Log Analytics-munkaterület adatainak exportálása az Azure Monitorba

A Log Analytics-munkaterületen az adatok exportálása lehetővé teszi, hogy folyamatosan exportálja az adatokat a munkaterület kiválasztott tábláira, egy Azure Storage-fiókba vagy Azure Event Hubs az Azure Monitor-folyamatba való beérkezéskor. Ez a cikk részletesen ismerteti ezt a funkciót, valamint a munkaterületeken az adatexportálás konfigurálására vonatkozó lépéseket.

Áttekintés

A Log Analytics adatai a munkaterületen meghatározott megőrzési időtartamig érhetők el, és az Azure Monitor és az Azure-szolgáltatások különböző szolgáltatásaiban használhatók. Vannak olyan esetek, amikor más eszközöket kell használnia:

• Illetéktelen hozzáféréssel védett tárolómegfelelőség – az adatok betöltése után nem módosíthatók a Log Analyticsben, de törölhetők. A tárfiókba való exportálás nem módosítható házirendekkel van beállítva az adatok illetéktelen hozzáférésének védelme érdekében.
• Integráció az Azure-szolgáltatásokkal és más eszközökkel – exportálás az Event Hubsba az adatok érkezésekor és az Azure Monitorban történő feldolgozásakor.
• A naplózási és biztonsági adatokat nagyon sokáig megőrizheti – exportálhatja a munkaterület régiójában lévő Tárfiókba, vagy replikálhatja az adatokat más régiókba az Azure Storage redundanciabeállításainak bármelyikével, beleértve a "GRS" és a "GZRS" lehetőséget.

Miután konfigurálta az adatexportálási szabályokat a Log Analytics-munkaterületen, a szabályok tábláinak új adatait a rendszer az Azure Monitor-folyamatból exportálja a Tárfiókba vagy az Event Hubsba, amint az megérkezik.

Az adatok szűrő nélkül exportálhatók. Ha például konfigurál egy adatexportálási szabályt a SecurityEvent táblához, a SecurityEvent táblába küldött összes adat a konfigurációs időtől kezdve lesz exportálva.

Egyéb exportálási lehetőségek

A Log Analytics-munkaterület adatainak exportálása folyamatosan exportálja a Log Analytics-munkaterületre küldött adatokat. Bizonyos forgatókönyvek adatainak exportálására más lehetőségek is rendelkezésre állnak:

• Diagnosztikai beállítások konfigurálása az Azure-erőforrásokban. A naplókat a rendszer közvetlenül a célhelyre küldi, és kisebb késéssel rendelkezik, mint a Log Analytics adatexportálása.
• Az adatok exportálásának ütemezése a Log Analytics lekérdezési API-val definiált napló lekérdezés alapján. Olyan szolgáltatások, mint a Azure Data Factory, a Azure Functions vagy az Azure Logic App használata a munkaterületen lévő lekérdezések vezényléséhez és adatok célhelyre való exportálásához. Ez hasonló az adatexportálási funkcióhoz, de lehetővé teszi az előzményadatok exportálását a munkaterületről szűrők és összesítés használatával. Ez a módszer naplózási lekérdezési korlátozások hatálya alá tartozik, és nem skálázható. Lásd: Adatok archiválása Log Analytics-munkaterületről Azure Storage-fiókba a Logic App használatával.
• Egyszer exportálja a helyi gépre PowerShell-szkripttel. Lásd: Invoke-AzOperationalInsightsQueryExport.

Korlátozások

• Az exportálás minden táblát támogat, de jelenleg a támogatott táblák szakaszban megadottakra korlátozódik.
• A HTTP Data Collector API-t használó örökölt egyéni naplók exportálása nem támogatott, míg a DCR-alapú egyéni naplók adatai exportálhatók.
• A munkaterületen legfeljebb 10 engedélyezett szabály definiálható. Letiltás esetén további szabályok is engedélyezettek.
• A célhelyeknek ugyanabban a régióban kell lenniük, mint a Log Analytics-munkaterületnek.
• A tárfióknak egyedinek kell lennie a munkaterület szabályai között.
• A táblák neve nem lehet hosszabb 60 karakternél a Tárfiókba való exportáláskor, és 47 karakter az Event Hubsba. A hosszabb nevű táblák nem lesznek exportálva.
• Az adatexportálás jelenleg Kínában nem támogatott.

Adatok teljessége

Az adatexportálás nagy adatmennyiség célhelyekre való áthelyezésére van optimalizálva, és bizonyos újrapróbálkozási feltételek esetén a duplikált rekordok töredékét is tartalmazhatják. Az exportálási művelet sikertelen lehet, ha elérik a bemeneti korlátokat. A részleteket az Adatexportálási szabály létrehozása vagy frissítése című témakörben találja. Ilyen esetben az újrapróbálkezés legfeljebb 30 percig folytatódik, és ha a cél még nem érhető el, az adatok elvesznek, amíg a cél elérhetővé nem válik.

Díjszabási modell

Az adatexportálási díjak az exportált adatok bájtban mért mennyiségén alapulnak. A Log Analytics-adatexportálással exportált adatok mérete az exportált JSON formátumú adatok bájtjainak száma. Az adatkötet gb-ban (10^9 bájt) van megmérve

További információkért, beleértve az adatexportálási számlázási ütemtervet, tekintse meg az Azure Monitor díjszabását.

Célhelyek exportálása

Az adatexportálási célhelynek elérhetőnek kell lennie, mielőtt exportálási szabályokat hoz létre a munkaterületen. A célhelyeknek nem kell ugyanabban az előfizetésben lenniük, mint a munkaterületnek. Az Azure Lighthouse használatakor egy másik Azure Active Directory-bérlőben lévő célhelyekre is lehet adatokat küldeni.

Tárfiók

Az adatexportálási szabály konfigurálásához "írási" engedéllyel kell rendelkeznie a munkaterülethez és a célhoz is.

Ne használjon olyan meglévő tárfiókot, amely más, nem figyelési adatokkal rendelkezik az adatokhoz való hozzáférés jobb szabályozásához, és ne érje el a tárolási bemeneti sebességkorlátot, a hibákat és a késést.

Ha nem módosítható tárfiókba szeretne adatokat küldeni, állítsa be a Storage-fiók nem módosítható szabályzatát a Blob Storage nem módosítható házirendjeinek beállítása és kezelése című szakaszban leírtak szerint. A cikkben szereplő összes lépést végre kell hajtania, beleértve a védett hozzáfűző blobok írásának engedélyezését is.

A Tárfióknak a StorageV1 vagy újabb verziónak kell lennie, és ugyanabban a régióban kell lennie, mint a munkaterületnek. Ha más régiókban lévő más tárfiókokba kell replikálnia az adatokat, használhatja az Azure Storage redundancia bármely beállítását, beleértve a "GRS" és a "GZRS" lehetőséget is.

Az adatok az Azure Monitor elérésekor és a munkaterületi régióban található célhelyekre való exportáláskor kerülnek a tárfiókokba. Létrejön egy tároló a Tárfiók minden táblája számára, az am névvel, majd a tábla nevével. A SecurityEvent táblát például egy am-SecurityEvent nevű tárolóba küldené.

A blobok 5 perces mappákban vannak tárolva elérésiút-struktúrában: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour hour hour>/m=<two-digit 60-minute clock minute>/PT05M.json. A blobok hozzáfűzése legfeljebb 50 K írási elérésű lehet. További blobok lesznek hozzáadva a következő mappához: PT05M_#.json*, ahol a # a növekményes blobok száma.

A tárfiókban lévő blobok formátuma JSON-sorokban van, ahol minden rekordot egy új vonal határolja, külső rekordtömb nélkül, és nincs vessző a JSON-rekordok között.

Event Hubs

Az adatexportálási szabály konfigurálásához "írási" engedéllyel kell rendelkeznie a munkaterülethez és a célhoz is. Az Event Hubs-névtér megosztott hozzáférési szabályzata határozza meg a streamelési mechanizmus engedélyeit. Az Event Hubsba történő streameléshez kezelésre, küldésre és figyelésre vonatkozó engedélyekre van szükség. Az exportálási szabály frissítéséhez a ListKey engedéllyel kell rendelkeznie az adott Event Hubs engedélyezési szabályhoz.

Ne használjon olyan meglévő eseményközpontokat, amelyek nem figyelési adatokat használnak az Event Hubs-névtér bemeneti sebességkorlátjának, hibáinak és késésének eléréséhez.

A rendszer elküldi az adatokat az Event Hubsnak, amint eléri az Azure Monitort, és exportálja őket a munkaterületi régióban található célhelyekre. Több exportálási szabályt is létrehozhat ugyanahhoz az Event Hubs-névtérhez, ha eltérő event hub name szabályt ad meg. Ha event hub name nincs megadva, az alapértelmezett Event Hubs a következő nevű exportált táblákhoz jön létre: am, majd a tábla neve. A SecurityEvent táblát például egy am-SecurityEvent nevű eseményközpontba küldi a rendszer. A támogatott Eseményközpontok száma az "Alapszintű" és a "Standard" névtérszinten 10. Ha több mint 10 táblát exportál ezekbe a rétegekbe, ossza fel a táblákat több exportálási szabály, különböző Event Hubs-névterek között, vagy adjon meg egy Event Hubs-nevet az összes tábla exportálásához.

Megjegyzés

• Az "Alapszintű" Event Hubs-névtérszint korlátozott – támogatja az alacsonyabb eseményméretet , és nem támogatja az automatikus feltöltési lehetőséget az átviteli egységek automatikus felskálázásához és számának növeléséhez. Mivel a munkaterület adatmennyisége idővel növekszik, és ennek következtében az Event Hubs skálázása szükséges, használja a "Standard", a "Prémium" vagy a "Dedikált" Event Hubs-réteget az automatikus feltöltés funkció engedélyezésével. Lásd: Azure Event Hubs átviteli egységek automatikus felskálázása.
• Az adatexportálás nem éri el az Event Hubs-erőforrásokat, ha a virtuális hálózatok engedélyezve vannak. Engedélyeznie kell a megbízható Microsoft-szolgáltatások számára , hogy megkerüljék ezt a tűzfalbeállítást az eseményközpontban, hogy hozzáférést biztosítsanak az Eseményközpontokhoz.

Adatexportálás engedélyezése

A Log Analytics-adatok exportálásának engedélyezéséhez a következő lépéseket kell végrehajtani. Az egyes témákkal kapcsolatos további részletekért tekintse meg a következő szakaszokat.

• Erőforrás-szolgáltató regisztrálása.
• Megbízható Microsoft-szolgáltatások engedélyezése.
• Hozzon létre egy vagy több adatexportálási szabályt, amelyek meghatározzák az exportálni kívánt táblákat és azok célját.

Erőforrás-szolgáltató regisztrálása

A Log Analytics-adatok exportálásának engedélyezéséhez regisztrálni kell a Microsoft.Insights Azure-erőforrásszolgáltatót az előfizetésben.

Ez az erőforrás-szolgáltató valószínűleg már regisztrálva van a legtöbb Azure Monitor-felhasználó számára. Az ellenőrzéshez nyissa meg az előfizetéseket a Azure Portal. Válassza ki az előfizetést, majd kattintson az Erőforrás-szolgáltatók elemre a menü Beállítások szakaszában. Keresse meg a Microsoft.Insights szolgáltatást. Ha az állapota Regisztrálva, akkor már regisztrálva van. Ha nem, kattintson a Regisztráció gombra a regisztrációhoz.

Az elérhető módszerek bármelyikével regisztrálhat egy erőforrás-szolgáltatót az Azure-erőforrás-szolgáltatókban és -típusokban leírtak szerint. Az alábbiakban egy parancssori felületet használó mintaparancsot követünk:

az provider register --namespace 'Microsoft.insights'

Az alábbi példaparancs a PowerShell használatával:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Megbízható Microsoft-szolgáltatások engedélyezése

Ha a Tárfiókot úgy konfigurálta, hogy engedélyezze a hozzáférést a kiválasztott hálózatokról, fel kell vennie egy kivételt, hogy az Azure Monitor írást engedélyezhessen a fiókba. A tárfiók tűzfalai és virtuális hálózatai között válassza a Megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz lehetőséget.

Célhelyek figyelése

Fontos

Az exportálási célhelyek korlátozottak, és figyelni kell a szabályozás, a hibák és a késés minimalizálása érdekében. Lásd: Tárfiókok méretezhetősége és Event Hubs-névtérkvóta.

Tárfiók figyelése

1. Külön tárfiók használata exportáláshoz

2. Riasztás konfigurálása a metrikához:

   Hatókör	Metrika névtere	Metric	Összesítés	Küszöbérték
   tárterület neve	Fiók	Bejövő forgalom	Sum	Riasztás-kiértékelési időszakonként a maximális bejövő forgalom 80%-a. Például: a korlát 60 Gb/s az ÁLTALÁNOS célú v2 esetében az USA nyugati régiójában. A küszöbérték 14 400 Gb 5 perces kiértékelési időszakonként

3. Riasztások szervizelési műveletei

   • Használjon külön tárfiókot a nem figyelési adatokkal nem megosztott exportáláshoz.
   • A standard Szintű Azure Storage-fiókok kérés szerint támogatják a magasabb bejövőforgalom-korlátot. A növekedés kéréséhez forduljon az Azure ügyfélszolgálatához.
   • Táblák felosztása több tárfiók között.

Event Hubs monitorozása

1. Riasztások konfigurálása a metrikákhoz:

   Hatókör	Metrika névtere	Metric	Összesítés	Küszöbérték
   namespaces-name	Az Event Hubs standard metrikái	Bejövő bájtok	Sum	Riasztás-kiértékelési időszakonként a maximális bejövő forgalom 80%-a. A korlát például 1 MB/s egységenként ("TU" vagy "PU") és öt felhasznált egység. A küszöbérték 1200 MB 5 perces kiértékelési időszakonként
   namespaces-name	Az Event Hubs standard metrikái	Bejövő kérelmek	Darabszám	Riasztás-kiértékelési időszakonként a maximális események 80%-a. A korlát például 1000/s egységenként ("TU" vagy "PU") és öt használt egység. A küszöbérték 1200000 5 perces kiértékelési időszakonként
   namespaces-name	Az Event Hubs standard metrikái	Kvótatúllépési hibák	Darabszám	A kérés 1%-a között van. Az 5 percenkénti kérelmek száma például 6000000. A küszöbérték 6000 5 perces kiértékelési időszakonként

2. Riasztások szervizelési műveletei

   • Használjon különálló Event Hubs-névteret a nem figyelési adatokkal meg nem osztott exportáláshoz.
   • Automatikus feltöltési funkció konfigurálása a használati igényeknek megfelelő automatikus vertikális felskálázáshoz és az átviteli egységek számának növeléséhez
   • Az átviteli egységek számának növelése az adatmennyiség kezeléséhez
   • Táblák felosztása több névtér között
   • A magasabb átviteli sebesség érdekében használja a "Prémium" vagy a "Dedikált" szintet

Adatexportálási szabály létrehozása vagy frissítése

Az adatexportálási szabály határozza meg azokat a célhelyeket és táblákat, amelyekhez exportálja az adatokat. A munkaterületen 10 szabályt hozhat létre "engedélyezés" állapotban, további szabályok pedig "letiltás" állapotban engedélyezettek. A tárfióknak egyedinek kell lennie a munkaterületen lévő szabályok között. Több szabály is használhatja ugyanazt az Event Hubs-névteret, amikor külön Event Hubsba küldi azokat.

Megjegyzés

• Olyan táblákat is felvehet, amelyek exportálása még nem támogatott, és ezekhez az adatokhoz nem lesznek exportálva, amíg a táblák nem támogatottak.
• Az örökölt egyéni napló exportálása nem támogatott. A 2022 elején előzetes verzióban elérhető egyéni naplók következő generációja exportálható.
• Exportálás tárfiókba – minden táblához külön tároló jön létre a Tárfiókban.
• Exportálás az Event Hubsba – ha nem adja meg az Event Hubs nevét, minden táblához külön Event Hubs jön létre. A támogatott Event Hubs-események száma az "Alapszintű" és a "Standard" névtérszinten 10. Ha több mint 10 táblát exportál ezekbe a rétegekbe, ossza fel a táblákat több exportálási szabály között különböző Event Hubs-névterekre, vagy adjon meg egy Event Hubs-nevet a szabályban az összes tábla exportálásához.

Azure Portal

A Azure Portal Log Analytics-munkaterület menüjében válassza az Adatok exportálása lehetőséget a Beállítások szakaszban, majd kattintson a középső ablaktábla tetején az Új exportálási szabály elemre.

Kövesse a lépéseket, majd kattintson a Létrehozás gombra.

PowerShell

Az alábbi paranccsal adatexportálási szabályt hozhat létre egy Tárfiókba a PowerShell használatával. Minden táblához külön tároló jön létre.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Az alábbi paranccsal adatexportálási szabályt hozhat létre egy adott eseményközpontba a PowerShell használatával. Minden tábla exportálva lesz a megadott Event Hubs-névre, és a "Típus" mező alapján szűrhető külön táblákra.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Az alábbi paranccsal adatexportálási szabályt hozhat létre egy Event Hubsba a PowerShell használatával. Ha nincs megadva adott Event Hubs-név, a rendszer minden táblához külön tárolót hoz létre az Event Hubs-szinten támogatott Event Hubs-szintekig. További táblák exportálásához adjon meg egy Event Hubs-nevet a szabályban, vagy állítson be egy másik szabályt, és exportálja a többi táblát egy másik Event Hubs-névtérbe.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure CLI

A következő paranccsal hozzon létre egy adatexportálási szabályt egy tárfiókba a parancssori felület használatával. Minden táblához külön tároló jön létre.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Az alábbi paranccsal hozzon létre egy adatexportálási szabályt egy adott Event Hubsba a parancssori felület használatával. Minden tábla exportálva lesz a megadott Event Hubs-névre, és a "Típus" mező alapján szűrhető külön táblákra.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Az alábbi paranccsal hozzon létre egy adatexportálási szabályt egy Event Hubsba a parancssori felület használatával. Ha nincs megadva adott Event Hubs-név, a rendszer minden táblához külön tárolót hoz létre az Event Hubs-szint által támogatott Event Hubs-szintig. Ha több táblát szeretne exportálni, adja meg az Event Hubs nevét tetszőleges számú tábla exportálásához, vagy állítson be egy másik szabályt, amely a többi táblát egy másik Event Hubs-névtérbe exportálja.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

A következő kérés használatával hozzon létre egy adatexportálási szabályt egy Storage-fiókhoz a REST API használatával. Minden táblához külön tároló jön létre. A kérelemnek tulajdonosi jogkivonat-hitelesítést és tartalomtípus-alkalmazást/json-t kell használnia.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

A kérelem törzse határozza meg a táblák célhelyét. Az alábbiakban egy mintatörzset a REST-kéréshez.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Az alábbiakban egy mintatörzs található az eseményközpontok REST-kéréséhez.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Az alábbiakban egy mintatörzs található egy olyan eseményközpont REST-kéréséhez, ahol meg van adva az Event Hubs neve. Ebben az esetben az összes exportált adatot elküldi a rendszer.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Sablon

Az alábbi paranccsal adatexportálási szabályt hozhat létre egy tárfiókba Resource Manager sablon használatával.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Az alábbi paranccsal adatexportálási szabályt hozhat létre egy Event Hubsba Resource Manager sablon használatával. Minden táblához külön Event Hubs jön létre.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Az alábbi paranccsal hozzon létre egy adatexportálási szabályt egy adott eseményközpontba Resource Manager sablon használatával. A rendszer minden táblát exportál.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Adatexportálási szabály konfigurációjának megtekintése

Azure Portal

A Azure Portal Log Analytics-munkaterület menüjében válassza az Adatok exportálása lehetőséget a Beállítások szakaszban.

Kattintson egy szabályra a konfigurációs nézethez.

PowerShell

Az alábbi paranccsal megtekintheti egy adatexportálási szabály konfigurációját a PowerShell használatával.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

Az alábbi paranccsal megtekintheti egy adatexportálási szabály konfigurációját a parancssori felület használatával.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Az alábbi kéréssel megtekintheti egy adatexportálási szabály konfigurációját a REST API használatával. A kérésnek tulajdonosi jogkivonat-hitelesítést kell használnia.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Sablon

N/A

Exportálási szabály letiltása vagy frissítése

Azure Portal

Az exportálási szabályok letilthatók, így az exportálást egy bizonyos ideig, például a tesztelés tartásakor állíthatja le. A Azure Portal Log Analytics-munkaterület menüjében válassza az Adatexportálás lehetőséget a Beállítások szakaszban, majd az állapotváltóra kattintva tiltsa le vagy engedélyezze az exportálási szabályt.

PowerShell

Az exportálási szabályok letilthatók, így az exportálást egy bizonyos ideig, például a tesztelés tartásakor állíthatja le. A következő paranccsal letilthatja vagy frissítheti a szabályparamétereket a PowerShell használatával.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure CLI

Az exportálási szabályok letilthatók, így az exportálást egy bizonyos ideig, például a tesztelés tartásakor állíthatja le. A következő paranccsal tiltsa le vagy frissítse a szabályparamétereket a parancssori felület használatával.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

Az exportálási szabályok letilthatók, így az exportálást egy bizonyos ideig, például a tesztelés tartásakor állíthatja le. A következő paranccsal tiltsa le vagy frissítse a szabályparamétereket a REST API használatával. A kérésnek tulajdonosi jogkivonat-hitelesítést kell használnia.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Sablon

Az exportálási szabályok letilthatók az exportálás leállításához a tesztelés végrehajtásakor, és nincs szükség a célhelyre küldött adatokra. Az adatexportálás letiltásához állítsa be "enable": false a sablont.

Exportálási szabály törlése

Azure Portal

A Azure Portal Log Analytics-munkaterület menüjében válassza az Adatexportálást a Beállítások szakaszból, majd kattintson a szabály jobb oldalán található három pontra, és kattintson a Törlés gombra.

PowerShell

Az alábbi paranccsal törölhet egy adatexportálási szabályt a PowerShell használatával.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure CLI

Az alábbi paranccsal törölhet egy adatexportálási szabályt a parancssori felület használatával.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Az alábbi kéréssel törölhet egy adatexportálási szabályt a REST API használatával. A kérésnek tulajdonosi jogkivonat-hitelesítést kell használnia.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Sablon

N/A

A munkaterület összes adatexportálási szabályának megtekintése

Azure Portal

A Azure Portal Log Analytics-munkaterület menüjében válassza az Adatok exportálása lehetőséget a Beállítások szakaszból a munkaterület összes exportálási szabályának megtekintéséhez.

PowerShell

Az alábbi paranccsal megtekintheti egy munkaterület összes adatexportálási szabályát a PowerShell használatával.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure CLI

Az alábbi paranccsal megtekintheti a munkaterület összes adatexportálási szabályát a parancssori felület használatával.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Az alábbi kéréssel megtekintheti egy munkaterület összes adatexportálási szabályát a REST API használatával. A kérésnek tulajdonosi jogkivonat-hitelesítést kell használnia.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Sablon

N/A

Nem támogatott táblák

Ha az adatexportálási szabály tartalmaz egy nem támogatott táblát, a konfiguráció sikeres lesz, de a tábla adatai nem lesznek exportálva. Ha a tábla később támogatott, akkor az adatok akkor lesznek exportálva.

Támogatott táblák

A tábla összes adata exportálva lesz, kivéve, ha korlátozások vannak megadva. Ez a lista további táblák hozzáadásakor frissül.

Tábla	Korlátozások
AACAudit
AACHttpRequest
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallDiagnostics
ACSCallSummary
ACSChatIncomingOperations
ACSNetworkTraversalIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
ADFActivityRun
ADFPipelineRun
ADFSSignInLogs
ADFTriggerRun
ADPAudit
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXQuery
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAuditLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodJobProcessedLogs
AGSGrafanaLoginEvents
Riasztás	Részleges támogatás – A Zabbix-riasztások adatbetöltése nem támogatott.
AlertEvidence
AlertInfo
AmlOnlineEndpointConsoleLog
ApiManagementGatewayLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppEvents
AppExceptions
AppDependencies
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformSystemLogs
AppRequests
AppServiceAppLogs
AppServiceAuditLogs
AppServiceConsoleLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServicePlatformLogs
AppSystemEvents
AppTraces
ASimDnsActivityLogs
ATCExpressRouteCircuitIpfix
AuditLogs
Automatikus skálázásEvaluationsLog
AutomatikusscaleScaleActionsLog
AWSCloudTrail
AWSGuardDuty
AWSVPCFlow
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureDevOpsAuditing
BehaviorAnalytics
CassandraLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfigurationData	Részleges támogatás – az adatok egy része olyan belső szolgáltatásokon keresztül van betöltve, amelyek exportálása nem támogatott. Ez a rész jelenleg hiányzik az exportálásból.
ContainerImageInventory
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksClusters
DatabricksDBFS
DatabricksInstancePools
DatabricksJobs
DatabricksNotebook
DatabricksSecrets
DatabricksSQLPermissions
DatabricksSSH
DatabricksWorkspace
DnsEvents
DnsInventory
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
EmailAttachmentInfo
E-mailesemények
EmailPostDeliveryEvents
EmailUrlInfo
Esemény	Részleges támogatás – a Log Analytics-ügynökből (MMA) vagy az Azure Monitor Agentből (AMA) érkező adatok teljes mértékben támogatottak az exportálásban. A Diagnosztikai bővítményügynökön keresztül érkező adatokat a rendszer tárolón keresztül gyűjti, de ez az elérési út exportáláskor nem támogatott.
ExchangeAssessmentRecommendation
Sikertelen művelet
FunctionAppLogs
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
Szívverés
HuntingBookmark
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Részleges támogatás – az adatok egy része olyan belső szolgáltatásokon keresztül van betöltve, amelyek exportálása nem támogatott. Ez a rész jelenleg hiányzik az exportálásból.
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubeServices
LAQueryLogs
McasShadowItReporting
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftHealthcareApisAuditLogs
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OfficeActivity	Részleges támogatás a kormányzati felhőkben – néhány adat az O365-ből LA-be irányuló webhookokon keresztül tölthető be. Ez a rész jelenleg hiányzik az exportálásból.
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Művelet	Részleges támogatás – az adatok egy része olyan belső szolgáltatásokon keresztül van betöltve, amelyek exportálása nem támogatott. Ez a rész jelenleg hiányzik az exportálásból.
Teljesítmény	Részleges támogatás – jelenleg csak a windows perf adatok támogatottak. A Linux-perf adatok jelenleg hiányoznak az exportálásból.
PowerBIActivity
PowerBIDatasetsWorkspace
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
Biztonsági esemény	Részleges támogatás – a Log Analytics-ügynökből (MMA) vagy az Azure Monitor Agentből (AMA) érkező adatok teljes mértékben támogatottak az exportálásban. A Diagnosztikai bővítményügynökön keresztül érkező adatokat a rendszer tárolón keresztül gyűjti, de ez az elérési út exportáláskor nem támogatott.
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SentinelAudit
SentinelHealth
SfBAssessmentRecommendation
SfBOnlineAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
Bejelentkezési naplók
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
StorageCacheOperationEvents
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Rendszernapló	Részleges támogatás – a Log Analytics-ügynökből (MMA) vagy az Azure Monitor Agentből (AMA) érkező adatok teljes mértékben támogatottak az exportálásban. A Diagnostics bővítményügynökön keresztül érkező adatokat a rendszer tárolón keresztül gyűjti, de ez az elérési út exportáláskor nem támogatott.
ThreatIntelligenceIndicator
UCClient
UCClientUpdateStatus
UCDeviceAlert
UCServiceUpdateStatus
UCUpdateAlert
Frissítés	Részleges támogatás – az adatok egy része olyan belső szolgáltatásokon keresztül van betöltve, amelyek nem támogatottak az exportálásban. Ez a rész jelenleg hiányzik az exportálásból.
UpdateRunProgress
UpdateSummary
Használat
UserAccessAnalytics
UserPeerAnalytics
Figyelőlista
WindowsEvent
WindowsFirewall
WireData	Részleges támogatás – az adatok egy része olyan belső szolgáltatásokon keresztül van betöltve, amelyek nem támogatottak az exportálásban. Ez a rész jelenleg hiányzik az exportálásból.
WorkloadDiagnosticLogs
WVDAgentHealthStatus
WVDCheckpoints
WVDConnections
WVDErrors
WVDFeeds
WVDManagement

Következő lépések

• Az Exportált adatok lekérdezése az Azure Data Explorer-ból.