inmutables cuando las directivas de retención con una duración definida tienen habilitada la opción allowProtectedAppendWrites. Esto permite escribir nuevos bloques en un blob en anexos al tiempo que se mantienen la protección y el cumplimiento de la inmutabilidad. Consulte Permitir escrituras de blobs en anexos protegidos.

Centro de eventos

Los datos se envían al centro de eventos prácticamente en tiempo real a medida que llegan a Azure Monitor. Se crea un centro de eventos para cada tipo de datos que se exporta con el nombre am- seguido del nombre de la tabla. Por ejemplo, la tabla SecurityEvent se enviaría a un centro de eventos denominado am-SecurityEvent. Si quiere que los datos exportados lleguen a un centro de eventos específico, o si tiene una tabla con un nombre que supere el límite de 47 caracteres, puede proporcionar el nombre de su propio centro de eventos y exportar todos los datos para las tablas definidas en él.

Importante

El número de centros de eventos admitidos por los niveles de espacios de nombres "Básico" y "Estándar" es 10. Si exporta más de 10 tablas, divida las tablas entre varias reglas de exportación en distintos espacios de nombres del centro de eventos o proporcione el nombre del centro de eventos en la regla de exportación y exporte todas las tablas a ese centro de eventos.

Consideraciones:

  1. La SKU del centro de eventos "básico" admite un límite de tamaño de evento inferior; algunos registros del área de trabajo pueden superarlo y quitarse. Recomendamos que se use el centro de eventos "estándar" o "dedicado" como destino de exportación.
  2. El volumen de los datos exportados suele aumentar con el tiempo, y es necesario aumentar la escala del centro de eventos para administrar velocidades de transferencia mayores, así como para evitar escenarios de límite de ancho de banda y latencia de datos. Debe usar la característica de inflado automático de Event Hubs para escalar verticalmente y aumentar el número de unidades de procesamiento de forma automática y, de este modo, satisfacer las necesidades de uso. Consulte Escalado vertical y automático de las unidades de procesamiento de Azure Event Hubs para obtener más información.

Requisitos previos

A continuación se indican los requisitos previos que hay que cumplir para poder configurar la exportación de datos de Log Analytics:

  • Los destinos deben crearse antes de la configuración de la regla de exportación y deben estar en la misma región que el área de trabajo de Log Analytics. Si tiene que replicar los datos en otras cuentas de almacenamiento, puede usar cualquiera de las opciones de redundancia de Azure Storage, incluidos GRS y GZRS.
  • La cuenta de almacenamiento debe ser StorageV1 o superior. No se admite el almacenamiento clásico.
  • Si ha configurado la cuenta de almacenamiento para permitir el acceso desde las redes seleccionadas, tiene que agregar una excepción en la configuración de la cuenta de almacenamiento para permitir que Azure Monitor escriba en el almacenamiento.

Habilitación de la exportación de datos

Para habilitar la exportación de datos de Log Analytics, hay que seguir los pasos que se detallan a continuación. Consulte las siguientes secciones para obtener más información sobre cada uno de ellos.

  • Registre el proveedor de recursos.
  • Habilite los servicios de Microsoft de confianza.
  • Cree una o varias reglas de exportación de datos que definan las tablas que se van a exportar y su destino.

Registro del proveedor de recursos

El siguiente proveedor de recursos de Azure debe registrarse en su suscripción para habilitar la exportación de datos de Log Analytics.

  • Microsoft.Insights

Probablemente, este proveedor de recursos ya esté registrado para la mayoría de los usuarios Azure Monitor. Para comprobarlo, vaya a Suscripciones en Azure Portal. Seleccione su suscripción y, luego, haga clic en Proveedores de recursos, en la sección Configuración del menú. Busque Microsoft.Insights. Si su estado es Registrado, entonces ya está registrado. Si no es así, haga clic en Registrar para registrarlo.

También puede usar cualquiera de los métodos disponibles para registrar un proveedor de recursos, tal y como se describe en Tipos y proveedores de recursos de Azure. El siguiente es un comando de ejemplo con PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Habilitación de los servicios de Microsoft de confianza

Si ha configurado la cuenta de almacenamiento para permitir el acceso desde las redes seleccionadas, tiene que agregar una excepción para permitir que Azure Monitor escriba en la cuenta. En la opción Firewalls y redes virtuales de la cuenta de almacenamiento, seleccione Permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento.

Firewalls y redes virtuales de la cuenta de almacenamiento

Creación o actualización de una regla de exportación de datos

Una regla de exportación de datos define las tablas cuyos datos se exportarán y el destino. Puede tener 10 reglas habilitadas en el área de trabajo, y entonces cualquier regla adicional superior a 10 debe estar en estado de deshabilitación. Un destino debe ser único en todas las reglas de exportación del área de trabajo.

Nota

La exportación de datos envía registros a los destinos que posee, mientras que estos tienen algunos límites: escalabilidad de cuentas de almacenamiento, cuota de espacio de nombres del centro de eventos. Se recomienda supervisar los destinos para verificar la limitación y aplicar medidas al acercarse a su límite. Por ejemplo:

  • Establezca la característica de inflado automático en el centro de eventos para escalarse verticalmente y aumentar automáticamente el número de TU (unidades de procesamiento). Puede solicitar más TU cuando el inflado automático esté al máximo.
  • Divida las tablas en varias reglas de exportación, cada una de ellas con diferentes destinos.

La regla de exportación debe incluir las tablas que tenga en el área de trabajo. Ejecute esta consulta para obtener una lista de tablas disponibles en el área de trabajo.

find where TimeGenerated > ago(24h) | distinct Type

N/D

Consulta de la configuración de la regla de exportación de datos

N/D

Deshabilitación de una regla de exportación

N/D

Eliminación de una regla de exportación

N/D

Consulta de todas las reglas de exportación de datos en un área de trabajo

N/D

Tablas no admitidas

Si la regla de exportación de datos incluye una tabla no admitida, la configuración se realizará correctamente, pero no se exportará ningún dato de esa tabla. Si la tabla se admite posteriormente, sus datos se exportarán en ese momento.

Si la regla de exportación de datos incluye una tabla que no existe, se producirá un error que indicará que la "tabla <tableName> no existe en el área de trabajo".

Tablas admitidas

Las tablas admitidas se limitan actualmente a las que se especifican a continuación. Todos los datos de la tabla se exportarán a menos que se especifiquen limitaciones. Esta lista se actualiza a medida que se agrega compatibilidad con tablas adicionales.

Tabla Limitaciones
AACAudit
AACHttpRequest
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyUsers
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACSAuthIncomingOperations
ACSBillingUsage
ACSChatIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
ADFActivityRun
ADFPipelineRun
ADFSSignInLogs
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXQuery
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAuditLogs
Alerta
AmlOnlineEndpointConsoleLog
ApiManagementGatewayLogs
AppCenterError
AppPlatformSystemLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceConsoleLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServicePlatformLogs
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AWSCloudTrail
AWSGuardDuty
AWSVPCFlow
AzureAssessmentRecommendation
AzureDevOpsAuditing
BehaviorAnalytics
BlockchainApplicationLog
BlockchainProxyLog
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
CommonSecurityLog
ComputerGroup
ConfigurationData Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten para la exportación. Esta parte no está disponible en la exportación actualmente.
ContainerImageInventory
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksClusters
DatabricksDBFS
DatabricksInstancePools
DatabricksJobs
DatabricksNotebook
DatabricksSecrets
DatabricksSQLPermissions
DatabricksSSH
DatabricksWorkspace
DeviceNetworkInfo
DnsEvents
DnsInventory
DummyHydrationFact
Dynamics365Activity
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
Evento Compatibilidad parcial: los datos que llegan del agente de Log Analytics (MMA) o el agente de Azure Monitor (AMA) son totalmente compatibles con la exportación. Los datos que llegan a través del agente de Diagnostics Extension se recopilan a través del almacenamiento, mientras que esta ruta de acceso no se admite en la exportación.2
ExchangeAssessmentRecommendation
FailedIngestion
FunctionAppLogs
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
Latido
HuntingBookmark
InsightsMetrics Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten para la exportación. Esta parte no está disponible en la exportación actualmente.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubeServices
LAQueryLogs
McasShadowItReporting
MCCEventLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftHealthcareApisAuditLogs
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OfficeActivity Compatibilidad parcial en nubes de Administración Pública: algunos de los datos se ingieren mediante webhooks de O365 en LA. Esta parte no está disponible en la exportación actualmente.
Operación Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten para la exportación. Esta parte no está disponible en la exportación actualmente.
Perf Compatibilidad parcial: actualmente solo se admiten los datos de rendimiento de Windows. En este momento, faltan los datos de rendimiento de Linux en la exportación.
PowerBIDatasetsWorkspace
PurviewScanStatusLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityCef
SecurityDetection
SecurityEvent Compatibilidad parcial: los datos que llegan del agente de Log Analytics (MMA) o el agente de Azure Monitor (AMA) son totalmente compatibles con la exportación. Los datos que llegan a través del agente de Diagnostics Extension se recopilan a través del almacenamiento, mientras que esta ruta de acceso no se admite en la exportación.2
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SentinelHealth
SfBAssessmentRecommendation
SfBOnlineAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseRbacOperations
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
syslog Compatibilidad parcial: los datos que llegan del agente de Log Analytics (MMA) o el agente de Azure Monitor (AMA) son totalmente compatibles con la exportación. Los datos que llegan a través del agente de Diagnostics Extension se recopilan a través del almacenamiento, mientras que esta ruta de acceso no se admite en la exportación.2
ThreatIntelligenceIndicator
Actualizar Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten para la exportación. Esta parte no está disponible en la exportación actualmente.
UpdateRunProgress
UpdateSummary
Uso
UserAccessAnalytics
UserPeerAnalytics
Watchlist
WindowsEvent
WindowsFirewall
WireData Compatibilidad parcial: algunos de los datos se ingieren por medio de servicios internos que no se admiten para la exportación. Esta parte no está disponible en la exportación actualmente.
WorkloadDiagnosticLogs
WVDAgentHealthStatus
WVDCheckpoints
WVDConnections
WVDErrors
WVDFeeds
WVDManagement

Pasos siguientes