Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive la struttura JSON delle DCR per i casi in cui è necessario lavorare direttamente sulla loro definizione.
- Vedere Creare e modificare le regole di raccolta dati in Monitoraggio di Azure per informazioni dettagliate sull'uso del codice JSON descritto qui.
- Vedere Regole di raccolta dati di esempio in Monitoraggio di Azure per DCR di esempio per scenari diversi.
Proprietà
Nella tabella seguente vengono descritte le proprietà al livello superiore del DCR.
| Proprietà | Descrizione |
|---|---|
description |
Descrizione facoltativa della regola di raccolta dati definita dall'utente. |
dataCollectionEndpointId |
ID risorsa dell'endpoint di raccolta dati (DCE) usato dal DCR se ne è stato fornito uno al momento della creazione del DCR. Questa proprietà non è presente nei DCR che non utilizzano un DCE. |
endpoints
1 |
Contiene l'URL logsIngestion e metricsIngestion degli endpoint per il DCR. Questa sezione e le relative proprietà vengono create automaticamente quando viene creato il DCR solo se l'attributo kind nel DCR è Direct. |
immutableId |
Identificatore univoco per la regola di raccolta dati. Questa proprietà e il relativo valore vengono creati automaticamente al momento della creazione del record di dominio. |
kind |
Specifica lo scenario di raccolta dati per cui viene usata la DCR. Questo parametro è descritto più avanti. |
1 Questa proprietà non è stata creata per le DCR create prima del 31 marzo 2024. I DCR creati prima di questa data richiedevano un endpoint di raccolta dati (DCE) e la proprietà dataCollectionEndpointId da specificare. Se si vogliono usare questi DCE incorporati, è necessario creare un nuovo DCR.
Tipo
La kind proprietà in DCR specifica il tipo di raccolta per cui viene utilizzato il DCR. Ogni tipo di DCR ha una struttura e proprietà diverse.
Nella tabella seguente sono elencati i diversi tipi di controller di dominio e i relativi dettagli.
| Tipo | Descrizione |
|---|---|
Direct |
Inserimento diretto con l'API di inserimento dei log. Gli endpoint vengono creati per il DCR solo se viene usato questo valore di tipo. |
AgentDirectToStore |
Invia i dati raccolti ad Azure Storage e a Event Hubs. |
AgentSettings |
Configurare i parametri dell'agente di Monitoraggio di Azure. |
Linux |
Raccogliere eventi e dati sulle prestazioni dai computer Linux. |
PlatformTelemetry |
Esportare le metriche della piattaforma. |
Windows |
Raccogliere eventi e dati sulle prestazioni dai computer Windows. |
WorkspaceTransforms |
Trasformazione dell’area di lavoro DCR. Questa DCR non include un flusso di input. |
Panoramica del flusso di dati DCR
Il flusso di base di un DCR è illustrato nel diagramma seguente. Ognuno dei componenti è descritto nelle sezioni seguenti.
Flussi di input
La sezione del flusso di input di un DCR definisce i dati in ingresso che vengono raccolti. Esistono due tipi di flusso in ingresso, a seconda dello scenario specifico di raccolta dati. La maggior parte degli scenari di raccolta dati usa uno dei flussi di input, mentre alcuni possono usare entrambi.
Annotazioni
DCR di trasformazione dell'area di lavoro non hanno un flusso di input.
| Flusso di input | Descrizione |
|---|---|
dataSources |
Tipo noto di dati. Si tratta spesso di dati elaborati dall'agente di Monitoraggio di Azure e recapitati a Monitoraggio di Azure usando un tipo di dati noto. |
streamDeclarations |
Dati personalizzati che devono essere definiti nel DCR. |
I dati inviati dall'API di inserimento dei log utilizzano un oggetto streamDeclaration con lo schema dei dati di ingresso. Ciò è dovuto al fatto che l'API invia dati personalizzati che possono avere qualsiasi schema.
I log di testo di AMA sono un esempio di raccolta dati che richiede sia dataSources che streamDeclarations. L'origine dati include la configurazione
Origini dati
Le fonti dati sono fonti univoche dei dati di monitoraggio, ciascuna delle quali ha il proprio formato e il proprio metodo per esporre i dati. Ogni tipo di origine dati ha un set univoco di parametri che devono essere configurati per ogni origine dati. I dati restituiti dall'origine dati sono generalmente di un tipo noto, quindi non è necessario definire lo schema nel DCR.
Ad esempio, gli eventi e i dati sulle prestazioni raccolti da una macchina virtuale con l'agente di Monitoraggio di Azure (AMA), usano origini dati come windowsEventLogs e performanceCounters. Si specificano criteri per gli eventi e i contatori delle prestazioni che si desidera raccogliere, ma non è necessario definire la struttura dei dati stessi poiché si tratta di uno schema noto per i dati in ingresso potenziali.
Parametri comuni
Tutti i tipi di origine dati condividono i parametri comuni seguenti.
| Parametro | Descrizione |
|---|---|
name |
Nome per identificare l'origine dati nel DCR. |
streams |
Elenco di flussi che l'origine dati raccoglierà. Se si tratta di un tipo di dati standard, ad esempio un evento Di Windows, il flusso sarà nel formato Microsoft-<TableName>. Se si tratta di un tipo personalizzato, sarà nel formato Custom-<TableName> |
Tipi di origine dati validi
I tipi di origine dati attualmente disponibili sono elencati nella tabella seguente.
| Tipo di origine dati | Descrizione | Flussi | Parametri |
|---|---|---|---|
eventHub |
Dati di Hub eventi di Azure. | Personalizzato1 |
consumerGroup - Gruppo di consumer dell'hub eventi da cui raccogliere. |
iisLogs |
Log di IIS dalle macchine Windows | Microsoft-W3CIISLog |
logDirectories - Directory in cui vengono archiviati i log IIS nel client. |
logFiles |
Testo o registro JSON su una macchina virtuale | Personalizzato1 |
filePatterns - Modello di cartella e file per i file di log da raccogliere dal client.format
-
json o text |
performanceCounters |
Contatori delle prestazioni per macchine virtuali Windows e Linux | Microsoft-PerfMicrosoft-InsightsMetrics |
samplingFrequencyInSeconds - Frequenza di campionamento dei dati sulle prestazioni.counterSpecifiers - Oggetti e contatori che devono essere raccolti. |
prometheusForwarder |
Dati Prometheus raccolti dal cluster Kubernetes. | Microsoft-PrometheusMetrics |
streams - Flussi da raccoglierelabelIncludeFilter - Elenco dei filtri di inclusione delle etichette sotto forma di coppie nome-valore. Attualmente è supportato solo "microsoft_metrics_include_label". |
syslog |
Eventi Syslog in macchine virtuali Linux Eventi in Common Event Format nelle appliance di sicurezza |
Microsoft-SyslogMicrosoft-CommonSecurityLog per CEF |
facilityNames - Strutture per la raccoltalogLevels - Livelli di log da raccogliere |
windowsEventLogs |
Registro eventi di Windows nelle macchine virtuali | Microsoft-Event |
xPathQueries - XPath che specifica i criteri per gli eventi da raccogliere. |
extension |
Fonte dati basata su estensioni usata dall'agente di monitoraggio di Azure. | Varia in base all'estensione |
extensionName - Nome dell'estensioneextensionSettings - Valori per ogni impostazione richiesta dall'estensione |
1 Queste origini dati usano sia un'origine dati che una dichiarazione di flusso poiché lo schema dei dati raccolti può variare. Il flusso usato nell'origine dati deve essere il flusso personalizzato definito nella dichiarazione del flusso.
Dichiarazioni di flusso
Dichiarazione dei diversi tipi di dati inviati nell'area di lavoro Log Analytics. Ogni flusso è un oggetto la cui chiave rappresenta il nome del flusso, che deve iniziare con Custom-. Il flusso contiene un elenco completo delle proprietà di primo livello contenute nei dati JSON che verranno inviati. La forma dei dati inviati all'endpoint non deve corrispondere a quella della tabella di destinazione. L'output della trasformazione applicata sopra i dati di input deve invece corrispondere alla forma di destinazione.
Tipi di dati
I possibili tipi di dati che possono essere assegnati alle proprietà sono:
stringintlongrealbooleandynamicdatetime
Destinazioni
La destinations sezione include una voce per ogni destinazione in cui verranno inviati i dati. Queste destinazioni corrispondono ai flussi di input nella dataFlows sezione .
Parametri comuni
| Parametri | Descrizione |
|---|---|
name |
Nome per identificare la destinazione nella dataSources sezione . |
Destinazioni valide
Le destinazioni attualmente disponibili sono elencate nella tabella seguente.
| Destinazione | Descrizione | Parametri obbligatori |
|---|---|---|
logAnalytics |
Area di lavoro di Log Analytics |
workspaceResourceId - ID risorsa dell'area di lavoro.workspaceID - ID dell'area di lavoroSpecifica solo l'area di lavoro, non la tabella in cui verranno inviati i dati. Se si tratta di una destinazione nota, non è necessario specificare alcuna tabella. Per le tabelle personalizzate, la tabella viene specificata nell'origine dati. |
azureMonitorMetrics |
Metriche di Monitoraggio di Azure | Non è necessaria alcuna configurazione perché è presente un solo archivio metriche per la sottoscrizione. |
storageTablesDirect |
Archiviazione tabelle di Azure |
storageAccountResourceId - ID delle risorse dell'account di archiviazionetableName - Nome della tabella |
storageBlobsDirect |
Archiviazione BLOB di Azure |
storageAccountResourceId - ID delle risorse dell'account di archiviazionecontainerName - Nome del contenitore BLOB |
eventHubsDirect |
Hub eventi |
eventHubsDirect - ID risorsa dell'hub degli eventi. |
Importante
Un flusso può solo inviare a un'area di lavoro Log Analytics in una DCR. È possibile avere più voci dataFlow per un singolo flusso se vengono usate tabelle diverse all'interno della stessa area di lavoro. Se è necessario inviare dati a più aree di lavoro Log Analytics da un singolo flusso, creare un DCR separato per ogni area di lavoro.
Flussi di dati
I flussi di dati abbinano i flussi di input alle destinazioni. Ogni origine dati può facoltativamente specificare una trasformazione e in alcuni casi specifica una tabella specifica nell'area di lavoro Log Analytics.
Proprietà del flusso di dati
| Sezione | Descrizione |
|---|---|
streams |
Uno o più flussi definiti nella sezione flussi di input. È possibile includere più flussi in un singolo flusso di dati se si desidera inviare più origini dati alla stessa destinazione. Usare un solo flusso se il flusso di dati include una trasformazione. Un flusso può essere usato anche da più flussi di dati quando si vuole inviare una determinata origine dati a più tabelle nella stessa area di lavoro Log Analytics. |
destinations |
Una o più destinazioni della sezione destinations precedente. Sono consentite più destinazioni per scenari di multi-homing. |
transformKql |
Trasformazione facoltativa applicata al flusso in ingresso. La trasformazione deve comprendere lo schema dei dati in ingresso e i dati di output nello schema della tabella di destinazione. Se si usa una trasformazione, il flusso di dati deve usare solo un singolo flusso. |
outputStream |
Descrive la tabella nell'area di lavoro specificata nella proprietà destination a cui verranno inviati i dati. Il valore di outputStream ha il formato Microsoft-[tableName] quando i dati vengono inseriti in una tabella standard o Custom-[tableName] quando si inseriscono dati in una tabella personalizzata. È consentita una sola destinazione per flusso.Questa proprietà non viene usata per le origini dati note di Monitoraggio di Azure, ad esempio eventi e dati sulle prestazioni, perché vengono inviate a tabelle predefinite. |
Passaggi successivi
Panoramica delle regole e dei metodi di raccolta dati per la loro creazione