Struktura reguły zbierania danych (DCR) w usłudze Azure Monitor
W tym artykule opisano strukturę JSON kontrolerów domeny dla tych przypadków, w których należy pracować bezpośrednio z ich definicją.
- Aby uzyskać szczegółowe informacje na temat pracy z plikiem JSON opisanym tutaj, zobacz Tworzenie i edytowanie reguł zbierania danych (DCR) w usłudze Azure Monitor .
- Zobacz Przykładowe reguły zbierania danych (DCR) w usłudze Azure Monitor , aby zapoznać się z przykładowymi regułami DCR dla różnych scenariuszy.
Właściwości
W poniższej tabeli opisano właściwości na najwyższym poziomie kontrolera domeny.
Właściwości | opis |
---|---|
description |
Opcjonalny opis reguły zbierania danych zdefiniowany przez użytkownika. |
dataCollectionEndpointId |
Identyfikator zasobu punktu końcowego zbierania danych (DCE) używany przez kontroler domeny, jeśli podano go podczas tworzenia kontrolera domeny. Ta właściwość nie jest obecna w kontrolerach DCR, które nie używają kontrolera DCE. |
endpoints 1 |
logsIngestion Zawiera adres URL i metricsIngestion punktów końcowych dla kontrolera domeny. Ta sekcja i jej właściwości są tworzone automatycznie, gdy kontroler domeny jest tworzony tylko wtedy, gdy kind atrybut w kontrolerze domeny to Direct . |
immutableId |
Unikatowy identyfikator reguły zbierania danych. Ta właściwość i jej wartość są tworzone automatycznie podczas tworzenia kontrolera domeny. |
kind |
Określa scenariusz zbierania danych używany przez kontroler domeny. Ten parametr jest bardziej szczegółowo opisany poniżej. |
1Ta właściwość nie została utworzona dla kontrolerów domeny utworzonych przed 31 marca 2024 r. Kontrolery domeny utworzone przed tą datą wymagały określenia punktu końcowego zbierania danych (DCE) i dataCollectionEndpointId
właściwości. Jeśli chcesz użyć tych osadzonych kontrolerów domeny, musisz utworzyć nowy kontroler domeny.
Rodzaj
Właściwość kind
w kontrolerze domeny określa typ kolekcji, dla którego jest używana funkcja DCR. Każdy rodzaj dcR ma inną strukturę i właściwości.
W poniższej tabeli wymieniono różne rodzaje kontrolerów domeny i ich szczegóły.
Rodzaj | opis |
---|---|
Direct |
Bezpośrednie pozyskiwanie przy użyciu interfejsu API pozyskiwania dzienników. Punkty końcowe są tworzone dla kontrolera domeny tylko wtedy, gdy ta wartość jest używana. |
AgentDirectToStore |
Wysyłanie zebranych danych do usług Azure Storage i Event Hubs. |
AgentSettings |
Konfigurowanie parametrów agenta usługi Azure Monitor. |
Linux |
Zbieranie zdarzeń i danych wydajności z maszyn z systemem Linux. |
PlatformTelemetry |
Eksportowanie metryk platformy. |
Windows |
Zbieranie zdarzeń i danych wydajności z maszyn z systemem Windows. |
WorkspaceTransforms |
DcR przekształcenia obszaru roboczego. Ten kontroler domeny nie zawiera strumienia wejściowego. |
Omówienie przepływu danych DCR
Podstawowy przepływ kontrolera domeny jest pokazany na poniższym diagramie. Każdy ze składników jest opisany w poniższych sekcjach.
Strumienie wejściowe
Sekcja strumienia wejściowego kontrolera domeny definiuje zbierane dane przychodzące. Istnieją dwa typy strumieni przychodzących, w zależności od konkretnego scenariusza zbierania danych. Większość scenariuszy zbierania danych korzysta z jednego ze strumieni wejściowych, a niektóre mogą używać obu tych typów.
Uwaga
Kontrolery DCR przekształcania obszaru roboczego nie mają strumienia wejściowego.
Strumień wejściowy | opis |
---|---|
dataSources |
Znany typ danych. Są to często dane przetwarzane przez agenta usługi Azure Monitor i dostarczane do usługi Azure Monitor przy użyciu znanego typu danych. |
streamDeclarations |
Dane niestandardowe, które należy zdefiniować w kontrolerze domeny. |
Dane wysyłane z interfejsu API pozyskiwania dzienników używają streamDeclaration
obiektu ze schematem danych przychodzących. Dzieje się tak, ponieważ interfejs API wysyła dane niestandardowe, które mogą mieć dowolny schemat.
Dzienniki tekstowe z usługi AMA to przykład zbierania danych, który wymaga zarówno , jak dataSources
i streamDeclarations
. Źródło danych zawiera konfigurację
Źródła danych
Źródła danych to unikatowe źródła danych monitorowania, które mają swój własny format i metodę uwidaczniania danych. Każdy typ źródła danych ma unikatowy zestaw parametrów, które należy skonfigurować dla każdego źródła danych. Dane zwracane przez źródło danych są zazwyczaj znanym typem, więc schemat nie musi być zdefiniowany w kontrolerze domeny.
Na przykład zdarzenia i dane wydajności zebrane z maszyny wirtualnej z agentem usługi Azure Monitor (AMA) używają źródeł danych, takich jak windowsEventLogs
i performanceCounters
. Należy określić kryteria dotyczące zdarzeń i liczników wydajności, które mają być zbierane, ale nie trzeba definiować struktury samych danych, ponieważ jest to znany schemat dla potencjalnych danych przychodzących.
Wspólne parametry
Wszystkie typy źródeł danych mają następujące typowe parametry.
Parametr | Opis |
---|---|
name |
Nazwa identyfikującą źródło danych w kontrolerze domeny. |
streams |
Lista strumieni zbieranych przez źródło danych. Jeśli jest to standardowy typ danych, taki jak zdarzenie systemu Windows, strumień będzie mieć postać Microsoft-<TableName> . Jeśli jest to typ niestandardowy, będzie on w formularzu Custom-<TableName> |
Prawidłowe typy źródeł danych
Obecnie dostępne typy źródeł danych znajdują się w poniższej tabeli.
Typ źródła danych | opis | Strumienie | Parametry |
---|---|---|---|
eventHub |
Dane z usługi Azure Event Hubs. | Niestandardowy1 | consumerGroup — Grupa odbiorców centrum zdarzeń do zbierania danych. |
iisLogs |
Dzienniki usług IIS z maszyn z systemem Windows | Microsoft-W3CIISLog |
logDirectories — Katalog, w którym dzienniki usług IIS są przechowywane na kliencie. |
logFiles |
Logowanie tekstowe lub json na maszynie wirtualnej | Niestandardowy1 | filePatterns — Wzorzec folderu i pliku dla plików dziennika, które mają być zbierane z klienta.format - json lub tekst |
performanceCounters |
Liczniki wydajności maszyn wirtualnych z systemami Windows i Linux | Microsoft-Perf Microsoft-InsightsMetrics |
samplingFrequencyInSeconds — Częstotliwość próbkowania danych wydajności.counterSpecifiers - Obiekty i liczniki, które powinny być zbierane. |
prometheusForwarder |
Dane rozwiązania Prometheus zebrane z klastra Kubernetes. | Microsoft-PrometheusMetrics |
streams - Strumienie do zbieranialabelIncludeFilter - Lista filtrów dołączania etykiet jako par name-value. Obecnie obsługiwana jest tylko opcja "microsoft_metrics_include_label". |
syslog |
Zdarzenia dziennika systemowego na maszynach wirtualnych z systemem Linux Zdarzenia w formacie Common Event Format na urządzeniach zabezpieczeń |
Microsoft-Syslog Microsoft-CommonSecurityLog dla formatu CEF |
facilityNames - Obiekty do zbieranialogLevels - Poziomy rejestrowania do zbierania |
windowsEventLogs |
Dziennik zdarzeń systemu Windows na maszynach wirtualnych | Microsoft-Event |
xPathQueries - XPaths określając kryteria dla zdarzeń, które mają być zbierane. |
extension |
Źródło danych oparte na rozszerzeniach używane przez agenta usługi Azure Monitor. | Różni się w zależności od rozszerzenia | extensionName - Nazwa rozszerzeniaextensionSettings - Wartości dla każdego ustawienia wymaganego przez rozszerzenie |
1 Te źródła danych używają zarówno źródła danych, jak i deklaracji strumienia, ponieważ schemat zbieranych danych może się różnić. Strumień używany w źródle danych powinien być strumieniem niestandardowym zdefiniowanym w deklaracji strumienia.
Deklaracje strumienia
Deklaracja różnych typów danych wysyłanych do obszaru roboczego usługi Log Analytics. Każdy strumień jest obiektem, którego klucz reprezentuje nazwę strumienia, która musi zaczynać się od custom-. Strumień zawiera pełną listę właściwości najwyższego poziomu zawartych w danych JSON, które zostaną wysłane. Kształt danych wysyłanych do punktu końcowego nie musi być zgodny z kształtem tabeli docelowej. Zamiast tego dane wyjściowe przekształcenia zastosowanego na danych wejściowych muszą być zgodne z kształtem docelowym.
Typy danych
Możliwe typy danych, które można przypisać do właściwości:
string
int
long
real
boolean
dynamic
datetime
.
Miejsca docelowe
Sekcja destinations
zawiera wpis dla każdego miejsca docelowego, w którym będą wysyłane dane. Te miejsca docelowe są dopasowywane do strumieni wejściowych w dataFlows
sekcji .
Wspólne parametry
Parametry | opis |
---|---|
name |
Nazwa identyfikującą miejsce docelowe w dataSources sekcji . |
Prawidłowe miejsca docelowe
Obecnie dostępne miejsca docelowe są wymienione w poniższej tabeli.
Element docelowy | opis | Parametry wymagane |
---|---|---|
logAnalytics |
Obszar roboczy usługi Log Analytics | workspaceResourceId — Identyfikator zasobu obszaru roboczego.workspaceID — identyfikator obszaru roboczegoOkreśla to tylko obszar roboczy, a nie tabelę, w której będą wysyłane dane. Jeśli jest to znane miejsce docelowe, nie trzeba określać tabeli. W przypadku tabel niestandardowych tabela jest określona w źródle danych. |
azureMonitorMetrics |
Metryki usługi Azure Monitor | Nie jest wymagana żadna konfiguracja, ponieważ istnieje tylko jeden magazyn metryk dla subskrypcji. |
storageTablesDirect |
Azure Table Storage | storageAccountResourceId — Identyfikator zasobu konta magazynutableName - Nazwa tabeli |
storageBlobsDirect |
Azure Blob Storage | storageAccountResourceId — Identyfikator zasobu konta magazynucontainerName - Nazwa kontenera obiektów blob |
eventHubsDirect |
Event Hubs | eventHubsDirect — Identyfikator zasobu centrum zdarzeń. |
Ważne
Jeden strumień może wysyłać tylko do jednego obszaru roboczego usługi Log Analytics w kontrolerze domeny. Można mieć wiele dataFlow
wpisów dla jednego strumienia, jeśli używają różnych tabel w tym samym obszarze roboczym. Jeśli musisz wysłać dane do wielu obszarów roboczych usługi Log Analytics z jednego strumienia, utwórz osobny kontroler domeny dla każdego obszaru roboczego.
Przepływy danych
Przepływy danych pasują do strumieni wejściowych z miejscami docelowymi. Każde źródło danych może opcjonalnie określić przekształcenie, a w niektórych przypadkach określi określoną tabelę w obszarze roboczym usługi Log Analytics.
Właściwości przepływu danych
Sekcja | opis |
---|---|
streams |
Co najmniej jeden strumień zdefiniowany w sekcji strumieni wejściowych. Możesz uwzględnić wiele strumieni w jednym przepływie danych, jeśli chcesz wysłać wiele źródeł danych do tego samego miejsca docelowego. Używaj tylko jednego strumienia, jeśli przepływ danych zawiera przekształcenie. Jeden strumień może być również używany przez wiele przepływów danych, gdy chcesz wysłać określone źródło danych do wielu tabel w tym samym obszarze roboczym usługi Log Analytics. |
destinations |
Co najmniej jedno miejsce docelowe z powyższej destinations sekcji. Wiele miejsc docelowych jest dozwolonych w scenariuszach obejmujących wiele homingów. |
transformKql |
Opcjonalne przekształcenie zastosowane do strumienia przychodzącego. Przekształcenie musi zrozumieć schemat przychodzących danych i danych wyjściowych w schemacie tabeli docelowej. Jeśli używasz przekształcenia, przepływ danych powinien używać tylko jednego strumienia. |
outputStream |
Opisuje tabelę w obszarze roboczym określonym we destination właściwości, do której będą wysyłane dane. Wartość outputStream ma format Microsoft-[tableName] , gdy dane są pozyskiwane do standardowej tabeli lub Custom-[tableName] podczas pozyskiwania danych do tabeli niestandardowej. Tylko jedno miejsce docelowe jest dozwolone na strumień.Ta właściwość nie jest używana dla znanych źródeł danych z usługi Azure Monitor, takich jak zdarzenia i dane wydajności, ponieważ są one wysyłane do wstępnie zdefiniowanych tabel. |
Następne kroki
Omówienie reguł i metod zbierania danych dotyczących ich tworzenia