Condividi tramite


Struttura di una regola di raccolta dati (DCR) in Monitoraggio di Azure

Questo articolo descrive la struttura JSON dei controller di dominio di dominio per i casi in cui è necessario lavorare direttamente con la relativa definizione.

Proprietà

Nella tabella seguente vengono descritte le proprietà al livello superiore del Registro Azure Container.

Proprietà Descrizione
description Descrizione facoltativa della regola di raccolta dati definita dall'utente.
dataCollectionEndpointId ID risorsa dell'endpoint di raccolta dati (DCE) usato dal DCR se ne è stato fornito uno al momento della creazione del DCR. Questa proprietà non è presente nelle controller di dominio che non usano un controller di dominio.
endpoints1 Contiene l'URL logsIngestion e metricsIngestion degli endpoint per il Registro Azure Container. Questa sezione e le relative proprietà vengono create automaticamente quando viene creato il DCR solo se l'attributo kind nel DCR è Direct.
immutableId Identificatore univoco per la regola di raccolta dati. Questa proprietà e il relativo valore vengono creati automaticamente al momento della creazione del record di dominio.
kind Specifica lo scenario di raccolta dati per cui viene usato il record di controllo di accesso. Questo parametro è descritto più avanti.

1Questa proprietà non è stata creata per i controller di dominio creati prima del 31 marzo 2024. I DCR creati prima di questa data richiedevano un endpoint di raccolta dati (DCE) e la proprietà dataCollectionEndpointId da specificare. Se si vogliono usare questi DCE incorporati, è necessario creare un nuovo DCR.

Tipologia

La kind proprietà in DCR specifica il tipo di raccolta per cui viene utilizzato il DCR. Ogni tipo di DCR ha una struttura e proprietà diverse.

Nella tabella seguente sono elencati i diversi tipi di controller di dominio e i relativi dettagli.

Tipologia Descrizione
Direct Inserimento diretto con l'API di inserimento dei log. Gli endpoint vengono creati per il Registro Azure Container solo se viene usato questo valore di tipo.
AgentDirectToStore Inviare i dati raccolti a Archiviazione di Azure e a Hub eventi.
AgentSettings Configurare i parametri dell'agente di Monitoraggio di Azure.
Linux Raccogliere eventi e dati sulle prestazioni dai computer Linux.
PlatformTelemetry Esportare le metriche della piattaforma.
Windows Raccogliere eventi e dati sulle prestazioni dai computer Windows.
WorkspaceTransforms DCR di trasformazione dell’area di lavoro. Questo record di controllo di dominio non include un flusso di input.

Panoramica del flusso di dati DCR

Il flusso di base di un record di controllo di dominio è illustrato nel diagramma seguente. Ognuno dei componenti è descritto nelle sezioni seguenti.

Diagramma che illustra la relazione tra le diverse sezioni di un record di controllo di dominio.

Flussi di input

La sezione flusso di input di un record di controllo di dominio definisce i dati in ingresso raccolti. Esistono due tipi di flusso in ingresso, a seconda dello scenario specifico di raccolta dati. La maggior parte degli scenari di raccolta dati usa uno dei flussi di input, mentre alcuni possono usare entrambi.

Nota

I controller di dominio di trasformazione dell'area di lavoro non hanno un flusso di input.

Flusso di input Descrizione
dataSources Tipo noto di dati. Si tratta spesso di dati elaborati dall'agente di Monitoraggio di Azure e recapitati a Monitoraggio di Azure usando un tipo di dati noto.
streamDeclarations Dati personalizzati che devono essere definiti nel Registro Azure Container.

I dati inviati dall'API di inserimento log usano un streamDeclaration oggetto con lo schema dei dati in ingresso. Ciò è dovuto al fatto che l'API invia dati personalizzati che possono avere qualsiasi schema.

I log di testo di AMA sono un esempio di raccolta dati che richiede sia dataSources che streamDeclarations. L'origine dati include la configurazione

Origini dati

Le origini dati sono origini univoche dei dati di monitoraggio che ognuno ha il proprio formato e metodo di esposizione dei dati. Ogni tipo di origine dati ha un set univoco di parametri che devono essere configurati per ogni origine dati. I dati restituiti dall'origine dati sono in genere un tipo noto, quindi non è necessario definire lo schema nel Registro Azure Container.

Ad esempio, gli eventi e i dati sulle prestazioni raccolti da una macchina virtuale con l'agente di Monitoraggio di Azure (AMA), usano origini dati come windowsEventLogs e performanceCounters. Si specificano criteri per gli eventi e i contatori delle prestazioni che si desidera raccogliere, ma non è necessario definire la struttura dei dati stessi poiché si tratta di uno schema noto per i dati in ingresso potenziali.

Parametri comuni

Tutti i tipi di origine dati condividono i parametri comuni seguenti.

Parametro Descrizione
name Nome per identificare l'origine dati nel Registro Azure Container.
streams Elenco di flussi raccolti dall'origine dati. Se si tratta di un tipo di dati standard, ad esempio un evento Di Windows, il flusso sarà nel formato Microsoft-<TableName>. Se si tratta di un tipo personalizzato, sarà nel formato Custom-<TableName>

Tipi di origine dati validi

I tipi di origine dati attualmente disponibili sono elencati nella tabella seguente.

Tipo di origine dati Descrizione Flussi Parametri
eventHub Dati di Hub eventi di Azure. Personalizzato1 consumerGroup - Gruppo di consumer dell'hub eventi da cui raccogliere.
iisLogs Log IIS da computer Windows Microsoft-W3CIISLog logDirectories - Directory in cui vengono archiviati i log IIS nel client.
logFiles Testo o accesso JSON in una macchina virtuale Personalizzato1 filePatterns - Modello di cartella e file per i file di log da raccogliere dal client.
format - json o text
performanceCounters Contatori delle prestazioni per macchine virtuali Windows e Linux Microsoft-Perf
Microsoft-InsightsMetrics
samplingFrequencyInSeconds - Frequenza di campionamento dei dati sulle prestazioni.
counterSpecifiers - Oggetti e contatori che devono essere raccolti.
prometheusForwarder Dati prometheus raccolti dal cluster Kubernetes. Microsoft-PrometheusMetrics streams - Flussi da raccogliere
labelIncludeFilter - Elenco dei filtri di inclusione delle etichette come coppie nome-valore. Attualmente è supportato solo "microsoft_metrics_include_label".
syslog Eventi Syslog in macchine virtuali Linux

Eventi in formato eventi comuni nelle appliance di sicurezza
Microsoft-Syslog

Microsoft-CommonSecurityLog per CEF
facilityNames - Strutture da raccogliere
logLevels - Livelli di log da raccogliere
windowsEventLogs Registro eventi di Windows nelle macchine virtuali Microsoft-Event xPathQueries - XPath che specifica i criteri per gli eventi da raccogliere.
extension Origine dati basata su estensione usata dall'agente di Monitoraggio di Azure. Varia in base all'estensione extensionName - Nome dell'estensione
extensionSettings - Valori per ogni impostazione richiesta dall'estensione

1 Queste origini dati usano sia un'origine dati che una dichiarazione di flusso poiché lo schema dei dati raccolti può variare. Il flusso usato nell'origine dati deve essere il flusso personalizzato definito nella dichiarazione del flusso.

Dichiarazioni di flusso

Dichiarazione dei diversi tipi di dati inviati nell'area di lavoro Log Analytics. Ogni flusso è un oggetto la cui chiave rappresenta il nome del flusso, che deve iniziare con Custom-. Il flusso contiene un elenco completo delle proprietà di primo livello contenute nei dati JSON che verranno inviati. La forma dei dati inviati all'endpoint non deve corrispondere a quella della tabella di destinazione. L'output della trasformazione applicata sopra i dati di input deve invece corrispondere alla forma di destinazione.

Tipo di dati

I possibili tipi di dati che possono essere assegnati alle proprietà sono:

  • string
  • int
  • long
  • real
  • boolean
  • dynamic
  • datetime.

Destinazioni

La destinations sezione include una voce per ogni destinazione in cui verranno inviati i dati. Queste destinazioni corrispondono ai flussi di input nella dataFlows sezione .

Parametri comuni

Parametri Descrizione
name Nome per identificare la destinazione nella dataSources sezione .

Destinazioni valide

Le destinazioni attualmente disponibili sono elencate nella tabella seguente.

Destinazione Descrizione Parametri obbligatori
logAnalytics area di lavoro Log Analytics workspaceResourceId - ID risorsa dell'area di lavoro.
workspaceID - ID dell'area di lavoro

Specifica solo l'area di lavoro, non la tabella in cui verranno inviati i dati. Se si tratta di una destinazione nota, non è necessario specificare alcuna tabella. Per le tabelle personalizzate, la tabella viene specificata nell'origine dati.
azureMonitorMetrics Metriche di Monitoraggio di Azure Non è necessaria alcuna configurazione perché è presente un solo archivio metriche per la sottoscrizione.
storageTablesDirect Archivio tabelle di Azure storageAccountResourceId - ID risorsa dell'account di archiviazione
tableName - Nome della tabella
storageBlobsDirect Archivio BLOB di Azure storageAccountResourceId - ID risorsa dell'account di archiviazione
containerName - Nome del contenitore BLOB
eventHubsDirect Hub eventi di eventHubsDirect - ID risorsa dell'hub eventi.

Importante

Un flusso può solo inviare a un'area di lavoro Log Analytics in un DCR. È possibile avere più voci dataFlow per un singolo flusso se usano tabelle diverse nella stessa area di lavoro. Se è necessario inviare dati a più aree di lavoro Log Analytics da un singolo flusso, creare un DCR separato per ogni area di lavoro.

Flussi di dati

I flussi di dati corrispondono ai flussi di input con le destinazioni. Ogni origine dati può facoltativamente specificare una trasformazione e in alcuni casi specifica una tabella specifica nell'area di lavoro Log Analytics.

Proprietà del flusso di dati

Sezione Descrizione
streams Uno o più flussi definiti nella sezione flussi di input. È possibile includere più flussi in un singolo flusso di dati se si desidera inviare più origini dati alla stessa destinazione. Usare un singolo flusso anche se il flusso di dati include una trasformazione. Un flusso può essere usato anche da più flussi di dati quando si vuole inviare una determinata origine dati a più tabelle nella stessa area di lavoro Log Analytics.
destinations Una o più destinazioni della sezione destinations precedente. Sono consentite più destinazioni per scenari multi-homing.
transformKql Trasformazione facoltativa applicata al flusso in ingresso. La trasformazione deve comprendere lo schema dei dati in ingresso e i dati di output nello schema della tabella di destinazione. Se si usa una trasformazione, il flusso di dati deve usare solo un singolo flusso.
outputStream Descrive la tabella nell'area di lavoro specificata nella proprietà destination a cui verranno inviati i dati. Il valore di outputStream ha il formato Microsoft-[tableName] quando i dati vengono inseriti in una tabella standard o Custom-[tableName] quando si inseriscono dati in una tabella personalizzata. È consentita una sola destinazione per flusso.

Questa proprietà non viene usata per le origini dati note di Monitoraggio di Azure, ad esempio eventi e dati sulle prestazioni, perché vengono inviate a tabelle predefinite.

Passaggi successivi

Panoramica delle regole e dei metodi di raccolta dati per la loro creazione