你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Data Collection Rules - Create

Service:

Monitor

API Version:

2022-06-01

创建或更新数据收集规则。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01

URI 参数

名称	在	必需	类型	说明
dataCollectionRuleName	path	True	string	数据收集规则的名称。 此名称不区分大小写。
resourceGroupName	path	True	string	资源组的名称。 此名称不区分大小写。
subscriptionId	path	True	string	目标订阅的 ID。
api-version	query	True	string	要用于此操作的 API 版本。

请求正文

名称	必需	类型	说明
location	True	string	资源所在的地理位置。
identity		Identity	资源的托管服务标识。
kind		KnownDataCollectionRuleResourceKind	资源的种类。
properties.dataCollectionEndpointId		string	可用于此规则的数据收集终结点的资源 ID。
properties.dataFlows		DataFlow[]	数据流的规范。
properties.dataSources		DataSources	数据源的规范。 此属性是可选的，如果规则旨在通过直接调用预配的终结点来使用，则可以省略此属性。
properties.description		string	数据收集规则的说明。
properties.destinations		Destinations	目标的规范。
properties.streamDeclarations		object	声明此规则中使用的自定义流。
tags		object	资源标记。

响应

名称	类型	说明
200 OK	DataCollectionRuleResource	数据收集规则已成功更新
201 Created	DataCollectionRuleResource	已成功创建数据收集规则
Other Status Codes	ErrorResponseCommonV2	错误

安全性

azure_auth

Azure Active Directory OAuth2 流

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名称	说明
user_impersonation	模拟用户帐户

示例

Create or update data collection rule

Sample Request

HTTP

PUT https://management.azure.com/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2022-06-01

{
  "location": "eastus",
  "properties": {
    "dataSources": {
      "performanceCounters": [
        {
          "name": "cloudTeamCoreCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 15,
          "counterSpecifiers": [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
          ]
        },
        {
          "name": "appTeamExtraCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 30,
          "counterSpecifiers": [
            "\\Process(_Total)\\Thread Count"
          ]
        }
      ],
      "windowsEventLogs": [
        {
          "name": "cloudSecurityTeamEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "Security!"
          ]
        },
        {
          "name": "appTeam1AppEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
          ]
        }
      ],
      "syslog": [
        {
          "name": "cronSyslog",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "cron"
          ],
          "logLevels": [
            "Debug",
            "Critical",
            "Emergency"
          ]
        },
        {
          "name": "syslogBase",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "syslog"
          ],
          "logLevels": [
            "Alert",
            "Critical",
            "Emergency"
          ]
        }
      ]
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
          "name": "centralWorkspace"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Microsoft-Perf",
          "Microsoft-Syslog",
          "Microsoft-WindowsEvent"
        ],
        "destinations": [
          "centralWorkspace"
        ]
      }
    ]
  }
}

Go

package armmonitor_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azcore/to"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/monitor/armmonitor"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/969fd0c2634fbcc1975d7abe3749330a5145a97c/specification/monitor/resource-manager/Microsoft.Insights/stable/2022-06-01/examples/DataCollectionRulesCreate.json
func ExampleDataCollectionRulesClient_Create() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armmonitor.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewDataCollectionRulesClient().Create(ctx, "myResourceGroup", "myCollectionRule", &armmonitor.DataCollectionRulesClientCreateOptions{Body: &armmonitor.DataCollectionRuleResource{
		Location: to.Ptr("eastus"),
		Properties: &armmonitor.DataCollectionRuleResourceProperties{
			DataFlows: []*armmonitor.DataFlow{
				{
					Destinations: []*string{
						to.Ptr("centralWorkspace")},
					Streams: []*armmonitor.KnownDataFlowStreams{
						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftPerf),
						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftSyslog),
						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftWindowsEvent)},
				}},
			DataSources: &armmonitor.DataCollectionRuleDataSources{
				PerformanceCounters: []*armmonitor.PerfCounterDataSource{
					{
						Name: to.Ptr("cloudTeamCoreCounters"),
						CounterSpecifiers: []*string{
							to.Ptr("\\Processor(_Total)\\% Processor Time"),
							to.Ptr("\\Memory\\Committed Bytes"),
							to.Ptr("\\LogicalDisk(_Total)\\Free Megabytes"),
							to.Ptr("\\PhysicalDisk(_Total)\\Avg. Disk Queue Length")},
						SamplingFrequencyInSeconds: to.Ptr[int32](15),
						Streams: []*armmonitor.KnownPerfCounterDataSourceStreams{
							to.Ptr(armmonitor.KnownPerfCounterDataSourceStreamsMicrosoftPerf)},
					},
					{
						Name: to.Ptr("appTeamExtraCounters"),
						CounterSpecifiers: []*string{
							to.Ptr("\\Process(_Total)\\Thread Count")},
						SamplingFrequencyInSeconds: to.Ptr[int32](30),
						Streams: []*armmonitor.KnownPerfCounterDataSourceStreams{
							to.Ptr(armmonitor.KnownPerfCounterDataSourceStreamsMicrosoftPerf)},
					}},
				Syslog: []*armmonitor.SyslogDataSource{
					{
						Name: to.Ptr("cronSyslog"),
						FacilityNames: []*armmonitor.KnownSyslogDataSourceFacilityNames{
							to.Ptr(armmonitor.KnownSyslogDataSourceFacilityNamesCron)},
						LogLevels: []*armmonitor.KnownSyslogDataSourceLogLevels{
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsDebug),
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsCritical),
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsEmergency)},
						Streams: []*armmonitor.KnownSyslogDataSourceStreams{
							to.Ptr(armmonitor.KnownSyslogDataSourceStreamsMicrosoftSyslog)},
					},
					{
						Name: to.Ptr("syslogBase"),
						FacilityNames: []*armmonitor.KnownSyslogDataSourceFacilityNames{
							to.Ptr(armmonitor.KnownSyslogDataSourceFacilityNamesSyslog)},
						LogLevels: []*armmonitor.KnownSyslogDataSourceLogLevels{
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsAlert),
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsCritical),
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsEmergency)},
						Streams: []*armmonitor.KnownSyslogDataSourceStreams{
							to.Ptr(armmonitor.KnownSyslogDataSourceStreamsMicrosoftSyslog)},
					}},
				WindowsEventLogs: []*armmonitor.WindowsEventLogDataSource{
					{
						Name: to.Ptr("cloudSecurityTeamEvents"),
						Streams: []*armmonitor.KnownWindowsEventLogDataSourceStreams{
							to.Ptr(armmonitor.KnownWindowsEventLogDataSourceStreamsMicrosoftWindowsEvent)},
						XPathQueries: []*string{
							to.Ptr("Security!")},
					},
					{
						Name: to.Ptr("appTeam1AppEvents"),
						Streams: []*armmonitor.KnownWindowsEventLogDataSourceStreams{
							to.Ptr(armmonitor.KnownWindowsEventLogDataSourceStreamsMicrosoftWindowsEvent)},
						XPathQueries: []*string{
							to.Ptr("System![System[(Level = 1 or Level = 2 or Level = 3)]]"),
							to.Ptr("Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]")},
					}},
			},
			Destinations: &armmonitor.DataCollectionRuleDestinations{
				LogAnalytics: []*armmonitor.LogAnalyticsDestination{
					{
						Name:                to.Ptr("centralWorkspace"),
						WorkspaceResourceID: to.Ptr("/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace"),
					}},
			},
		},
	},
	})
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.DataCollectionRuleResource = armmonitor.DataCollectionRuleResource{
	// 	Name: to.Ptr("myCollectionRule"),
	// 	Type: to.Ptr("Microsoft.Insights/dataCollectionRules"),
	// 	Etag: to.Ptr("070057da-0000-0000-0000-5ba70d6c0000"),
	// 	ID: to.Ptr("/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule"),
	// 	Location: to.Ptr("eastus"),
	// 	Properties: &armmonitor.DataCollectionRuleResourceProperties{
	// 		DataFlows: []*armmonitor.DataFlow{
	// 			{
	// 				Destinations: []*string{
	// 					to.Ptr("centralWorkspace")},
	// 					Streams: []*armmonitor.KnownDataFlowStreams{
	// 						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftPerf),
	// 						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftSyslog),
	// 						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftWindowsEvent)},
	// 				}},
	// 				DataSources: &armmonitor.DataCollectionRuleDataSources{
	// 					PerformanceCounters: []*armmonitor.PerfCounterDataSource{
	// 						{
	// 							Name: to.Ptr("cloudTeamCoreCounters"),
	// 							CounterSpecifiers: []*string{
	// 								to.Ptr("\\Processor(_Total)\\% Processor Time"),
	// 								to.Ptr("\\Memory\\Committed Bytes"),
	// 								to.Ptr("\\LogicalDisk(_Total)\\Free Megabytes"),
	// 								to.Ptr("\\PhysicalDisk(_Total)\\Avg. Disk Queue Length")},
	// 								SamplingFrequencyInSeconds: to.Ptr[int32](15),
	// 								Streams: []*armmonitor.KnownPerfCounterDataSourceStreams{
	// 									to.Ptr(armmonitor.KnownPerfCounterDataSourceStreamsMicrosoftPerf)},
	// 								},
	// 								{
	// 									Name: to.Ptr("appTeamExtraCounters"),
	// 									CounterSpecifiers: []*string{
	// 										to.Ptr("\\Process(_Total)\\Thread Count")},
	// 										SamplingFrequencyInSeconds: to.Ptr[int32](30),
	// 										Streams: []*armmonitor.KnownPerfCounterDataSourceStreams{
	// 											to.Ptr(armmonitor.KnownPerfCounterDataSourceStreamsMicrosoftPerf)},
	// 									}},
	// 									Syslog: []*armmonitor.SyslogDataSource{
	// 										{
	// 											Name: to.Ptr("cronSyslog"),
	// 											FacilityNames: []*armmonitor.KnownSyslogDataSourceFacilityNames{
	// 												to.Ptr(armmonitor.KnownSyslogDataSourceFacilityNamesCron)},
	// 												LogLevels: []*armmonitor.KnownSyslogDataSourceLogLevels{
	// 													to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsDebug),
	// 													to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsCritical),
	// 													to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsEmergency)},
	// 													Streams: []*armmonitor.KnownSyslogDataSourceStreams{
	// 														to.Ptr(armmonitor.KnownSyslogDataSourceStreamsMicrosoftSyslog)},
	// 													},
	// 													{
	// 														Name: to.Ptr("syslogBase"),
	// 														FacilityNames: []*armmonitor.KnownSyslogDataSourceFacilityNames{
	// 															to.Ptr(armmonitor.KnownSyslogDataSourceFacilityNamesSyslog)},
	// 															LogLevels: []*armmonitor.KnownSyslogDataSourceLogLevels{
	// 																to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsAlert),
	// 																to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsCritical),
	// 																to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsEmergency)},
	// 																Streams: []*armmonitor.KnownSyslogDataSourceStreams{
	// 																	to.Ptr(armmonitor.KnownSyslogDataSourceStreamsMicrosoftSyslog)},
	// 															}},
	// 															WindowsEventLogs: []*armmonitor.WindowsEventLogDataSource{
	// 																{
	// 																	Name: to.Ptr("cloudSecurityTeamEvents"),
	// 																	Streams: []*armmonitor.KnownWindowsEventLogDataSourceStreams{
	// 																		to.Ptr(armmonitor.KnownWindowsEventLogDataSourceStreamsMicrosoftWindowsEvent)},
	// 																		XPathQueries: []*string{
	// 																			to.Ptr("Security!")},
	// 																		},
	// 																		{
	// 																			Name: to.Ptr("appTeam1AppEvents"),
	// 																			Streams: []*armmonitor.KnownWindowsEventLogDataSourceStreams{
	// 																				to.Ptr(armmonitor.KnownWindowsEventLogDataSourceStreamsMicrosoftWindowsEvent)},
	// 																				XPathQueries: []*string{
	// 																					to.Ptr("System![System[(Level = 1 or Level = 2 or Level = 3)]]"),
	// 																					to.Ptr("Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]")},
	// 																			}},
	// 																		},
	// 																		Destinations: &armmonitor.DataCollectionRuleDestinations{
	// 																			LogAnalytics: []*armmonitor.LogAnalyticsDestination{
	// 																				{
	// 																					Name: to.Ptr("centralWorkspace"),
	// 																					WorkspaceID: to.Ptr("9ba8bc53-bd36-4156-8667-e983e7ae0e4f"),
	// 																					WorkspaceResourceID: to.Ptr("/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace"),
	// 																			}},
	// 																		},
	// 																		ImmutableID: to.Ptr("dcr-b74e0d383fc9415abaa584ec41adece3"),
	// 																	},
	// 																	SystemData: &armmonitor.DataCollectionRuleResourceSystemData{
	// 																		CreatedAt: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2021-04-01T12:34:56.123Z"); return t}()),
	// 																		CreatedBy: to.Ptr("user1"),
	// 																		CreatedByType: to.Ptr(armmonitor.CreatedByTypeUser),
	// 																		LastModifiedAt: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2021-04-02T12:34:56.123Z"); return t}()),
	// 																		LastModifiedBy: to.Ptr("user2"),
	// 																		LastModifiedByType: to.Ptr(armmonitor.CreatedByTypeUser),
	// 																	},
	// 																	Tags: map[string]*string{
	// 																		"tag1": to.Ptr("A"),
	// 																		"tag2": to.Ptr("B"),
	// 																	},
	// 																}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { MonitorClient } = require("@azure/arm-monitor");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Creates or updates a data collection rule.
 *
 * @summary Creates or updates a data collection rule.
 * x-ms-original-file: specification/monitor/resource-manager/Microsoft.Insights/stable/2022-06-01/examples/DataCollectionRulesCreate.json
 */
async function createOrUpdateDataCollectionRule() {
  const subscriptionId =
    process.env["MONITOR_SUBSCRIPTION_ID"] || "703362b3-f278-4e4b-9179-c76eaf41ffc2";
  const resourceGroupName = process.env["MONITOR_RESOURCE_GROUP"] || "myResourceGroup";
  const dataCollectionRuleName = "myCollectionRule";
  const body = {
    dataFlows: [
      {
        destinations: ["centralWorkspace"],
        streams: ["Microsoft-Perf", "Microsoft-Syslog", "Microsoft-WindowsEvent"],
      },
    ],
    dataSources: {
      performanceCounters: [
        {
          name: "cloudTeamCoreCounters",
          counterSpecifiers: [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length",
          ],
          samplingFrequencyInSeconds: 15,
          streams: ["Microsoft-Perf"],
        },
        {
          name: "appTeamExtraCounters",
          counterSpecifiers: ["\\Process(_Total)\\Thread Count"],
          samplingFrequencyInSeconds: 30,
          streams: ["Microsoft-Perf"],
        },
      ],
      syslog: [
        {
          name: "cronSyslog",
          facilityNames: ["cron"],
          logLevels: ["Debug", "Critical", "Emergency"],
          streams: ["Microsoft-Syslog"],
        },
        {
          name: "syslogBase",
          facilityNames: ["syslog"],
          logLevels: ["Alert", "Critical", "Emergency"],
          streams: ["Microsoft-Syslog"],
        },
      ],
      windowsEventLogs: [
        {
          name: "cloudSecurityTeamEvents",
          streams: ["Microsoft-WindowsEvent"],
          xPathQueries: ["Security!"],
        },
        {
          name: "appTeam1AppEvents",
          streams: ["Microsoft-WindowsEvent"],
          xPathQueries: [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]",
          ],
        },
      ],
    },
    destinations: {
      logAnalytics: [
        {
          name: "centralWorkspace",
          workspaceResourceId:
            "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
        },
      ],
    },
    location: "eastus",
  };
  const options = { body };
  const credential = new DefaultAzureCredential();
  const client = new MonitorClient(credential, subscriptionId);
  const result = await client.dataCollectionRules.create(
    resourceGroupName,
    dataCollectionRuleName,
    options,
  );
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.Monitor;
using Azure.ResourceManager.Monitor.Models;
using Azure.ResourceManager.Resources;

// Generated from example definition: specification/monitor/resource-manager/Microsoft.Insights/stable/2022-06-01/examples/DataCollectionRulesCreate.json
// this example is just showing the usage of "DataCollectionRules_Create" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupResource created on azure
// for more information of creating ResourceGroupResource, please refer to the document of ResourceGroupResource
string subscriptionId = "703362b3-f278-4e4b-9179-c76eaf41ffc2";
string resourceGroupName = "myResourceGroup";
ResourceIdentifier resourceGroupResourceId = ResourceGroupResource.CreateResourceIdentifier(subscriptionId, resourceGroupName);
ResourceGroupResource resourceGroupResource = client.GetResourceGroupResource(resourceGroupResourceId);

// get the collection of this DataCollectionRuleResource
DataCollectionRuleCollection collection = resourceGroupResource.GetDataCollectionRules();

// invoke the operation
string dataCollectionRuleName = "myCollectionRule";
DataCollectionRuleData data = new DataCollectionRuleData(new AzureLocation("eastus"))
{
    DataSources = new DataCollectionRuleDataSources()
    {
        PerformanceCounters =
        {
        new PerfCounterDataSource()
        {
        Streams =
        {
        PerfCounterDataSourceStream.MicrosoftPerf
        },
        SamplingFrequencyInSeconds = 15,
        CounterSpecifiers =
        {
        "\\Processor(_Total)\\% Processor Time","\\Memory\\Committed Bytes","\\LogicalDisk(_Total)\\Free Megabytes","\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
        },
        Name = "cloudTeamCoreCounters",
        },new PerfCounterDataSource()
        {
        Streams =
        {
        PerfCounterDataSourceStream.MicrosoftPerf
        },
        SamplingFrequencyInSeconds = 30,
        CounterSpecifiers =
        {
        "\\Process(_Total)\\Thread Count"
        },
        Name = "appTeamExtraCounters",
        }
        },
        WindowsEventLogs =
        {
        new WindowsEventLogDataSource()
        {
        Streams =
        {
        WindowsEventLogDataSourceStream.MicrosoftWindowsEvent
        },
        XPathQueries =
        {
        "Security!"
        },
        Name = "cloudSecurityTeamEvents",
        },new WindowsEventLogDataSource()
        {
        Streams =
        {
        WindowsEventLogDataSourceStream.MicrosoftWindowsEvent
        },
        XPathQueries =
        {
        "System![System[(Level = 1 or Level = 2 or Level = 3)]]","Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
        },
        Name = "appTeam1AppEvents",
        }
        },
        Syslog =
        {
        new SyslogDataSource()
        {
        Streams =
        {
        SyslogDataSourceStream.MicrosoftSyslog
        },
        FacilityNames =
        {
        SyslogDataSourceFacilityName.Cron
        },
        LogLevels =
        {
        SyslogDataSourceLogLevel.Debug,SyslogDataSourceLogLevel.Critical,SyslogDataSourceLogLevel.Emergency
        },
        Name = "cronSyslog",
        },new SyslogDataSource()
        {
        Streams =
        {
        SyslogDataSourceStream.MicrosoftSyslog
        },
        FacilityNames =
        {
        SyslogDataSourceFacilityName.Syslog
        },
        LogLevels =
        {
        SyslogDataSourceLogLevel.Alert,SyslogDataSourceLogLevel.Critical,SyslogDataSourceLogLevel.Emergency
        },
        Name = "syslogBase",
        }
        },
    },
    Destinations = new DataCollectionRuleDestinations()
    {
        LogAnalytics =
        {
        new LogAnalyticsDestination()
        {
        WorkspaceResourceId = new ResourceIdentifier("/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace"),
        Name = "centralWorkspace",
        }
        },
    },
    DataFlows =
    {
    new DataFlow()
    {
    Streams =
    {
    DataFlowStream.MicrosoftPerf,DataFlowStream.MicrosoftSyslog,DataFlowStream.MicrosoftWindowsEvent
    },
    Destinations =
    {
    "centralWorkspace"
    },
    }
    },
};
ArmOperation<DataCollectionRuleResource> lro = await collection.CreateOrUpdateAsync(WaitUntil.Completed, dataCollectionRuleName, data);
DataCollectionRuleResource result = lro.Value;

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
DataCollectionRuleData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:

200

{
  "id": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule",
  "name": "myCollectionRule",
  "type": "Microsoft.Insights/dataCollectionRules",
  "location": "eastus",
  "tags": {
    "tag1": "A",
    "tag2": "B"
  },
  "properties": {
    "immutableId": "dcr-b74e0d383fc9415abaa584ec41adece3",
    "dataSources": {
      "performanceCounters": [
        {
          "name": "cloudTeamCoreCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 15,
          "counterSpecifiers": [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
          ]
        },
        {
          "name": "appTeamExtraCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 30,
          "counterSpecifiers": [
            "\\Process(_Total)\\Thread Count"
          ]
        }
      ],
      "windowsEventLogs": [
        {
          "name": "cloudSecurityTeamEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "Security!"
          ]
        },
        {
          "name": "appTeam1AppEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
          ]
        }
      ],
      "syslog": [
        {
          "name": "cronSyslog",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "cron"
          ],
          "logLevels": [
            "Debug",
            "Critical",
            "Emergency"
          ]
        },
        {
          "name": "syslogBase",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "syslog"
          ],
          "logLevels": [
            "Alert",
            "Critical",
            "Emergency"
          ]
        }
      ]
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
          "workspaceId": "9ba8bc53-bd36-4156-8667-e983e7ae0e4f",
          "name": "centralWorkspace"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Microsoft-Perf",
          "Microsoft-Syslog",
          "Microsoft-WindowsEvent"
        ],
        "destinations": [
          "centralWorkspace"
        ]
      }
    ]
  },
  "systemData": {
    "createdBy": "user1",
    "createdByType": "User",
    "createdAt": "2021-04-01T12:34:56.1234567Z",
    "lastModifiedBy": "user2",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2021-04-02T12:34:56.1234567Z"
  },
  "etag": "070057da-0000-0000-0000-5ba70d6c0000"
}

Status code:

201

{
  "id": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule",
  "name": "myCollectionRule",
  "type": "Microsoft.Insights/dataCollectionRules",
  "location": "eastus",
  "tags": {
    "tag1": "A",
    "tag2": "B"
  },
  "properties": {
    "immutableId": "dcr-b74e0d383fc9415abaa584ec41adece3",
    "dataSources": {
      "performanceCounters": [
        {
          "name": "cloudTeamCoreCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 15,
          "counterSpecifiers": [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
          ]
        },
        {
          "name": "appTeamExtraCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 30,
          "counterSpecifiers": [
            "\\Process(_Total)\\Thread Count"
          ]
        }
      ],
      "windowsEventLogs": [
        {
          "name": "cloudSecurityTeamEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "Security!"
          ]
        },
        {
          "name": "appTeam1AppEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
          ]
        }
      ],
      "syslog": [
        {
          "name": "cronSyslog",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "cron"
          ],
          "logLevels": [
            "Debug",
            "Critical",
            "Emergency"
          ]
        },
        {
          "name": "syslogBase",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "syslog"
          ],
          "logLevels": [
            "Alert",
            "Critical",
            "Emergency"
          ]
        }
      ]
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
          "workspaceId": "9ba8bc53-bd36-4156-8667-e983e7ae0e4f",
          "name": "centralWorkspace"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Microsoft-Perf",
          "Microsoft-Syslog",
          "Microsoft-WindowsEvent"
        ],
        "destinations": [
          "centralWorkspace"
        ]
      }
    ]
  },
  "systemData": {
    "createdBy": "user1",
    "createdByType": "User",
    "createdAt": "2021-04-01T12:34:56.1234567Z",
    "lastModifiedBy": "user2",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2021-04-02T12:34:56.1234567Z"
  },
  "etag": "070057da-0000-0000-0000-5ba70d6c0000"
}

定义

名称	说明
AzureMonitorMetrics	Azure Monitor 指标目标。
ColumnDefinition	自定义数据列的定义。
createdByType	创建资源的标识类型。
DataCollectionRuleResource	ARM 跟踪的顶级资源的定义。
DataFlow	定义要将哪些流发送到哪些目标。
DataImports	基于拉取的数据源的规范
DataSources	数据源的规范。 此属性是可选的，如果打算通过直接调用预配的终结点使用该规则，则可以省略此属性。
Destinations	目标的规范。
ErrorAdditionalInfo	资源管理错误附加信息。
ErrorDetail	错误详细信息。
ErrorResponseCommonV2	错误响应
EventHub	事件中心配置的定义。
EventHubDestination
EventHubDirectDestination
ExtensionDataSource	定义将从与 Azure Monitor 代理集成的单独 VM 扩展收集哪些数据。 从 Windows 和 Linux 计算机收集，具体取决于定义的扩展。
Identity	资源的托管服务标识。
IisLogsDataSource	允许此数据收集规则收集 IIS 日志。
KnownColumnDefinitionType	列数据的类型。
KnownDataCollectionRuleProvisioningState	资源预配状态。
KnownDataCollectionRuleResourceKind	资源的种类。
KnownDataFlowStreams	此数据流的流列表。
KnownExtensionDataSourceStreams	此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。
KnownLogFilesDataSourceFormat	日志文件的数据格式
KnownLogFileTextSettingsRecordStartTimestampFormat	支持的时间戳格式之一
KnownPerfCounterDataSourceStreams	此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。
KnownPrometheusForwarderDataSourceStreams	此数据源将发送到的流列表。
KnownSyslogDataSourceFacilityNames	设施名称的列表。
KnownSyslogDataSourceLogLevels	要收集的日志级别。
KnownSyslogDataSourceStreams	此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。
KnownWindowsEventLogDataSourceStreams	此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。
LogAnalyticsDestination	Log Analytics 目标。
LogFilesDataSource	定义此数据收集规则将收集哪些自定义日志文件
ManagedServiceIdentityType	) 允许 SystemAssigned 和 UserAssigned 类型的托管服务标识 (的类型。
Metadata	有关资源的元数据
MonitoringAccountDestination	监视帐户目标。
PerfCounterDataSource	定义将收集哪些性能计数器以及此数据收集规则将如何收集它们。 从存在计数器的 Windows 和 Linux 计算机收集。
PlatformTelemetryDataSource	平台遥测数据源配置的定义
PrometheusForwarderDataSource	Prometheus 指标转发配置的定义。
Settings	日志文件特定设置。
StorageBlobDestination
StorageTableDestination
StreamDeclaration	自定义流的声明。
SyslogDataSource	定义将收集哪些 syslog 数据及其收集方式。 仅从 Linux 计算机收集。
SystemData	与资源的创建和上次修改相关的元数据。
Text	文本设置
UserAssignedIdentity	用户分配的标识属性
WindowsEventLogDataSource	定义将收集哪些 Windows 事件日志事件以及如何收集这些事件。 仅从 Windows 计算机收集。
WindowsFirewallLogsDataSource	启用此数据收集规则收集防火墙日志。

AzureMonitorMetrics

Azure Monitor 指标目标。

名称	类型	说明
name	string	目标的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有目标中都应是唯一的。

ColumnDefinition

自定义数据列的定义。

名称	类型	说明
name	string	列的名称。
type	KnownColumnDefinitionType	列数据的类型。

createdByType

创建资源的标识类型。

名称	类型	说明
Application	string
Key	string
ManagedIdentity	string
User	string

DataCollectionRuleResource

ARM 跟踪的顶级资源的定义。

名称	类型	说明
etag	string	ETag) (资源实体标记。
id	string	资源的完全限定 ID。
identity	Identity	资源的托管服务标识。
kind	KnownDataCollectionRuleResourceKind	资源的种类。
location	string	资源所在的地理位置。
name	string	资源的名称。
properties.dataCollectionEndpointId	string	可以使用此规则的数据收集终结点的资源 ID。
properties.dataFlows	DataFlow[]	数据流的规范。
properties.dataSources	DataSources	数据源的规范。 此属性是可选的，如果打算通过直接调用预配的终结点使用该规则，则可以省略此属性。
properties.description	string	数据收集规则的说明。
properties.destinations	Destinations	目标的规范。
properties.immutableId	string	此数据收集规则的不可变 ID。 此属性为只读。
properties.metadata	Metadata	有关资源的元数据
properties.provisioningState	KnownDataCollectionRuleProvisioningState	资源预配状态。
properties.streamDeclarations	object	此规则中使用的自定义流的声明。
systemData	SystemData	与资源的创建和上次修改相关的元数据。
tags	object	资源标记。
type	string	资源类型。

DataFlow

定义要将哪些流发送到哪些目标。

名称	类型	说明
builtInTransform	string	用于转换流数据的 builtIn 转换
destinations	string[]	此数据流的目标列表。
outputStream	string	转换的输出流。 仅当转换将数据更改为其他流时才需要。
streams	KnownDataFlowStreams[]	此数据流的流列表。
transformKql	string	用于转换流数据的 KQL 查询。

DataImports

基于拉取的数据源的规范

名称	类型	说明
eventHub	EventHub	事件中心配置的定义。

DataSources

数据源的规范。 此属性是可选的，如果打算通过直接调用预配的终结点使用该规则，则可以省略此属性。

名称	类型	说明
dataImports	DataImports	基于拉取的数据源的规范
extensions	ExtensionDataSource[]	Azure VM 扩展数据源配置的列表。
iisLogs	IisLogsDataSource[]	IIS 日志源配置的列表。
logFiles	LogFilesDataSource[]	日志文件源配置的列表。
performanceCounters	PerfCounterDataSource[]	性能计数器数据源配置的列表。
platformTelemetry	PlatformTelemetryDataSource[]	平台遥测配置列表
prometheusForwarder	PrometheusForwarderDataSource[]	Prometheus 转发器数据源配置的列表。
syslog	SyslogDataSource[]	Syslog 数据源配置的列表。
windowsEventLogs	WindowsEventLogDataSource[]	Windows 事件日志数据源配置的列表。
windowsFirewallLogs	WindowsFirewallLogsDataSource[]	Windows 防火墙日志源配置的列表。

Destinations

目标的规范。

名称	类型	说明
azureMonitorMetrics	AzureMonitorMetrics	Azure Monitor 指标目标。
eventHubs	EventHubDestination[]	事件中心目标列表。
eventHubsDirect	EventHubDirectDestination[]	事件中心直接目标的列表。
logAnalytics	LogAnalyticsDestination[]	Log Analytics 目标列表。
monitoringAccounts	MonitoringAccountDestination[]	监视帐户目标的列表。
storageAccounts	StorageBlobDestination[]	存储帐户目标列表。
storageBlobsDirect	StorageBlobDestination[]	存储 Blob 直接目标的列表。 仅用于从代理直接发送要存储的数据。
storageTablesDirect	StorageTableDestination[]	存储表直接目标的列表。

ErrorAdditionalInfo

资源管理错误附加信息。

名称	类型	说明
info	object	其他信息。
type	string	其他信息类型。

ErrorDetail

错误详细信息。

名称	类型	说明
additionalInfo	ErrorAdditionalInfo[]	错误附加信息。
code	string	错误代码。
details	ErrorDetail[]	错误详细信息。
message	string	错误消息。
target	string	错误目标。

ErrorResponseCommonV2

错误响应

名称	类型	说明
error	ErrorDetail	错误对象。

EventHub

事件中心配置的定义。

名称	类型	说明
consumerGroup	string	事件中心使用者组名称
name	string	数据源的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有数据源中都应是唯一的。
stream	string	要从 EventHub 收集的流

EventHubDestination

名称	类型	说明
eventHubResourceId	string	事件中心的资源 ID。
name	string	目标的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有目标中都应是唯一的。

EventHubDirectDestination

名称	类型	说明
eventHubResourceId	string	事件中心的资源 ID。
name	string	目标的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有目标中都应是唯一的。

ExtensionDataSource

定义将从与 Azure Monitor 代理集成的单独 VM 扩展收集哪些数据。 从 Windows 和 Linux 计算机收集，具体取决于定义的扩展。

名称	类型	说明
extensionName	string	VM 扩展的名称。
extensionSettings	object	扩展设置。 格式特定于特定扩展。
inputDataSources	string[]	此扩展需要数据的数据源列表。
name	string	数据源的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有数据源中都应是唯一的。
streams	KnownExtensionDataSourceStreams[]	此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。

Identity

资源的托管服务标识。

名称	类型	说明
principalId	string	系统分配的标识的服务主体 ID。 此属性仅针对系统分配的标识提供。
tenantId	string	系统分配的标识的租户 ID。 此属性仅针对系统分配的标识提供。
type	ManagedServiceIdentityType	) 允许 SystemAssigned 和 UserAssigned 类型的托管服务标识 (的类型。
userAssignedIdentities	object	User-Assigned 标识 与资源关联的用户分配标识集。 userAssignedIdentities 字典密钥将是采用以下格式的 ARM 资源 ID：'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}。 字典值可以是请求中) ({} 空对象。

IisLogsDataSource

允许此数据收集规则收集 IIS 日志。

名称	类型	说明
logDirectories	string[]	绝对路径文件位置
name	string	数据源的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有数据源中都应是唯一的。
streams	string[]	IIS 流

KnownColumnDefinitionType

列数据的类型。

名称	类型	说明
boolean	string
datetime	string
dynamic	string
int	string
long	string
real	string
string	string

KnownDataCollectionRuleProvisioningState

资源预配状态。

名称	类型	说明
Canceled	string
Creating	string
Deleting	string
Failed	string
Succeeded	string
Updating	string

KnownDataCollectionRuleResourceKind

资源的种类。

名称	类型	说明
Linux	string
Windows	string

KnownDataFlowStreams

此数据流的流列表。

名称	类型	说明
Microsoft-Event	string
Microsoft-InsightsMetrics	string
Microsoft-Perf	string
Microsoft-Syslog	string
Microsoft-WindowsEvent	string

KnownExtensionDataSourceStreams

此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。

名称	类型	说明
Microsoft-Event	string
Microsoft-InsightsMetrics	string
Microsoft-Perf	string
Microsoft-Syslog	string
Microsoft-WindowsEvent	string

KnownLogFilesDataSourceFormat

日志文件的数据格式

名称	类型	说明
text	string

KnownLogFileTextSettingsRecordStartTimestampFormat

支持的时间戳格式之一

名称	类型	说明
ISO 8601	string
M/D/YYYY HH:MM:SS AM/PM	string
MMM d hh:mm:ss	string
Mon DD, YYYY HH:MM:SS	string
YYYY-MM-DD HH:MM:SS	string
dd/MMM/yyyy:HH:mm:ss zzz	string
ddMMyy HH:mm:ss	string
yyMMdd HH:mm:ss	string
yyyy-MM-ddTHH:mm:ssK	string

KnownPerfCounterDataSourceStreams

此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。

名称	类型	说明
Microsoft-InsightsMetrics	string
Microsoft-Perf	string

KnownPrometheusForwarderDataSourceStreams

此数据源将发送到的流列表。

名称	类型	说明
Microsoft-PrometheusMetrics	string

KnownSyslogDataSourceFacilityNames

设施名称的列表。

名称	类型	说明
*	string
alert	string
audit	string
auth	string
authpriv	string
clock	string
cron	string
daemon	string
ftp	string
kern	string
local0	string
local1	string
local2	string
local3	string
local4	string
local5	string
local6	string
local7	string
lpr	string
mail	string
mark	string
news	string
nopri	string
ntp	string
syslog	string
user	string
uucp	string

KnownSyslogDataSourceLogLevels

要收集的日志级别。

名称	类型	说明
*	string
Alert	string
Critical	string
Debug	string
Emergency	string
Error	string
Info	string
Notice	string
Warning	string

KnownSyslogDataSourceStreams

此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。

名称	类型	说明
Microsoft-Syslog	string

KnownWindowsEventLogDataSourceStreams

此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。

名称	类型	说明
Microsoft-Event	string
Microsoft-WindowsEvent	string

LogAnalyticsDestination

Log Analytics 目标。

名称	类型	说明
name	string	目标的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有目标中都应是唯一的。
workspaceId	string	Log Analytics 工作区的客户 ID。
workspaceResourceId	string	Log Analytics 工作区的资源 ID。

LogFilesDataSource

定义此数据收集规则将收集哪些自定义日志文件

名称	类型	说明
filePatterns	string[]	日志文件所在的文件模式
format	KnownLogFilesDataSourceFormat	日志文件的数据格式
name	string	数据源的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有数据源中都应是唯一的。
settings	Settings	日志文件特定设置。
streams	string[]	此数据源将发送到的流列表。 流指示将用于此数据源的架构

ManagedServiceIdentityType

) 允许 SystemAssigned 和 UserAssigned 类型的托管服务标识 (的类型。

名称	类型	说明
None	string
SystemAssigned	string
SystemAssigned,UserAssigned	string
UserAssigned	string

Metadata

有关资源的元数据

名称	类型	说明
provisionedBy	string	Azure 产品/服务代表客户管理此资源。
provisionedByResourceId	string	代表客户管理此资源的 Azure 产品/服务的资源 ID。

MonitoringAccountDestination

监视帐户目标。

名称	类型	说明
accountId	string	帐户的不可变 ID。
accountResourceId	string	监视帐户的资源 ID。
name	string	目标的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有目标中都应是唯一的。

PerfCounterDataSource

定义将收集哪些性能计数器以及此数据收集规则将如何收集它们。 从存在计数器的 Windows 和 Linux 计算机收集。

名称	类型	说明
counterSpecifiers	string[]	要收集的性能计数器说明符名称的列表。 使用通配符 (*) 收集所有实例的计数器。 若要在 Windows 上获取性能计数器的列表，请运行命令“typeperf”。
name	string	数据源的友好名称。 无论数据收集规则中的) 类型如何，此名称在 (的所有数据源中都应是唯一的。
samplingFrequencyInSeconds	integer	连续计数器测量 (样本) 之间的秒数。
streams	KnownPerfCounterDataSourceStreams[]	此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常将数据发送到 Log Analytics 中的表。

PlatformTelemetryDataSource

平台遥测数据源配置的定义

名称	类型	说明
name	string	数据源的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有数据源中都应是唯一的。
streams	string[]	要收集的平台遥测流列表

PrometheusForwarderDataSource

Prometheus 指标转发配置的定义。

名称	类型	说明
labelIncludeFilter	object	标签包含筛选器的列表，采用标签“名称-值”对的形式。 目前仅支持一个标签：“microsoft_metrics_include_label”。 标签值不区分大小写地匹配。
name	string	数据源的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有数据源中都应是唯一的。
streams	KnownPrometheusForwarderDataSourceStreams[]	此数据源将发送到的流列表。

Settings

日志文件特定设置。

名称	类型	说明
text	Text	文本设置

StorageBlobDestination

名称	类型	说明
containerName	string	存储 Blob 的容器名称。
name	string	目标的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有目标中都应是唯一的。
storageAccountResourceId	string	存储帐户的资源 ID。

StorageTableDestination

名称	类型	说明
name	string	目标的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有目标中都应是唯一的。
storageAccountResourceId	string	存储帐户的资源 ID。
tableName	string	存储表的名称。

StreamDeclaration

自定义流的声明。

名称	类型	说明
columns	ColumnDefinition[]	此流中的数据使用的列列表。

SyslogDataSource

定义将收集哪些 syslog 数据及其收集方式。 仅从 Linux 计算机收集。

名称	类型	说明
facilityNames	KnownSyslogDataSourceFacilityNames[]	设施名称的列表。
logLevels	KnownSyslogDataSourceLogLevels[]	要收集的日志级别。
name	string	数据源的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有数据源中都应是唯一的。
streams	KnownSyslogDataSourceStreams[]	此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常会将数据发送到 Log Analytics 中的表。

SystemData

与资源的创建和上次修改相关的元数据。

名称	类型	说明
createdAt	string	资源创建时间戳 (UTC) 。
createdBy	string	创建资源的标识。
createdByType	createdByType	创建资源的标识类型。
lastModifiedAt	string	资源上次修改的时间戳 (UTC)
lastModifiedBy	string	上次修改资源的标识。
lastModifiedByType	createdByType	上次修改资源的标识类型。

Text

文本设置

名称	类型	说明
recordStartTimestampFormat	KnownLogFileTextSettingsRecordStartTimestampFormat	支持的时间戳格式之一

UserAssignedIdentity

用户分配的标识属性

名称	类型	说明
clientId	string	已分配标识的客户端 ID。
principalId	string	分配的标识的主体 ID。

WindowsEventLogDataSource

定义将收集哪些 Windows 事件日志事件以及如何收集这些事件。 仅从 Windows 计算机收集。

名称	类型	说明
name	string	数据源的友好名称。 无论数据收集规则中的) 类型如何，此名称在 (的所有数据源中都应是唯一的。
streams	KnownWindowsEventLogDataSourceStreams[]	此数据源将发送到的流列表。 流指示将用于此数据的架构，以及通常将数据发送到 Log Analytics 中的表。
xPathQueries	string[]	XPATH 格式的 Windows 事件日志查询列表。

WindowsFirewallLogsDataSource

启用此数据收集规则收集防火墙日志。

名称	类型	说明
name	string	数据源的友好名称。 无论数据收集规则中的类型) ，此名称在 (的所有数据源中都应是唯一的。
streams	string[]	防火墙日志流