Gegevens uit Log Analytics-werkruimte exporteren naar Azure Monitor

Met gegevensexport in een Log Analytics-werkruimte kunt u continu gegevens exporteren per geselecteerde tabellen in uw werkruimte. U kunt exporteren naar een Azure Storage-account of Azure Event Hubs wanneer de gegevens binnenkomen in een Azure Monitor-pijplijn. Dit artikel bevat informatie over deze functie en stappen voor het configureren van gegevensexport in uw werkruimten.

Overzicht

Gegevens in Log Analytics zijn beschikbaar voor de retentieperiode die is gedefinieerd in uw werkruimte. Het wordt gebruikt in verschillende ervaringen die worden geboden in Azure Monitor en Azure-services. Er zijn gevallen waarin u andere hulpprogramma's moet gebruiken:

• Naleving van beveiligde opslag met manipulatie: gegevens kunnen niet worden gewijzigd in Log Analytics nadat ze zijn opgenomen, maar kunnen worden opgeschoond. Exporteren naar een opslagaccount dat is ingesteld met onveranderbaarheidsbeleid om gegevens gemanipuleerd te houden.
• Integratie met Azure-services en andere hulpprogramma's: exporteren naar Event Hubs wanneer gegevens binnenkomen en worden verwerkt in Azure Monitor.
• Langetermijnretentie van controle- en beveiligingsgegevens: exporteren naar een opslagaccount in de regio van de werkruimte. U kunt ook gegevens repliceren naar andere regio's met behulp van een van de azure Storage-redundantieopties , waaronder GRS en GZRS.

Nadat u regels voor gegevensexport in een Log Analytics-werkruimte hebt geconfigureerd, worden nieuwe gegevens voor tabellen in regels geëxporteerd vanuit de Azure Monitor-pijplijn naar uw opslagaccount of Event Hubs wanneer deze binnenkomen. Gegevensexportverkeer bevindt zich in het Backbone-netwerk van Azure en verlaat het Azure-netwerk niet.

Gegevens worden geëxporteerd zonder filter. Wanneer u bijvoorbeeld een regel voor gegevensexport configureert voor een SecurityEvent-tabel , worden alle gegevens die naar de SecurityEvent-tabel worden verzonden, geëxporteerd vanaf de configuratietijd. U kunt geëxporteerde gegevens ook filteren of wijzigen door transformaties in uw werkruimte te configureren, die van toepassing zijn op binnenkomende gegevens, voordat deze naar uw Log Analytics-werkruimten worden verzonden en bestemmingen worden geëxporteerd.

Andere exportopties

Gegevensexport van Log Analytics-werkruimte exporteert continu gegevens die naar uw Log Analytics-werkruimte worden verzonden. Er zijn andere opties voor het exporteren van gegevens voor bepaalde scenario's:

• Configureer diagnostische instellingen in Azure-resources. Logboeken worden rechtstreeks naar een bestemming verzonden. Deze benadering heeft een lagere latentie vergeleken met gegevensexport in Log Analytics.
• Plan het exporteren van gegevens op basis van een logboekquery die u definieert met de Log Analytics-query-API. Gebruik Azure Data Factory, Azure Functions of Azure Logic Apps om query's in uw werkruimte te organiseren en gegevens naar een bestemming te exporteren. Deze methode is vergelijkbaar met de functie voor gegevensexport, maar u kunt deze gebruiken om historische gegevens uit uw werkruimte te exporteren met behulp van filters en aggregatie. Deze methode is onderhevig aan limieten voor logboekquery's en is niet bedoeld voor schaalaanpassing. Zie Gegevens uit een Log Analytics-werkruimte exporteren naar een opslagaccount met behulp van Logic Apps voor meer informatie.
• Eenmalige export naar een lokale computer met behulp van een PowerShell-script. Zie Invoke-AzOperationalInsightsQueryExport voor meer informatie.

Beperkingen

• Aangepaste logboeken die zijn gemaakt met behulp van de HTTP Data Collector-API kunnen niet worden geëxporteerd, inclusief logboeken op basis van tekst die worden gebruikt door de Log Analytics-agent. Aangepaste logboeken die zijn gemaakt met regels voor gegevensverzameling, inclusief logboeken op basis van tekst, kunnen worden geëxporteerd.
• Gegevensexport ondersteunt geleidelijk meer tabellen, maar is momenteel beperkt tot tabellen die zijn opgegeven in de sectie ondersteunde tabellen . U kunt tabellen opnemen die nog niet worden ondersteund in regels, maar er worden geen gegevens geëxporteerd totdat de tabellen worden ondersteund.
• U kunt maximaal 10 regels definiëren in uw werkruimte, die elk meerdere tabellen kunnen bevatten. U kunt meer regels maken in de werkruimte met de status Uitgeschakeld.
• Bestemmingen moeten zich in dezelfde regio bevinden als de Log Analytics-werkruimte.
• Het opslagaccount moet uniek zijn in alle regels in de werkruimte.
• Tabelnamen kunnen 60 tekens lang zijn wanneer u exporteert naar een opslagaccount. Ze kunnen 47 tekens zijn wanneer u exporteert naar Event Hubs. Tabellen met langere namen worden niet geëxporteerd.
• Exporteren naar Premium Storage-account wordt niet ondersteund.
• Er worden momenteel geen kosten in rekening gebracht voor export naar onafhankelijke clouds. Er wordt een melding verzonden voordat deze wordt ingeschakeld.

Volledigheid van gegevens

Gegevensexport is geoptimaliseerd voor het verplaatsen van grote gegevensvolumes naar uw bestemmingen. In het geval van een bestemming met onvoldoende schaal of beschikbaarheid blijft een proces voor opnieuw proberen maximaal 12 uur bestaan en kan dit leiden tot een fractie van duplicatie van de geëxporteerde records. Volg aanbevelingen voor opslagaccount - en Event Hubs-bestemmingen om de betrouwbaarheid te verbeteren. Zie Een gegevensexportregel maken of bijwerken voor meer informatie over doellimieten en aanbevolen waarschuwingen. Als de bestemmingen na de periode van opnieuw proberen nog steeds niet beschikbaar zijn, worden de gegevens verwijderd.

Prijsmodel

Kosten voor gegevensexport zijn gebaseerd op het aantal bytes dat naar bestemmingen in JSON-indeling is geëxporteerd en gemeten in GB (10^9 bytes). De grootteberekening in de werkruimtequery kan niet overeenkomen met exportkosten, omdat de opgemaakte JSON-gegevens niet zijn opgenomen. U kunt PowerShell gebruiken om de totale factureringsgrootte van een blobcontainer te berekenen. Er worden momenteel geen kosten in rekening gebracht voor export naar onafhankelijke clouds. Er wordt een melding verzonden voordat deze wordt ingeschakeld.

Zie de prijzen van Azure Monitor voor meer informatie, waaronder de factureringstijdlijn voor gegevensexport. Facturering voor gegevensexport is begin oktober 2023 ingeschakeld.

Bestemmingen exporteren

De bestemming voor het exporteren van gegevens moet beschikbaar zijn voordat u exportregels in uw werkruimte maakt. Bestemmingen hoeven zich niet in hetzelfde abonnement als uw werkruimte te bevinden. Wanneer u Azure Lighthouse gebruikt, is het ook mogelijk om gegevens te verzenden naar bestemmingen in een andere Microsoft Entra-tenant.

U moet schrijfmachtigingen hebben voor zowel werkruimte als bestemming om een regel voor gegevensexport in een tabel in een werkruimte te configureren. Het beleid voor gedeelde toegang voor de Event Hubs-naamruimte definieert de machtigingen die het streamingmechanisme heeft. Voor streaming naar Event Hubs zijn machtigingen voor beheer, verzenden en luisteren vereist. Als u de exportregel wilt bijwerken, moet u de machtiging ListKey hebben voor die Event Hubs-autorisatieregel.

Opslagaccount

Vermijd het gebruik van een bestaand opslagaccount dat andere niet-bewakingsgegevens bevat, om de toegang tot de gegevens beter te beheren, om te voorkomen dat opslaglimietfouten en latentie worden bereikt.

Als u gegevens wilt verzenden naar een onveranderbaar opslagaccount, stelt u het onveranderbare beleid voor het opslagaccount in zoals beschreven in Beleid voor onveranderbaarheid instellen en beheren voor Azure Blob Storage. U moet alle stappen in dit artikel volgen, inclusief het inschakelen van beveiligde toevoeg-blobs-schrijfbewerkingen.

Het opslagaccount kan niet Premium zijn, moet StorageV1 of hoger zijn en zich in dezelfde regio bevinden als uw werkruimte. Als u uw gegevens wilt repliceren naar andere opslagaccounts in andere regio's, kunt u een van de redundantieopties van Azure Storage gebruiken, waaronder GRS en GZRS.

Gegevens worden naar opslagaccounts verzonden wanneer ze Azure Monitor bereiken en worden geëxporteerd naar bestemmingen die zich in een werkruimteregio bevinden. Er wordt een container gemaakt voor elke tabel in het opslagaccount met de naam am, gevolgd door de naam van de tabel. De tabel SecurityEvent verzendt bijvoorbeeld naar een container met de naam am-SecurityEvent.

Blobs worden opgeslagen in mappen van 5 minuten in de volgende padstructuur: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeriek jaar>/m=<tweecijferige numerieke maand>/d=<tweecijferige numerieke dag>/h=<tweecijferige 24-uurs klokuur>/m=<tweecijferige 60 minuten klokminut>/PT05M.json. Toevoegbewerkingen aan blobs zijn beperkt tot schrijfbewerkingen van 50 K. Er worden meer blobs in de map toegevoegd als PT05M_#.json*, waarbij '#' het aantal incrementele blobs is.

Notitie

Toevoegt aan blobs worden geschreven op basis van het veld 'TimeGenerated' en vinden plaats bij het ontvangen van brongegevens. Gegevens die met vertraging naar Azure Monitor binnenkomen of opnieuw proberen de volgende bestemmingen te beperken, worden naar blobs geschreven volgens timeGenerated.

De indeling van blobs in een opslagaccount bevindt zich in JSON-regels, waarbij elke record wordt gescheiden door een nieuwe regel, zonder buitenste recordsmatrix en geen komma's tussen JSON-records.

Event Hubs

Vermijd het gebruik van bestaande Event Hub met niet-bewakingsgegevens om te voorkomen dat de Event Hubs-naamruimte frequentielimietfouten en latentie bereikt.

Gegevens worden naar uw Event Hub verzonden wanneer deze Azure Monitor bereikt en worden geëxporteerd naar bestemmingen in een werkruimteregio. U kunt meerdere exportregels maken naar dezelfde Event Hubs-naamruimte door een andere Event Hub name regel op te geven. Wanneer er Event Hub name geen gegevens worden opgegeven, wordt er een standaard Event Hub gemaakt voor tabellen die u exporteert met de naam am, gevolgd door de naam van de tabel. De tabel SecurityEvent wordt bijvoorbeeld verzonden naar een Event Hub met de naam am-SecurityEvent.

Het aantal ondersteunde Event Hubs in basic- en Standard-naamruimtelagen is 10. Wanneer u meer dan 10 tabellen naar deze lagen exporteert, splitst u de tabellen tussen verschillende exportregels naar verschillende Event Hubs-naamruimten of geeft u een Event Hub-naam op om alle tabellen ernaar te exporteren.

Notitie

• De basic Event Hubs-naamruimtelaag is beperkt. Het biedt ondersteuning voor lagere gebeurtenisgrootten en geen optie voor automatisch vergroten om automatisch omhoog te schalen en het aantal doorvoereenheden te verhogen. Omdat het gegevensvolume naar uw werkruimte in de loop van de tijd toeneemt en als gevolg hiervan Event Hub-schaalaanpassing is vereist, gebruikt u de lagen Standard, Premium of Dedicated Event Hubs waarvoor de functie automatisch vergroten is ingeschakeld. Zie Azure Event Hubs-doorvoereenheden automatisch omhoog schalen voor meer informatie.
• Gegevensexport kan geen Event Hubs-resources bereiken wanneer virtuele netwerken zijn ingeschakeld. U moet het selectievakje Azure-services toestaan in de lijst met vertrouwde services inschakelen om toegang te krijgen tot dit opslagaccount om deze firewallinstelling in een Event Hub te omzeilen om toegang te verlenen tot uw Event Hubs.

Geëxporteerde gegevens opvragen

Als u gegevens exporteert van werkruimten naar opslagaccounts, kunt u voldoen aan verschillende scenario's die in het overzicht worden vermeld en kunnen worden gebruikt door hulpprogramma's die blobs uit opslagaccounts kunnen lezen. Met de volgende methoden kunt u query's uitvoeren op gegevens met behulp van de Log Analytics-querytaal. Dit is hetzelfde voor Azure Data Explorer.

1. Gebruik Azure Data Explorer om query's uit te voeren op gegevens in Azure Data Lake.
2. Gebruik Azure Data Explorer om gegevens op te nemen uit een opslagaccount.
3. Gebruik de Log Analytics-werkruimte om query's uit te voeren op opgenomen gegevens met behulp van de Logboekopname-API . Opgenomen gegevens zijn van een aangepaste logboektabel en niet van de oorspronkelijke tabel.

Gegevensexport inschakelen

De volgende stappen moeten worden uitgevoerd om Log Analytics-gegevensexport in te schakelen. Zie de volgende secties voor meer informatie:

• De resourceprovider registreren
• Vertrouwde Microsoft-services toestaan
• Een gegevensexportregel maken of bijwerken

De resourceprovider registreren

De Azure-resourceprovider Microsoft.Insights moet worden geregistreerd in uw abonnement om Log Analytics-gegevensexport in te schakelen.

Deze resourceprovider is waarschijnlijk al geregistreerd voor de meeste Azure Monitor-gebruikers. Als u dit wilt controleren, gaat u naar Abonnementen in Azure Portal. Selecteer uw abonnement en selecteer vervolgens Resourceproviders in de sectie Instellingen van het menu. Zoek Microsoft.Insights. Als de status Geregistreerd is, is deze al geregistreerd. Als dat niet het is, selecteert u Registreren om deze te registreren.

U kunt ook een van de beschikbare methoden gebruiken om een resourceprovider te registreren, zoals beschreven in Azure-resourceproviders en -typen. De volgende voorbeeldopdracht maakt gebruik van de Azure CLI:

az provider register --namespace 'Microsoft.insights'

De volgende voorbeeldopdracht maakt gebruik van PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Vertrouwde Microsoft-services toestaan

Als u uw opslagaccount hebt geconfigureerd om toegang vanuit geselecteerde netwerken toe te staan, moet u een uitzondering toevoegen om Azure Monitor toe te staan naar het account te schrijven. Selecteer vanuit Firewalls en virtuele netwerken voor uw opslagaccount de optie Azure-services toestaan in de lijst met vertrouwde services voor toegang tot dit opslagaccount.

Bestemmingen bewaken

Belangrijk

Exportbestemmingen hebben limieten en moeten worden bewaakt om beperking, fouten en latentie te minimaliseren. Zie de quota's voor de schaalbaarheid van opslagaccounts en Event Hubs-naamruimten voor meer informatie.

De volgende metrische gegevens zijn beschikbaar voor het exporteren van gegevens en waarschuwingen

Naam van meetwaarde	Beschrijving
Geëxporteerde bytes	Het totale aantal bytes dat naar de bestemming is geëxporteerd vanuit de Log Analytics-werkruimte binnen het geselecteerde tijdsbereik. De grootte van de geëxporteerde gegevens is het aantal bytes in de geëxporteerde JSON-indelingsgegevens. 1 GB = 10^9 bytes.
Exportfouten	Het totale aantal mislukte exportaanvragen naar bestemming vanuit de Log Analytics-werkruimte binnen het geselecteerde tijdsbereik. Dit aantal omvat mislukte exportpogingen vanwege beperking van doelresources, fout met verboden toegang of een serverfout. Een proces voor opnieuw proberen verwerkt mislukte pogingen en het getal is geen indicatie voor ontbrekende gegevens.
Geëxporteerde records	Het totale aantal records dat is geëxporteerd vanuit de Log Analytics-werkruimte binnen het geselecteerde tijdsbereik. Met dit aantal worden records geteld voor bewerkingen die zijn beëindigd met succes.

Een opslagaccount bewaken

1. Gebruik een afzonderlijk opslagaccount voor export.

2. Configureer een waarschuwing voor de metrische gegevens:

   Bereik	Metrische naamruimte	Metrische gegevens	Statistische functie	Threshold
   opslagnaam	Rekening	Inkomend verkeer	Sum	80% van het maximum aantal ingangen per evaluatieperiode voor waarschuwingen. De limiet is bijvoorbeeld 60 Gbps voor algemeen gebruik v2 in VS - west. De waarschuwingsdrempel is 1676 GiB per evaluatieperiode van 5 minuten.

3. Herstelacties voor waarschuwingen:

   • Gebruik een afzonderlijk opslagaccount voor export die niet wordt gedeeld met niet-bewakingsgegevens.
   • Azure Storage Standard-accounts ondersteunen een hogere limiet voor inkomend verkeer per aanvraag. Neem contact op met Ondersteuning voor Azure om een verhoging aan te vragen.
   • Tabellen splitsen tussen meer opslagaccounts.

Event Hubs bewaken

1. Waarschuwingen voor de metrische gegevens configureren:

   Bereik	Metrische naamruimte	Metrische gegevens	Statistische functie	Threshold
   naamruimten-naam	Metrische standaardgegevens van Event Hubs	Binnenkomende bytes	Sum	80% van het maximum aantal ingangen per evaluatieperiode voor waarschuwingen. De limiet is bijvoorbeeld 1 MB/s per eenheid (TU of PU) en vijf eenheden die worden gebruikt. De drempelwaarde is 228 MiB per evaluatieperiode van 5 minuten.
   naamruimten-naam	Metrische standaardgegevens van Event Hubs	Binnenkomende aanvragen	Tellen	80% van de maximale gebeurtenissen per evaluatieperiode voor waarschuwingen. De limiet is bijvoorbeeld 1000/s per eenheid (TU of PU) en vijf eenheden die worden gebruikt. De drempelwaarde is 1.200.000 per evaluatieperiode van 5 minuten.
   naamruimten-naam	Metrische standaardgegevens van Event Hubs	Fouten met overschreden quotum	Tellen	Tussen 1% van de aanvraag. Aanvragen per 5 minuten zijn bijvoorbeeld 600.000. De drempelwaarde is 6000 per evaluatieperiode van 5 minuten.

2. Herstelacties voor waarschuwingen:

   • Gebruik een afzonderlijke Event Hubs-naamruimte voor export die niet wordt gedeeld met niet-bewakingsgegevens.
   • Configureer de functie Automatisch vergroten om automatisch omhoog te schalen en het aantal doorvoereenheden te verhogen om te voldoen aan de gebruiksbehoeften.
   • Controleer of de toename van doorvoereenheden geschikt is voor gegevensvolume.
   • Tabellen splitsen tussen meer naamruimten.
   • Gebruik Premium- of Dedicated-lagen voor hogere doorvoer.

Een gegevensexportregel maken of bijwerken

Een gegevensexportregel definieert de bestemming en tabellen waarvoor gegevens worden geëxporteerd. Het inrichten van regels duurt ongeveer 30 minuten voordat de exportbewerking is gestart. Overwegingen voor gegevensexportregels:

• Het opslagaccount moet uniek zijn in alle regels in de werkruimte.
• Meerdere regels kunnen dezelfde Event Hubs-naamruimte gebruiken wanneer u naar afzonderlijke Event Hubs verzendt.
• Exporteren naar een opslagaccount: er wordt voor elke tabel een afzonderlijke container gemaakt in het opslagaccount.
• Exporteren naar Event Hubs: Als er geen Event Hub-naam wordt opgegeven, wordt er voor elke tabel een afzonderlijke Event Hub gemaakt. Het aantal ondersteunde Event Hubs in basic- en Standard-naamruimtelagen is 10. Wanneer u meer dan 10 tabellen naar deze lagen exporteert, splitst u de tabellen tussen verschillende exportregels naar verschillende Event Hubs-naamruimten of geeft u een Event Hub-naam op in de regel om alle tabellen ernaar te exporteren.

Azure-portal

1. Selecteer gegevensexport in het menu van de Log Analytics-werkruimte in Azure Portal onder de sectie Instellingen. Selecteer Nieuwe exportregel boven aan het deelvenster.

   

2. Volg de stappen en selecteer Vervolgens Maken. Alleen de tabellen met daarin gegevens worden weergegeven op het tabblad Bron.

   

PowerShell

Gebruik de volgende opdracht om een gegevensexportregel te maken naar een opslagaccount met behulp van PowerShell. Er wordt een afzonderlijke container gemaakt voor elke tabel.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Gebruik de volgende opdracht om een regel voor gegevensexport naar een specifieke Event Hub te maken met behulp van PowerShell. Alle tabellen worden geëxporteerd naar de opgegeven Event Hub-naam en kunnen worden gefilterd op het veld Type om tabellen te scheiden.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Gebruik de volgende opdracht om een regel voor gegevensexport naar een Event Hub te maken met behulp van PowerShell. Wanneer er geen specifieke Event Hub-naam wordt opgegeven, wordt er voor elke tabel een afzonderlijke container gemaakt, tot het aantal Event Hubs dat wordt ondersteund in elke Event Hubs-laag. Als u meer tabellen wilt exporteren, geeft u een Event Hub-naam op in de regel. U kunt ook een andere regel instellen en de resterende tabellen exporteren naar een andere Event Hubs-naamruimte.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Azure-CLI

Gebruik de volgende opdracht om een regel voor gegevensexport naar een opslagaccount te maken met behulp van de CLI. Er wordt een afzonderlijke container gemaakt voor elke tabel.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Gebruik de volgende opdracht om een gegevensexportregel te maken naar een specifieke Event Hub met behulp van de CLI. Alle tabellen worden geëxporteerd naar de opgegeven Event Hub-naam en kunnen worden gefilterd op het veld Type om tabellen te scheiden.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Gebruik de volgende opdracht om een regel voor gegevensexport naar een Event Hub te maken met behulp van de CLI. Wanneer er geen specifieke Event Hub-naam wordt opgegeven, wordt er voor elke tabel een afzonderlijke container gemaakt tot het aantal ondersteunde Event Hubs voor uw Event Hubs-laag. Als u meer tabellen wilt exporteren, geeft u een Event Hub-naam op om een willekeurig aantal tabellen te exporteren. U kunt ook een andere regel instellen om de resterende tabellen te exporteren naar een andere Event Hubs-naamruimte.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

REST

Gebruik de volgende aanvraag om een regel voor gegevensexport naar een opslagaccount te maken met behulp van de REST API. Er wordt een afzonderlijke container gemaakt voor elke tabel. De aanvraag moet bearer-tokenautorisatie en inhoudstype application/json gebruiken.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

De hoofdtekst van de aanvraag geeft de bestemming van de tabel aan. Het volgende voorbeeld is een voorbeeldtekst voor de REST-aanvraag.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

Het volgende voorbeeld is een voorbeeldtekst voor de REST-aanvraag voor een Event Hub.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

Het volgende voorbeeld is een voorbeeldtekst voor de REST-aanvraag voor een Event Hub waar de Event Hub-naam wordt opgegeven. In dit geval worden alle geëxporteerde gegevens naar deze gegevens verzonden.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Sjabloon

Gebruik de volgende opdracht om een gegevensexportregel te maken naar een opslagaccount met behulp van een Azure Resource Manager-sjabloon.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Gebruik de volgende opdracht om een regel voor gegevensexport naar een Event Hub te maken met behulp van een Resource Manager-sjabloon. Er wordt een afzonderlijke Event Hub gemaakt voor elke tabel.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Gebruik de volgende opdracht om een regel voor gegevensexport naar een specifieke Event Hub te maken met behulp van een Resource Manager-sjabloon. Alle tabellen worden ernaar geëxporteerd.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2020-08-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Configuratie van gegevensexportregels weergeven

Azure-portal

1. Selecteer gegevensexport in het menu van de Log Analytics-werkruimte in Azure Portal onder de sectie Instellingen.

   

2. Selecteer een regel voor een configuratieweergave.

   

PowerShell

Gebruik de volgende opdracht om de configuratie van een gegevensexportregel weer te geven met behulp van PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure-CLI

Gebruik de volgende opdracht om de configuratie van een gegevensexportregel weer te geven met behulp van de CLI.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Gebruik de volgende aanvraag om de configuratie van een gegevensexportregel te bekijken met behulp van de REST API. De aanvraag moet bearer-tokenautorisatie gebruiken.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Sjabloon

De sjabloonoptie is niet van toepassing.

Een exportregel uitschakelen of bijwerken

Azure-portal

U kunt exportregels uitschakelen om de export gedurende een bepaalde periode te stoppen, bijvoorbeeld wanneer tests worden uitgevoerd. Selecteer gegevensexport in het menu van de Log Analytics-werkruimte in Azure Portal onder de sectie Instellingen. Selecteer de wisselknop Status om de exportregel uit te schakelen of in te schakelen.

PowerShell

U kunt exportregels uitschakelen om de export gedurende een bepaalde periode te stoppen, bijvoorbeeld wanneer tests worden uitgevoerd. Gebruik de volgende opdracht om regelparameters uit te schakelen of bij te werken met behulp van PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

Azure-CLI

U kunt exportregels uitschakelen om de export gedurende een bepaalde periode te stoppen, bijvoorbeeld wanneer tests worden uitgevoerd. Gebruik de volgende opdracht om regelparameters uit te schakelen of bij te werken met behulp van de CLI.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

REST

U kunt exportregels uitschakelen om de export gedurende een bepaalde periode te stoppen, bijvoorbeeld wanneer tests worden uitgevoerd. Gebruik de volgende opdracht om regelparameters uit te schakelen of bij te werken met behulp van de REST API. De aanvraag moet bearer-tokenautorisatie gebruiken.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Sjabloon

U kunt exportregels uitschakelen om het exporteren te stoppen wanneer tests worden uitgevoerd en u geen gegevens nodig hebt die naar een bestemming worden verzonden. Stel "enable": false in de sjabloon in om een gegevensexport uit te schakelen.

Een exportregel verwijderen

Azure-portal

Selecteer gegevensexport in het menu van de Log Analytics-werkruimte in Azure Portal onder de sectie Instellingen. Selecteer het beletselteken rechts van de regel en selecteer Verwijderen.

PowerShell

Gebruik de volgende opdracht om een gegevensexportregel te verwijderen met behulp van PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Azure-CLI

Gebruik de volgende opdracht om een gegevensexportregel te verwijderen met behulp van de CLI.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST

Gebruik de volgende aanvraag om een gegevensexportregel te verwijderen met behulp van de REST API. De aanvraag moet bearer-tokenautorisatie gebruiken.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2020-08-01

Sjabloon

De sjabloonoptie is niet van toepassing.

Alle regels voor gegevensexport in een werkruimte weergeven

Azure-portal

Selecteer in het menu van de Log Analytics-werkruimte in Azure Portal Gegevensexport in de sectie Instellingen om alle exportregels in de werkruimte weer te geven.

PowerShell

Gebruik de volgende opdracht om alle regels voor gegevensexport in een werkruimte weer te geven met behulp van PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Azure-CLI

Gebruik de volgende opdracht om alle regels voor gegevensexport in een werkruimte weer te geven met behulp van de CLI.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST

Gebruik de volgende aanvraag om alle regels voor gegevensexport in een werkruimte weer te geven met behulp van de REST API. De aanvraag moet bearer-tokenautorisatie gebruiken.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2020-08-01

Sjabloon

De sjabloonoptie is niet van toepassing.

Niet-ondersteunde tabellen

Als de regel voor het exporteren van gegevens een niet-ondersteunde tabel bevat, slaagt de configuratie, maar worden er geen gegevens geëxporteerd voor die tabel. Als de tabel later wordt ondersteund, worden de gegevens op dat moment geëxporteerd.

Ondersteunde tabellen

Notitie

We zijn bezig met het toevoegen van ondersteuning voor meer tabellen. Raadpleeg dit artikel regelmatig.

Tafel	Beperkingen
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXIngestionBatching
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
ALBHealthEvent
Waarschuwing	Gedeeltelijke ondersteuning. Gegevensopname voor Zabbix-waarschuwingen wordt niet ondersteund.
Waarschuwingsdeelheid
AlertInfo
AmlComputeClusterEvent
Gebruik van AmlComputeCpuGpuU
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataLabelEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
AMWMetricsUsageDetails
ANFFileAccess
Afwijkingen
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
ApiManagementWebSocketConnectionLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformBuildLogs
AppPlatformContainerEventLogs
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSDiagnosticErrorLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidentialWatchlist
ConfigurationData	Gedeeltelijke ondersteuning. Sommige gegevens worden opgenomen via interne services die niet worden ondersteund in export. Dit gedeelte ontbreekt momenteel in de export.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksBrickStoreHttpGateway
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksCloudStorageMetadata
DatabricksClusterLibraries
DatabricksClusters
DatabricksDashboards
DatabricksDataMonitoring
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksFilesystem
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksIngestion
DatabricksInstancePools
DatabricksJobs
DatabricksLineageTracking
DatabricksMarketplaceConsumer
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksPredictiveOptimization
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent	Gedeeltelijke ondersteuning. Gegevens die afkomstig zijn van de Log Analytics-agent of Azure Monitor-agent, worden volledig ondersteund in export. Gegevens die via de diagnostische extensieagent binnenkomen, worden verzameld via de opslag. Dit pad wordt niet ondersteund in export.
Gebeurtenis	Gedeeltelijke ondersteuning. Gegevens die afkomstig zijn van de Log Analytics-agent of Azure Monitor-agent, worden volledig ondersteund in export. Gegevens die via de diagnostische extensieagent binnenkomen, worden verzameld via de opslag. Dit pad wordt niet ondersteund in export.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Hartslag
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics	Gedeeltelijke ondersteuning. Sommige gegevens worden opgenomen via interne services die niet worden ondersteund in export. Dit gedeelte ontbreekt momenteel in de export.
IntuneAuditLogs
IntuneDeviceComplianceOrg
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MDCFileIntegrityMonitoringEvents
MDECustomCollectionDeviceFileEvents
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemSessionHistoryUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAInsights
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorDNSResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operation	Gedeeltelijke ondersteuning. Sommige gegevens worden opgenomen via interne services die niet worden ondersteund in export. Dit gedeelte ontbreekt momenteel in de export.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent	Gedeeltelijke ondersteuning. Gegevens die afkomstig zijn van de Log Analytics-agent of Azure Monitor-agent, worden volledig ondersteund in export. Gegevens die via de diagnostische extensieagent binnenkomen, worden verzameld via de opslag. Dit pad wordt niet ondersteund in export.
ServiceFabricReliableActorEvent	Gedeeltelijke ondersteuning. Gegevens die afkomstig zijn van de Log Analytics-agent of Azure Monitor-agent, worden volledig ondersteund in export. Gegevens die via de diagnostische extensieagent binnenkomen, worden verzameld via de opslag. Dit pad wordt niet ondersteund in export.
ServiceFabricReliableServiceEvent	Gedeeltelijke ondersteuning. Gegevens die afkomstig zijn van de Log Analytics-agent of Azure Monitor-agent, worden volledig ondersteund in export. Gegevens die via de diagnostische extensieagent binnenkomen, worden verzameld via de opslag. Dit pad wordt niet ondersteund in export.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
Aanmeldingslogboeken
SPAssessmentRecommendation
SQLAssessmentRecommendation
SqlAtpStatus
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXCommand
SynapseDXFailedIngestion
SynapseDXIngestionBatching
SynapseDXQuery
SynapseDXSucceedededIngestion
SynapseDXTableDetails
SynapseDXTableUsageStatistics
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Bijwerken	Gedeeltelijke ondersteuning. Sommige gegevens worden opgenomen via interne services die niet worden ondersteund in export. Dit gedeelte ontbreekt momenteel in de export.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Gebruik
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection	Gedeeltelijke ondersteuning. Sommige gegevens worden opgenomen via interne services die niet worden ondersteund in export. Dit gedeelte ontbreekt momenteel in de export.
W3CIISLog	Gedeeltelijke ondersteuning. Gegevens die afkomstig zijn van de Log Analytics-agent of Azure Monitor-agent, worden volledig ondersteund in export. Gegevens die via de diagnostische extensieagent binnenkomen, worden verzameld via de opslag. Dit pad wordt niet ondersteund in export.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Volglijst
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData	Gedeeltelijke ondersteuning. Sommige gegevens worden opgenomen via interne services die niet worden ondersteund in export. Dit gedeelte ontbreekt momenteel in de export.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDAutoscaleEvaluationPooled
WVDCheckpoints
WVDConnectionGraphicsDataPreview
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement
WVDSessionHostManagement

Volgende stappen

Query's uitvoeren op de geëxporteerde gegevens uit Azure Data Explorer