Struttura di una regola di raccolta dati (DCR) in Monitoraggio di Azure
Questo articolo descrive la struttura JSON dei controller di dominio di dominio per i casi in cui è necessario lavorare direttamente con la relativa definizione.
- Vedere Creare e modificare le regole di raccolta dati in Monitoraggio di Azure per informazioni dettagliate sull'uso del codice JSON descritto qui.
- Per scenari diversi, vedere Regole di raccolta dati di esempio in Monitoraggio di Azure.
Proprietà
Nella tabella seguente vengono descritte le proprietà al livello superiore del Registro Azure Container.
Proprietà | Descrizione |
---|---|
description |
Descrizione facoltativa della regola di raccolta dati definita dall'utente. |
dataCollectionEndpointId |
ID risorsa dell'endpoint di raccolta dati (DCE) usato dal DCR se ne è stato fornito uno al momento della creazione del DCR. Questa proprietà non è presente nelle controller di dominio che non usano un controller di dominio. |
endpoints 1 |
Contiene l'URL logsIngestion e metricsIngestion degli endpoint per il Registro Azure Container. Questa sezione e le relative proprietà vengono create automaticamente quando viene creato il DCR solo se l'attributo kind nel DCR è Direct . |
immutableId |
Identificatore univoco per la regola di raccolta dati. Questa proprietà e il relativo valore vengono creati automaticamente al momento della creazione del record di dominio. |
kind |
Specifica lo scenario di raccolta dati per cui viene usato il record di controllo di accesso. Questo parametro è descritto più avanti. |
1Questa proprietà non è stata creata per i controller di dominio creati prima del 31 marzo 2024. I DCR creati prima di questa data richiedevano un endpoint di raccolta dati (DCE) e la proprietà dataCollectionEndpointId
da specificare. Se si vogliono usare questi DCE incorporati, è necessario creare un nuovo DCR.
Tipologia
La kind
proprietà in DCR specifica il tipo di raccolta per cui viene utilizzato il DCR. Ogni tipo di DCR ha una struttura e proprietà diverse.
Nella tabella seguente sono elencati i diversi tipi di controller di dominio e i relativi dettagli.
Tipologia | Descrizione |
---|---|
Direct |
Inserimento diretto con l'API di inserimento dei log. Gli endpoint vengono creati per il Registro Azure Container solo se viene usato questo valore di tipo. |
AgentDirectToStore |
Inviare i dati raccolti a Archiviazione di Azure e a Hub eventi. |
AgentSettings |
Configurare i parametri dell'agente di Monitoraggio di Azure. |
Linux |
Raccogliere eventi e dati sulle prestazioni dai computer Linux. |
PlatformTelemetry |
Esportare le metriche della piattaforma. |
Windows |
Raccogliere eventi e dati sulle prestazioni dai computer Windows. |
WorkspaceTransforms |
DCR di trasformazione dell’area di lavoro. Questo record di controllo di dominio non include un flusso di input. |
Panoramica del flusso di dati DCR
Il flusso di base di un record di controllo di dominio è illustrato nel diagramma seguente. Ognuno dei componenti è descritto nelle sezioni seguenti.
Flussi di input
La sezione flusso di input di un record di controllo di dominio definisce i dati in ingresso raccolti. Esistono due tipi di flusso in ingresso, a seconda dello scenario specifico di raccolta dati. La maggior parte degli scenari di raccolta dati usa uno dei flussi di input, mentre alcuni possono usare entrambi.
Nota
I controller di dominio di trasformazione dell'area di lavoro non hanno un flusso di input.
Flusso di input | Descrizione |
---|---|
dataSources |
Tipo noto di dati. Si tratta spesso di dati elaborati dall'agente di Monitoraggio di Azure e recapitati a Monitoraggio di Azure usando un tipo di dati noto. |
streamDeclarations |
Dati personalizzati che devono essere definiti nel Registro Azure Container. |
I dati inviati dall'API di inserimento log usano un streamDeclaration
oggetto con lo schema dei dati in ingresso. Ciò è dovuto al fatto che l'API invia dati personalizzati che possono avere qualsiasi schema.
I log di testo di AMA sono un esempio di raccolta dati che richiede sia dataSources
che streamDeclarations
. L'origine dati include la configurazione
Origini dati
Le origini dati sono origini univoche dei dati di monitoraggio che ognuno ha il proprio formato e metodo di esposizione dei dati. Ogni tipo di origine dati ha un set univoco di parametri che devono essere configurati per ogni origine dati. I dati restituiti dall'origine dati sono in genere un tipo noto, quindi non è necessario definire lo schema nel Registro Azure Container.
Ad esempio, gli eventi e i dati sulle prestazioni raccolti da una macchina virtuale con l'agente di Monitoraggio di Azure (AMA), usano origini dati come windowsEventLogs
e performanceCounters
. Si specificano criteri per gli eventi e i contatori delle prestazioni che si desidera raccogliere, ma non è necessario definire la struttura dei dati stessi poiché si tratta di uno schema noto per i dati in ingresso potenziali.
Parametri comuni
Tutti i tipi di origine dati condividono i parametri comuni seguenti.
Parametro | Descrizione |
---|---|
name |
Nome per identificare l'origine dati nel Registro Azure Container. |
streams |
Elenco di flussi raccolti dall'origine dati. Se si tratta di un tipo di dati standard, ad esempio un evento Di Windows, il flusso sarà nel formato Microsoft-<TableName> . Se si tratta di un tipo personalizzato, sarà nel formato Custom-<TableName> |
Tipi di origine dati validi
I tipi di origine dati attualmente disponibili sono elencati nella tabella seguente.
Tipo di origine dati | Descrizione | Flussi | Parametri |
---|---|---|---|
eventHub |
Dati di Hub eventi di Azure. | Personalizzato1 | consumerGroup - Gruppo di consumer dell'hub eventi da cui raccogliere. |
iisLogs |
Log IIS da computer Windows | Microsoft-W3CIISLog |
logDirectories - Directory in cui vengono archiviati i log IIS nel client. |
logFiles |
Testo o accesso JSON in una macchina virtuale | Personalizzato1 | filePatterns - Modello di cartella e file per i file di log da raccogliere dal client.format - json o text |
performanceCounters |
Contatori delle prestazioni per macchine virtuali Windows e Linux | Microsoft-Perf Microsoft-InsightsMetrics |
samplingFrequencyInSeconds - Frequenza di campionamento dei dati sulle prestazioni.counterSpecifiers - Oggetti e contatori che devono essere raccolti. |
prometheusForwarder |
Dati prometheus raccolti dal cluster Kubernetes. | Microsoft-PrometheusMetrics |
streams - Flussi da raccoglierelabelIncludeFilter - Elenco dei filtri di inclusione delle etichette come coppie nome-valore. Attualmente è supportato solo "microsoft_metrics_include_label". |
syslog |
Eventi Syslog in macchine virtuali Linux Eventi in formato eventi comuni nelle appliance di sicurezza |
Microsoft-Syslog Microsoft-CommonSecurityLog per CEF |
facilityNames - Strutture da raccoglierelogLevels - Livelli di log da raccogliere |
windowsEventLogs |
Registro eventi di Windows nelle macchine virtuali | Microsoft-Event |
xPathQueries - XPath che specifica i criteri per gli eventi da raccogliere. |
extension |
Origine dati basata su estensione usata dall'agente di Monitoraggio di Azure. | Varia in base all'estensione | extensionName - Nome dell'estensioneextensionSettings - Valori per ogni impostazione richiesta dall'estensione |
1 Queste origini dati usano sia un'origine dati che una dichiarazione di flusso poiché lo schema dei dati raccolti può variare. Il flusso usato nell'origine dati deve essere il flusso personalizzato definito nella dichiarazione del flusso.
Dichiarazioni di flusso
Dichiarazione dei diversi tipi di dati inviati nell'area di lavoro Log Analytics. Ogni flusso è un oggetto la cui chiave rappresenta il nome del flusso, che deve iniziare con Custom-. Il flusso contiene un elenco completo delle proprietà di primo livello contenute nei dati JSON che verranno inviati. La forma dei dati inviati all'endpoint non deve corrispondere a quella della tabella di destinazione. L'output della trasformazione applicata sopra i dati di input deve invece corrispondere alla forma di destinazione.
Tipo di dati
I possibili tipi di dati che possono essere assegnati alle proprietà sono:
string
int
long
real
boolean
dynamic
datetime
.
Destinazioni
La destinations
sezione include una voce per ogni destinazione in cui verranno inviati i dati. Queste destinazioni corrispondono ai flussi di input nella dataFlows
sezione .
Parametri comuni
Parametri | Descrizione |
---|---|
name |
Nome per identificare la destinazione nella dataSources sezione . |
Destinazioni valide
Le destinazioni attualmente disponibili sono elencate nella tabella seguente.
Destinazione | Descrizione | Parametri obbligatori |
---|---|---|
logAnalytics |
area di lavoro Log Analytics | workspaceResourceId - ID risorsa dell'area di lavoro.workspaceID - ID dell'area di lavoroSpecifica solo l'area di lavoro, non la tabella in cui verranno inviati i dati. Se si tratta di una destinazione nota, non è necessario specificare alcuna tabella. Per le tabelle personalizzate, la tabella viene specificata nell'origine dati. |
azureMonitorMetrics |
Metriche di Monitoraggio di Azure | Non è necessaria alcuna configurazione perché è presente un solo archivio metriche per la sottoscrizione. |
storageTablesDirect |
Archivio tabelle di Azure | storageAccountResourceId - ID risorsa dell'account di archiviazionetableName - Nome della tabella |
storageBlobsDirect |
Archivio BLOB di Azure | storageAccountResourceId - ID risorsa dell'account di archiviazionecontainerName - Nome del contenitore BLOB |
eventHubsDirect |
Hub eventi di | eventHubsDirect - ID risorsa dell'hub eventi. |
Importante
Un flusso può solo inviare a un'area di lavoro Log Analytics in un DCR. È possibile avere più voci dataFlow
per un singolo flusso se usano tabelle diverse nella stessa area di lavoro. Se è necessario inviare dati a più aree di lavoro Log Analytics da un singolo flusso, creare un DCR separato per ogni area di lavoro.
Flussi di dati
I flussi di dati corrispondono ai flussi di input con le destinazioni. Ogni origine dati può facoltativamente specificare una trasformazione e in alcuni casi specifica una tabella specifica nell'area di lavoro Log Analytics.
Proprietà del flusso di dati
Sezione | Descrizione |
---|---|
streams |
Uno o più flussi definiti nella sezione flussi di input. È possibile includere più flussi in un singolo flusso di dati se si desidera inviare più origini dati alla stessa destinazione. Usare un singolo flusso anche se il flusso di dati include una trasformazione. Un flusso può essere usato anche da più flussi di dati quando si vuole inviare una determinata origine dati a più tabelle nella stessa area di lavoro Log Analytics. |
destinations |
Una o più destinazioni della sezione destinations precedente. Sono consentite più destinazioni per scenari multi-homing. |
transformKql |
Trasformazione facoltativa applicata al flusso in ingresso. La trasformazione deve comprendere lo schema dei dati in ingresso e i dati di output nello schema della tabella di destinazione. Se si usa una trasformazione, il flusso di dati deve usare solo un singolo flusso. |
outputStream |
Descrive la tabella nell'area di lavoro specificata nella proprietà destination a cui verranno inviati i dati. Il valore di outputStream ha il formato Microsoft-[tableName] quando i dati vengono inseriti in una tabella standard o Custom-[tableName] quando si inseriscono dati in una tabella personalizzata. È consentita una sola destinazione per flusso.Questa proprietà non viene usata per le origini dati note di Monitoraggio di Azure, ad esempio eventi e dati sulle prestazioni, perché vengono inviate a tabelle predefinite. |
Passaggi successivi
Panoramica delle regole e dei metodi di raccolta dati per la loro creazione