Azure Monitor 中的 Log Analytics 工作区数据导出功能
使用 Log Analytics 工作区中的数据导出功能,可以连续导出工作区中所选表的数据。 数据到达 Azure Monitor 管道时,可以将其导出到 Azure 存储帐户或 Azure 事件中心。 本文提供了有关此功能的详细信息以及在工作区中配置数据导出的步骤。
概述
Log Analytics 中的数据在工作区中定义的保留期内可用。 这些数据用于 Azure Monitor 和 Azure 服务中提供的各种体验。 在下列情况下,你需要使用其他工具:
- 符合防篡改保护的存储:数据一旦引入,便不可在 Log Analytics 中更改,但可以清除。 导出到使用不可变策略设置的存储帐户,以防止数据被篡改。
- 与 Azure 服务和其他工具集成:在数据到达 Azure Monitor 并在其中进行处理时,导出到事件中心。
- 审核和安全数据的长期保留:导出到工作区区域中的存储帐户。 或者,你可以使用任何 Azure 存储冗余选项(包括 GRS 和 GZRS)将数据复制到其他区域。
在 Log Analytics 工作区中配置数据导出规则后,规则中表的新数据会从 Azure Monitor 管道导出到存储帐户或事件中心。 数据导出流量位于 Azure 主干网络中,不会离开 Azure 网络。
导出数据时没有使用筛选器。 例如,为 SecurityEvent 表配置数据导出规则时,发送到 SecurityEvent 表的所有数据将从配置时开始导出。 或者,可以先通过在工作区中配置转换(它们可应用于传入的数据)来筛选或修改导出的数据,然后再将其发送到 Log Analytics 工作区和导出目标。
其他导出选项
Log Analytics 工作区数据导出会持续导出发送到 Log Analytics 工作区的数据。 针对特定场景导出数据的其他选项包括:
- 在 Azure 资源中配置诊断设置。 日志直接发送到目标位置。 与 Log Analytics 中的数据导出相比,此方法具有更低的延迟。
- 根据通过 Log Analytics 查询 API 定义的日志查询计划数据导出。 使用 Azure 数据工厂、Azure Functions 或 Azure 逻辑应用协调工作区中的查询并将数据导出到目标位置。 此方法类似于数据导出功能,但该方法可以通过使用筛选器和聚合从工作区导出历史数据。 此方法受日志查询限制的约束,不适合用于缩放。 有关详细信息,请参阅使用逻辑应用将数据从 Log Analytics 工作区导出到存储帐户。
- 使用 PowerShell 脚本一次性导出到本地计算机。 有关详细信息,请参阅 Invoke-AzOperationalInsightsQueryExport。
限制
- 无法导出使用 HTTP 数据收集器 API 创建的自定义日志,包括 Log Analytics 代理使用的基于文本的日志。 可以导出使用数据收集规则创建的自定义日志,包括基于文本的日志。
- 数据导出将逐渐支持更多表,但目前仅限于支持的表部分中指定的表。 可包括规则中尚不支持的表,但仅在支持表的情况下才导出数据。
- 最多可以在工作区中定义 10 个已启用的规则,每个规则可以包含多个表。 可以在处于禁用状态的工作区中创建更多规则。
- 目标必须与 Log Analytics 工作区位于同一区域。
- 存储帐户在工作区规则中必须是唯一的。
- 导出到存储帐户时,表名称可以为 60 个字符。 导出到事件中心时,表名称可以为 47 个字符。 名称较长的表将不会被导出。
- 不支持导出到高级存储帐户。
数据完整性
数据导出针对将大量数据移动到目标位置进行了优化。 如果目标的规模或可用性不足,则重试过程将持续长达 12 小时,并可能导致导出的记录出现重复部分。 遵循有关“存储帐户”和“事件中心”目标的建议,以提高可靠性。 有关目标限制和建议的警报的详细信息,请参阅创建或更新数据导出规则。 如果目标在重试期限过后仍然不可用,则会丢弃数据。
定价模型
数据导出费用基于导出到目标(采用 JSON 格式的数据)的字节数,并以 GB(10^9 字节)为单位进行度量。 工作区查询中的大小计算不能与导出费用相对应,因为它不包含 JSON 格式的数据。 可以使用 PowerShell 来计算要计费的 Blob 容器总大小。
有关详细信息,包括数据导出计费时间线,请参阅 Azure Monitor 定价。 数据导出在 2023 年 10 月初启用计费。
导出目标
在工作区中创建导出规则之前,必须存在数据导出目标位置。 目标不必要与工作区位于同一个订阅中。 在使用 Azure Lighthouse 时,还可以将数据发送到另一个 Microsoft Entra 租户中的目标。
需要对工作区和目标位置都具有“写入”权限,才能在工作区中的任何表上配置数据导出规则。 事件中心命名空间的共享访问策略定义了流式传输机制拥有的权限。 流式传输到事件中心需要“管理”、“发送”和“侦听”权限。 若要更新导出规则,必须对该事件中心授权规则拥有 ListKey 权限。
存储帐户
避免使用包含其他非监视数据的现有存储帐户,以便能够更好地控制对数据的访问,并防止达到存储流入量速率限制,进而引发故障和延迟。
若要将数据发送到不可变存储帐户,请按照设置和管理 Azure Blob 存储的不可变性策略中所述为存储帐户设置不可变策略。 必须按照本文中的所有步骤操作,包括启用受保护的追加 blob 写入操作。
存储帐户无法为高级版,必须为 StorageV1 或更高版本,并且与工作区位于同一区域。 如果需要将数据复制到其他区域中的其他存储帐户,可以使用任何 Azure 存储冗余选项,包括“GRS”和“GZRS”。
数据将在到达 Azure Monitor 时发送到存储帐户并导出到位于工作区区域中的目标位置。 将为存储帐户中的每个表创建一个容器,其名称为 am- 后跟表名称。 例如,表 SecurityEvent 将发送到名为 am-SecurityEvent 的容器中。
Blob 存储在以下路径结构的 5 分钟文件夹中:WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=<two-digit 60-minute clock minute>/PT05M.json。 对 blob 的追加限制为 50-K 写入。 超过上限的 blob 将添加到文件夹中:PT05M_#.json*,其中 # 是增量 blob 计数。
注意
对 Blob 的追加基于“TimeGenerated”字段写入,并在接收源数据时发生。 延迟到达 Azure Monitor 或尝试在目标限制后重试的数据将根据其生成时间写入 Blob。
存储帐户中 Blob 的格式位于 JSON 行中,其中每个记录将由换行符分隔,JSON 记录之间没有外部记录数组和逗号。
事件中心
避免使用包含非监视数据的现有事件中心,以防止达到事件中心命名空间流入量速率限制,进而引发故障和延迟。
数据将在到达 Azure Monitor 时发送到事件中心并导出到位于工作区区域中的目标位置。 可以通过在规则中提供不同的 Event Hub name
,为同一事件中心命名空间创建多个导出规则。 未提供 Event Hub name
时,会为导出的表创建默认事件中心,其名称为 am- 后跟表的名称。 例如,表 SecurityEvent 将发送到名为 am-SecurityEvent 的事件中心中。
每个“基本”和“标准”命名空间层支持的事件中心数为 10 个。 如果向这些层导出的表格超过 10 个,则可在多个导出规则之间将表格拆分到不同的事件中心命名空间,或提供事件中心名称,并将所有表格导出到该事件中心。
注意
- “基本”事件中心命名空间层具有限制。 它支持较低的事件大小,且无自动扩充选项,无法自动纵向扩展和增加吞吐量单位的数量。 由于工作区的数据量随着时间的推移而增加,导致必须缩放事件中心,因此请使用启用了自动扩充功能的“标准”层、“高级”层或“专用”事件中心层。 有关详细信息,请参阅自动扩展 Azure 事件中心吞吐量单位。
- 启用虚拟网络后,数据导出无法访问事件中心资源。 必须选中“允许受信任服务列表中的 Azure 服务访问此存储帐户”复选框以绕过事件中心中的此防火墙设置,才能授予对事件中心的访问权限。
查询导出的数据
将数据从工作区导出到存储帐户有助于满足概述中提到的各种方案,并且可以由从存储帐户读取 Blob 的工具使用。 以下方法允许使用 Log Analytics 查询语言查询数据,这与 Azure 数据资源管理器相同。
- 使用 Azure 数据资源管理器查询 Azure Data Lake 中的数据。
- 使用 Azure 数据资源管理器从存储帐户引入数据。
- 使用 Log Analytics 工作区通过日志引入 API 查询引入的数据 。 引入的数据是自定义日志表,而不是原始表。
启用数据导出
需要执行以下步骤才能启用 Log Analytics 数据导出。 有关各个内容的详细信息,请参阅以下部分:
- 注册资源提供程序
- 允许受信任的 Microsoft 服务
- 创建或更新数据导出规则
注册资源提供程序
需要在订阅中注册 Azure 资源提供程序 Microsoft.Insights 才能启用 Log Analytics 数据导出。
可能已为大多数 Azure Monitor 用户注册此资源提供程序。 若要验证,请转到 Azure 门户中的“订阅”。 选择订阅,然后在菜单的“设置”部分下选择“资源提供程序”。 找到 Microsoft.Insights。 如果其状态为“已注册”,表示已注册。 如果未注册,请选择“注册”进行注册。
还可使用任何可用的方法来注册资源提供程序,如 Azure 资源提供程序和类型中所述。 以下示例命令使用 Azure CLI:
az provider register --namespace 'Microsoft.insights'
以下示例命令使用 PowerShell:
Register-AzResourceProvider -ProviderNamespace Microsoft.insights
允许受信任的 Microsoft 服务
如果你已将存储帐户配置为允许从所选网络进行访问,则需要添加一个例外来允许 Azure Monitor 写入帐户。 在存储帐户的“防火墙和虚拟网络”中,选择“允许受信任服务列表中的 Azure 服务访问此存储帐户”。
监视目标
重要
导出目标存在限制,应监视这些目标,以最大程度地减少限制、失败和延迟的情况。 有关详细信息,请参阅存储帐户可伸缩性和事件中心命名空间配额。
以下指标可用于数据导出操作和警报
指标名称 | 说明 |
---|---|
导出的字节数 | 选定时间范围内从 Log Analytics 工作区导出到目标的字节总数。 导出的数据大小是导出的 JSON 格式数据中的字节数。 1 GB = 10^9 字节。 |
导出失败数 | 选定时间范围内从 Log Analytics 工作区到目标的失败导出请求总数。 此数字包括由于目标资源限制、禁止访问错误或任何服务器错误而导致的导出尝试失败。 重试过程处理失败的尝试,该数字并不表示缺少数据。 |
导出的记录数 | 选定时间范围内从 Log Analytics 工作区导出的记录总数。 此数量统计最终成功的操作的记录。 |
监视存储帐户
使用单独的存储帐户进行导出。
在指标上配置警报:
作用域 指标命名空间 指标 聚合 阈值 存储名称 帐户 流入量 Sum 每个警报评估期的最大流入量的 80%。 例如,在中国北部,常规用途 v2 的限制为 60Gbps。 警报阈值为每 5 分钟的评估期 1676 GiB。 警报修正操作:
- 为不与非监视数据共享的导出使用单独的存储帐户。
- Azure 存储标准帐户支持根据请求提高流入量上限。 要请求提高限制,请联系 Azure 支持。
- 在多个存储帐户之间拆分表。
监视事件中心
在指标上配置警报:
范围 指标命名空间 指标 聚合 阈值 命名空间-名称 事件中心标准指标 传入字节数 Sum 每个警报评估期的最大流入量的 80%。 例如,限制为每个单位 1 MB/秒(TU 或 PU),使用 5 个单位。 阈值为每 5 分钟的评估期 228 MiB。 命名空间-名称 事件中心标准指标 传入请求数 Count 每个警报评估期的最大事件数的 80%。 例如,限制为每个单位 1000/秒(TU 或 PU),使用 5 个单位。 阈值为每个 5 分钟的评估期 1,200,000。 命名空间-名称 事件中心标准指标 超过限额错误 Count 请求的 1%。 例如,每 5 分钟的请求数为 600,000。 阈值为每个 5 分钟的评估期 6,000。 警报修正操作:
- 为不与非监视数据共享的导出使用单独的事件中心命名空间。
- 配置自动扩充功能来自动进行纵向扩展并增加吞吐量单位数,以满足使用需求。
- 验证吞吐量单位是否增加以适应数据量。
- 在更多命名空间之间拆分表。
- 使用“高级”或“专用”层以获得更高的吞吐量。
创建或更新数据导出规则
数据导出规则定义导出数据的目标位置和表。 在启动导出操作之前,规则预配大约需要 30 分钟。 数据导出规则注意事项:
- 存储帐户在工作区规则中必须是唯一的。
- 发送到不同的事件中心时,多个规则可以使用同一事件中心命名空间。
- 导出到存储帐户:在存储帐户中为每个表创建一个单独的容器。
- 导出到事件中心:如果未提供事件中心名称,将为每个表创建一个单独的事件中心。 每个“基本”和“标准”命名空间层支持的事件中心数为 10 个。 如果向这些层导出的表格超过 10 个,则可在多个导出规则之间将表格拆分到不同的事件中心命名空间,或在规则中提供事件中心名称,并将所有表格导出到该事件中心。
查看数据导出规则配置
禁用或更新导出规则
对于特定时间段(例如执行测试时),可以禁用导出规则来停止导出。 在 Azure 门户的“Log Analytics 工作区”菜单中,从“设置”部分下选择“数据导出”。 选择“状态”切换开关,以禁用或启用导出规则。
删除导出规则
在 Azure 门户的“Log Analytics 工作区”菜单中,从“设置”部分下选择“数据导出”。 选择规则右侧的省略号,然后选择“删除”。
查看工作区中的所有数据导出规则
在 Azure 门户的“Log Analytics 工作区”菜单中,从“设置”部分下选择“数据导出”,以查看工作区中的所有导出规则。
不受支持的表
如果数据导出规则包含不受支持的表,配置不会失败,但不会导出该表的任何数据。 如果该表在之后得到支持,则将在那时导出其数据。
受支持的表
注意
我们正在添加对更多表的支持。 请定期查看本文。
表 | 限制 |
---|---|
AACAudit | |
AACHttpRequest | |
AADB2CRequestLogs | |
AADCustomSecurityAttributeAuditLogs | |
AADDomainServicesAccountLogon | |
AADDomainServicesAccountManagement | |
AADDomainServicesDirectoryServiceAccess | |
AADDomainServicesDNSAuditsDynamicUpdates | |
AADDomainServicesDNSAuditsGeneral | |
AADDomainServicesLogonLogoff | |
AADDomainServicesPolicyChange | |
AADDomainServicesPrivilegeUse | |
AADManagedIdentitySignInLogs | |
AADNonInteractiveUserSignInLogs | |
AADProvisioningLogs | |
AADRiskyServicePrincipals | |
AADRiskyUsers | |
AADServicePrincipalRiskEvents | |
AADServicePrincipalSignInLogs | |
AADUserRiskEvents | |
ABSBotRequests | |
ACICollaborationAudit | |
ACRConnectedClientList | |
ACSAuthIncomingOperations | |
ACSBillingUsage | |
ACSCallAutomationIncomingOperations | |
ACSCallAutomationMediaSummary | |
ACSCallClientMediaStatsTimeSeries | |
ACSCallClientOperations | |
ACSCallClosedCaptionsSummary | |
ACSCallDiagnostics | |
ACSCallRecordingIncomingOperations | |
ACSCallRecordingSummary | |
ACSCallSummary | |
ACSCallSurvey | |
ACSChatIncomingOperations | |
ACSEmailSendMailOperational | |
ACSEmailStatusUpdateOperational | |
ACSEmailUserEngagementOperational | |
ACSJobRouterIncomingOperations | |
ACSNetworkTraversalDiagnostics | |
ACSNetworkTraversalIncomingOperations | |
ACSRoomsIncomingOperations | |
ACSSMSIncomingOperations | |
ADAssessmentRecommendation | |
AddonAzureBackupAlerts | |
AddonAzureBackupJobs | |
AddonAzureBackupPolicy | |
AddonAzureBackupProtectedInstance | |
AddonAzureBackupStorage | |
ADFActivityRun | |
ADFAirflowSchedulerLogs | |
ADFAirflowTaskLogs | |
ADFAirflowWebLogs | |
ADFAirflowWorkerLogs | |
ADFPipelineRun | |
ADFSandboxActivityRun | |
ADFSandboxPipelineRun | |
ADFSSignInLogs | |
ADFSSISIntegrationRuntimeLogs | |
ADFSSISPackageEventMessageContext | |
ADFSSISPackageEventMessages | |
ADFSSISPackageExecutableStatistics | |
ADFSSISPackageExecutionComponentPhases | |
ADFSSISPackageExecutionDataStatistics | |
ADFTriggerRun | |
ADPAudit | |
ADPDiagnostics | |
ADPRequests | |
ADReplicationResult | |
ADSecurityAssessmentRecommendation | |
ADTDataHistoryOperation | |
ADTDigitalTwinsOperation | |
ADTEventRoutesOperation | |
ADTModelsOperation | |
ADTQueryOperation | |
ADXCommand | |
ADXIngestionBatching | |
ADXJournal | |
ADXQuery | |
ADXTableDetails | |
ADXTableUsageStatistics | |
AegDataPlaneRequests | |
AegDeliveryFailureLogs | |
AegPublishFailureLogs | |
AEWAssignmentBlobLogs | |
AEWAuditLogs | |
AEWComputePipelinesLogs | |
AFSAuditLogs | |
AGCAccessLogs | |
AgriFoodApplicationAuditLogs | |
AgriFoodFarmManagementLogs | |
AgriFoodFarmOperationLogs | |
AgriFoodInsightLogs | |
AgriFoodJobProcessedLogs | |
AgriFoodModelInferenceLogs | |
AgriFoodProviderAuthLogs | |
AgriFoodSatelliteLogs | |
AgriFoodSensorManagementLogs | |
AgriFoodWeatherLogs | |
AGSGrafanaLoginEvents | |
AGWAccessLogs | |
AGWFirewallLogs | |
AGWPerformanceLogs | |
AHDSDicomAuditLogs | |
AHDSDicomDiagnosticLogs | |
AHDSMedTechDiagnosticLogs | |
AirflowDagProcessingLogs | |
AKSAudit | |
AKSAuditAdmin | |
AKSControlPlane | |
ALBHealthEvent | |
警报 | 部分支持。 不支持 Zabbix 警报的数据引入。 |
AlertEvidence | |
AlertInfo | |
AmlComputeClusterEvent | |
AmlComputeCpuGpuUtilization | |
AmlComputeInstanceEvent | |
AmlComputeJobEvent | |
AmlDataLabelEvent | |
AmlDataSetEvent | |
AmlDataStoreEvent | |
AmlDeploymentEvent | |
AmlEnvironmentEvent | |
AmlInferencingEvent | |
AmlModelsEvent | |
AmlOnlineEndpointConsoleLog | |
AmlOnlineEndpointEventLog | |
AmlOnlineEndpointTrafficLog | |
AmlPipelineEvent | |
AmlRegistryReadEventsLog | |
AmlRegistryWriteEventsLog | |
AmlRunEvent | |
AmlRunStatusChangedEvent | |
AMSKeyDeliveryRequests | |
AMSLiveEventOperations | |
AMSMediaAccountHealth | |
AMSStreamingEndpointRequests | |
AMWMetricsUsageDetails | |
ANFFileAccess | |
异常 | |
AOIDatabaseQuery | |
AOIDigestion | |
AOIStorage | |
ApiManagementGatewayLogs | |
ApiManagementWebSocketConnectionLogs | |
AppAvailabilityResults | |
AppBrowserTimings | |
AppCenterError | |
AppDependencies | |
AppEnvSpringAppConsoleLogs | |
AppEvents | |
AppExceptions | |
AppMetrics | |
AppPageViews | |
AppPerformanceCounters | |
AppPlatformBuildLogs | |
AppPlatformContainerEventLogs | |
AppPlatformIngressLogs | |
AppPlatformLogsforSpring | |
AppPlatformSystemLogs | |
AppRequests | |
AppServiceAntivirusScanAuditLogs | |
AppServiceAppLogs | |
AppServiceAuditLogs | |
AppServiceAuthenticationLogs | |
AppServiceConsoleLogs | |
AppServiceEnvironmentPlatformLogs | |
AppServiceFileAuditLogs | |
AppServiceHTTPLogs | |
AppServiceIPSecAuditLogs | |
AppServicePlatformLogs | |
AppServiceServerlessSecurityPluginData | |
AppSystemEvents | |
AppTraces | |
ArcK8sAudit | |
ArcK8sAuditAdmin | |
ArcK8sControlPlane | |
ASCAuditLogs | |
ASCDeviceEvents | |
ASimAuditEventLogs | |
ASimAuthenticationEventLogs | |
ASimDhcpEventLogs | |
ASimDnsActivityLogs | |
ASimFileEventLogs | |
ASimNetworkSessionLogs | |
ASimProcessEventLogs | |
ASimRegistryEventLogs | |
ASimUserManagementActivityLogs | |
ASimWebSessionLogs | |
ASRJobs | |
ASRReplicatedItems | |
ATCExpressRouteCircuitIpfix | |
AuditLogs | |
AutoscaleEvaluationsLog | |
AutoscaleScaleActionsLog | |
AVNMConnectivityConfigurationChange | |
AVNMIPAMPoolAllocationChange | |
AVNMNetworkGroupMembershipChange | |
AVNMRuleCollectionChange | |
AVSSyslog | |
AWSCloudTrail | |
AWSCloudWatch | |
AWSGuardDuty | |
AWSVPCFlow | |
AZFWApplicationRule | |
AZFWApplicationRuleAggregation | |
AZFWDnsQuery | |
AZFWFatFlow | |
AZFWFlowTrace | |
AZFWIdpsSignature | |
AZFWInternalFqdnResolutionFailure | |
AZFWNatRule | |
AZFWNatRuleAggregation | |
AZFWNetworkRule | |
AZFWNetworkRuleAggregation | |
AZFWThreatIntel | |
AZKVAuditLogs | |
AZKVPolicyEvaluationDetailsLogs | |
AZMSApplicationMetricLogs | |
AZMSArchiveLogs | |
AZMSAutoscaleLogs | |
AZMSCustomerManagedKeyUserLogs | |
AZMSDiagnosticErrorLogs | |
AZMSHybridConnectionsEvents | |
AZMSKafkaCoordinatorLogs | |
AZMSKafkaUserErrorLogs | |
AZMSOperationalLogs | |
AZMSRunTimeAuditLogs | |
AZMSVnetConnectionEvents | |
AzureAssessmentRecommendation | |
AzureAttestationDiagnostics | |
AzureBackupOperations | |
AzureDevOpsAuditing | |
AzureLoadTestingOperation | |
AzureMetricsV2 | |
BehaviorAnalytics | |
CassandraAudit | |
CassandraLogs | |
CCFApplicationLogs | |
CDBCassandraRequests | |
CDBControlPlaneRequests | |
CDBDataPlaneRequests | |
CDBGremlinRequests | |
CDBMongoRequests | |
CDBPartitionKeyRUConsumption | |
CDBPartitionKeyStatistics | |
CDBQueryRuntimeStatistics | |
ChaosStudioExperimentEventLogs | |
CHSMManagementAuditLogs | |
CIEventsAudit | |
CIEventsOperational | |
CloudAppEvents | |
CommonSecurityLog | |
ComputerGroup | |
ConfidentialWatchlist | |
ConfigurationData | 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。 |
ContainerAppConsoleLogs | |
ContainerAppSystemLogs | |
容器事件 | |
ContainerImageInventory | |
ContainerInstanceLog | |
ContainerInventory | |
ContainerLog | |
ContainerLogV2 | |
ContainerNodeInventory | |
ContainerRegistryLoginEvents | |
ContainerRegistryRepositoryEvents | |
ContainerServiceLog | |
CoreAzureBackup | |
DatabricksAccounts | |
DatabricksBrickStoreHttpGateway | |
DatabricksCapsule8Dataplane | |
DatabricksClamAVScan | |
DatabricksCloudStorageMetadata | |
DatabricksClusterLibraries | |
DatabricksClusters | |
DatabricksDashboards | |
DatabricksDataMonitoring | |
DatabricksDBFS | |
DatabricksDeltaPipelines | |
DatabricksFeatureStore | |
DatabricksFilesystem | |
DatabricksGenie | |
DatabricksGitCredentials | |
DatabricksGlobalInitScripts | |
DatabricksIAMRole | |
DatabricksIngestion | |
DatabricksInstancePools | |
DatabricksJobs | |
DatabricksLineageTracking | |
DatabricksMarketplaceConsumer | |
DatabricksMLflowAcledArtifact | |
DatabricksMLflowExperiment | |
DatabricksModelRegistry | |
DatabricksNotebook | |
DatabricksPartnerHub | |
DatabricksPredictiveOptimization | |
DatabricksRemoteHistoryService | |
DatabricksRepos | |
DatabricksSecrets | |
DatabricksServerlessRealTimeInference | |
DatabricksSQLPermissions | |
DatabricksSSH | |
DatabricksUnityCatalog | |
DatabricksWebTerminal | |
DatabricksWorkspace | |
DatabricksWorkspaceLogs | |
DataTransferOperations | |
DataverseActivity | |
DCRLogErrors | |
DCRLogTroubleshooting | |
DevCenterBillingEventLogs | |
DevCenterDiagnosticLogs | |
DevCenterResourceOperationLogs | |
DeviceEve | |
DeviceFileCertificateInfo | |
DeviceFileEvents | |
DeviceImageLoadEvents | |
DeviceInfo | |
DeviceLogonEvents | |
DeviceNetworkEvents | |
DeviceNetworkInfo | |
DeviceProcessEvents | |
DeviceRegistryEvents | |
DeviceTvmSecureConfigurationAssessment | |
DeviceTvmSecureConfigurationAssessmentKB | |
DeviceTvmSoftwareInventory | |
DeviceTvmSoftwareVulnerabilities | |
DeviceTvmSoftwareVulnerabilitiesKB | |
DnsEvents | |
DnsInventory | |
DNSQueryLogs | |
DSMAzureBlobStorageLogs | |
DSMDataClassificationLogs | |
DSMDataLabelingLogs | |
Dynamics365Activity | |
DynamicSummary | |
EGNFailedMqttConnections | |
EGNFailedMqttPublishedMessages | |
EGNFailedMqttSubscriptions | |
EGNMqttDisconnections | |
EGNSuccessfulMqttConnections | |
EmailAttachmentInfo | |
EmailEvents | |
EmailPostDeliveryEvents | |
EmailUrlInfo | |
EnrichedMicrosoft365AuditLogs | |
ETWEvent | 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。 |
活动 | 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。 |
ExchangeAssessmentRecommendation | |
ExchangeOnlineAssessmentRecommendation | |
FailedIngestion | |
FunctionAppLogs | |
GCPAuditLogs | |
GoogleCloudSCC | |
HDInsightAmbariClusterAlerts | |
HDInsightAmbariSystemMetrics | |
HDInsightGatewayAuditLogs | |
HDInsightHadoopAndYarnLogs | |
HDInsightHadoopAndYarnMetrics | |
HDInsightHBaseLogs | |
HDInsightHBaseMetrics | |
HDInsightHiveAndLLAPLogs | |
HDInsightHiveAndLLAPMetrics | |
HDInsightHiveQueryAppStats | |
HDInsightHiveTezAppStats | |
HDInsightJupyterNotebookEvents | |
HDInsightKafkaLogs | |
HDInsightKafkaMetrics | |
HDInsightOozieLogs | |
HDInsightRangerAuditLogs | |
HDInsightSecurityLogs | |
HDInsightSparkApplicationEvents | |
HDInsightSparkBlockManagerEvents | |
HDInsightSparkEnvironmentEvents | |
HDInsightSparkExecutorEvents | |
HDInsightSparkExtraEvents | |
HDInsightSparkJobEvents | |
HDInsightSparkLogs | |
HDInsightSparkSQLExecutionEvents | |
HDInsightSparkStageEvents | |
HDInsightSparkStageTaskAccumulables | |
HDInsightSparkTaskEvents | |
HDInsightStormLogs | |
HDInsightStormMetrics | |
HDInsightStormTopologyMetrics | |
HealthStateChangeEvent | |
检测信号 | |
HuntingBookmark | |
IdentityDirectoryEvents | |
IdentityInfo | |
IdentityLogonEvents | |
IdentityQueryEvents | |
InsightsMetrics | 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。 |
IntuneAuditLogs | |
IntuneDeviceComplianceOrg | |
IntuneDevices | |
IntuneOperationalLogs | |
KubeEvents | |
KubeHealth | |
KubeMonAgentEvents | |
KubeNodeInventory | |
KubePodInventory | |
KubePVInventory | |
KubeServices | |
LAQueryLogs | |
LASummaryLogs | |
LinuxAuditLog | |
LogicAppWorkflowRuntime | |
McasShadowItReporting | |
MCCEventLogs | |
MCVPAuditLogs | |
MCVPOperationLogs | |
MDCFileIntegrityMonitoringEvents | |
MDECustomCollectionDeviceFileEvents | |
MicrosoftAzureBastionAuditLogs | |
MicrosoftDataShareReceivedSnapshotLog | |
MicrosoftDataShareSentSnapshotLog | |
MicrosoftDataShareShareLog | |
MicrosoftGraphActivityLogs | |
MicrosoftHealthcareApisAuditLogs | |
MicrosoftPurviewInformationProtection | |
MNFDeviceUpdates | |
MNFSystemSessionHistoryUpdates | |
MNFSystemStateMessageUpdates | |
NCBMBreakGlassAuditLogs | |
NCBMSecurityDefenderLogs | |
NCBMSecurityLogs | |
NCBMSystemLogs | |
NCCKubernetesLogs | |
NCCVMOrchestrationLogs | |
NCSStorageAlerts | |
NCSStorageLogs | |
NetworkAccessTraffic | |
NetworkMonitoring | |
NGXOperationLogs | |
NSPAccessLogs | |
NTAInsights | |
NTAIpDetails | |
NTANetAnalytics | |
NTATopologyDetails | |
NWConnectionMonitorDestinationListenerResult | |
NWConnectionMonitorDNSResult | |
NWConnectionMonitorPathResult | |
NWConnectionMonitorTestResult | |
OEPAirFlowTask | |
OEPAuditLogs | |
OEPDataplaneLogs | |
OEPElasticOperator | |
OEPElasticsearch | |
OfficeActivity | |
OLPSupplyChainEntityOperations | |
OLPSupplyChainEvents | |
Operation | 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。 |
性能 | |
PFTitleAuditLogs | |
PowerAppsActivity | |
PowerAutomateActivity | |
PowerBIActivity | |
PowerBIAuditTenant | |
PowerBIDatasetsTenant | |
PowerBIDatasetsWorkspace | |
PowerBIReportUsageWorkspace | |
PowerPlatformAdminActivity | |
PowerPlatformConnectorActivity | |
PowerPlatformDlpActivity | |
ProjectActivity | |
PurviewDataSensitivityLogs | |
PurviewScanStatusLogs | |
PurviewSecurityLogs | |
REDConnectionEvents | |
RemoteNetworkHealthLogs | |
ResourceManagementPublicAccessLogs | |
SCCMAssessmentRecommendation | |
SCOMAssessmentRecommendation | |
SecureScoreControls | |
SecureScores | |
SecurityAlert | |
SecurityAttackPathData | |
SecurityBaseline | |
SecurityBaselineSummary | |
SecurityDetection | |
SecurityEvent | |
SecurityIncident | |
SecurityIoTRawEvent | |
SecurityNestedRecommendation | |
SecurityRecommendation | |
SecurityRegulatoryCompliance | |
SentinelAudit | |
SentinelHealth | |
ServiceFabricOperationalEvent | 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。 |
ServiceFabricReliableActorEvent | 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。 |
ServiceFabricReliableServiceEvent | 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。 |
SfBAssessmentRecommendation | |
SharePointOnlineAssessmentRecommendation | |
SignalRServiceDiagnosticLogs | |
SigninLogs | |
SPAssessmentRecommendation | |
SQLAssessmentRecommendation | |
SqlAtpStatus | |
SQLSecurityAuditEvents | |
SqlVulnerabilityAssessmentScanStatus | |
StorageBlobLogs | |
StorageCacheOperationEvents | |
StorageCacheUpgradeEvents | |
StorageCacheWarningEvents | |
StorageFileLogs | |
StorageMalwareScanningResults | |
StorageMoverCopyLogsFailed | |
StorageMoverCopyLogsTransferred | |
StorageMoverJobRunLogs | |
StorageQueueLogs | |
StorageTableLogs | |
SucceededIngestion | |
SynapseBigDataPoolApplicationsEnded | |
SynapseBuiltinSqlPoolRequestsEnded | |
SynapseDXCommand | |
SynapseDXFailedIngestion | |
SynapseDXIngestionBatching | |
SynapseDXQuery | |
SynapseDXSucceededIngestion | |
SynapseDXTableDetails | |
SynapseDXTableUsageStatistics | |
SynapseGatewayApiRequests | |
SynapseIntegrationActivityRuns | |
SynapseIntegrationPipelineRuns | |
SynapseIntegrationTriggerRuns | |
SynapseLinkEvent | |
SynapseRbacOperations | |
SynapseScopePoolScopeJobsEnded | |
SynapseScopePoolScopeJobsStateChange | |
SynapseSqlPoolDmsWorkers | |
SynapseSqlPoolExecRequests | |
SynapseSqlPoolRequestSteps | |
SynapseSqlPoolSqlRequests | |
SynapseSqlPoolWaits | |
Syslog | |
ThreatIntelligenceIndicator | |
TSIIngress | |
UCClient | |
UCClientReadinessStatus | |
UCClientUpdateStatus | |
UCDeviceAlert | |
UCDOAggregatedStatus | |
UCDOStatus | |
UCServiceUpdateStatus | |
UCUpdateAlert | |
更新 | 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。 |
UpdateRunProgress | |
UpdateSummary | |
UrlClickEvents | |
使用情况 | |
UserAccessAnalytics | |
UserPeerAnalytics | |
VCoreMongoRequests | |
VIAudit | |
VIIndexing | |
VMConnection | 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。 |
W3CIISLog | 部分支持。 导出完全支持来自 Log Analytics 代理或 Azure Monitor 代理的数据。 通过诊断扩展代理到达的数据是通过存储收集的。 导出不支持此路径。 |
WaaSDeploymentStatus | |
WaaSInsiderStatus | |
WaaSUpdateStatus | |
Watchlist | |
WebPubSubConnectivity | |
WebPubSubHttpRequest | |
WebPubSubMessaging | |
Windows365AuditLogs | |
WindowsClientAssessmentRecommendation | |
WindowsEvent | |
WindowsFirewall | |
WindowsServerAssessmentRecommendation | |
WireData | 部分支持。 某些数据是通过导出不支持的内部服务引入的。 当前导出中缺少此部分。 |
WorkloadDiagnosticLogs | |
WUDOAggregatedStatus | |
WUDOStatus | |
WVDAgentHealthStatus | |
WVDAutoscaleEvaluationPooled | |
WVDCheckpoints | |
WVDConnectionGraphicsDataPreview | |
WVDConnectionNetworkData | |
WVDConnections | |
WVDErrors | |
WVDFeeds | |
WVDHostRegistrations | |
WVDManagement | |
WVDSessionHostManagement |