Azure 監視器中資料收集規則的結構
資料收集規則 (DCR) 是一組指示,決定如何收集和處理向 Azure 監視器傳送的遙測。 Azure 監視器將建立及管理一些 DCR。 本文說明 DCR 的 JSON 屬性,可讓您在需要直接使用這些規則的案例中,建立並編輯資料收集規則。
- 請參閱 Azure 監視器中的建立和編輯資料收集規則 (DCR),了解如何使用此處所述 JSON 的詳細資訊。
- 請參閱範例資料收集規則 (DCR),以取得不同案例的範例 DCR。
屬性
DCR 最上層的屬性。
| 屬性 | 說明 |
|---|---|
immutableId |
數據收集規則的唯一標識碼。 建立 DCR 時,會自動建立屬性和值。 |
description |
數據收集規則的描述。 |
dataCollectionEndpointId |
如果您提供資料收集端點 (DCE),則為 DCR 所使用的資源識別碼。 屬性不存在於不使用 DCE 的 DCR 中。 |
endpoints
包含 DCR 端點的 URL。 建立 DCR 時,會自動建立本節及其屬性。
注意
這些屬性並未針對 2024 年 3 月 31 日之前建立的 DCR 建立。 在此日期之前建立的 DCR 需要 資料收集端點 (DCE) 和 dataCollectionEndpointId 要指定的 屬性。 如果您想要使用這些內嵌 DCE,則必須建立新的 DCR。
| 屬性 | 說明 |
|---|---|
logsIngestion |
記錄數據的擷取端點 URL。 |
metricsIngestion |
計量數據的擷取端點 URL。 |
案例
- 記錄擷取 API
dataCollectionEndpointId
指定 DCR 所使用的資料收集端點 (DCE)。
案例
- Azure 監視器代理程式
- 記錄擷取 API
- 事件中樞
streamDeclarations
傳送至Log Analytics工作區之不同類型的資料宣告。 每個資料流都是物件,其索引鍵代表資料流名稱,開頭必須是 Custom- 。 資料流包含一份最上層屬性的完整清單,這些屬性包含在要傳送的 JSON 資料中。 您傳送至端點的資料型態不必符合目的地資料表的資料型態。 但在最上層輸入資料上的轉換輸出必須符合目的地型態。
本節不適用於傳送已知資料類型的資料來源,例如從 Azure 監視器代理程式傳送的事件和效能資料。
您可以指派給屬性的可能資料類型是:
stringintlongrealbooleandynamicdatetime.
案例
- Azure 監視器代理程式 (僅文字記錄)
- 記錄擷取 API
- 事件中樞
destinations
所有資料傳送目的地的宣告。 目前僅支援將 logAnalytics 作為目的地,但也能夠使用 azureMonitorMetrics 的 Azure 監視器代理程式除外。 每個 Log Analytics 目的地都需要完整的工作區資源識別碼,以及用於 DCR 中其他位置來參考此工作區的自訂名稱。
案例
- Azure 監視器代理程式 (僅文字記錄)
- 記錄擷取 API
- 事件中樞
- 工作區轉換 DCR
dataSources
監視資料的唯一來源,以及其本身的格式和其資料的公開方法。 每個資料來源都有資料來源類型,而且每個類型都會定義必須為每個資料來源指定的唯一屬性集。 下表列出目前可用的資料來源類型。
| 資料來源類型 | 描述 |
|---|---|
| eventHub | 來自 Azure 事件中樞的資料 |
| 擴充功能 | 以 VM 擴充功能為基礎的資料來源,專供 Log Analytics 解決方案和 Azure 服務使用 (檢視代理程式支援的服務和解決方案) |
| LogFiles | 虛擬機器上的文字記錄 |
| performanceCounters | Windows 和 Linux 虛擬機器的效能計數器 |
| syslog | 在 Linux 虛擬機器上的 Syslog 事件 |
| windowsEventLogs | 虛擬機器上的 Windows 事件記錄檔 |
案例
- Azure 監視器代理程式
- 事件中樞
dataFlows
比對具有目的地的資料流,並選擇性地指定轉換。
dataFlows/Streams
在上一節中定義的一或多個資料流。 如果想要將多個資料來源傳送至相同的目的地,您可以將多個資料流包含在單一資料流程中。 只有在資料流程包含轉換時,才使用單一資料流。 當您想要將特定資料來源傳送至相同 Log Analytics 工作區中的多個資料表時,多個資料流程也可以使用單一資料流。
dataFlows/destinations
上述 destinations 一節中的一或多個目的地。 多路連接案例允許多個目的地。
dataFlows/transformKql
套用至傳入資料流的選擇性轉換。 轉換必須了解傳入資料的結構描述,以及以目標資料表結構描述中的輸出資料。 如果您使用轉換,則資料流程應只使用單一資料流。
dataFlows/outputStream
描述要將資料傳送至 destination 屬性下指定工作區中的哪個資料表。 將資料擷取至標準 Log Analytics 資料表時,outputStream 的值格式為 Microsoft-[tableName],或將資料擷取至自訂資料表時則為 Custom-[tableName]。 每個資料流只允許一個目的地。
此屬性不會用於來自 Azure 監視器的已知資料來源,例如事件和效能資料,因為會將這些資料傳送至預先定義的資料表。 |
案例
- Azure 監視器代理程式
- 記錄擷取 API
- 事件中樞
- 工作區轉換 DCR