Structuur van een regel voor gegevensverzameling in Azure Monitor
Regels voor gegevensverzameling (DCR's) zijn sets instructies die bepalen hoe telemetriegegevens moeten worden verzameld en verwerkt die naar Azure Monitor worden verzonden. Sommige DCR's worden gemaakt en beheerd door Azure Monitor. In dit artikel wordt de JSON-structuur van DCR's beschreven voor het maken en bewerken ervan in gevallen waarin u er rechtstreeks mee moet werken.
- Zie Regels voor gegevensverzameling (DCR's) maken en bewerken in Azure Monitor voor meer informatie over het werken met de JSON die hier wordt beschreven.
- Zie Regels voor voorbeeldgegevensverzameling (DCR's) in Azure Monitor voor voorbeeld-DCR's voor verschillende scenario's.
Eigenschappen
In de volgende tabel worden eigenschappen op het hoogste niveau van de DCR beschreven.
| Eigenschappen | Beschrijving |
|---|---|
description |
Optionele beschrijving van de regel voor gegevensverzameling die door de gebruiker is gedefinieerd. |
dataCollectionEndpointId |
Resource-id van het eindpunt voor gegevensverzameling (DCE) dat wordt gebruikt door de DCR als u er een hebt opgegeven toen de DCR werd gemaakt. Deze eigenschap is niet aanwezig in DCR's die geen DCE gebruiken. |
endpoints1 |
Bevat de logsIngestion en metricsIngestion URL van de eindpunten voor de DCR. Deze sectie en de eigenschappen ervan worden automatisch gemaakt wanneer de DCR alleen wordt gemaakt als het kind kenmerk in de DCR is Direct. |
immutableId |
Een unieke id voor de regel voor gegevensverzameling. Deze eigenschap en de bijbehorende waarde worden automatisch gemaakt wanneer de DCR wordt gemaakt. |
kind |
Hiermee geeft u het scenario voor gegevensverzameling waarvoor de DCR wordt gebruikt. Deze parameter wordt hieronder verder beschreven. |
1Deze eigenschap is niet gemaakt voor DCR's die zijn gemaakt vóór 31 maart 2024. DCR's die vóór deze datum zijn gemaakt, vereist een eindpunt voor gegevensverzameling (DCE) en de dataCollectionEndpointId eigenschap die moet worden opgegeven. Als u deze ingesloten DCE's wilt gebruiken, moet u een nieuwe DCR maken.
Soort
De kind eigenschap in de DCR geeft het type verzameling op waarvoor de DCR wordt gebruikt. Elk type DCR heeft een andere structuur en eigenschappen.
De volgende tabel bevat de verschillende soorten DCR's en de bijbehorende details.
| Soort | Beschrijving |
|---|---|
Direct |
Directe opname met behulp van logboekopname-API. Eindpunten worden alleen voor de DCR gemaakt als deze soort waarde wordt gebruikt. |
AgentDirectToStore |
Verzamelde gegevens verzenden naar Azure Storage en Event Hubs. |
AgentSettings |
Azure Monitor-agentparameters configureren. |
Linux |
Gebeurtenissen en prestatiegegevens verzamelen van Linux-machines. |
PlatformTelemetry |
Metrische platformgegevens exporteren. |
Windows |
Gebeurtenissen en prestatiegegevens verzamelen van Windows-computers. |
WorkspaceTransforms |
DCR voor werkruimtetransformatie. Deze DCR bevat geen invoerstroom. |
Overzicht van DCR-gegevensstroom
De basisstroom van een DCR wordt weergegeven in het volgende diagram. Elk van de onderdelen wordt beschreven in de volgende secties.
Invoerstromen
De invoerstroomsectie van een DCR definieert de binnenkomende gegevens die worden verzameld. Er zijn twee typen binnenkomende stroom, afhankelijk van het specifieke scenario voor gegevensverzameling. In de meeste scenario's voor gegevensverzameling wordt een van de invoerstromen gebruikt, terwijl sommige beide kunnen gebruiken.
Notitie
DCR's voor werkruimtetransformatie hebben geen invoerstroom.
| Invoerstroom | Beschrijving |
|---|---|
dataSources |
Bekend type gegevens. Dit zijn vaak gegevens die door de Azure Monitor-agent worden verwerkt en aan Azure Monitor worden geleverd met behulp van een bekend gegevenstype. |
streamDeclarations |
Aangepaste gegevens die moeten worden gedefinieerd in de DCR. |
Gegevens die worden verzonden vanuit de logboekopname-API maken gebruik van een streamDeclaration schema van de binnenkomende gegevens. Dit komt doordat de API aangepaste gegevens verzendt die elk schema kunnen hebben.
Tekstlogboeken van AMA zijn een voorbeeld van gegevensverzameling waarvoor zowel dataSources als streamDeclarations. De gegevensbron bevat de configuratie
Gegevensbronnen
Gegevensbronnen zijn unieke bronnen voor het bewaken van gegevens die elk een eigen indeling en methode hebben voor het weergeven van de gegevens. Elk gegevensbrontype heeft een unieke set parameters die voor elke gegevensbron moeten worden geconfigureerd. De gegevens die door de gegevensbron worden geretourneerd, zijn doorgaans een bekend type, zodat het schema niet hoeft te worden gedefinieerd in de DCR.
Gebeurtenissen en prestatiegegevens die zijn verzameld van een VIRTUELE machine met de Azure Monitor-agent (AMA), gebruiken bijvoorbeeld gegevensbronnen zoals windowsEventLogs en performanceCounters. U geeft criteria op voor de gebeurtenissen en prestatiemeteritems die u wilt verzamelen, maar u hoeft de structuur van de gegevens zelf niet te definiëren, omdat dit een bekend schema is voor potentiële binnenkomende gegevens.
Gezamenlijke parameters
Alle typen gegevensbronnen delen de volgende algemene parameters.
| Parameter | Description |
|---|---|
name |
Naam om de gegevensbron in de DCR te identificeren. |
streams |
Lijst met streams die door de gegevensbron worden verzameld. Als dit een standaardgegevenstype is, zoals een Windows-gebeurtenis, wordt de stream in het formulier weergegeven Microsoft-<TableName>. Als het een aangepast type is, wordt het in het formulier weergegeven Custom-<TableName> |
Geldige gegevensbrontypen
De gegevensbrontypen die momenteel beschikbaar zijn, worden weergegeven in de volgende tabel.
| Gegevensbrontype | Beschrijving | Stromen | Parameters |
|---|---|---|---|
eventHub |
Gegevens van Azure Event Hubs. | Aangepast1 | consumerGroup - Consumentengroep van Event Hub waaruit moet worden verzameld. |
iisLogs |
IIS-logboeken van Windows-computers | Microsoft-W3CIISLog |
logDirectories - Map waarin IIS-logboeken worden opgeslagen op de client. |
logFiles |
Tekst- of json-logboek op een virtuele machine | Aangepast1 | filePatterns - Map- en bestandspatroon voor logboekbestanden die van de client moeten worden verzameld.format - json of tekst |
performanceCounters |
Prestatiemeteritems voor virtuele Windows- en Linux-machines | Microsoft-PerfMicrosoft-InsightsMetrics |
samplingFrequencyInSeconds - Frequentie waarmee prestatiegegevens moeten worden bemonsterd.counterSpecifiers - Objecten en tellers die moeten worden verzameld. |
prometheusForwarder |
Prometheus-gegevens die zijn verzameld uit het Kubernetes-cluster. | Microsoft-PrometheusMetrics |
streams - Streams die moeten worden verzameldlabelIncludeFilter - Lijst met labelopnamefilters als naam-waardeparen. Momenteel wordt alleen 'microsoft_metrics_include_label' ondersteund. |
syslog |
Syslog-gebeurtenissen op virtuele Linux-machines | Microsoft-Syslog |
facilityNames - Faciliteiten om te verzamelenlogLevels - Logboekniveaus die moeten worden verzameld |
windowsEventLogs |
Windows-gebeurtenislogboek op virtuele machines | Microsoft-Event |
xPathQueries - XPaths die de criteria opgeven voor de gebeurtenissen die moeten worden verzameld. |
extension |
Op extensies gebaseerde gegevensbron die wordt gebruikt door de Azure Monitor-agent. | Verschilt per extensie | extensionName - Naam van de extensieextensionSettings - Waarden voor elke instelling die is vereist voor de extensie |
1 Deze gegevensbronnen gebruiken zowel een gegevensbron als een stroomdeclaratie, omdat het schema van de gegevens die ze verzamelen kan variëren. De stroom die in de gegevensbron wordt gebruikt, moet de aangepaste stroom zijn die is gedefinieerd in de stroomdeclaratie.
Stream-declaraties
Declaratie van de verschillende typen gegevens die naar de Log Analytics-werkruimte worden verzonden. Elke stream is een object waarvan de sleutel de stroomnaam vertegenwoordigt, die moet beginnen met Aangepast. De stream bevat een volledige lijst met eigenschappen op het hoogste niveau die zijn opgenomen in de JSON-gegevens die worden verzonden. De vorm van de gegevens die u naar het eindpunt verzendt, hoeft niet overeen te komen met die van de doeltabel. In plaats daarvan moet de uitvoer van de transformatie die boven op de invoergegevens wordt toegepast, overeenkomen met de doelshape.
Data types
De mogelijke gegevenstypen die aan de eigenschappen kunnen worden toegewezen, zijn:
stringintlongrealbooleandynamicdatetime.
Bestemmingen
De destinations sectie bevat een vermelding voor elke bestemming waar de gegevens worden verzonden. Deze bestemmingen worden vergeleken met invoerstromen in de dataFlows sectie.
Gezamenlijke parameters
| Parameters | Beschrijving |
|---|---|
name |
Naam om de bestemming in de dataSources sectie te identificeren. |
Geldige bestemmingen
De bestemmingen die momenteel beschikbaar zijn, worden weergegeven in de volgende tabel.
| Bestemming | Beschrijving | Vereiste parameters |
|---|---|---|
logAnalytics |
Log Analytics-werkruimte | workspaceResourceId - Resource-id van de werkruimte.workspaceID - Id van de werkruimteHiermee geeft u alleen de werkruimte op, niet de tabel waarin de gegevens worden verzonden. Als het een bekende bestemming is, hoeft er geen tabel te worden opgegeven. Voor aangepaste tabellen wordt de tabel opgegeven in de gegevensbron. |
azureMonitorMetrics |
Metrische gegevens van Azure Monitor | Er is geen configuratie vereist omdat er slechts één metrische gegevensopslag voor het abonnement is. |
storageTablesDirect |
Azure Table Storage | storageAccountResourceId - Resource-id van het opslagaccounttableName - Naam van de tabel |
storageBlobsDirect |
Azure Blob Storage | storageAccountResourceId - Resource-id van het opslagaccountcontainerName - Naam van de blobcontainer |
eventHubsDirect |
Event Hubs | eventHubsDirect - Resource-id van de Event Hub. |
Belangrijk
Eén stream kan slechts verzenden naar één Log Analytics-werkruimte in een DCR. U kunt meerdere dataFlow vermeldingen voor één stream hebben als ze verschillende tabellen in dezelfde werkruimte gebruiken. Als u gegevens vanuit één stream naar meerdere Log Analytics-werkruimten wilt verzenden, maakt u een afzonderlijke DCR voor elke werkruimte.
Gegevensstromen
Gegevensstromen komen overeen met invoerstromen met bestemmingen. Elke gegevensbron kan eventueel een transformatie opgeven en in sommige gevallen wordt een specifieke tabel in de Log Analytics-werkruimte opgegeven.
Eigenschappen van gegevensstroom
| Sectie | Beschrijving |
|---|---|
streams |
Een of meer streams die zijn gedefinieerd in de sectie invoerstromen. U kunt meerdere streams opnemen in één gegevensstroom als u meerdere gegevensbronnen naar dezelfde bestemming wilt verzenden. Gebruik echter slechts één stream als de gegevensstroom een transformatie bevat. Eén stroom kan ook worden gebruikt door meerdere gegevensstromen wanneer u een bepaalde gegevensbron naar meerdere tabellen in dezelfde Log Analytics-werkruimte wilt verzenden. |
destinations |
Een of meer bestemmingen uit de destinations bovenstaande sectie. Meerdere bestemmingen zijn toegestaan voor multihoming-scenario's. |
transformKql |
Optionele transformatie toegepast op de binnenkomende stroom. De transformatie moet inzicht hebben in het schema van de binnenkomende gegevens en uitvoergegevens in het schema van de doeltabel. Als u een transformatie gebruikt, mag de gegevensstroom slechts één stroom gebruiken. |
outputStream |
Beschrijft naar welke tabel in de werkruimte die is opgegeven onder de destination eigenschap waarnaar de gegevens worden verzonden. De waarde heeft outputStream de indeling Microsoft-[tableName] wanneer gegevens worden opgenomen in een standaardtabel of Custom-[tableName] bij het opnemen van gegevens in een aangepaste tabel. Er is slechts één bestemming per stream toegestaan.Deze eigenschap wordt niet gebruikt voor bekende gegevensbronnen van Azure Monitor, zoals gebeurtenissen en prestatiegegevens, omdat deze worden verzonden naar vooraf gedefinieerde tabellen. |
Volgende stappen
Overzicht van regels en methoden voor het verzamelen van gegevens voor het maken ervan