Azure İzleyici'de Günlük Alımı API'si

Makale
04/15/2024

Azure İzleyici'deki Günlük Alımı API'si, REST API çağrısı veya istemci kitaplıkları kullanarak Log Analytics çalışma alanına veri göndermenizi sağlar. API, desteklenen Azure tablolarına veya oluşturduğunuz özel tablolaraveri göndermenizi sağlar. Ek verileri kabul etmek için Azure tablolarının şemasını özel sütunlarla da genişletebilirsiniz.

Temel işlem

Veriler, REST API çağrısı yapabilen herhangi bir uygulamadan Günlük Alımı API'sine gönderilebilir. Bu, oluşturduğunuz özel bir uygulama veya API'ye veri göndermeyi anlayan bir uygulama veya aracı olabilir. Uygulama, Azure aboneliğiniz için benzersiz bir bağlantı noktası olan veri toplama uç noktasına (DCE) veri gönderir. Hedef tablo ve çalışma alanını ve belirtilen DCR'ye erişimi olan bir uygulama kaydının kimlik bilgilerini içeren bir veri toplama kuralı (DCR) belirtir.

Uygulamanız tarafından API'ye gönderilen veriler JSON biçiminde biçimlendirilmeli ve DCR tarafından beklenen yapıyla eşleşmelidir. DCR, verileri tablonun yapısıyla eşleşecek şekilde dönüştürmek için bir dönüştürme içerebileceğinden hedef tablonun yapısıyla eşleşmesi gerekmez. API çağrısında veya kaynak verilerde değişiklik yapmadan DCR'yi değiştirerek hedef tabloyu ve çalışma alanını değiştirebilirsiniz.

Yapılandırma

Aşağıdaki tabloda, Azure'da Günlük Alımı API'sini kullanabilmek için yapılandırmanız gereken her bileşen açıklanmaktadır.

Not

Bu bileşenlerin yapılandırmasını otomatik hale getiren bir PowerShell betiği için bkz . Günlük alımı API'sini kullanarak Azure İzleyici'ye veri göndermek için örnek kod.

Bileşen	İşlev
Uygulama kaydı ve gizli dizi	Uygulama kaydı, API çağrısının kimliğini doğrulamak için kullanılır. Aşağıda açıklanan DCR için izin verilmelidir. API çağrısı, uygulamanın Uygulama (istemci) kimliği ve Dizin (kiracı) kimliği ile bir uygulama gizli dizisinin değerini içerir. Bkz . Kaynaklara erişebilen bir Microsoft Entra uygulaması ve hizmet sorumlusu oluşturma ve Yeni uygulama gizli dizisi oluşturma.
Veri toplama uç noktası (DCE)	DCE, uygulamanın göndermesi için bir uç nokta sağlar. Tek bir DCE birden çok DCR'yi destekleyebilir, böylece Log Analytics çalışma alanınızla aynı bölgede zaten bir DCE'niz varsa mevcut bir DCE'yi kullanabilirsiniz. Bkz. Veri toplama uç noktası oluşturma.
Log Analytics çalışma alanında tablo	Log Analytics çalışma alanında veri gönderebilmeniz için önce tablo mevcut olmalıdır. Desteklenen Azure tablolarından birini kullanabilir veya kullanılabilir yöntemlerden herhangi birini kullanarak özel bir tablo oluşturabilirsiniz. Tabloyu oluşturmak için Azure portalını kullanırsanız, DCR sizin için oluşturulur ve gerekirse bir dönüştürme de dahil olur. Diğer herhangi bir yöntemle, DCR'yi bir sonraki bölümde açıklandığı gibi el ile oluşturmanız gerekir. Bkz. Özel tablo oluşturma.
Veri toplama kuralı (DCR)	Azure İzleyici, gelen verilerin yapısını ve bununla ne yapacağını anlamak için Veri toplama kuralını (DCR) kullanır. Tablonun yapısı ve gelen veriler eşleşmiyorsa, DCR kaynak verileri hedef tabloyla eşleşecek şekilde dönüştürmek için bir dönüştürme içerebilir. Dönüştürmeyi kaynak verileri filtrelemek ve diğer hesaplamaları veya dönüştürmeleri gerçekleştirmek için de kullanabilirsiniz. Azure portalını kullanarak özel bir tablo oluşturursanız, sağladığınız örnek verilere göre DCR ve dönüştürme sizin için oluşturulur. Mevcut bir tabloyu kullanıyorsanız veya başka bir yöntem kullanarak özel bir tablo oluşturuyorsanız, aşağıdaki bölümdeki ayrıntıları kullanarak DCR'yi el ile oluşturmanız gerekir. DCR'niz oluşturulduktan sonra, ilk adımda oluşturduğunuz uygulama için erişim izni vermelisiniz. Azure portalındaki İzleyici menüsünden Veri Toplama kuralları'nı ve ardından oluşturduğunuz DCR'yi seçin. DCR için Erişim Denetimi (IAM) öğesini seçin ve ardından İzleme Ölçümleri Yayımcısı rolünü eklemek için Rol ataması ekle'yi seçin.

El ile DCR oluşturma

Zaten var olan bir tabloya veri gönderiyorsanız, DCR'yi el ile oluşturmanız gerekir. Günlük Alımı API'sine yönelik Örnek DCR ile başlayın ve şablonda aşağıdaki parametreleri değiştirin. Ardından DCR'yi oluşturmak için Azure İzleyici'de veri toplama kuralları (DCR) oluşturma ve düzenleme başlığı altında açıklanan yöntemlerden herhangi birini kullanın.

Parametre	Açıklama
`region`	DCR'nizi oluşturmak için bölge. Bunun DCE ve Log Analytics çalışma alanı bölgesiyle eşleşmesi gerekir.
`dataCollectionEndpointId`	DCE'nizin kaynak kimliği.
`streamDeclarations`	Sütun listesini, gelen verilerinizdeki sütunlar olarak değiştirin. Bunun yalnızca içindeki `dataFlows`adla eşleşmesi gerektiğinden akışın `streams` adını değiştirmeniz gerekmez.
`workspaceResourceId`	Log Analytics çalışma alanınızın kaynak kimliği. Yalnızca içindeki adla eşleşmesi gerektiğinden `destinations` adı `dataFlows`değiştirmeniz gerekmez.
`transformKql`	Gelen verilere uygulanacak KQL sorgusu. Gelen verilerin şeması tablonun şemasıyla eşleşiyorsa, gelen verileri değişmeden geçirecek dönüştürme için kullanabilirsiniz `source` . Aksi takdirde, verileri tablo şemasıyla eşleşecek şekilde dönüştürecek bir sorgu kullanın.
`outputStream`	Verileri gönderilecek tablonun adı. Özel tablo için Custom-table-name<> ön ekini ekleyin. Yerleşik tablo için Microsoft-table-name<> ön ekini ekleyin.

İstemci kitaplıkları

REST API çağrısı yapmaya ek olarak, günlük alma API'sine veri göndermek için aşağıdaki istemci kitaplıklarını kullanabilirsiniz. Kitaplıklar, Yapılandırma'da açıklanan bileşenlerin aynısını gerektirir. Bu kitaplıkların her birini kullanan örnekler için bkz . Günlük alımı API'sini kullanarak Azure İzleyici'ye veri göndermeye yönelik örnek kod.

REST API çağrısı

REST API çağrısıyla Azure İzleyici'ye veri göndermek için HTTP üzerinden POST çağrısı yapın. Bu çağrı için gereken ayrıntılar bu bölümde açıklanmıştır.

Uç nokta URI'si

Uç nokta URI'si aşağıdaki biçimi kullanır; burada Data Collection Endpoint ve DCR Immutable ID DCE ve DCR'yi tanımlar. Sabit kimlik, oluşturulduğunda DCR için oluşturulur. Azure portalında DCR'nin JSON görünümünden alabilirsiniz. Stream NameDCR'de özel verileri işlemesi gereken akışı ifade eder.

{Data Collection Endpoint URI}/dataCollectionRules/{DCR Immutable ID}/streams/{Stream Name}?api-version=2023-01-01

Örneğin:

https://my-dce-5kyl.eastus-1.ingest.monitor.azure.com/dataCollectionRules/dcr-000a00a000a00000a000000aa000a0aa/streams/Custom-MyTable?api-version=2023-01-01

Üst Bilgiler

Aşağıdaki tabloda, API çağrınız için bu üst bilgiler açıklanmaktadır.

Üst bilgi	Gerekli mi?	Açıklama
Yetkilendirme	Yes	İstemci kimlik bilgileri akışı aracılığıyla alınan taşıyıcı belirteci. Bulutunuz için belirteç hedef kitlesi değerini kullanın: Azure genel bulutu - `https://monitor.azure.com` 21Vianet bulutu tarafından sağlanan Microsoft Azure - `https://monitor.azure.cn` Azure US Government bulutu - `https://monitor.azure.us`
İçerik Türü	Yes	`application/json`
İçerik Kodlama	Hayır	`gzip`
x-ms-client-request-id	Hayır	Dize biçimlendirilmiş GUID. Bu, Microsoft tarafından herhangi bir sorun giderme amacıyla kullanılabilecek bir istek kimliğidir.

Gövde

Çağrının gövdesi, Azure İzleyici'ye gönderilecek özel verileri içerir. Verilerin şekli, DCR'deki akış tarafından beklenen biçimle eşleşen öğe yapısına sahip bir JSON dizisi olmalıdır. API çağrısı içinde tek bir öğe göndermek gerekiyorsa, veriler tek öğeli bir dizi olarak gönderilmelidir.

Örneğin:

[
{
    "TimeGenerated": "2023-11-14 15:10:02",
    "Column01": "Value01",
    "Column02": "Value02"
}
]

Veri iletimiyle ilgili sorunları önlemek için istek gövdesinin UTF-8'de düzgün bir şekilde kodlandığından emin olun.

Örnek

PowerShell kullanan API çağrısı örneği için bkz . Günlük alımı API'sini kullanarak Azure İzleyici'ye veri göndermek için örnek kod.

Desteklenen tablolar

Alma API'sine gönderilen veriler aşağıdaki tablolara gönderilebilir:

Tablolar	Açıklama
Özel tablolar	Log Analytics çalışma alanınızda oluşturduğunuz herhangi bir özel tablo. Hedef tabloya veri gönderebilmeniz için önce var olması gerekir. Özel tablolarda sonek olmalıdır `_CL` .
Azure tabloları	Aşağıdaki Azure tabloları şu anda desteklenmektedir. Destek uygulandığında bu listeye başka tablolar eklenebilir.

ADAssessmentRecommendation
ADSecurityAssessmentRecommendation
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimDnsAuditLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AzureAssessmentRecommendation
CommonSecurityLog
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareVulnerabilitiesKB
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
GCPAuditLogs
GoogleCloudSCC
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecurityEvent
SfBAssessmentRecommendation
SfBOnlineAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SPAssessmentRecommendation
SQLAssessmentRecommendation
Depolama Analizler AccountPropertiesDaily
Depolama Analizler DailyMetrics
Depolama Analizler HourlyMetrics
Depolama Analizler MonthlyMetrics
Depolama Analizler WeeklyMetrics
Syslog
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsServerAssessmentRecommendation

Not

Sütun adları bir harfle başlamalıdır ve en fazla 45 alfasayısal karakterden ve alt çizgiden (_ oluşabilir). _ResourceId, id, _ResourceId, _SubscriptionId, , TenantId, Type, , UniqueIdve Title ayrılmış sütun adlarıdır. Azure tablosuna eklediğiniz özel sütunlarda sonek _CFolmalıdır.

Sınırlar ve kısıtlamalar

Günlük Alımı API'sine ilişkin sınırlar için bkz . Azure İzleyici hizmet sınırları.