Data Collection Rules - Create

Service:

Monitor

API Version:

2022-06-01

建立或更新數據收集規則。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01

URI 參數

名稱	位於	必要	類型	Description
dataCollectionRuleName	path	True	string	數據收集規則的名稱。 名稱不區分大小寫。
resourceGroupName	path	True	string	資源群組的名稱。 名稱不區分大小寫。
subscriptionId	path	True	string	目標訂用帳戶的標識碼。
api-version	query	True	string	用於此作業的 API 版本。

要求本文

名稱	必要	類型	Description
location	True	string	資源所在的地理位置。
identity		Identity	資源的受控服務識別。
kind		KnownDataCollectionRuleResourceKind	資源的種類。
properties.dataCollectionEndpointId		string	此規則可以搭配使用的數據收集端點資源標識碼。
properties.dataFlows		DataFlow[]	數據流的規格。
properties.dataSources		DataSources	數據源的規格。 此屬性是選擇性的，如果規則是要透過對已布建端點的直接呼叫來使用，則可以省略此屬性。
properties.description		string	數據收集規則的描述。
properties.destinations		Destinations	目的地的規格。
properties.streamDeclarations		object	此規則中使用的自定義數據流宣告。
tags		object	資源標籤。

回應

名稱	類型	Description
200 OK	DataCollectionRuleResource	已成功更新數據收集規則
201 Created	DataCollectionRuleResource	已成功建立數據收集規則
Other Status Codes	ErrorResponseCommonV2	錯誤

安全性

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名稱	Description
user_impersonation	模擬您的用戶帳戶

範例

Create or update data collection rule

Sample Request

HTTP

PUT https://management.azure.com/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2022-06-01

{
  "location": "eastus",
  "properties": {
    "dataSources": {
      "performanceCounters": [
        {
          "name": "cloudTeamCoreCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 15,
          "counterSpecifiers": [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
          ]
        },
        {
          "name": "appTeamExtraCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 30,
          "counterSpecifiers": [
            "\\Process(_Total)\\Thread Count"
          ]
        }
      ],
      "windowsEventLogs": [
        {
          "name": "cloudSecurityTeamEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "Security!"
          ]
        },
        {
          "name": "appTeam1AppEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
          ]
        }
      ],
      "syslog": [
        {
          "name": "cronSyslog",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "cron"
          ],
          "logLevels": [
            "Debug",
            "Critical",
            "Emergency"
          ]
        },
        {
          "name": "syslogBase",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "syslog"
          ],
          "logLevels": [
            "Alert",
            "Critical",
            "Emergency"
          ]
        }
      ]
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
          "name": "centralWorkspace"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Microsoft-Perf",
          "Microsoft-Syslog",
          "Microsoft-WindowsEvent"
        ],
        "destinations": [
          "centralWorkspace"
        ]
      }
    ]
  }
}

Go

package armmonitor_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azcore/to"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/monitor/armmonitor"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/969fd0c2634fbcc1975d7abe3749330a5145a97c/specification/monitor/resource-manager/Microsoft.Insights/stable/2022-06-01/examples/DataCollectionRulesCreate.json
func ExampleDataCollectionRulesClient_Create() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armmonitor.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewDataCollectionRulesClient().Create(ctx, "myResourceGroup", "myCollectionRule", &armmonitor.DataCollectionRulesClientCreateOptions{Body: &armmonitor.DataCollectionRuleResource{
		Location: to.Ptr("eastus"),
		Properties: &armmonitor.DataCollectionRuleResourceProperties{
			DataFlows: []*armmonitor.DataFlow{
				{
					Destinations: []*string{
						to.Ptr("centralWorkspace")},
					Streams: []*armmonitor.KnownDataFlowStreams{
						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftPerf),
						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftSyslog),
						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftWindowsEvent)},
				}},
			DataSources: &armmonitor.DataCollectionRuleDataSources{
				PerformanceCounters: []*armmonitor.PerfCounterDataSource{
					{
						Name: to.Ptr("cloudTeamCoreCounters"),
						CounterSpecifiers: []*string{
							to.Ptr("\\Processor(_Total)\\% Processor Time"),
							to.Ptr("\\Memory\\Committed Bytes"),
							to.Ptr("\\LogicalDisk(_Total)\\Free Megabytes"),
							to.Ptr("\\PhysicalDisk(_Total)\\Avg. Disk Queue Length")},
						SamplingFrequencyInSeconds: to.Ptr[int32](15),
						Streams: []*armmonitor.KnownPerfCounterDataSourceStreams{
							to.Ptr(armmonitor.KnownPerfCounterDataSourceStreamsMicrosoftPerf)},
					},
					{
						Name: to.Ptr("appTeamExtraCounters"),
						CounterSpecifiers: []*string{
							to.Ptr("\\Process(_Total)\\Thread Count")},
						SamplingFrequencyInSeconds: to.Ptr[int32](30),
						Streams: []*armmonitor.KnownPerfCounterDataSourceStreams{
							to.Ptr(armmonitor.KnownPerfCounterDataSourceStreamsMicrosoftPerf)},
					}},
				Syslog: []*armmonitor.SyslogDataSource{
					{
						Name: to.Ptr("cronSyslog"),
						FacilityNames: []*armmonitor.KnownSyslogDataSourceFacilityNames{
							to.Ptr(armmonitor.KnownSyslogDataSourceFacilityNamesCron)},
						LogLevels: []*armmonitor.KnownSyslogDataSourceLogLevels{
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsDebug),
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsCritical),
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsEmergency)},
						Streams: []*armmonitor.KnownSyslogDataSourceStreams{
							to.Ptr(armmonitor.KnownSyslogDataSourceStreamsMicrosoftSyslog)},
					},
					{
						Name: to.Ptr("syslogBase"),
						FacilityNames: []*armmonitor.KnownSyslogDataSourceFacilityNames{
							to.Ptr(armmonitor.KnownSyslogDataSourceFacilityNamesSyslog)},
						LogLevels: []*armmonitor.KnownSyslogDataSourceLogLevels{
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsAlert),
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsCritical),
							to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsEmergency)},
						Streams: []*armmonitor.KnownSyslogDataSourceStreams{
							to.Ptr(armmonitor.KnownSyslogDataSourceStreamsMicrosoftSyslog)},
					}},
				WindowsEventLogs: []*armmonitor.WindowsEventLogDataSource{
					{
						Name: to.Ptr("cloudSecurityTeamEvents"),
						Streams: []*armmonitor.KnownWindowsEventLogDataSourceStreams{
							to.Ptr(armmonitor.KnownWindowsEventLogDataSourceStreamsMicrosoftWindowsEvent)},
						XPathQueries: []*string{
							to.Ptr("Security!")},
					},
					{
						Name: to.Ptr("appTeam1AppEvents"),
						Streams: []*armmonitor.KnownWindowsEventLogDataSourceStreams{
							to.Ptr(armmonitor.KnownWindowsEventLogDataSourceStreamsMicrosoftWindowsEvent)},
						XPathQueries: []*string{
							to.Ptr("System![System[(Level = 1 or Level = 2 or Level = 3)]]"),
							to.Ptr("Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]")},
					}},
			},
			Destinations: &armmonitor.DataCollectionRuleDestinations{
				LogAnalytics: []*armmonitor.LogAnalyticsDestination{
					{
						Name:                to.Ptr("centralWorkspace"),
						WorkspaceResourceID: to.Ptr("/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace"),
					}},
			},
		},
	},
	})
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.DataCollectionRuleResource = armmonitor.DataCollectionRuleResource{
	// 	Name: to.Ptr("myCollectionRule"),
	// 	Type: to.Ptr("Microsoft.Insights/dataCollectionRules"),
	// 	Etag: to.Ptr("070057da-0000-0000-0000-5ba70d6c0000"),
	// 	ID: to.Ptr("/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule"),
	// 	Location: to.Ptr("eastus"),
	// 	Properties: &armmonitor.DataCollectionRuleResourceProperties{
	// 		DataFlows: []*armmonitor.DataFlow{
	// 			{
	// 				Destinations: []*string{
	// 					to.Ptr("centralWorkspace")},
	// 					Streams: []*armmonitor.KnownDataFlowStreams{
	// 						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftPerf),
	// 						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftSyslog),
	// 						to.Ptr(armmonitor.KnownDataFlowStreamsMicrosoftWindowsEvent)},
	// 				}},
	// 				DataSources: &armmonitor.DataCollectionRuleDataSources{
	// 					PerformanceCounters: []*armmonitor.PerfCounterDataSource{
	// 						{
	// 							Name: to.Ptr("cloudTeamCoreCounters"),
	// 							CounterSpecifiers: []*string{
	// 								to.Ptr("\\Processor(_Total)\\% Processor Time"),
	// 								to.Ptr("\\Memory\\Committed Bytes"),
	// 								to.Ptr("\\LogicalDisk(_Total)\\Free Megabytes"),
	// 								to.Ptr("\\PhysicalDisk(_Total)\\Avg. Disk Queue Length")},
	// 								SamplingFrequencyInSeconds: to.Ptr[int32](15),
	// 								Streams: []*armmonitor.KnownPerfCounterDataSourceStreams{
	// 									to.Ptr(armmonitor.KnownPerfCounterDataSourceStreamsMicrosoftPerf)},
	// 								},
	// 								{
	// 									Name: to.Ptr("appTeamExtraCounters"),
	// 									CounterSpecifiers: []*string{
	// 										to.Ptr("\\Process(_Total)\\Thread Count")},
	// 										SamplingFrequencyInSeconds: to.Ptr[int32](30),
	// 										Streams: []*armmonitor.KnownPerfCounterDataSourceStreams{
	// 											to.Ptr(armmonitor.KnownPerfCounterDataSourceStreamsMicrosoftPerf)},
	// 									}},
	// 									Syslog: []*armmonitor.SyslogDataSource{
	// 										{
	// 											Name: to.Ptr("cronSyslog"),
	// 											FacilityNames: []*armmonitor.KnownSyslogDataSourceFacilityNames{
	// 												to.Ptr(armmonitor.KnownSyslogDataSourceFacilityNamesCron)},
	// 												LogLevels: []*armmonitor.KnownSyslogDataSourceLogLevels{
	// 													to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsDebug),
	// 													to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsCritical),
	// 													to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsEmergency)},
	// 													Streams: []*armmonitor.KnownSyslogDataSourceStreams{
	// 														to.Ptr(armmonitor.KnownSyslogDataSourceStreamsMicrosoftSyslog)},
	// 													},
	// 													{
	// 														Name: to.Ptr("syslogBase"),
	// 														FacilityNames: []*armmonitor.KnownSyslogDataSourceFacilityNames{
	// 															to.Ptr(armmonitor.KnownSyslogDataSourceFacilityNamesSyslog)},
	// 															LogLevels: []*armmonitor.KnownSyslogDataSourceLogLevels{
	// 																to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsAlert),
	// 																to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsCritical),
	// 																to.Ptr(armmonitor.KnownSyslogDataSourceLogLevelsEmergency)},
	// 																Streams: []*armmonitor.KnownSyslogDataSourceStreams{
	// 																	to.Ptr(armmonitor.KnownSyslogDataSourceStreamsMicrosoftSyslog)},
	// 															}},
	// 															WindowsEventLogs: []*armmonitor.WindowsEventLogDataSource{
	// 																{
	// 																	Name: to.Ptr("cloudSecurityTeamEvents"),
	// 																	Streams: []*armmonitor.KnownWindowsEventLogDataSourceStreams{
	// 																		to.Ptr(armmonitor.KnownWindowsEventLogDataSourceStreamsMicrosoftWindowsEvent)},
	// 																		XPathQueries: []*string{
	// 																			to.Ptr("Security!")},
	// 																		},
	// 																		{
	// 																			Name: to.Ptr("appTeam1AppEvents"),
	// 																			Streams: []*armmonitor.KnownWindowsEventLogDataSourceStreams{
	// 																				to.Ptr(armmonitor.KnownWindowsEventLogDataSourceStreamsMicrosoftWindowsEvent)},
	// 																				XPathQueries: []*string{
	// 																					to.Ptr("System![System[(Level = 1 or Level = 2 or Level = 3)]]"),
	// 																					to.Ptr("Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]")},
	// 																			}},
	// 																		},
	// 																		Destinations: &armmonitor.DataCollectionRuleDestinations{
	// 																			LogAnalytics: []*armmonitor.LogAnalyticsDestination{
	// 																				{
	// 																					Name: to.Ptr("centralWorkspace"),
	// 																					WorkspaceID: to.Ptr("9ba8bc53-bd36-4156-8667-e983e7ae0e4f"),
	// 																					WorkspaceResourceID: to.Ptr("/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace"),
	// 																			}},
	// 																		},
	// 																		ImmutableID: to.Ptr("dcr-b74e0d383fc9415abaa584ec41adece3"),
	// 																	},
	// 																	SystemData: &armmonitor.DataCollectionRuleResourceSystemData{
	// 																		CreatedAt: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2021-04-01T12:34:56.123Z"); return t}()),
	// 																		CreatedBy: to.Ptr("user1"),
	// 																		CreatedByType: to.Ptr(armmonitor.CreatedByTypeUser),
	// 																		LastModifiedAt: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2021-04-02T12:34:56.123Z"); return t}()),
	// 																		LastModifiedBy: to.Ptr("user2"),
	// 																		LastModifiedByType: to.Ptr(armmonitor.CreatedByTypeUser),
	// 																	},
	// 																	Tags: map[string]*string{
	// 																		"tag1": to.Ptr("A"),
	// 																		"tag2": to.Ptr("B"),
	// 																	},
	// 																}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { MonitorClient } = require("@azure/arm-monitor");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Creates or updates a data collection rule.
 *
 * @summary Creates or updates a data collection rule.
 * x-ms-original-file: specification/monitor/resource-manager/Microsoft.Insights/stable/2022-06-01/examples/DataCollectionRulesCreate.json
 */
async function createOrUpdateDataCollectionRule() {
  const subscriptionId =
    process.env["MONITOR_SUBSCRIPTION_ID"] || "703362b3-f278-4e4b-9179-c76eaf41ffc2";
  const resourceGroupName = process.env["MONITOR_RESOURCE_GROUP"] || "myResourceGroup";
  const dataCollectionRuleName = "myCollectionRule";
  const body = {
    dataFlows: [
      {
        destinations: ["centralWorkspace"],
        streams: ["Microsoft-Perf", "Microsoft-Syslog", "Microsoft-WindowsEvent"],
      },
    ],
    dataSources: {
      performanceCounters: [
        {
          name: "cloudTeamCoreCounters",
          counterSpecifiers: [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length",
          ],
          samplingFrequencyInSeconds: 15,
          streams: ["Microsoft-Perf"],
        },
        {
          name: "appTeamExtraCounters",
          counterSpecifiers: ["\\Process(_Total)\\Thread Count"],
          samplingFrequencyInSeconds: 30,
          streams: ["Microsoft-Perf"],
        },
      ],
      syslog: [
        {
          name: "cronSyslog",
          facilityNames: ["cron"],
          logLevels: ["Debug", "Critical", "Emergency"],
          streams: ["Microsoft-Syslog"],
        },
        {
          name: "syslogBase",
          facilityNames: ["syslog"],
          logLevels: ["Alert", "Critical", "Emergency"],
          streams: ["Microsoft-Syslog"],
        },
      ],
      windowsEventLogs: [
        {
          name: "cloudSecurityTeamEvents",
          streams: ["Microsoft-WindowsEvent"],
          xPathQueries: ["Security!"],
        },
        {
          name: "appTeam1AppEvents",
          streams: ["Microsoft-WindowsEvent"],
          xPathQueries: [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]",
          ],
        },
      ],
    },
    destinations: {
      logAnalytics: [
        {
          name: "centralWorkspace",
          workspaceResourceId:
            "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
        },
      ],
    },
    location: "eastus",
  };
  const options = { body };
  const credential = new DefaultAzureCredential();
  const client = new MonitorClient(credential, subscriptionId);
  const result = await client.dataCollectionRules.create(
    resourceGroupName,
    dataCollectionRuleName,
    options,
  );
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.Monitor;
using Azure.ResourceManager.Monitor.Models;
using Azure.ResourceManager.Resources;

// Generated from example definition: specification/monitor/resource-manager/Microsoft.Insights/stable/2022-06-01/examples/DataCollectionRulesCreate.json
// this example is just showing the usage of "DataCollectionRules_Create" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupResource created on azure
// for more information of creating ResourceGroupResource, please refer to the document of ResourceGroupResource
string subscriptionId = "703362b3-f278-4e4b-9179-c76eaf41ffc2";
string resourceGroupName = "myResourceGroup";
ResourceIdentifier resourceGroupResourceId = ResourceGroupResource.CreateResourceIdentifier(subscriptionId, resourceGroupName);
ResourceGroupResource resourceGroupResource = client.GetResourceGroupResource(resourceGroupResourceId);

// get the collection of this DataCollectionRuleResource
DataCollectionRuleCollection collection = resourceGroupResource.GetDataCollectionRules();

// invoke the operation
string dataCollectionRuleName = "myCollectionRule";
DataCollectionRuleData data = new DataCollectionRuleData(new AzureLocation("eastus"))
{
    DataSources = new DataCollectionRuleDataSources()
    {
        PerformanceCounters =
        {
        new PerfCounterDataSource()
        {
        Streams =
        {
        PerfCounterDataSourceStream.MicrosoftPerf
        },
        SamplingFrequencyInSeconds = 15,
        CounterSpecifiers =
        {
        "\\Processor(_Total)\\% Processor Time","\\Memory\\Committed Bytes","\\LogicalDisk(_Total)\\Free Megabytes","\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
        },
        Name = "cloudTeamCoreCounters",
        },new PerfCounterDataSource()
        {
        Streams =
        {
        PerfCounterDataSourceStream.MicrosoftPerf
        },
        SamplingFrequencyInSeconds = 30,
        CounterSpecifiers =
        {
        "\\Process(_Total)\\Thread Count"
        },
        Name = "appTeamExtraCounters",
        }
        },
        WindowsEventLogs =
        {
        new WindowsEventLogDataSource()
        {
        Streams =
        {
        WindowsEventLogDataSourceStream.MicrosoftWindowsEvent
        },
        XPathQueries =
        {
        "Security!"
        },
        Name = "cloudSecurityTeamEvents",
        },new WindowsEventLogDataSource()
        {
        Streams =
        {
        WindowsEventLogDataSourceStream.MicrosoftWindowsEvent
        },
        XPathQueries =
        {
        "System![System[(Level = 1 or Level = 2 or Level = 3)]]","Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
        },
        Name = "appTeam1AppEvents",
        }
        },
        Syslog =
        {
        new SyslogDataSource()
        {
        Streams =
        {
        SyslogDataSourceStream.MicrosoftSyslog
        },
        FacilityNames =
        {
        SyslogDataSourceFacilityName.Cron
        },
        LogLevels =
        {
        SyslogDataSourceLogLevel.Debug,SyslogDataSourceLogLevel.Critical,SyslogDataSourceLogLevel.Emergency
        },
        Name = "cronSyslog",
        },new SyslogDataSource()
        {
        Streams =
        {
        SyslogDataSourceStream.MicrosoftSyslog
        },
        FacilityNames =
        {
        SyslogDataSourceFacilityName.Syslog
        },
        LogLevels =
        {
        SyslogDataSourceLogLevel.Alert,SyslogDataSourceLogLevel.Critical,SyslogDataSourceLogLevel.Emergency
        },
        Name = "syslogBase",
        }
        },
    },
    Destinations = new DataCollectionRuleDestinations()
    {
        LogAnalytics =
        {
        new LogAnalyticsDestination()
        {
        WorkspaceResourceId = new ResourceIdentifier("/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace"),
        Name = "centralWorkspace",
        }
        },
    },
    DataFlows =
    {
    new DataFlow()
    {
    Streams =
    {
    DataFlowStream.MicrosoftPerf,DataFlowStream.MicrosoftSyslog,DataFlowStream.MicrosoftWindowsEvent
    },
    Destinations =
    {
    "centralWorkspace"
    },
    }
    },
};
ArmOperation<DataCollectionRuleResource> lro = await collection.CreateOrUpdateAsync(WaitUntil.Completed, dataCollectionRuleName, data);
DataCollectionRuleResource result = lro.Value;

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
DataCollectionRuleData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:

200

{
  "id": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule",
  "name": "myCollectionRule",
  "type": "Microsoft.Insights/dataCollectionRules",
  "location": "eastus",
  "tags": {
    "tag1": "A",
    "tag2": "B"
  },
  "properties": {
    "immutableId": "dcr-b74e0d383fc9415abaa584ec41adece3",
    "dataSources": {
      "performanceCounters": [
        {
          "name": "cloudTeamCoreCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 15,
          "counterSpecifiers": [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
          ]
        },
        {
          "name": "appTeamExtraCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 30,
          "counterSpecifiers": [
            "\\Process(_Total)\\Thread Count"
          ]
        }
      ],
      "windowsEventLogs": [
        {
          "name": "cloudSecurityTeamEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "Security!"
          ]
        },
        {
          "name": "appTeam1AppEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
          ]
        }
      ],
      "syslog": [
        {
          "name": "cronSyslog",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "cron"
          ],
          "logLevels": [
            "Debug",
            "Critical",
            "Emergency"
          ]
        },
        {
          "name": "syslogBase",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "syslog"
          ],
          "logLevels": [
            "Alert",
            "Critical",
            "Emergency"
          ]
        }
      ]
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
          "workspaceId": "9ba8bc53-bd36-4156-8667-e983e7ae0e4f",
          "name": "centralWorkspace"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Microsoft-Perf",
          "Microsoft-Syslog",
          "Microsoft-WindowsEvent"
        ],
        "destinations": [
          "centralWorkspace"
        ]
      }
    ]
  },
  "systemData": {
    "createdBy": "user1",
    "createdByType": "User",
    "createdAt": "2021-04-01T12:34:56.1234567Z",
    "lastModifiedBy": "user2",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2021-04-02T12:34:56.1234567Z"
  },
  "etag": "070057da-0000-0000-0000-5ba70d6c0000"
}

Status code:

201

{
  "id": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule",
  "name": "myCollectionRule",
  "type": "Microsoft.Insights/dataCollectionRules",
  "location": "eastus",
  "tags": {
    "tag1": "A",
    "tag2": "B"
  },
  "properties": {
    "immutableId": "dcr-b74e0d383fc9415abaa584ec41adece3",
    "dataSources": {
      "performanceCounters": [
        {
          "name": "cloudTeamCoreCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 15,
          "counterSpecifiers": [
            "\\Processor(_Total)\\% Processor Time",
            "\\Memory\\Committed Bytes",
            "\\LogicalDisk(_Total)\\Free Megabytes",
            "\\PhysicalDisk(_Total)\\Avg. Disk Queue Length"
          ]
        },
        {
          "name": "appTeamExtraCounters",
          "streams": [
            "Microsoft-Perf"
          ],
          "samplingFrequencyInSeconds": 30,
          "counterSpecifiers": [
            "\\Process(_Total)\\Thread Count"
          ]
        }
      ],
      "windowsEventLogs": [
        {
          "name": "cloudSecurityTeamEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "Security!"
          ]
        },
        {
          "name": "appTeam1AppEvents",
          "streams": [
            "Microsoft-WindowsEvent"
          ],
          "xPathQueries": [
            "System![System[(Level = 1 or Level = 2 or Level = 3)]]",
            "Application!*[System[(Level = 1 or Level = 2 or Level = 3)]]"
          ]
        }
      ],
      "syslog": [
        {
          "name": "cronSyslog",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "cron"
          ],
          "logLevels": [
            "Debug",
            "Critical",
            "Emergency"
          ]
        },
        {
          "name": "syslogBase",
          "streams": [
            "Microsoft-Syslog"
          ],
          "facilityNames": [
            "syslog"
          ],
          "logLevels": [
            "Alert",
            "Critical",
            "Emergency"
          ]
        }
      ]
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
          "workspaceId": "9ba8bc53-bd36-4156-8667-e983e7ae0e4f",
          "name": "centralWorkspace"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Microsoft-Perf",
          "Microsoft-Syslog",
          "Microsoft-WindowsEvent"
        ],
        "destinations": [
          "centralWorkspace"
        ]
      }
    ]
  },
  "systemData": {
    "createdBy": "user1",
    "createdByType": "User",
    "createdAt": "2021-04-01T12:34:56.1234567Z",
    "lastModifiedBy": "user2",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2021-04-02T12:34:56.1234567Z"
  },
  "etag": "070057da-0000-0000-0000-5ba70d6c0000"
}

定義

名稱	Description
AzureMonitorMetrics	Azure 監視器計量目的地。
ColumnDefinition	自訂數據行的定義。
createdByType	建立資源的身分識別類型。
DataCollectionRuleResource	ARM 追蹤的最上層資源定義。
DataFlow	要傳送至哪些目的地的數據流定義。
DataImports	提取型數據源的規格
DataSources	數據源的規格。 此屬性是選擇性的，如果規則是要透過對已布建端點的直接呼叫使用，則可以省略此屬性。
Destinations	目的地的規格。
ErrorAdditionalInfo	資源管理錯誤其他資訊。
ErrorDetail	錯誤詳細數據。
ErrorResponseCommonV2	錯誤回應
EventHub	事件中樞設定的定義。
EventHubDestination
EventHubDirectDestination
ExtensionDataSource	要從與 Azure 監視器代理程式整合的個別 VM 擴充功能中收集哪些數據的定義。 根據定義的擴充功能，從 Windows 和 Linux 機器收集。
Identity	資源的受控服務識別。
IisLogsDataSource	可讓這個數據收集規則收集 IIS 記錄。
KnownColumnDefinitionType	數據行數據的型別。
KnownDataCollectionRuleProvisioningState	資源布建狀態。
KnownDataCollectionRuleResourceKind	資源的種類。
KnownDataFlowStreams	此數據流的數據流清單。
KnownExtensionDataSourceStreams	此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。
KnownLogFilesDataSourceFormat	記錄檔的數據格式
KnownLogFileTextSettingsRecordStartTimestampFormat	其中一種支援的時間戳格式
KnownPerfCounterDataSourceStreams	此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。
KnownPrometheusForwarderDataSourceStreams	此數據源將傳送至的數據流清單。
KnownSyslogDataSourceFacilityNames	設施名稱的清單。
KnownSyslogDataSourceLogLevels	要收集的記錄層級。
KnownSyslogDataSourceStreams	此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。
KnownWindowsEventLogDataSourceStreams	此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。
LogAnalyticsDestination	Log Analytics 目的地。
LogFilesDataSource	此數據收集規則將收集哪些自定義記錄檔的定義
ManagedServiceIdentityType	(允許 SystemAssigned 和 UserAssigned 類型的受控服務識別類型) 。
Metadata	關於資源的元數據
MonitoringAccountDestination	監視帳戶目的地。
PerfCounterDataSource	要收集哪些性能計數器的定義，以及如何由此數據收集規則收集它們。 從計數器存在所在的 Windows 和 Linux 機器收集。
PlatformTelemetryDataSource	平臺遙測數據源組態的定義
PrometheusForwarderDataSource	Prometheus 計量轉送設定的定義。
Settings	記錄檔特定設定。
StorageBlobDestination
StorageTableDestination
StreamDeclaration	自訂數據流的宣告。
SyslogDataSource	要收集哪些 syslog 數據及其收集方式的定義。 僅從Linux機器收集。
SystemData	與建立和上次修改資源相關的元數據。
Text	文字設定
UserAssignedIdentity	使用者指派的身分識別屬性
WindowsEventLogDataSource	要收集哪些 Windows 事件記錄檔事件的定義，以及如何收集事件。 僅從 Windows 電腦收集。
WindowsFirewallLogsDataSource	啟用此數據收集規則所收集的防火牆記錄。

AzureMonitorMetrics

Azure 監視器計量目的地。

名稱	類型	Description
name	string	目的地的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有目的地 (都應該是唯一的。

ColumnDefinition

自訂數據行的定義。

名稱	類型	Description
name	string	資料行名稱。
type	KnownColumnDefinitionType	數據行數據的型別。

createdByType

建立資源的身分識別類型。

名稱	類型	Description
Application	string
Key	string
ManagedIdentity	string
User	string

DataCollectionRuleResource

ARM 追蹤的最上層資源定義。

名稱	類型	Description
etag	string	資源實體標籤 (ETag) 。
id	string	資源的完整標識碼。
identity	Identity	資源的受控服務識別。
kind	KnownDataCollectionRuleResourceKind	資源的種類。
location	string	資源所在的地理位置。
name	string	資源名稱。
properties.dataCollectionEndpointId	string	此規則可以搭配使用的數據收集端點資源標識碼。
properties.dataFlows	DataFlow[]	數據流的規格。
properties.dataSources	DataSources	數據源的規格。 此屬性是選擇性的，如果規則是要透過對已布建端點的直接呼叫使用，則可以省略此屬性。
properties.description	string	數據收集規則的描述。
properties.destinations	Destinations	目的地的規格。
properties.immutableId	string	這個數據收集規則的不可變標識碼。 此屬性為 READ-ONLY。
properties.metadata	Metadata	關於資源的元數據
properties.provisioningState	KnownDataCollectionRuleProvisioningState	資源布建狀態。
properties.streamDeclarations	object	此規則中使用的自定義數據流宣告。
systemData	SystemData	與建立和上次修改資源相關的元數據。
tags	object	資源標籤。
type	string	資源類型。

DataFlow

要傳送至哪些目的地的數據流定義。

名稱	類型	Description
builtInTransform	string	用來轉換數據流數據的 builtIn 轉換
destinations	string[]	此數據流的目的地清單。
outputStream	string	轉換的輸出數據流。 只有在轉換將數據變更為不同的數據流時，才需要。
streams	KnownDataFlowStreams[]	此數據流的數據流清單。
transformKql	string	要轉換數據流數據的 KQL 查詢。

DataImports

提取型數據源的規格

名稱	類型	Description
eventHub	EventHub	事件中樞設定的定義。

DataSources

數據源的規格。 此屬性是選擇性的，如果規則是要透過對已布建端點的直接呼叫使用，則可以省略此屬性。

名稱	類型	Description
dataImports	DataImports	提取式數據源的規格
extensions	ExtensionDataSource[]	Azure VM 延伸模組數據源組態的清單。
iisLogs	IisLogsDataSource[]	IIS 記錄來源組態的清單。
logFiles	LogFilesDataSource[]	記錄檔來源組態的清單。
performanceCounters	PerfCounterDataSource[]	性能計數器數據源組態的清單。
platformTelemetry	PlatformTelemetryDataSource[]	平台遙測組態的清單
prometheusForwarder	PrometheusForwarderDataSource[]	Prometheus 轉寄站數據源組態的清單。
syslog	SyslogDataSource[]	Syslog 資料源組態的清單。
windowsEventLogs	WindowsEventLogDataSource[]	Windows 事件記錄檔數據源組態的清單。
windowsFirewallLogs	WindowsFirewallLogsDataSource[]	Windows 防火牆記錄來源設定的清單。

Destinations

目的地的規格。

名稱	類型	Description
azureMonitorMetrics	AzureMonitorMetrics	Azure 監視器計量目的地。
eventHubs	EventHubDestination[]	事件中樞目的地的清單。
eventHubsDirect	EventHubDirectDestination[]	事件中樞直接目的地的清單。
logAnalytics	LogAnalyticsDestination[]	Log Analytics 目的地的清單。
monitoringAccounts	MonitoringAccountDestination[]	監視帳戶目的地的清單。
storageAccounts	StorageBlobDestination[]	記憶體帳戶目的地的清單。
storageBlobsDirect	StorageBlobDestination[]	記憶體 Blob 直接目的地的清單。 僅用於直接從代理程式傳送數據以儲存數據。
storageTablesDirect	StorageTableDestination[]	記憶體數據表直接目的地的清單。

ErrorAdditionalInfo

資源管理錯誤其他資訊。

名稱	類型	Description
info	object	其他資訊。
type	string	其他信息類型。

ErrorDetail

錯誤詳細數據。

名稱	類型	Description
additionalInfo	ErrorAdditionalInfo[]	錯誤其他資訊。
code	string	錯誤碼。
details	ErrorDetail[]	錯誤詳細資料。
message	string	錯誤訊息。
target	string	錯誤目標。

ErrorResponseCommonV2

錯誤回應

名稱	類型	Description
error	ErrorDetail	error 物件。

EventHub

事件中樞設定的定義。

名稱	類型	Description
consumerGroup	string	事件中樞取用者組名
name	string	數據源的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有數據源 (都應該是唯一的。
stream	string	要從 EventHub 收集的數據流

EventHubDestination

名稱	類型	Description
eventHubResourceId	string	事件中樞的資源標識碼。
name	string	目的地的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有目的地 (都應該是唯一的。

EventHubDirectDestination

名稱	類型	Description
eventHubResourceId	string	事件中樞的資源標識碼。
name	string	目的地的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有目的地 (都應該是唯一的。

ExtensionDataSource

要從與 Azure 監視器代理程式整合的個別 VM 擴充功能中收集哪些數據的定義。 根據定義的擴充功能，從 Windows 和 Linux 機器收集。

名稱	類型	Description
extensionName	string	VM 擴充功能的名稱。
extensionSettings	object	擴充功能設定。 此格式是特定延伸模組的特定格式。
inputDataSources	string[]	此延伸模組需要數據的來源數據來源清單。
name	string	數據源的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有數據源 (都應該是唯一的。
streams	KnownExtensionDataSourceStreams[]	此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。

Identity

資源的受控服務識別。

名稱	類型	Description
principalId	string	系統指派身分識別的服務主體標識碼。 此屬性只會針對系統指派的身分識別提供。
tenantId	string	系統指派身分識別的租用戶標識碼。 此屬性只會針對系統指派的身分識別提供。
type	ManagedServiceIdentityType	(允許 SystemAssigned 和 UserAssigned 類型的受控服務識別類型) 。
userAssignedIdentities	object	User-Assigned 身分識別 與資源相關聯的使用者指派身分識別集。 userAssignedIdentities 字典索引鍵的格式為 ARM 資源標識符：'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}。 字典值可以是要求中 () 的空白物件 {} 。

IisLogsDataSource

可讓這個數據收集規則收集 IIS 記錄。

名稱	類型	Description
logDirectories	string[]	絕對路徑檔案位置
name	string	數據源的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有數據源 (都應該是唯一的。
streams	string[]	IIS 數據流

KnownColumnDefinitionType

數據行數據的型別。

名稱	類型	Description
boolean	string
datetime	string
dynamic	string
int	string
long	string
real	string
string	string

KnownDataCollectionRuleProvisioningState

資源布建狀態。

名稱	類型	Description
Canceled	string
Creating	string
Deleting	string
Failed	string
Succeeded	string
Updating	string

KnownDataCollectionRuleResourceKind

資源的種類。

名稱	類型	Description
Linux	string
Windows	string

KnownDataFlowStreams

此數據流的數據流清單。

名稱	類型	Description
Microsoft-Event	string
Microsoft-InsightsMetrics	string
Microsoft-Perf	string
Microsoft-Syslog	string
Microsoft-WindowsEvent	string

KnownExtensionDataSourceStreams

此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。

名稱	類型	Description
Microsoft-Event	string
Microsoft-InsightsMetrics	string
Microsoft-Perf	string
Microsoft-Syslog	string
Microsoft-WindowsEvent	string

KnownLogFilesDataSourceFormat

記錄檔的數據格式

名稱	類型	Description
text	string

KnownLogFileTextSettingsRecordStartTimestampFormat

其中一種支援的時間戳格式

名稱	類型	Description
ISO 8601	string
M/D/YYYY HH:MM:SS AM/PM	string
MMM d hh:mm:ss	string
Mon DD, YYYY HH:MM:SS	string
YYYY-MM-DD HH:MM:SS	string
dd/MMM/yyyy:HH:mm:ss zzz	string
ddMMyy HH:mm:ss	string
yyMMdd HH:mm:ss	string
yyyy-MM-ddTHH:mm:ssK	string

KnownPerfCounterDataSourceStreams

此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。

名稱	類型	Description
Microsoft-InsightsMetrics	string
Microsoft-Perf	string

KnownPrometheusForwarderDataSourceStreams

此數據源將傳送至的數據流清單。

名稱	類型	Description
Microsoft-PrometheusMetrics	string

KnownSyslogDataSourceFacilityNames

設施名稱的清單。

名稱	類型	Description
*	string
alert	string
audit	string
auth	string
authpriv	string
clock	string
cron	string
daemon	string
ftp	string
kern	string
local0	string
local1	string
local2	string
local3	string
local4	string
local5	string
local6	string
local7	string
lpr	string
mail	string
mark	string
news	string
nopri	string
ntp	string
syslog	string
user	string
uucp	string

KnownSyslogDataSourceLogLevels

要收集的記錄層級。

名稱	類型	Description
*	string
Alert	string
Critical	string
Debug	string
Emergency	string
Error	string
Info	string
Notice	string
Warning	string

KnownSyslogDataSourceStreams

此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。

名稱	類型	Description
Microsoft-Syslog	string

KnownWindowsEventLogDataSourceStreams

此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。

名稱	類型	Description
Microsoft-Event	string
Microsoft-WindowsEvent	string

LogAnalyticsDestination

Log Analytics 目的地。

名稱	類型	Description
name	string	目的地的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有目的地 (都應該是唯一的。
workspaceId	string	Log Analytics 工作區的客戶標識碼。
workspaceResourceId	string	Log Analytics 工作區的資源標識碼。

LogFilesDataSource

此數據收集規則將收集哪些自定義記錄檔的定義

名稱	類型	Description
filePatterns	string[]	記錄檔所在的檔案模式
format	KnownLogFilesDataSourceFormat	記錄檔的數據格式
name	string	數據源的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有數據源 (都應該是唯一的。
settings	Settings	記錄檔特定設定。
streams	string[]	此數據源將傳送至的數據流清單。 數據流指出將用於此數據源的架構

ManagedServiceIdentityType

(允許 SystemAssigned 和 UserAssigned 類型的受控服務識別類型) 。

名稱	類型	Description
None	string
SystemAssigned	string
SystemAssigned,UserAssigned	string
UserAssigned	string

Metadata

關於資源的元數據

名稱	類型	Description
provisionedBy	string	Azure 供應專案代表客戶管理此資源。
provisionedByResourceId	string	Azure 供應專案的資源標識符，代表客戶管理此資源。

MonitoringAccountDestination

監視帳戶目的地。

名稱	類型	Description
accountId	string	帳戶的不可變標識碼。
accountResourceId	string	監視帳戶的資源標識碼。
name	string	目的地的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有目的地 (都應該是唯一的。

PerfCounterDataSource

要收集哪些性能計數器的定義，以及如何由此數據收集規則收集它們。 從計數器存在所在的 Windows 和 Linux 機器收集。

名稱	類型	Description
counterSpecifiers	string[]	您想要收集之性能計數器的規範名稱清單。 使用通配符 (*) 收集所有實例的計數器。 若要取得 Windows 上的性能計數器清單，請執行命令 『typeperf』。
name	string	數據源的易記名稱。 不論數據收集規則中) 類型為何，此名稱在所有數據源中都應該是唯一的 (。
samplingFrequencyInSeconds	integer	連續計數器測量之間的秒數 (樣本) 。
streams	KnownPerfCounterDataSourceStreams[]	此數據源將傳送至的數據流清單。 數據流指出將用於此數據的架構，而且通常會在Log Analytics中傳送數據的數據表。

PlatformTelemetryDataSource

平臺遙測數據源組態的定義

名稱	類型	Description
name	string	數據源的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有數據源 (都應該是唯一的。
streams	string[]	要收集的平臺遙測數據流清單

PrometheusForwarderDataSource

Prometheus 計量轉送設定的定義。

名稱	類型	Description
labelIncludeFilter	object	標籤包含篩選的清單，格式為標籤 “name-value” 組。 目前僅支援一個標籤：『microsoft_metrics_include_label』。 標籤值不區分大小寫。
name	string	數據源的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有數據源 (都應該是唯一的。
streams	KnownPrometheusForwarderDataSourceStreams[]	此數據源將傳送至的數據流清單。

Settings

記錄檔特定設定。

名稱	類型	Description
text	Text	文字設定

StorageBlobDestination

名稱	類型	Description
containerName	string	記憶體 Blob 的容器名稱。
name	string	目的地的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有目的地 (都應該是唯一的。
storageAccountResourceId	string	儲存體帳戶的資源識別碼。

StorageTableDestination

名稱	類型	Description
name	string	目的地的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有目的地 (都應該是唯一的。
storageAccountResourceId	string	儲存體帳戶的資源識別碼。
tableName	string	記憶體數據表的名稱。

StreamDeclaration

自訂數據流的宣告。

名稱	類型	Description
columns	ColumnDefinition[]	此資料流中資料所使用的數據列清單。

SyslogDataSource

要收集哪些 syslog 數據及其收集方式的定義。 僅從Linux機器收集。

名稱	類型	Description
facilityNames	KnownSyslogDataSourceFacilityNames[]	設施名稱的清單。
logLevels	KnownSyslogDataSourceLogLevels[]	要收集的記錄層級。
name	string	數據源的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有數據源 (都應該是唯一的。
streams	KnownSyslogDataSourceStreams[]	此數據源將傳送至的數據流清單。 數據流會指出將用於此數據的架構，以及Log Analytics中要傳送數據的數據表。

SystemData

與建立和上次修改資源相關的元數據。

名稱	類型	Description
createdAt	string	資源建立的時間戳 (UTC) 。
createdBy	string	建立資源的身分識別。
createdByType	createdByType	建立資源的身分識別類型。
lastModifiedAt	string	上次修改的資源時間戳 (UTC)
lastModifiedBy	string	上次修改資源的身分識別。
lastModifiedByType	createdByType	上次修改資源的身分識別類型。

Text

文字設定

名稱	類型	Description
recordStartTimestampFormat	KnownLogFileTextSettingsRecordStartTimestampFormat	其中一種支援的時間戳格式

UserAssignedIdentity

使用者指派的身分識別屬性

名稱	類型	Description
clientId	string	指派之身分識別的用戶端標識碼。
principalId	string	指派之身分識別的主體標識碼。

WindowsEventLogDataSource

要收集哪些 Windows 事件記錄檔事件的定義，以及如何收集事件。 僅從 Windows 電腦收集。

名稱	類型	Description
name	string	數據源的易記名稱。 不論數據收集規則中) 類型為何，此名稱在所有數據源中都應該是唯一的 (。
streams	KnownWindowsEventLogDataSourceStreams[]	此數據源將傳送至的數據流清單。 數據流指出將用於此數據的架構，而且通常會在Log Analytics中傳送數據的數據表。
xPathQueries	string[]	XPATH 格式的 Windows 事件記錄檔查詢清單。

WindowsFirewallLogsDataSource

啟用此數據收集規則所收集的防火牆記錄。

名稱	類型	Description
name	string	數據源的易記名稱。 不論數據收集規則中的類型) 為何，此名稱在所有數據源 (都應該是唯一的。
streams	string[]	防火牆記錄數據流