Udostępnij za pośrednictwem


Struktura reguły zbierania danych (DCR) w usłudze Azure Monitor

W tym artykule opisano strukturę JSON kontrolerów domeny dla tych przypadków, w których należy pracować bezpośrednio z ich definicją.

Właściwości

W poniższej tabeli opisano właściwości na najwyższym poziomie kontrolera domeny.

Właściwości opis
description Opcjonalny opis reguły zbierania danych zdefiniowany przez użytkownika.
dataCollectionEndpointId Identyfikator zasobu punktu końcowego zbierania danych (DCE) używany przez kontroler domeny, jeśli podano go podczas tworzenia kontrolera domeny. Ta właściwość nie jest obecna w kontrolerach DCR, które nie używają kontrolera DCE.
endpoints1 logsIngestion Zawiera adres URL i metricsIngestion punktów końcowych dla kontrolera domeny. Ta sekcja i jej właściwości są tworzone automatycznie, gdy kontroler domeny jest tworzony tylko wtedy, gdy kind atrybut w kontrolerze domeny to Direct.
immutableId Unikatowy identyfikator reguły zbierania danych. Ta właściwość i jej wartość są tworzone automatycznie podczas tworzenia kontrolera domeny.
kind Określa scenariusz zbierania danych używany przez kontroler domeny. Ten parametr jest bardziej szczegółowo opisany poniżej.

1Ta właściwość nie została utworzona dla kontrolerów domeny utworzonych przed 31 marca 2024 r. Kontrolery domeny utworzone przed tą datą wymagały określenia punktu końcowego zbierania danych (DCE) i dataCollectionEndpointId właściwości. Jeśli chcesz użyć tych osadzonych kontrolerów domeny, musisz utworzyć nowy kontroler domeny.

Rodzaj

Właściwość kind w kontrolerze domeny określa typ kolekcji, dla którego jest używana funkcja DCR. Każdy rodzaj dcR ma inną strukturę i właściwości.

W poniższej tabeli wymieniono różne rodzaje kontrolerów domeny i ich szczegóły.

Rodzaj opis
Direct Bezpośrednie pozyskiwanie przy użyciu interfejsu API pozyskiwania dzienników. Punkty końcowe są tworzone dla kontrolera domeny tylko wtedy, gdy ta wartość jest używana.
AgentDirectToStore Wysyłanie zebranych danych do usług Azure Storage i Event Hubs.
AgentSettings Konfigurowanie parametrów agenta usługi Azure Monitor.
Linux Zbieranie zdarzeń i danych wydajności z maszyn z systemem Linux.
PlatformTelemetry Eksportowanie metryk platformy.
Windows Zbieranie zdarzeń i danych wydajności z maszyn z systemem Windows.
WorkspaceTransforms DcR przekształcenia obszaru roboczego. Ten kontroler domeny nie zawiera strumienia wejściowego.

Omówienie przepływu danych DCR

Podstawowy przepływ kontrolera domeny jest pokazany na poniższym diagramie. Każdy ze składników jest opisany w poniższych sekcjach.

Diagram ilustrujący relację między różnymi sekcjami kontrolera domeny.

Strumienie wejściowe

Sekcja strumienia wejściowego kontrolera domeny definiuje zbierane dane przychodzące. Istnieją dwa typy strumieni przychodzących, w zależności od konkretnego scenariusza zbierania danych. Większość scenariuszy zbierania danych korzysta z jednego ze strumieni wejściowych, a niektóre mogą używać obu tych typów.

Uwaga

Kontrolery DCR przekształcania obszaru roboczego nie mają strumienia wejściowego.

Strumień wejściowy opis
dataSources Znany typ danych. Są to często dane przetwarzane przez agenta usługi Azure Monitor i dostarczane do usługi Azure Monitor przy użyciu znanego typu danych.
streamDeclarations Dane niestandardowe, które należy zdefiniować w kontrolerze domeny.

Dane wysyłane z interfejsu API pozyskiwania dzienników używają streamDeclaration obiektu ze schematem danych przychodzących. Dzieje się tak, ponieważ interfejs API wysyła dane niestandardowe, które mogą mieć dowolny schemat.

Dzienniki tekstowe z usługi AMA to przykład zbierania danych, który wymaga zarówno , jak dataSources i streamDeclarations. Źródło danych zawiera konfigurację

Źródła danych

Źródła danych to unikatowe źródła danych monitorowania, które mają swój własny format i metodę uwidaczniania danych. Każdy typ źródła danych ma unikatowy zestaw parametrów, które należy skonfigurować dla każdego źródła danych. Dane zwracane przez źródło danych są zazwyczaj znanym typem, więc schemat nie musi być zdefiniowany w kontrolerze domeny.

Na przykład zdarzenia i dane wydajności zebrane z maszyny wirtualnej z agentem usługi Azure Monitor (AMA) używają źródeł danych, takich jak windowsEventLogs i performanceCounters. Należy określić kryteria dotyczące zdarzeń i liczników wydajności, które mają być zbierane, ale nie trzeba definiować struktury samych danych, ponieważ jest to znany schemat dla potencjalnych danych przychodzących.

Wspólne parametry

Wszystkie typy źródeł danych mają następujące typowe parametry.

Parametr Opis
name Nazwa identyfikującą źródło danych w kontrolerze domeny.
streams Lista strumieni zbieranych przez źródło danych. Jeśli jest to standardowy typ danych, taki jak zdarzenie systemu Windows, strumień będzie mieć postać Microsoft-<TableName>. Jeśli jest to typ niestandardowy, będzie on w formularzu Custom-<TableName>

Prawidłowe typy źródeł danych

Obecnie dostępne typy źródeł danych znajdują się w poniższej tabeli.

Typ źródła danych opis Strumienie Parametry
eventHub Dane z usługi Azure Event Hubs. Niestandardowy1 consumerGroup — Grupa odbiorców centrum zdarzeń do zbierania danych.
iisLogs Dzienniki usług IIS z maszyn z systemem Windows Microsoft-W3CIISLog logDirectories — Katalog, w którym dzienniki usług IIS są przechowywane na kliencie.
logFiles Logowanie tekstowe lub json na maszynie wirtualnej Niestandardowy1 filePatterns — Wzorzec folderu i pliku dla plików dziennika, które mają być zbierane z klienta.
format - json lub tekst
performanceCounters Liczniki wydajności maszyn wirtualnych z systemami Windows i Linux Microsoft-Perf
Microsoft-InsightsMetrics
samplingFrequencyInSeconds — Częstotliwość próbkowania danych wydajności.
counterSpecifiers - Obiekty i liczniki, które powinny być zbierane.
prometheusForwarder Dane rozwiązania Prometheus zebrane z klastra Kubernetes. Microsoft-PrometheusMetrics streams - Strumienie do zbierania
labelIncludeFilter - Lista filtrów dołączania etykiet jako par name-value. Obecnie obsługiwana jest tylko opcja "microsoft_metrics_include_label".
syslog Zdarzenia dziennika systemowego na maszynach wirtualnych z systemem Linux

Zdarzenia w formacie Common Event Format na urządzeniach zabezpieczeń
Microsoft-Syslog

Microsoft-CommonSecurityLog dla formatu CEF
facilityNames - Obiekty do zbierania
logLevels - Poziomy rejestrowania do zbierania
windowsEventLogs Dziennik zdarzeń systemu Windows na maszynach wirtualnych Microsoft-Event xPathQueries - XPaths określając kryteria dla zdarzeń, które mają być zbierane.
extension Źródło danych oparte na rozszerzeniach używane przez agenta usługi Azure Monitor. Różni się w zależności od rozszerzenia extensionName - Nazwa rozszerzenia
extensionSettings - Wartości dla każdego ustawienia wymaganego przez rozszerzenie

1 Te źródła danych używają zarówno źródła danych, jak i deklaracji strumienia, ponieważ schemat zbieranych danych może się różnić. Strumień używany w źródle danych powinien być strumieniem niestandardowym zdefiniowanym w deklaracji strumienia.

Deklaracje strumienia

Deklaracja różnych typów danych wysyłanych do obszaru roboczego usługi Log Analytics. Każdy strumień jest obiektem, którego klucz reprezentuje nazwę strumienia, która musi zaczynać się od custom-. Strumień zawiera pełną listę właściwości najwyższego poziomu zawartych w danych JSON, które zostaną wysłane. Kształt danych wysyłanych do punktu końcowego nie musi być zgodny z kształtem tabeli docelowej. Zamiast tego dane wyjściowe przekształcenia zastosowanego na danych wejściowych muszą być zgodne z kształtem docelowym.

Typy danych

Możliwe typy danych, które można przypisać do właściwości:

  • string
  • int
  • long
  • real
  • boolean
  • dynamic
  • datetime.

Miejsca docelowe

Sekcja destinations zawiera wpis dla każdego miejsca docelowego, w którym będą wysyłane dane. Te miejsca docelowe są dopasowywane do strumieni wejściowych w dataFlows sekcji .

Wspólne parametry

Parametry opis
name Nazwa identyfikującą miejsce docelowe w dataSources sekcji .

Prawidłowe miejsca docelowe

Obecnie dostępne miejsca docelowe są wymienione w poniższej tabeli.

Element docelowy opis Parametry wymagane
logAnalytics Obszar roboczy usługi Log Analytics workspaceResourceId — Identyfikator zasobu obszaru roboczego.
workspaceID — identyfikator obszaru roboczego

Określa to tylko obszar roboczy, a nie tabelę, w której będą wysyłane dane. Jeśli jest to znane miejsce docelowe, nie trzeba określać tabeli. W przypadku tabel niestandardowych tabela jest określona w źródle danych.
azureMonitorMetrics Metryki usługi Azure Monitor Nie jest wymagana żadna konfiguracja, ponieważ istnieje tylko jeden magazyn metryk dla subskrypcji.
storageTablesDirect Azure Table Storage storageAccountResourceId — Identyfikator zasobu konta magazynu
tableName - Nazwa tabeli
storageBlobsDirect Azure Blob Storage storageAccountResourceId — Identyfikator zasobu konta magazynu
containerName - Nazwa kontenera obiektów blob
eventHubsDirect Event Hubs eventHubsDirect — Identyfikator zasobu centrum zdarzeń.

Ważne

Jeden strumień może wysyłać tylko do jednego obszaru roboczego usługi Log Analytics w kontrolerze domeny. Można mieć wiele dataFlow wpisów dla jednego strumienia, jeśli używają różnych tabel w tym samym obszarze roboczym. Jeśli musisz wysłać dane do wielu obszarów roboczych usługi Log Analytics z jednego strumienia, utwórz osobny kontroler domeny dla każdego obszaru roboczego.

Przepływy danych

Przepływy danych pasują do strumieni wejściowych z miejscami docelowymi. Każde źródło danych może opcjonalnie określić przekształcenie, a w niektórych przypadkach określi określoną tabelę w obszarze roboczym usługi Log Analytics.

Właściwości przepływu danych

Sekcja opis
streams Co najmniej jeden strumień zdefiniowany w sekcji strumieni wejściowych. Możesz uwzględnić wiele strumieni w jednym przepływie danych, jeśli chcesz wysłać wiele źródeł danych do tego samego miejsca docelowego. Używaj tylko jednego strumienia, jeśli przepływ danych zawiera przekształcenie. Jeden strumień może być również używany przez wiele przepływów danych, gdy chcesz wysłać określone źródło danych do wielu tabel w tym samym obszarze roboczym usługi Log Analytics.
destinations Co najmniej jedno miejsce docelowe z powyższej destinations sekcji. Wiele miejsc docelowych jest dozwolonych w scenariuszach obejmujących wiele homingów.
transformKql Opcjonalne przekształcenie zastosowane do strumienia przychodzącego. Przekształcenie musi zrozumieć schemat przychodzących danych i danych wyjściowych w schemacie tabeli docelowej. Jeśli używasz przekształcenia, przepływ danych powinien używać tylko jednego strumienia.
outputStream Opisuje tabelę w obszarze roboczym określonym we destination właściwości, do której będą wysyłane dane. Wartość outputStream ma format Microsoft-[tableName] , gdy dane są pozyskiwane do standardowej tabeli lub Custom-[tableName] podczas pozyskiwania danych do tabeli niestandardowej. Tylko jedno miejsce docelowe jest dozwolone na strumień.

Ta właściwość nie jest używana dla znanych źródeł danych z usługi Azure Monitor, takich jak zdarzenia i dane wydajności, ponieważ są one wysyłane do wstępnie zdefiniowanych tabel.

Następne kroki

Omówienie reguł i metod zbierania danych dotyczących ich tworzenia