Настройка таблицы с вспомогательным планом в рабочей области Log Analytics (предварительная версия)
Вспомогательный план таблицы позволяет прием и хранение данных в рабочей области Log Analytics с низкой стоимостью. Журналы Azure Monitor в настоящее время поддерживают вспомогательный план таблицы для правил сбора данных на основе пользовательских таблиц на основе DCR, в которые отправляются данные, собираемые с помощью агента Azure Monitor или API приема журналов.
В этой статье объясняется, как создать пользовательскую таблицу с вспомогательным планом в рабочей области Log Analytics и настроить правило сбора данных, которое отправляет данные в эту таблицу.
Вот видео, объясняющее некоторые из использования и преимуществ вспомогательного плана таблицы:
Внимание
Ознакомьтесь с ограничениями общедоступной предварительной версии для поддерживаемых регионов и ограничений, связанных с вспомогательными таблицами и правилами сбора данных.
Необходимые компоненты
Чтобы создать настраиваемую таблицу и собрать данные журнала, вам потребуется:
- Рабочая область Log Analytics, в которой у вас есть по крайней мере права участника.
- Конечная точка сбора данных (DCE).
- Все таблицы в рабочей области Log Analytics имеют столбец с именем
TimeGenerated. Если необработанные данные журнала имеютTimeGeneratedсвойство, Azure Monitor использует это значение для определения времени создания записи. Для таблицы со вспомогательным планомTimeGeneratedстолбец в настоящее время поддерживает только формат ISO8601. Сведения о формате см. вTimeGeneratedподдерживаемом формате даты и времени ISO 8601.
Создание настраиваемой таблицы с вспомогательным планом
Чтобы создать настраиваемую таблицу, вызовите api создания или обновления таблиц с помощью этой команды:
PUT https://management.azure.com/subscriptions/{subscription_id}/resourceGroups/{resource_group}/providers/Microsoft.OperationalInsights/workspaces/{workspace_name}/tables/{table name_CL}?api-version=2023-01-01-preview
Внимание
Только версия 2023-01-01-preview API в настоящее время позволяет задать план вспомогательной таблицы.
Укажите эту полезные данные: обновите имя таблицы и измените столбцы на основе схемы таблицы:
{
"properties": {
"schema": {
"name": "table_name_CL",
"columns": [
{
"name": "TimeGenerated",
"type": "datetime"
},
{
"name": "StringProperty",
"type": "string"
},
{
"name": "IntProperty",
"type": "int"
},
{
"name": "LongProperty",
"type": "long"
},
{
"name": "RealProperty",
"type": "real"
},
{
"name": "BooleanProperty",
"type": "boolean"
},
{
"name": "GuidProperty",
"type": "real"
},
{
"name": "DateTimeProperty",
"type": "datetime"
}
]
},
"totalRetentionInDays": 365,
"plan": "Auxiliary"
}
}
Отправка данных в таблицу с вспомогательным планом
В настоящее время существует два способа приема данных в настраиваемую таблицу с вспомогательным планом:
Сбор журналов из текстового файла с помощью агента / Azure Monitor Сбор журналов из JSON-файла с помощью агента Azure Monitor.
При использовании этого метода пользовательская таблица должна иметь только два столбца и
TimeGeneratedRawData(типаstring). Правило сбора данных отправляет всю часть каждой записи журнала, которую вы собираетеRawDataв столбец, и журналы Azure Monitor автоматически заполняютTimeGeneratedстолбец временем приема журнала.Отправка данных в Azure Monitor с помощью API приема журналов.
Чтобы использовать этот метод, выполните указанные ниже действия.
Создайте пользовательскую таблицу с вспомогательным планом , как описано в этой статье.
Выполните действия, описанные в руководстве. Отправка данных в Azure Monitor с помощью API приема журналов:
- Создайте приложение Microsoft Entra.
- Создайте правило сбора данных с помощью этого шаблона ARM.
{ "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "dataCollectionRuleName": { "type": "string", "metadata": { "description": "Specifies the name of the data collection rule to create." } }, "location": { "type": "string", "metadata": { "description": "Specifies the region in which to create the data collection rule. The must be the same region as the destination Log Analytics workspace." } }, "workspaceResourceId": { "type": "string", "metadata": { "description": "The Azure resource ID of the Log Analytics workspace in which you created a custom table with the Auxiliary plan." } } }, "resources": [ { "type": "Microsoft.Insights/dataCollectionRules", "name": "[parameters('dataCollectionRuleName')]", "location": "[parameters('location')]", "apiVersion": "2023-03-11", "kind": "Direct", "properties": { "streamDeclarations": { "Custom-table_name_CL": { "columns": [ { "name": "TimeGenerated", "type": "datetime" }, { "name": "StringProperty", "type": "string" }, { "name": "IntProperty", "type": "int" }, { "name": "LongProperty", "type": "long" }, { "name": "RealProperty", "type": "real" }, { "name": "BooleanProperty", "type": "boolean" }, { "name": "GuidProperty", "type": "real" }, { "name": "DateTimeProperty", "type": "datetime" } ] } }, "destinations": { "logAnalytics": [ { "workspaceResourceId": "[parameters('workspaceResourceId')]", "name": "myworkspace" } ] }, "dataFlows": [ { "streams": [ "Custom-table_name_CL" ], "destinations": [ "myworkspace" ] } ] } } ], "outputs": { "dataCollectionRuleId": { "type": "string", "value": "[resourceId('Microsoft.Insights/dataCollectionRules', parameters('dataCollectionRuleName'))]" } } }Где:
myworkspace— имя рабочей области Log Analytics.table_name_CL— имя таблицы.columnsсодержит те же столбцы, которые вы задали в разделе "Создание настраиваемой таблицы" с вспомогательным планом.
Ограничения общедоступной предварительной версии
Во время общедоступной предварительной версии эти ограничения применяются:
Вспомогательный план постепенно развертывается для всех регионов и в настоящее время поддерживается:
Регион Расположения Северная и Южная Америки Центральная Канада Центральная часть США Восточная часть США Восточная часть США 2 Западная часть США Западная часть США 2 Центрально-южная часть США Центрально-северная часть США Азиатско-Тихоокеанский регион Восточная Австралия Юго-восточная часть Австралии Восточная Азия Европа Западная Европа Северная Европа южная часть Соединенного Королевства Центрально-Западная Германия Северная Швейцария Центральная Франция Восточная Норвегия; Ближний Восток Израиль, центральный регион Вспомогательный план можно задать только для пользовательских таблиц на основе правил сбора данных, создаваемых с помощью таблиц — создание или обновление API, версия
2023-01-01-preview.Таблицы со вспомогательным планом:
- В настоящее время необясчены. В настоящее время плата за прием, запросы, задания поиска и долгосрочное хранение не взимается.
- Не поддерживают столбцы с динамическими данными.
- Имеет фиксированный общий срок хранения 365 дней.
- Поддерживает только формат даты и времени ISO 8601.
Правило сбора данных, которое отправляет данные в таблицу с вспомогательным планом:
- Может отправлять данные только в одну таблицу.
- Не удается включить преобразование.
Данные приема вспомогательных таблиц в настоящее время недоступны в таблице использования журналов Azure Monitor. Чтобы оценить объем приема данных, можно подсчитать количество записей в вспомогательной таблице с помощью этого запроса:
MyTable_CL | summarize count()Сейчас эти функции не поддерживаются:
Функция Подробности Репликация рабочей области Log Analytics Azure Monitor не реплицирует данные в таблицах с вспомогательным планом в вторичную рабочую область. Таким образом, эти данные не защищены от потери данных в случае регионального сбоя и недоступны при переопределении в вторичную рабочую область. Ключи, управляемые клиентом Данные в таблицах с вспомогательным планом шифруются с помощью ключей, управляемых Корпорацией Майкрософт, даже если вы защищаете данные в остальной части рабочей области Log Analytics с помощью собственного ключа шифрования. Защищенное хранилище для Microsoft Azure Интерфейс блокировки, который позволяет просматривать и отклонять запросы на доступ к данным клиента в ответ на запрос в службу поддержки, инициированный клиентом, или проблема, обнаруженная корпорацией Майкрософт, не применяется к таблицам со вспомогательным планом.
Следующие шаги
Дополнительные сведения: