Microsoft.Insights dataCollectionRules
Definizione di risorsa Bicep
Il tipo di risorsa dataCollectionRules può essere distribuito con operazioni destinate a:
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato risorsa
Per creare una risorsa Microsoft.Insights/dataCollectionRules, aggiungere il bicep seguente al modello.
resource symbolicname 'Microsoft.Insights/dataCollectionRules@2023-03-11' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
kind: 'string'
location: 'string'
name: 'string'
properties: {
agentSettings: {
logs: [
{
name: 'string'
value: 'string'
}
]
}
dataCollectionEndpointId: 'string'
dataFlows: [
{
builtInTransform: 'string'
captureOverflow: bool
destinations: [
'string'
]
outputStream: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
dataSources: {
dataImports: {
eventHub: {
consumerGroup: 'string'
name: 'string'
stream: 'string'
}
}
extensions: [
{
extensionName: 'string'
extensionSettings: any(Azure.Bicep.Types.Concrete.AnyType)
inputDataSources: [
'string'
]
name: 'string'
streams: [
'string'
]
}
]
iisLogs: [
{
logDirectories: [
'string'
]
name: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
logFiles: [
{
filePatterns: [
'string'
]
format: 'string'
name: 'string'
settings: {
text: {
recordStartTimestampFormat: 'string'
}
}
streams: [
'string'
]
transformKql: 'string'
}
]
performanceCounters: [
{
counterSpecifiers: [
'string'
]
name: 'string'
samplingFrequencyInSeconds: int
streams: [
'string'
]
transformKql: 'string'
}
]
platformTelemetry: [
{
name: 'string'
streams: [
'string'
]
}
]
prometheusForwarder: [
{
labelIncludeFilter: {
{customized property}: 'string'
}
name: 'string'
streams: [
'string'
]
}
]
syslog: [
{
facilityNames: [
'string'
]
logLevels: [
'string'
]
name: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
windowsEventLogs: [
{
name: 'string'
streams: [
'string'
]
transformKql: 'string'
xPathQueries: [
'string'
]
}
]
windowsFirewallLogs: [
{
name: 'string'
profileFilter: [
'string'
]
streams: [
'string'
]
}
]
}
description: 'string'
destinations: {
azureDataExplorer: [
{
databaseName: 'string'
name: 'string'
resourceId: 'string'
}
]
azureMonitorMetrics: {
name: 'string'
}
eventHubs: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
eventHubsDirect: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
logAnalytics: [
{
name: 'string'
workspaceResourceId: 'string'
}
]
microsoftFabric: [
{
artifactId: 'string'
databaseName: 'string'
ingestionUri: 'string'
name: 'string'
tenantId: 'string'
}
]
monitoringAccounts: [
{
accountResourceId: 'string'
name: 'string'
}
]
storageAccounts: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageBlobsDirect: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageTablesDirect: [
{
name: 'string'
storageAccountResourceId: 'string'
tableName: 'string'
}
]
}
references: {
enrichmentData: {
storageBlobs: [
{
blobUrl: 'string'
lookupType: 'string'
name: 'string'
resourceId: 'string'
}
]
}
}
streamDeclarations: {
{customized property}: {
columns: [
{
name: 'string'
type: 'string'
}
]
}
}
}
tags: {
{customized property}: 'string'
}
}
Valori delle proprietà
AdxDestination
| Nome | Descrizione | Valore |
|---|---|---|
| databaseName | Nome del database in cui verranno inseriti i dati. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| resourceId | ID risorsa ARM della risorsa Adx. | corda |
AgentSetting
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome dell'impostazione. Deve far parte dell'elenco delle impostazioni supportate |
'MaxDiskQuotaInMB' 'UseTimeReceivedForForwardedEvents' |
| valore | Valore dell'impostazione | corda |
ColumnDefinition
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome della colonna. | corda |
| digitare | Tipo di dati della colonna. | 'boolean' 'datetime' 'dynamic' 'int' 'long' 'real' 'string' |
DataCollectionRuleAgentSettings
| Nome | Descrizione | Valore |
|---|---|---|
| Registri | Tutte le impostazioni applicabili all'agente di log | AgentSetting[] |
DataCollectionRuleDataSources
| Nome | Descrizione | Valore |
|---|---|---|
| dataImports | Specifiche delle origini dati basate sul pull | DataSourcesSpecDataImports |
| Estensioni | Elenco delle configurazioni dell'origine dati dell'estensione macchina virtuale di Azure. | ExtensionDataSource[] |
| iisLogs | Elenco delle configurazioni di origine dei log IIS. | IisLogsDataSource[] |
| logFiles | Elenco delle configurazioni di origine dei file di log. | LogFilesDataSource[] |
| performanceCounters | Elenco delle configurazioni dell'origine dati del contatore delle prestazioni. | PerfCounterDataSource[] |
| platformTelemetry | Elenco delle configurazioni di telemetria della piattaforma | PlatformTelemetryDataSource[] |
| prometheusForwarder | Elenco delle configurazioni dell'origine dati del server d'inoltro Prometheus. | PrometheusForwarderDataSource[] |
| syslog | Elenco delle configurazioni dell'origine dati Syslog. | SyslogDataSource[] |
| windowsEventLogs | Elenco delle configurazioni dell'origine dati del registro eventi di Windows. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Elenco delle configurazioni di origine dei log di Windows Firewall. | WindowsFirewallLogsDataSource[] |
DataCollectionRuleDestinations
| Nome | Descrizione | Valore |
|---|---|---|
| azureDataExplorer | Elenco delle destinazioni di Esplora dati di Azure. | AdxDestination[] |
| azureMonitorMetrics | Destinazione metriche di Monitoraggio di Azure. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Elenco delle destinazioni di Hub eventi. | EventHubDestination[] |
| eventHubsDirect | Elenco delle destinazioni dirette di Hub eventi. | EventHubDirectDestination[] |
| logAnalytics | Elenco delle destinazioni di log Analitica. | LogAnalyticsDestination[] |
| microsoftFabric | Elenco delle destinazioni di Microsoft Fabric. | MicrosoftFabricDestination[] |
| monitoringAccounts | Elenco delle destinazioni dell'account di monitoraggio. | MonitoringAccountDestination[] |
| storageAccounts | Elenco delle destinazioni degli account di archiviazione. | StorageBlobDestination[] |
| storageBlobsDirect | Elenco di destinazioni dirette blob di archiviazione. Da usare solo per l'invio di dati direttamente da archiviare dall'agente. | StorageBlobDestination[] |
| storageTablesDirect | Elenco delle destinazioni dirette della tabella di archiviazione. | StorageTableDestination[] |
DataCollectionRuleReferences
| Nome | Descrizione | Valore |
|---|---|---|
| arricchimentoData | Tutte le origini dati di arricchimento a cui si fa riferimento nei flussi di dati | RiferimentiSpecEnrichmentData |
DataCollectionRuleResourceIdentity
| Nome | Descrizione | Valore |
|---|---|---|
| digitare | Tipo di identità del servizio gestito (in cui sono consentiti sia i tipi SystemAssigned che UserAssigned). | 'Nessuno' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obbligatorio) |
| userAssignedIdentities | Set di identità assegnate dall'utente associate alla risorsa. Le chiavi del dizionario userAssignedIdentities saranno ID risorsa ARM nel formato : '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. I valori del dizionario possono essere oggetti vuoti ({}) nelle richieste. | UserAssignedIdentities |
DataCollectionRuleResourceProperties
| Nome | Descrizione | Valore |
|---|---|---|
| agentSettings | Impostazioni dell'agente usate per modificare il comportamento dell'agente in un determinato host | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | ID risorsa dell'endpoint di raccolta dati con cui è possibile usare questa regola. | corda |
| flussi di dati | Specifica dei flussi di dati. | flusso di dati[] |
| dataSources | Specifica delle origini dati. Questa proprietà è facoltativa e può essere omessa se la regola deve essere usata tramite chiamate dirette all'endpoint di cui è stato effettuato il provisioning. |
DataCollectionRuleDataSources |
| descrizione | Descrizione della regola di raccolta dati. | corda |
| Destinazioni | Specifica delle destinazioni. | DataCollectionRuleDestinations |
| referenze | Definisce tutti i riferimenti che possono essere usati in altre sezioni del Registro Azure Container | DataCollectionRuleReferences |
| streamDeclarations | Dichiarazione di flussi personalizzati usati in questa regola. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleResourceTags
| Nome | Descrizione | Valore |
|---|
DataCollectionRuleStreamDeclarations
| Nome | Descrizione | Valore |
|---|
Flusso
| Nome | Descrizione | Valore |
|---|---|---|
| builtInTransform | Trasformazione builtIn per trasformare i dati del flusso | corda |
| captureOverflow | Flag per abilitare la colonna overflow nelle destinazioni LA | Bool |
| Destinazioni | Elenco delle destinazioni per questo flusso di dati. | string[] |
| outputStream | Flusso di output della trasformazione. Obbligatorio solo se la trasformazione modifica i dati in un flusso diverso. | corda |
| Flussi | Elenco di flussi per questo flusso di dati. | Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
| transformKql | Query KQL per trasformare i dati del flusso. | corda |
DataImportSourcesEventHub
| Nome | Descrizione | Valore |
|---|---|---|
| consumerGroup | Nome del gruppo di consumer dell'hub eventi | corda |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| corrente | Flusso da raccogliere da EventHub | corda |
DataSourcesSpecDataImports
| Nome | Descrizione | Valore |
|---|---|---|
| eventHub | Definizione della configurazione dell'hub eventi. | DataImportSourcesEventHub |
DestinationsSpecAzureMonitorMetrics
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
EventHubDestination
| Nome | Descrizione | Valore |
|---|---|---|
| eventHubResourceId | ID risorsa dell'hub eventi. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
EventHubDirectDestination
| Nome | Descrizione | Valore |
|---|---|---|
| eventHubResourceId | ID risorsa dell'hub eventi. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
ExtensionDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| extensionName | Nome dell'estensione della macchina virtuale. | stringa (obbligatorio) |
| extensionSettings | Impostazioni dell'estensione. Il formato è specifico per una particolare estensione. | qualunque |
| inputDataSources | L'elenco di origini dati da cui questa estensione necessita di dati. | string[] |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
IisLogsDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| logDirectories | Percorso file di percorsi assoluti | string[] |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Flussi IIS | string[] (obbligatorio) |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
LogAnalyticsDestination
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| workspaceResourceId | ID risorsa dell'area di lavoro Log Analitica. | corda |
LogFilesDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| filePatterns | Modelli di file in cui si trovano i file di log | string[] (obbligatorio) |
| formato | Formato dei dati dei file di log | 'json' 'text' (obbligatorio) |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Impostazioni | Impostazioni specifiche dei file di log. | LogFilesDataSourceSettings |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica quale schema verrà usato per questa origine dati |
string[] (obbligatorio) |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
LogFilesDataSourceSettings
| Nome | Descrizione | Valore |
|---|---|---|
| Testo | Impostazioni del testo | LogFileSettingsText |
LogFileSettingsText
| Nome | Descrizione | Valore |
|---|---|---|
| recordStartTimestampFormat | Uno dei formati di timestamp supportati | 'dd/MMM/aaaa:HH:mm:ss zzz' 'ddMMyy HH:mm:ss' 'ISO 8601' 'M/D/AAAA HH:MM:SS AM/PM' 'MMM d hh:mm:ss' 'Mon DD, AAAA HH:MM:SS' 'yyMMdd HH:mm:ss' 'AAAA-MM-DD HH:MM:SS' 'yyyy-MM-ddTHH:mm:ssK' (obbligatorio) |
Microsoft.Insights/dataCollectionRules
| Nome | Descrizione | Valore |
|---|---|---|
| identità | Identità del servizio gestita della risorsa. | DataCollectionRuleResourceIdentity |
| gentile | Tipo di risorsa. | 'Linux' 'Windows' |
| ubicazione | Posizione geografica in cui risiede la risorsa. | stringa (obbligatorio) |
| nome | Nome della risorsa | stringa (obbligatorio) |
| proprietà | Proprietà delle risorse. | DataCollectionRuleResourceProperties |
| Tag | Tag delle risorse | Dizionario di nomi e valori di tag. Vedere tag nei modelli |
MicrosoftFabricDestination
| Nome | Descrizione | Valore |
|---|---|---|
| artifactId | ID artefatto della risorsa di Microsoft Fabric. | corda |
| databaseName | Nome del database in cui verranno inseriti i dati. | corda |
| ingestionUri | URI di inserimento della risorsa di Microsoft Fabric. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| tenantId | ID tenant della risorsa di Microsoft Fabric. | corda |
MonitoringAccountDestination
| Nome | Descrizione | Valore |
|---|---|---|
| accountResourceId | ID risorsa dell'account di monitoraggio. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
PerfCounterDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| counterSpecifiers | Elenco dei nomi degli identificatori dei contatori delle prestazioni da raccogliere. Usare un carattere jolly (*) per raccogliere un contatore per tutte le istanze. Per ottenere un elenco di contatori delle prestazioni in Windows, eseguire il comando 'typeperf'. |
string[] |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| samplingFrequencyInSeconds | Numero di secondi tra le misurazioni del contatore consecutive (campioni). | Int |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-InsightsMetrics' 'Microsoft-Perf' |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
PlatformTelemetryDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco dei flussi di telemetria della piattaforma da raccogliere | string[] (obbligatorio) |
PrometheusForwarderDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| labelIncludeFilter | Elenco dei filtri di inclusione delle etichette sotto forma di coppie "nome-valore". Attualmente è supportata una sola etichetta: 'microsoft_metrics_include_label'. I valori delle etichette vengono confrontati senza distinzione tra maiuscole e minuscole. |
PrometheusForwarderDataSourceLabelIncludeFilter |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. | Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-PrometheusMetrics' |
PrometheusForwarderDataSourceLabelIncludeFilter
| Nome | Descrizione | Valore |
|---|
RiferimentiSpecEnrichmentData
| Nome | Descrizione | Valore |
|---|---|---|
| storageBlobs | Tutti i BLOB di archiviazione usati come origini dati di arricchimento | StorageBlob[] |
StorageBlob
| Nome | Descrizione | Valore |
|---|---|---|
| blobUrl | URL del BLOB di archiviazione | corda |
| lookupType | Tipo di ricerca da eseguire nel BLOB | 'Cidr' 'String' |
| nome | Nome dell'origine dati di arricchimento usata come alias quando si fa riferimento a questa origine dati nei flussi di dati | corda |
| resourceId | ID risorsa dell'account di archiviazione che ospita il BLOB | corda |
StorageBlobDestination
| Nome | Descrizione | Valore |
|---|---|---|
| containerName | Nome del contenitore del BLOB di archiviazione. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| storageAccountResourceId | ID risorsa dell'account di archiviazione. | corda |
StorageTableDestination
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| storageAccountResourceId | ID risorsa dell'account di archiviazione. | corda |
| tableName | Nome della tabella di archiviazione. | corda |
StreamDeclaration
| Nome | Descrizione | Valore |
|---|---|---|
| Colonne | Elenco di colonne usate dai dati in questo flusso. | columnDefinition[] |
SyslogDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| facilityNames | Elenco dei nomi delle strutture. | Matrice di stringhe contenente uno dei seguenti elementi: '*' 'alert' 'audit' 'auth' 'authpriv' 'clock' 'cron' 'daemon' 'ftp' 'kern' 'local0' 'local1' 'local2' 'local3' 'local4' 'local5' 'local6' 'local7' 'lpr' 'mail' 'mark' 'news' 'nopri' 'ntp' 'syslog' 'user' 'uucp' |
| logLevels | Livelli di log da raccogliere. | Matrice di stringhe contenente uno dei seguenti elementi: '*' 'Alert' 'Critico' 'Debug' 'Emergency' 'Error' 'Info' 'Avviso' 'Avviso' |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Syslog' |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
UserAssignedIdentities
| Nome | Descrizione | Valore |
|---|
UserAssignedIdentity
| Nome | Descrizione | Valore |
|---|
WindowsEventLogDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Event' 'Microsoft-WindowsEvent' |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
| xPathQueries | Elenco di query del registro eventi di Windows in formato XPATH. | string[] |
WindowsFirewallLogsDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| profileFilter | Filtro del profilo dei log del firewall | Matrice di stringhe contenente uno dei seguenti elementi: 'Domain' 'Privato' 'Pubblico' |
| Flussi | Flussi dei log del firewall | string[] (obbligatorio) |
Esempi di avvio rapido
Gli esempi di avvio rapido seguenti distribuiscono questo tipo di risorsa.
| Bicep File | Descrizione |
|---|---|
| Distribuire Secure Azure AI Studio con una rete virtuale gestita | Questo modello crea un ambiente sicuro di Azure AI Studio con forti restrizioni di sicurezza di rete e identità. |
Definizione di risorsa del modello di Resource Manager
Il tipo di risorsa dataCollectionRules può essere distribuito con operazioni destinate a:
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato risorsa
Per creare una risorsa Microsoft.Insights/dataCollectionRules, aggiungere il codice JSON seguente al modello.
{
"type": "Microsoft.Insights/dataCollectionRules",
"apiVersion": "2023-03-11",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"kind": "string",
"location": "string",
"properties": {
"agentSettings": {
"logs": [
{
"name": "string",
"value": "string"
}
]
},
"dataCollectionEndpointId": "string",
"dataFlows": [
{
"builtInTransform": "string",
"captureOverflow": "bool",
"destinations": [ "string" ],
"outputStream": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"dataSources": {
"dataImports": {
"eventHub": {
"consumerGroup": "string",
"name": "string",
"stream": "string"
}
},
"extensions": [
{
"extensionName": "string",
"extensionSettings": {},
"inputDataSources": [ "string" ],
"name": "string",
"streams": [ "string" ]
}
],
"iisLogs": [
{
"logDirectories": [ "string" ],
"name": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"logFiles": [
{
"filePatterns": [ "string" ],
"format": "string",
"name": "string",
"settings": {
"text": {
"recordStartTimestampFormat": "string"
}
},
"streams": [ "string" ],
"transformKql": "string"
}
],
"performanceCounters": [
{
"counterSpecifiers": [ "string" ],
"name": "string",
"samplingFrequencyInSeconds": "int",
"streams": [ "string" ],
"transformKql": "string"
}
],
"platformTelemetry": [
{
"name": "string",
"streams": [ "string" ]
}
],
"prometheusForwarder": [
{
"labelIncludeFilter": {
"{customized property}": "string"
},
"name": "string",
"streams": [ "string" ]
}
],
"syslog": [
{
"facilityNames": [ "string" ],
"logLevels": [ "string" ],
"name": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"windowsEventLogs": [
{
"name": "string",
"streams": [ "string" ],
"transformKql": "string",
"xPathQueries": [ "string" ]
}
],
"windowsFirewallLogs": [
{
"name": "string",
"profileFilter": [ "string" ],
"streams": [ "string" ]
}
]
},
"description": "string",
"destinations": {
"azureDataExplorer": [
{
"databaseName": "string",
"name": "string",
"resourceId": "string"
}
],
"azureMonitorMetrics": {
"name": "string"
},
"eventHubs": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"eventHubsDirect": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"logAnalytics": [
{
"name": "string",
"workspaceResourceId": "string"
}
],
"microsoftFabric": [
{
"artifactId": "string",
"databaseName": "string",
"ingestionUri": "string",
"name": "string",
"tenantId": "string"
}
],
"monitoringAccounts": [
{
"accountResourceId": "string",
"name": "string"
}
],
"storageAccounts": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageBlobsDirect": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageTablesDirect": [
{
"name": "string",
"storageAccountResourceId": "string",
"tableName": "string"
}
]
},
"references": {
"enrichmentData": {
"storageBlobs": [
{
"blobUrl": "string",
"lookupType": "string",
"name": "string",
"resourceId": "string"
}
]
}
},
"streamDeclarations": {
"{customized property}": {
"columns": [
{
"name": "string",
"type": "string"
}
]
}
}
},
"tags": {
"{customized property}": "string"
}
}
Valori delle proprietà
AdxDestination
| Nome | Descrizione | Valore |
|---|---|---|
| databaseName | Nome del database in cui verranno inseriti i dati. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| resourceId | ID risorsa ARM della risorsa Adx. | corda |
AgentSetting
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome dell'impostazione. Deve far parte dell'elenco delle impostazioni supportate |
'MaxDiskQuotaInMB' 'UseTimeReceivedForForwardedEvents' |
| valore | Valore dell'impostazione | corda |
ColumnDefinition
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome della colonna. | corda |
| digitare | Tipo di dati della colonna. | 'boolean' 'datetime' 'dynamic' 'int' 'long' 'real' 'string' |
DataCollectionRuleAgentSettings
| Nome | Descrizione | Valore |
|---|---|---|
| Registri | Tutte le impostazioni applicabili all'agente di log | AgentSetting[] |
DataCollectionRuleDataSources
| Nome | Descrizione | Valore |
|---|---|---|
| dataImports | Specifiche delle origini dati basate sul pull | DataSourcesSpecDataImports |
| Estensioni | Elenco delle configurazioni dell'origine dati dell'estensione macchina virtuale di Azure. | ExtensionDataSource[] |
| iisLogs | Elenco delle configurazioni di origine dei log IIS. | IisLogsDataSource[] |
| logFiles | Elenco delle configurazioni di origine dei file di log. | LogFilesDataSource[] |
| performanceCounters | Elenco delle configurazioni dell'origine dati del contatore delle prestazioni. | PerfCounterDataSource[] |
| platformTelemetry | Elenco delle configurazioni di telemetria della piattaforma | PlatformTelemetryDataSource[] |
| prometheusForwarder | Elenco delle configurazioni dell'origine dati del server d'inoltro Prometheus. | PrometheusForwarderDataSource[] |
| syslog | Elenco delle configurazioni dell'origine dati Syslog. | SyslogDataSource[] |
| windowsEventLogs | Elenco delle configurazioni dell'origine dati del registro eventi di Windows. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Elenco delle configurazioni di origine dei log di Windows Firewall. | WindowsFirewallLogsDataSource[] |
DataCollectionRuleDestinations
| Nome | Descrizione | Valore |
|---|---|---|
| azureDataExplorer | Elenco delle destinazioni di Esplora dati di Azure. | AdxDestination[] |
| azureMonitorMetrics | Destinazione metriche di Monitoraggio di Azure. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Elenco delle destinazioni di Hub eventi. | EventHubDestination[] |
| eventHubsDirect | Elenco delle destinazioni dirette di Hub eventi. | EventHubDirectDestination[] |
| logAnalytics | Elenco delle destinazioni di log Analitica. | LogAnalyticsDestination[] |
| microsoftFabric | Elenco delle destinazioni di Microsoft Fabric. | MicrosoftFabricDestination[] |
| monitoringAccounts | Elenco delle destinazioni dell'account di monitoraggio. | MonitoringAccountDestination[] |
| storageAccounts | Elenco delle destinazioni degli account di archiviazione. | StorageBlobDestination[] |
| storageBlobsDirect | Elenco di destinazioni dirette blob di archiviazione. Da usare solo per l'invio di dati direttamente da archiviare dall'agente. | StorageBlobDestination[] |
| storageTablesDirect | Elenco delle destinazioni dirette della tabella di archiviazione. | StorageTableDestination[] |
DataCollectionRuleReferences
| Nome | Descrizione | Valore |
|---|---|---|
| arricchimentoData | Tutte le origini dati di arricchimento a cui si fa riferimento nei flussi di dati | RiferimentiSpecEnrichmentData |
DataCollectionRuleResourceIdentity
| Nome | Descrizione | Valore |
|---|---|---|
| digitare | Tipo di identità del servizio gestito (in cui sono consentiti sia i tipi SystemAssigned che UserAssigned). | 'Nessuno' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obbligatorio) |
| userAssignedIdentities | Set di identità assegnate dall'utente associate alla risorsa. Le chiavi del dizionario userAssignedIdentities saranno ID risorsa ARM nel formato : '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. I valori del dizionario possono essere oggetti vuoti ({}) nelle richieste. | UserAssignedIdentities |
DataCollectionRuleResourceProperties
| Nome | Descrizione | Valore |
|---|---|---|
| agentSettings | Impostazioni dell'agente usate per modificare il comportamento dell'agente in un determinato host | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | ID risorsa dell'endpoint di raccolta dati con cui è possibile usare questa regola. | corda |
| flussi di dati | Specifica dei flussi di dati. | flusso di dati[] |
| dataSources | Specifica delle origini dati. Questa proprietà è facoltativa e può essere omessa se la regola deve essere usata tramite chiamate dirette all'endpoint di cui è stato effettuato il provisioning. |
DataCollectionRuleDataSources |
| descrizione | Descrizione della regola di raccolta dati. | corda |
| Destinazioni | Specifica delle destinazioni. | DataCollectionRuleDestinations |
| referenze | Definisce tutti i riferimenti che possono essere usati in altre sezioni del Registro Azure Container | DataCollectionRuleReferences |
| streamDeclarations | Dichiarazione di flussi personalizzati usati in questa regola. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleResourceTags
| Nome | Descrizione | Valore |
|---|
DataCollectionRuleStreamDeclarations
| Nome | Descrizione | Valore |
|---|
Flusso
| Nome | Descrizione | Valore |
|---|---|---|
| builtInTransform | Trasformazione builtIn per trasformare i dati del flusso | corda |
| captureOverflow | Flag per abilitare la colonna overflow nelle destinazioni LA | Bool |
| Destinazioni | Elenco delle destinazioni per questo flusso di dati. | string[] |
| outputStream | Flusso di output della trasformazione. Obbligatorio solo se la trasformazione modifica i dati in un flusso diverso. | corda |
| Flussi | Elenco di flussi per questo flusso di dati. | Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
| transformKql | Query KQL per trasformare i dati del flusso. | corda |
DataImportSourcesEventHub
| Nome | Descrizione | Valore |
|---|---|---|
| consumerGroup | Nome del gruppo di consumer dell'hub eventi | corda |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| corrente | Flusso da raccogliere da EventHub | corda |
DataSourcesSpecDataImports
| Nome | Descrizione | Valore |
|---|---|---|
| eventHub | Definizione della configurazione dell'hub eventi. | DataImportSourcesEventHub |
DestinationsSpecAzureMonitorMetrics
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
EventHubDestination
| Nome | Descrizione | Valore |
|---|---|---|
| eventHubResourceId | ID risorsa dell'hub eventi. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
EventHubDirectDestination
| Nome | Descrizione | Valore |
|---|---|---|
| eventHubResourceId | ID risorsa dell'hub eventi. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
ExtensionDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| extensionName | Nome dell'estensione della macchina virtuale. | stringa (obbligatorio) |
| extensionSettings | Impostazioni dell'estensione. Il formato è specifico per una particolare estensione. | qualunque |
| inputDataSources | L'elenco di origini dati da cui questa estensione necessita di dati. | string[] |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
IisLogsDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| logDirectories | Percorso file di percorsi assoluti | string[] |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Flussi IIS | string[] (obbligatorio) |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
LogAnalyticsDestination
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| workspaceResourceId | ID risorsa dell'area di lavoro Log Analitica. | corda |
LogFilesDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| filePatterns | Modelli di file in cui si trovano i file di log | string[] (obbligatorio) |
| formato | Formato dei dati dei file di log | 'json' 'text' (obbligatorio) |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Impostazioni | Impostazioni specifiche dei file di log. | LogFilesDataSourceSettings |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica quale schema verrà usato per questa origine dati |
string[] (obbligatorio) |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
LogFilesDataSourceSettings
| Nome | Descrizione | Valore |
|---|---|---|
| Testo | Impostazioni del testo | LogFileSettingsText |
LogFileSettingsText
| Nome | Descrizione | Valore |
|---|---|---|
| recordStartTimestampFormat | Uno dei formati di timestamp supportati | 'dd/MMM/aaaa:HH:mm:ss zzz' 'ddMMyy HH:mm:ss' 'ISO 8601' 'M/D/AAAA HH:MM:SS AM/PM' 'MMM d hh:mm:ss' 'Mon DD, AAAA HH:MM:SS' 'yyMMdd HH:mm:ss' 'AAAA-MM-DD HH:MM:SS' 'yyyy-MM-ddTHH:mm:ssK' (obbligatorio) |
Microsoft.Insights/dataCollectionRules
| Nome | Descrizione | Valore |
|---|---|---|
| apiVersion | Versione dell'API | '2023-03-11' |
| identità | Identità del servizio gestita della risorsa. | DataCollectionRuleResourceIdentity |
| gentile | Tipo di risorsa. | 'Linux' 'Windows' |
| ubicazione | Posizione geografica in cui risiede la risorsa. | stringa (obbligatorio) |
| nome | Nome della risorsa | stringa (obbligatorio) |
| proprietà | Proprietà delle risorse. | DataCollectionRuleResourceProperties |
| Tag | Tag delle risorse | Dizionario di nomi e valori di tag. Vedere tag nei modelli |
| digitare | Tipo di risorsa | 'Microsoft.Insights/dataCollectionRules' |
MicrosoftFabricDestination
| Nome | Descrizione | Valore |
|---|---|---|
| artifactId | ID artefatto della risorsa di Microsoft Fabric. | corda |
| databaseName | Nome del database in cui verranno inseriti i dati. | corda |
| ingestionUri | URI di inserimento della risorsa di Microsoft Fabric. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| tenantId | ID tenant della risorsa di Microsoft Fabric. | corda |
MonitoringAccountDestination
| Nome | Descrizione | Valore |
|---|---|---|
| accountResourceId | ID risorsa dell'account di monitoraggio. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
PerfCounterDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| counterSpecifiers | Elenco dei nomi degli identificatori dei contatori delle prestazioni da raccogliere. Usare un carattere jolly (*) per raccogliere un contatore per tutte le istanze. Per ottenere un elenco di contatori delle prestazioni in Windows, eseguire il comando 'typeperf'. |
string[] |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| samplingFrequencyInSeconds | Numero di secondi tra le misurazioni del contatore consecutive (campioni). | Int |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-InsightsMetrics' 'Microsoft-Perf' |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
PlatformTelemetryDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco dei flussi di telemetria della piattaforma da raccogliere | string[] (obbligatorio) |
PrometheusForwarderDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| labelIncludeFilter | Elenco dei filtri di inclusione delle etichette sotto forma di coppie "nome-valore". Attualmente è supportata una sola etichetta: 'microsoft_metrics_include_label'. I valori delle etichette vengono confrontati senza distinzione tra maiuscole e minuscole. |
PrometheusForwarderDataSourceLabelIncludeFilter |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. | Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-PrometheusMetrics' |
PrometheusForwarderDataSourceLabelIncludeFilter
| Nome | Descrizione | Valore |
|---|
RiferimentiSpecEnrichmentData
| Nome | Descrizione | Valore |
|---|---|---|
| storageBlobs | Tutti i BLOB di archiviazione usati come origini dati di arricchimento | StorageBlob[] |
StorageBlob
| Nome | Descrizione | Valore |
|---|---|---|
| blobUrl | URL del BLOB di archiviazione | corda |
| lookupType | Tipo di ricerca da eseguire nel BLOB | 'Cidr' 'String' |
| nome | Nome dell'origine dati di arricchimento usata come alias quando si fa riferimento a questa origine dati nei flussi di dati | corda |
| resourceId | ID risorsa dell'account di archiviazione che ospita il BLOB | corda |
StorageBlobDestination
| Nome | Descrizione | Valore |
|---|---|---|
| containerName | Nome del contenitore del BLOB di archiviazione. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| storageAccountResourceId | ID risorsa dell'account di archiviazione. | corda |
StorageTableDestination
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| storageAccountResourceId | ID risorsa dell'account di archiviazione. | corda |
| tableName | Nome della tabella di archiviazione. | corda |
StreamDeclaration
| Nome | Descrizione | Valore |
|---|---|---|
| Colonne | Elenco di colonne usate dai dati in questo flusso. | columnDefinition[] |
SyslogDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| facilityNames | Elenco dei nomi delle strutture. | Matrice di stringhe contenente uno dei seguenti elementi: '*' 'alert' 'audit' 'auth' 'authpriv' 'clock' 'cron' 'daemon' 'ftp' 'kern' 'local0' 'local1' 'local2' 'local3' 'local4' 'local5' 'local6' 'local7' 'lpr' 'mail' 'mark' 'news' 'nopri' 'ntp' 'syslog' 'user' 'uucp' |
| logLevels | Livelli di log da raccogliere. | Matrice di stringhe contenente uno dei seguenti elementi: '*' 'Alert' 'Critico' 'Debug' 'Emergency' 'Error' 'Info' 'Avviso' 'Avviso' |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Syslog' |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
UserAssignedIdentities
| Nome | Descrizione | Valore |
|---|
UserAssignedIdentity
| Nome | Descrizione | Valore |
|---|
WindowsEventLogDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Event' 'Microsoft-WindowsEvent' |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
| xPathQueries | Elenco di query del registro eventi di Windows in formato XPATH. | string[] |
WindowsFirewallLogsDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| profileFilter | Filtro del profilo dei log del firewall | Matrice di stringhe contenente uno dei seguenti elementi: 'Domain' 'Privato' 'Pubblico' |
| Flussi | Flussi dei log del firewall | string[] (obbligatorio) |
Modelli di avvio rapido
I modelli di avvio rapido seguenti distribuiscono questo tipo di risorsa.
| Sagoma | Descrizione |
|---|---|
regola di raccolta dati per syslog
|
Questo modello crea una regola di raccolta dati che definisce l'origine dati (Syslog) e l'area di lavoro di destinazione. |
|
Deploy Darktrace Autoscaling vSensors
|
Questo modello consente di distribuire una distribuzione automatica della scalabilità automatica di Darktrace vSensors |
|
Distribuire Secure Azure AI Studio con una rete virtuale gestita
|
Questo modello crea un ambiente sicuro di Azure AI Studio con forti restrizioni di sicurezza di rete e identità. |
Definizione di risorsa Terraform (provider AzAPI)
Il tipo di risorsa dataCollectionRules può essere distribuito con operazioni destinate a:
- gruppi di risorse
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato risorsa
Per creare una risorsa Microsoft.Insights/dataCollectionRules, aggiungere il codice Terraform seguente al modello.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Insights/dataCollectionRules@2023-03-11"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
kind = "string"
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
agentSettings = {
logs = [
{
name = "string"
value = "string"
}
]
}
dataCollectionEndpointId = "string"
dataFlows = [
{
builtInTransform = "string"
captureOverflow = bool
destinations = [
"string"
]
outputStream = "string"
streams = [
"string"
]
transformKql = "string"
}
]
dataSources = {
dataImports = {
eventHub = {
consumerGroup = "string"
name = "string"
stream = "string"
}
}
extensions = [
{
extensionName = "string"
extensionSettings = ?
inputDataSources = [
"string"
]
name = "string"
streams = [
"string"
]
}
]
iisLogs = [
{
logDirectories = [
"string"
]
name = "string"
streams = [
"string"
]
transformKql = "string"
}
]
logFiles = [
{
filePatterns = [
"string"
]
format = "string"
name = "string"
settings = {
text = {
recordStartTimestampFormat = "string"
}
}
streams = [
"string"
]
transformKql = "string"
}
]
performanceCounters = [
{
counterSpecifiers = [
"string"
]
name = "string"
samplingFrequencyInSeconds = int
streams = [
"string"
]
transformKql = "string"
}
]
platformTelemetry = [
{
name = "string"
streams = [
"string"
]
}
]
prometheusForwarder = [
{
labelIncludeFilter = {
{customized property} = "string"
}
name = "string"
streams = [
"string"
]
}
]
syslog = [
{
facilityNames = [
"string"
]
logLevels = [
"string"
]
name = "string"
streams = [
"string"
]
transformKql = "string"
}
]
windowsEventLogs = [
{
name = "string"
streams = [
"string"
]
transformKql = "string"
xPathQueries = [
"string"
]
}
]
windowsFirewallLogs = [
{
name = "string"
profileFilter = [
"string"
]
streams = [
"string"
]
}
]
}
description = "string"
destinations = {
azureDataExplorer = [
{
databaseName = "string"
name = "string"
resourceId = "string"
}
]
azureMonitorMetrics = {
name = "string"
}
eventHubs = [
{
eventHubResourceId = "string"
name = "string"
}
]
eventHubsDirect = [
{
eventHubResourceId = "string"
name = "string"
}
]
logAnalytics = [
{
name = "string"
workspaceResourceId = "string"
}
]
microsoftFabric = [
{
artifactId = "string"
databaseName = "string"
ingestionUri = "string"
name = "string"
tenantId = "string"
}
]
monitoringAccounts = [
{
accountResourceId = "string"
name = "string"
}
]
storageAccounts = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageBlobsDirect = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageTablesDirect = [
{
name = "string"
storageAccountResourceId = "string"
tableName = "string"
}
]
}
references = {
enrichmentData = {
storageBlobs = [
{
blobUrl = "string"
lookupType = "string"
name = "string"
resourceId = "string"
}
]
}
}
streamDeclarations = {
{customized property} = {
columns = [
{
name = "string"
type = "string"
}
]
}
}
}
})
}
Valori delle proprietà
AdxDestination
| Nome | Descrizione | Valore |
|---|---|---|
| databaseName | Nome del database in cui verranno inseriti i dati. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| resourceId | ID risorsa ARM della risorsa Adx. | corda |
AgentSetting
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome dell'impostazione. Deve far parte dell'elenco delle impostazioni supportate |
'MaxDiskQuotaInMB' 'UseTimeReceivedForForwardedEvents' |
| valore | Valore dell'impostazione | corda |
ColumnDefinition
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome della colonna. | corda |
| digitare | Tipo di dati della colonna. | 'boolean' 'datetime' 'dynamic' 'int' 'long' 'real' 'string' |
DataCollectionRuleAgentSettings
| Nome | Descrizione | Valore |
|---|---|---|
| Registri | Tutte le impostazioni applicabili all'agente di log | AgentSetting[] |
DataCollectionRuleDataSources
| Nome | Descrizione | Valore |
|---|---|---|
| dataImports | Specifiche delle origini dati basate sul pull | DataSourcesSpecDataImports |
| Estensioni | Elenco delle configurazioni dell'origine dati dell'estensione macchina virtuale di Azure. | ExtensionDataSource[] |
| iisLogs | Elenco delle configurazioni di origine dei log IIS. | IisLogsDataSource[] |
| logFiles | Elenco delle configurazioni di origine dei file di log. | LogFilesDataSource[] |
| performanceCounters | Elenco delle configurazioni dell'origine dati del contatore delle prestazioni. | PerfCounterDataSource[] |
| platformTelemetry | Elenco delle configurazioni di telemetria della piattaforma | PlatformTelemetryDataSource[] |
| prometheusForwarder | Elenco delle configurazioni dell'origine dati del server d'inoltro Prometheus. | PrometheusForwarderDataSource[] |
| syslog | Elenco delle configurazioni dell'origine dati Syslog. | SyslogDataSource[] |
| windowsEventLogs | Elenco delle configurazioni dell'origine dati del registro eventi di Windows. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | Elenco delle configurazioni di origine dei log di Windows Firewall. | WindowsFirewallLogsDataSource[] |
DataCollectionRuleDestinations
| Nome | Descrizione | Valore |
|---|---|---|
| azureDataExplorer | Elenco delle destinazioni di Esplora dati di Azure. | AdxDestination[] |
| azureMonitorMetrics | Destinazione metriche di Monitoraggio di Azure. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Elenco delle destinazioni di Hub eventi. | EventHubDestination[] |
| eventHubsDirect | Elenco delle destinazioni dirette di Hub eventi. | EventHubDirectDestination[] |
| logAnalytics | Elenco delle destinazioni di log Analitica. | LogAnalyticsDestination[] |
| microsoftFabric | Elenco delle destinazioni di Microsoft Fabric. | MicrosoftFabricDestination[] |
| monitoringAccounts | Elenco delle destinazioni dell'account di monitoraggio. | MonitoringAccountDestination[] |
| storageAccounts | Elenco delle destinazioni degli account di archiviazione. | StorageBlobDestination[] |
| storageBlobsDirect | Elenco di destinazioni dirette blob di archiviazione. Da usare solo per l'invio di dati direttamente da archiviare dall'agente. | StorageBlobDestination[] |
| storageTablesDirect | Elenco delle destinazioni dirette della tabella di archiviazione. | StorageTableDestination[] |
DataCollectionRuleReferences
| Nome | Descrizione | Valore |
|---|---|---|
| arricchimentoData | Tutte le origini dati di arricchimento a cui si fa riferimento nei flussi di dati | RiferimentiSpecEnrichmentData |
DataCollectionRuleResourceIdentity
| Nome | Descrizione | Valore |
|---|---|---|
| digitare | Tipo di identità del servizio gestito (in cui sono consentiti sia i tipi SystemAssigned che UserAssigned). | 'Nessuno' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obbligatorio) |
| userAssignedIdentities | Set di identità assegnate dall'utente associate alla risorsa. Le chiavi del dizionario userAssignedIdentities saranno ID risorsa ARM nel formato : '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. I valori del dizionario possono essere oggetti vuoti ({}) nelle richieste. | UserAssignedIdentities |
DataCollectionRuleResourceProperties
| Nome | Descrizione | Valore |
|---|---|---|
| agentSettings | Impostazioni dell'agente usate per modificare il comportamento dell'agente in un determinato host | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | ID risorsa dell'endpoint di raccolta dati con cui è possibile usare questa regola. | corda |
| flussi di dati | Specifica dei flussi di dati. | flusso di dati[] |
| dataSources | Specifica delle origini dati. Questa proprietà è facoltativa e può essere omessa se la regola deve essere usata tramite chiamate dirette all'endpoint di cui è stato effettuato il provisioning. |
DataCollectionRuleDataSources |
| descrizione | Descrizione della regola di raccolta dati. | corda |
| Destinazioni | Specifica delle destinazioni. | DataCollectionRuleDestinations |
| referenze | Definisce tutti i riferimenti che possono essere usati in altre sezioni del Registro Azure Container | DataCollectionRuleReferences |
| streamDeclarations | Dichiarazione di flussi personalizzati usati in questa regola. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleResourceTags
| Nome | Descrizione | Valore |
|---|
DataCollectionRuleStreamDeclarations
| Nome | Descrizione | Valore |
|---|
Flusso
| Nome | Descrizione | Valore |
|---|---|---|
| builtInTransform | Trasformazione builtIn per trasformare i dati del flusso | corda |
| captureOverflow | Flag per abilitare la colonna overflow nelle destinazioni LA | Bool |
| Destinazioni | Elenco delle destinazioni per questo flusso di dati. | string[] |
| outputStream | Flusso di output della trasformazione. Obbligatorio solo se la trasformazione modifica i dati in un flusso diverso. | corda |
| Flussi | Elenco di flussi per questo flusso di dati. | Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
| transformKql | Query KQL per trasformare i dati del flusso. | corda |
DataImportSourcesEventHub
| Nome | Descrizione | Valore |
|---|---|---|
| consumerGroup | Nome del gruppo di consumer dell'hub eventi | corda |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| corrente | Flusso da raccogliere da EventHub | corda |
DataSourcesSpecDataImports
| Nome | Descrizione | Valore |
|---|---|---|
| eventHub | Definizione della configurazione dell'hub eventi. | DataImportSourcesEventHub |
DestinationsSpecAzureMonitorMetrics
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
EventHubDestination
| Nome | Descrizione | Valore |
|---|---|---|
| eventHubResourceId | ID risorsa dell'hub eventi. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
EventHubDirectDestination
| Nome | Descrizione | Valore |
|---|---|---|
| eventHubResourceId | ID risorsa dell'hub eventi. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
ExtensionDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| extensionName | Nome dell'estensione della macchina virtuale. | stringa (obbligatorio) |
| extensionSettings | Impostazioni dell'estensione. Il formato è specifico per una particolare estensione. | qualunque |
| inputDataSources | L'elenco di origini dati da cui questa estensione necessita di dati. | string[] |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
IisLogsDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| logDirectories | Percorso file di percorsi assoluti | string[] |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Flussi IIS | string[] (obbligatorio) |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
LogAnalyticsDestination
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| workspaceResourceId | ID risorsa dell'area di lavoro Log Analitica. | corda |
LogFilesDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| filePatterns | Modelli di file in cui si trovano i file di log | string[] (obbligatorio) |
| formato | Formato dei dati dei file di log | 'json' 'text' (obbligatorio) |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Impostazioni | Impostazioni specifiche dei file di log. | LogFilesDataSourceSettings |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica quale schema verrà usato per questa origine dati |
string[] (obbligatorio) |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
LogFilesDataSourceSettings
| Nome | Descrizione | Valore |
|---|---|---|
| Testo | Impostazioni del testo | LogFileSettingsText |
LogFileSettingsText
| Nome | Descrizione | Valore |
|---|---|---|
| recordStartTimestampFormat | Uno dei formati di timestamp supportati | 'dd/MMM/aaaa:HH:mm:ss zzz' 'ddMMyy HH:mm:ss' 'ISO 8601' 'M/D/AAAA HH:MM:SS AM/PM' 'MMM d hh:mm:ss' 'Mon DD, AAAA HH:MM:SS' 'yyMMdd HH:mm:ss' 'AAAA-MM-DD HH:MM:SS' 'yyyy-MM-ddTHH:mm:ssK' (obbligatorio) |
Microsoft.Insights/dataCollectionRules
| Nome | Descrizione | Valore |
|---|---|---|
| identità | Identità del servizio gestita della risorsa. | DataCollectionRuleResourceIdentity |
| gentile | Tipo di risorsa. | 'Linux' 'Windows' |
| ubicazione | Posizione geografica in cui risiede la risorsa. | stringa (obbligatorio) |
| nome | Nome della risorsa | stringa (obbligatorio) |
| proprietà | Proprietà delle risorse. | DataCollectionRuleResourceProperties |
| Tag | Tag delle risorse | Dizionario di nomi e valori di tag. |
| digitare | Tipo di risorsa | "Microsoft.Insights/dataCollectionRules@2023-03-11" |
MicrosoftFabricDestination
| Nome | Descrizione | Valore |
|---|---|---|
| artifactId | ID artefatto della risorsa di Microsoft Fabric. | corda |
| databaseName | Nome del database in cui verranno inseriti i dati. | corda |
| ingestionUri | URI di inserimento della risorsa di Microsoft Fabric. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| tenantId | ID tenant della risorsa di Microsoft Fabric. | corda |
MonitoringAccountDestination
| Nome | Descrizione | Valore |
|---|---|---|
| accountResourceId | ID risorsa dell'account di monitoraggio. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
PerfCounterDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| counterSpecifiers | Elenco dei nomi degli identificatori dei contatori delle prestazioni da raccogliere. Usare un carattere jolly (*) per raccogliere un contatore per tutte le istanze. Per ottenere un elenco di contatori delle prestazioni in Windows, eseguire il comando 'typeperf'. |
string[] |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| samplingFrequencyInSeconds | Numero di secondi tra le misurazioni del contatore consecutive (campioni). | Int |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-InsightsMetrics' 'Microsoft-Perf' |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
PlatformTelemetryDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco dei flussi di telemetria della piattaforma da raccogliere | string[] (obbligatorio) |
PrometheusForwarderDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| labelIncludeFilter | Elenco dei filtri di inclusione delle etichette sotto forma di coppie "nome-valore". Attualmente è supportata una sola etichetta: 'microsoft_metrics_include_label'. I valori delle etichette vengono confrontati senza distinzione tra maiuscole e minuscole. |
PrometheusForwarderDataSourceLabelIncludeFilter |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. | Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-PrometheusMetrics' |
PrometheusForwarderDataSourceLabelIncludeFilter
| Nome | Descrizione | Valore |
|---|
RiferimentiSpecEnrichmentData
| Nome | Descrizione | Valore |
|---|---|---|
| storageBlobs | Tutti i BLOB di archiviazione usati come origini dati di arricchimento | StorageBlob[] |
StorageBlob
| Nome | Descrizione | Valore |
|---|---|---|
| blobUrl | URL del BLOB di archiviazione | corda |
| lookupType | Tipo di ricerca da eseguire nel BLOB | 'Cidr' 'String' |
| nome | Nome dell'origine dati di arricchimento usata come alias quando si fa riferimento a questa origine dati nei flussi di dati | corda |
| resourceId | ID risorsa dell'account di archiviazione che ospita il BLOB | corda |
StorageBlobDestination
| Nome | Descrizione | Valore |
|---|---|---|
| containerName | Nome del contenitore del BLOB di archiviazione. | corda |
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| storageAccountResourceId | ID risorsa dell'account di archiviazione. | corda |
StorageTableDestination
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per la destinazione. Questo nome deve essere univoco in tutte le destinazioni (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| storageAccountResourceId | ID risorsa dell'account di archiviazione. | corda |
| tableName | Nome della tabella di archiviazione. | corda |
StreamDeclaration
| Nome | Descrizione | Valore |
|---|---|---|
| Colonne | Elenco di colonne usate dai dati in questo flusso. | columnDefinition[] |
SyslogDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| facilityNames | Elenco dei nomi delle strutture. | Matrice di stringhe contenente uno dei seguenti elementi: '*' 'alert' 'audit' 'auth' 'authpriv' 'clock' 'cron' 'daemon' 'ftp' 'kern' 'local0' 'local1' 'local2' 'local3' 'local4' 'local5' 'local6' 'local7' 'lpr' 'mail' 'mark' 'news' 'nopri' 'ntp' 'syslog' 'user' 'uucp' |
| logLevels | Livelli di log da raccogliere. | Matrice di stringhe contenente uno dei seguenti elementi: '*' 'Alert' 'Critico' 'Debug' 'Emergency' 'Error' 'Info' 'Avviso' 'Avviso' |
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Syslog' |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
UserAssignedIdentities
| Nome | Descrizione | Valore |
|---|
UserAssignedIdentity
| Nome | Descrizione | Valore |
|---|
WindowsEventLogDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| Flussi | Elenco di flussi a cui verrà inviata l'origine dati. Un flusso indica lo schema che verrà usato per questi dati e in genere la tabella in Log Analitica i dati verranno inviati. |
Matrice di stringhe contenente uno dei seguenti elementi: 'Microsoft-Event' 'Microsoft-WindowsEvent' |
| transformKql | Query KQL per trasformare l'origine dati. | corda |
| xPathQueries | Elenco di query del registro eventi di Windows in formato XPATH. | string[] |
WindowsFirewallLogsDataSource
| Nome | Descrizione | Valore |
|---|---|---|
| nome | Nome descrittivo per l'origine dati. Questo nome deve essere univoco in tutte le origini dati (indipendentemente dal tipo) all'interno della regola di raccolta dati. |
corda |
| profileFilter | Filtro del profilo dei log del firewall | Matrice di stringhe contenente uno dei seguenti elementi: 'Domain' 'Privato' 'Pubblico' |
| Flussi | Flussi dei log del firewall | string[] (obbligatorio) |