Azure Monitor에서 Log Analytics 작업 영역 데이터 내보내기

2025-05-15

Log Analytics 작업 영역의 데이터 내보내기를 사용하면 작업 영역에서 선택한 테이블별로 데이터를 지속적으로 내보낼 수 있습니다. 데이터가 Azure Monitor 파이프라인에 도착하면 Azure Storage 계정 또는 Azure Event Hubs로 내보낼 수 있습니다. 이 문서에서는 이 기능 및 작업 영역에서 데이터 내보내기를 구성하는 단계에 대한 세부 정보를 제공합니다.

개요

Log Analytics의 데이터는 작업 영역에 정의된 보존 기간 동안 사용할 수 있습니다. Azure Monitor 및 Azure 서비스에서 제공되는 다양한 환경에서 사용됩니다. 다음과 같이 다른 도구를 사용해야 하는 경우가 있습니다.

위조 방지 저장소 규정 준수: 수집된 데이터는 Log Analytics에서 변경할 수 없지만 제거할 수는 있습니다. 불변성 정책을 사용하여 스토리지 계정 집합으로 내보내 데이터 변조를 보호합니다.
Azure 서비스 및 기타 도구와 통합: 데이터가 도착하여 Azure Monitor에서 처리될 때 Event Hubs로 내보냅니다.
감사 및 보안 데이터의 장기 보존: 작업 영역의 지역에 있는 스토리지 계정으로 내보냅니다. 또는 GRS 및 GZRS를 비롯한 Azure Storage 중복 옵션을 사용하여 다른 지역에 데이터를 복제할 수 있습니다.

Log Analytics 작업 영역에서 데이터 내보내기 규칙을 구성한 후 규칙의 테이블에 대한 새 데이터가 도착할 때 Azure Monitor 파이프라인에서 스토리지 계정 또는 Event Hubs로 해당 데이터를 내보냅니다. 데이터 내보내기 트래픽은 Azure 백본 네트워크에 있으며 Azure 네트워크를 벗어나지 않습니다.

데이터는 필터 없이 내보냅니다. 예를 들어 SecurityEvent 테이블에 대한 데이터 내보내기 규칙을 구성할 때 SecurityEvent 테이블로 전송된 모든 데이터는 구성 시간부터 내보내집니다. 워크스페이스에서 변환 설정을 구성하여 내보낼 데이터를 필터링하거나 수정할 수 있으며, 이는 Log Analytics 작업 영역과 내보내기 대상으로 데이터를 전송하기 전에 들어오는 데이터에 적용됩니다.

기타 내보내기 옵션

Log Analytics 작업 영역 데이터 내보내기는 Log Analytics 작업 영역에 전송되는 데이터를 지속적으로 내보냅니다. 특정 시나리오에 대한 데이터를 내보내는 다른 옵션이 있습니다.

Azure 리소스가 이미 진단 로그 설정을 통해 Log Analytics 작업 영역에 로그를 보내는 경우 정기적으로 데이터 내보내기를 사용하는 대신 새 대상을 추가하도록 Azure 리소스의 진단 설정을 직접 업데이트하는 것이 좋습니다. 이 방법은 데이터 내보내기보다 대기 시간이 짧지만 기록 데이터를 보내지는 않습니다.
Log Analytics 쿼리 API를 사용하여 정의한 로그 쿼리를 기반으로 데이터 내보내기를 예약합니다. Azure Data Factory, Azure Functions 또는 Azure Logic Apps를 사용하여 작업 영역에서 쿼리를 오케스트레이션하고 데이터를 대상으로 내보냅니다. 이 방법은 데이터 내보내기 기능과 유사하지만 필터 및 집계를 사용하여 작업 영역에서 기록 데이터를 내보내는 데 사용할 수 있습니다. 이 메서드는 로그 쿼리 제한의 적용을 받으며 크기 조정을 위한 것이 아닙니다. 자세한 내용은 Logic Apps를 사용하여 Log Analytics 작업 영역에서 스토리지 계정으로 데이터 내보내기를 참조하세요.
PowerShell 스크립트를 사용하여 로컬 컴퓨터로 일회성 내보내기를 사용합니다. 자세한 내용은 Invoke-AzOperationalInsightsQueryExport를 참조하세요.

필요한 권한

조치	필요한 권한
데이터 내보내기 규칙 만들기 또는 업데이트	예를 들어 `Microsoft.OperationalInsights/workspaces/dataexports/write`에서 제공하는 Log Analytics 작업 영역에 대한 권한
데이터 내보내기 규칙 삭제	예를 들어 `Microsoft.OperationalInsights/workspaces/dataexports/delete`에서 제공하는 Log Analytics 작업 영역에 대한 권한
스토리지 계정으로 내보내기	`Microsoft.Storage/storageAccounts/blobServices/containers/write` 스토리지 계정에 대한 사용 권한(예: 스토리지 계정 기여자 기본 제공 역할에서 제공)
이벤트 허브로 내보내기	`Microsoft.EventHub/namespaces/eventhubs/write`, `Microsoft.EventHub/namespaces/eventhubs/messages/writeMicrosoft.EventHub/namespaces/authorizationRules/listkeys/action` 예를 들어 Azure Event Hubs 데이터 소유자 기본 제공 역할에서 제공하는 Event Hub에 대한 권한
테이블의 쿼리 로그	`Microsoft.OperationalInsights/workspaces/query/<table>/read` Log Analytics 판독기 기본 제공 역할에서 제공하는 Log Analytics 작업 영역에 대한 권한(예를 들어)
테이블에서 로그 쿼리(테이블 작업)	`Microsoft.OperationalInsights/workspaces/tables/query/read` Log Analytics 판독기 기본 제공 역할에서 제공하는 Log Analytics 작업 영역에 대한 권한(예를 들어)

제한 사항

Log Analytics 에이전트에서 사용하는 텍스트 기반 로그를 포함하여 HTTP 데이터 수집기 API 를 사용하여 만든 사용자 지정 로그를 내보낼 수 없습니다. 텍스트 기반 로그를 포함하여 데이터 수집 규칙을 사용하여 만든 사용자 지정 로그를 내보낼 수 있습니다.
데이터 내보내기가 점차 더 많은 테이블을 지원합니다. 지원되지 않는 테이블 섹션을 참조하세요.
작업 영역당 활성 규칙의 최대 수는 10개이며, 각각 여러 테이블을 포함할 수 있습니다.
스토리지 계정은 작업 영역의 규칙 간에 고유해야 합니다.
지원되는 테이블 계획은 분석 및 기본입니다. 보조 계획은 지원되지 않습니다.
대상은 Log Analytics 작업 영역과 동일한 지역에 있어야 합니다.
Premium Storage 계정으로 내보내기는 지원되지 않습니다.

데이터 완성도

데이터 내보내기는 목적지로 대규모 데이터를 이동하도록 최적화되었습니다. 규모 또는 가용성이 부족한 대상의 경우 재시도 프로세스가 최대 12시간 동안 계속되며 내보낸 레코드의 일부가 중복될 수 있습니다. 스토리지 계정 및 Event Hubs 대상에 대한 권장 사항을 따라 안정성을 향상시킵니다. 다시 시도 기간 후에도 대상을 계속 사용할 수 없으면 데이터가 삭제됩니다.

대상 제한 및 권장 경고에 대한 자세한 내용은 데이터 내보내기 규칙 만들기 또는 업데이트를 참조하세요.

가격 책정 모델

데이터 내보내기 요금은 JSON 형식 데이터의 대상으로 내보낸 바이트 수를 기준으로 하며 GB(10^9바이트) 단위로 측정됩니다. 크기 계산에는 JSON 서식 오버헤드가 포함되지 않으므로 작업 영역 쿼리를 사용하여 데이터 내보내기 크기 계산을 수행할 수 없습니다. 이 샘플 PowerShell 스크립트의 메서드를 사용하여 Blob 컨테이너의 총 청구 크기를 계산합니다. 현재 소버린 클라우드로의 내보내기에는 요금이 부과되지 않습니다. 활성화 전에 알림이 전송됩니다.

데이터 내보내기 청구 타임라인을 비롯한 자세한 내용은 Azure Monitor 가격 책정을 참조하세요. 데이터 내보내기 청구 기능은 2023년 10월 초에 사용 가능하게 되었습니다.

내보내기 대상

작업 영역에서 내보내기 규칙을 만들기 전에 데이터 내보내기 대상을 사용할 수 있어야 합니다. 목적지는 서로 다른 구독에 있을 수 있습니다. Azure Lighthouse를 사용하면 다른 Microsoft Entra 테넌트의 대상으로 데이터를 보낼 수도 있습니다.

스토리지 계정

대기 시간 지연이나 속도 제한 초과로 인한 스토리지 수신 오류를 방지하려면 다른 모니터링이 아닌 데이터를 포함하지 않는 기존 스토리지 계정을 사용하십시오. 이렇게 하면 데이터에 대한 액세스를 더 잘 제어하고 데이터 내보내기 안정성을 향상시킬 수 있습니다.

변경할 수 없는 스토리지 계정으로 데이터를 보내려면 Azure Blob Storage에 대한 불변성 정책 설정 및 관리에 설명된 대로 스토리지 계정에 대한 변경할 수 없는 정책을 설정합니다. 보호된 추가 BLOB 쓰기 사용을 비롯하여 이 문서의 모든 단계를 따라야 합니다.

스토리지 계정은 프리미엄일 수 없으며 StorageV1 이상이어야 하며 작업 영역과 동일한 지역에 있어야 합니다. 다른 지역의 다른 Storage 계정에 데이터를 복제해야 하는 경우 GRS 및 GZRS를 비롯한 Azure Storage 중복 옵션을 사용합니다.

데이터는 Azure Monitor에 도달하고 작업 영역 지역에 있는 대상으로 내보낼 때 스토리지 계정으로 전송됩니다. 각 테이블에 대해 스토리지 계정에 컨테이너가 생성되며, 이름은 am- 다음에 테이블 이름이 옵니다. 예를 들어 SecurityEvent 테이블은 am-SecurityEvent라는 컨테이너로 보냅니다.

Blob은 다음과 같은 경로 구조의 5분 폴더에 저장됩니다. WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<four-digit numeric year>/m=<two-digit numeric month>/d=<two-digit numeric day>/h=<two-digit 24-hour clock hour>/m=<two-digit 60-minute clock minute>/PT05M.json. Blob에 추가는 50K 쓰기로 제한됩니다. 폴더에 더 많은 Blob이 PT05M_#.json*로 추가됩니다. 여기서 '#'은 증분 Blob 수입니다.

참고

Blob에 대한 추가는 "TimeGenerated" 필드를 기반으로 작성되며 원본 데이터를 수신할 때 발생합니다. 지연된 상태로 Azure Monitor에 도착하거나 대상 제한 후 다시 시도된 데이터는 TimeGenerated에 따라 Blob에 기록됩니다.

Storage 계정의 Blob 형식은 JSON 줄에 있습니다. 여기서 각 레코드는 외부 레코드 배열이 없고 JSON 레코드 간에 쉼표가 없는 새 줄로 구분됩니다.

이벤트 허브 (Event Hubs)

모니터링하지 않는 기존 데이터가 있는 이벤트 허브를 사용하지 않습니다. 이 모범 사례는 대기 시간 또는 속도 제한 초과로 인한 수신 오류를 방지하는 데 도움이 됩니다.

데이터는 Azure Monitor에 도달할 때 이벤트 허브로 전송되고 작업 영역 지역에 있는 대상으로 내보내집니다. 규칙에서 다른 Event Hub name 규칙을 제공하여 동일한 Event Hub 네임스페이스로 여러 내보내기 규칙을 만듭니다. Event Hub name가 제공되지 않으면, 내보낸 테이블의 이름 앞에 am- 이 붙은 기본 이벤트 허브가 만들어집니다. 예를 들어 SecurityEvent 테이블은 am-SecurityEvent 라는 이벤트 허브 로 전송됩니다.

기본 및 표준 네임스페이스 계층에서 지원되는 Event Hubs 수는 10개입니다. 10개 이상의 테이블을 이러한 계층으로 내보낼 경우 여러 내보내기 규칙 간에 테이블을 분할하거나, 다른 Event Hubs 네임스페이스로 분할하거나, 이벤트 허브 이름을 제공하여 여기로 모든 테이블을 내보냅니다.

참고

Basic Event Hubs 네임스페이스 계층은 제한됩니다. 더 낮은 이벤트 크기를 지원하며, 처리량 단위 수를 자동으로 늘리기 위한 자동 확장 옵션은 제공되지 않습니다. 작업 영역에 대한 데이터 볼륨은 시간이 지남에 따라 증가하고 결과적으로 Event Hub 크기 조정이 필요하므로 자동 확장 기능을 사용하도록 설정된 표준, 프리미엄 또는 전용 Event Hubs 계층을 사용합니다. 자세한 내용은 Azure Event Hubs 처리량 단위 자동 강화를 참조하세요.
가상 네트워크를 사용하도록 설정하면 데이터 내보내기가 Event Hubs 리소스에 도달할 수 없습니다. 신뢰할 수 있는 서비스 목록에서 Azure 서비스가 이 Storage 계정에 액세스하도록 허용하려면, Event Hub에서 이 방화벽 설정을 무시하고 Event Hubs에 대한 액세스를 허용하기 위해 Azure 서비스가 이 Storage 계정에 액세스하도록 허용 확인란을 선택해야 합니다.

내보낸 데이터 쿼리

작업 영역에서 Storage 계정으로 데이터를 내보내면 개요에 언급된 다양한 시나리오를 충족하는 데 도움이 되며 Storage 계정에서 Blob을 읽을 수 있는 도구에서 사용할 수 있습니다. 다음 방법을 사용하면 Azure Data Explorer와 동일한 Log Analytics 쿼리 언어를 사용하여 데이터를 쿼리할 수 있습니다.

Azure Data Explorer를 사용하여 Azure Data Lake에서 데이터를 쿼리합니다.
Azure Data Explorer를 사용하여 스토리지 계정에서 데이터를 수집합니다.
Log Analytics 작업 영역을 사용하여 로그 수집 API를 사용하여 수집된 데이터를 쿼리합니다 . 수집된 데이터는 원래 테이블이 아닌 사용자 지정 로그 테이블로 전송됩니다.

데이터 내보내기 활성화

Log Analytics 데이터 내보내기를 사용하도록 설정하려면 다음 단계를 수행해야 합니다.

리소스 공급자 등록
신뢰할 수 있는 Microsoft 서비스 허용
목적지 모니터링 (권장)
데이터 내보내기 규칙 만들기 또는 업데이트

리소스 공급자 등록

Log Analytics 데이터 내보내기를 사용하려면 Azure 리소스 공급자 Microsoft.Insights 를 구독에 등록해야 합니다.

이 리소스 공급자는 대부분의 Azure Monitor 사용자에게 이미 등록되어 있을 것입니다. 확인하려면 Azure Portal에서 구독 으로 이동합니다. 구독을 선택한 다음 메뉴의 설정 섹션에서 리소스 공급자를 선택합니다. Microsoft.Insights를 찾습니다. 상태가 등록되어 있으면 이미 등록되어 있습니다. 그렇지 않은 경우 등록 을 선택하여 등록합니다.

Azure 리소스 공급자 및 형식에 설명된 대로 사용 가능한 메서드를 사용하여 리소스 공급자를 등록할 수도 있습니다. 다음 샘플 명령은 Azure CLI를 사용합니다.

az provider register --namespace 'Microsoft.insights'

다음 샘플 명령은 PowerShell을 사용합니다.

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

신뢰할 수 있는 Microsoft 서비스 허용

선택한 네트워크에서 액세스할 수 있도록 스토리지 계정을 구성한 경우 예외를 추가하여 Azure Monitor가 계정에 쓸 수 있도록 해야 합니다. 스토리지 계정에 대한 방화벽 및 가상 네트워크에서 신뢰할 수 있는 서비스 목록에서 Azure 서비스가 이 Storage 계정에 액세스하도록 허용을 선택합니다.

목적지 모니터링

중요한

내보내기 대상에는 한계가 있으며, 흐름 제어, 실패 및 대기 시간을 최소화하기 위해 모니터링해야 합니다. 자세한 내용은 Storage 계정 확장성 및 Event Hubs 네임스페이스 할당량을 참조하세요.

데이터 내보내기 작업 및 경고에 다음 메트릭을 사용할 수 있습니다.

메트릭 이름	설명
내보낸 바이트 수	선택한 시간 범위 내에서 Log Analytics 작업 영역에서 대상으로 내보낸 총 바이트 수입니다. 내보낸 데이터 크기는 내보낸 JSON 형식 데이터의 바이트 수입니다. 1GB = 10^9바이트.
내보내기 실패	선택한 시간 범위 내에서 Log Analytics 작업 영역에서 대상으로 실패한 총 내보내기 요청 수입니다. 이 숫자에는 대상 자원 제한, 접근 금지 오류 또는 서버 오류로 인한 내보내기 시도 실패가 포함됩니다. 재시도 프로세스는 실패한 시도를 처리하며 이 숫자는 누락된 데이터에 대한 표시가 아닙니다.
내보낸 레코드	선택한 시간 범위 내에 Log Analytics 작업 영역에서 내보낸 총 레코드 수입니다. 이 숫자는 성공으로 끝난 작업에 대한 레코드를 계산합니다.

스토리지 계정 모니터링

내보내기에 별도의 스토리지 계정을 사용합니다.

메트릭에 대한 경고를 구성합니다.

범위	메트릭 네임스페이스	메트릭	집계	문턱
저장소 이름	어카운트	수신	합계	경고 평가 기간당 최대 유입량의 80%입니다. 예를 들어, 미국 서부의 범용 v2에 대한 제한은 60Gbps입니다. 경고 임계값은 5분 평가 기간당 1676GiB입니다.

경고 수정 작업:
- 비 모니터링 데이터와 공유되지 않은 내보내기에는 별도의 스토리지 계정을 사용합니다.
- Azure Storage 표준 계정은 요청에 따라 더 높은 수신 한도를 지원합니다. 증가를 요청하려면 Azure 지원에 문의하세요.
- 더 많은 스토리지 계정 간에 테이블을 분할합니다.

Event Hubs를 모니터링하기

메트릭에 대한 경고를 구성합니다.

범위	메트릭 네임스페이스	메트릭	집계	문턱
네임스페이스 이름	Event Hubs 표준 메트릭	들어오는 바이트	합계	경고 평가 기간당 최대 유입량의 80%입니다. 예를 들어, 한도는 단위(TU 또는 PU)당 1MB/s이고 사용된 단위는 5입니다. 임계값은 5분 평가 기간당 228MiB입니다.
네임스페이스 이름	Event Hubs 표준 메트릭	들어오는 요청	개수	경고 평가 기간당 최대 이벤트의 80%입니다. 예를 들어, 한도는 단위(TU 또는 PU)당 1,000/s이고 사용된 단위는 5입니다. 임계값은 5분 평가 기간당 1,200,000입니다.
네임스페이스 이름	Event Hubs 표준 메트릭	할당량 초과 오류	개수	요청의 1% 사이입니다. 예를 들어, 5분당 요청은 600,000입니다. 임계값은 5분 평가 기간당 6,000입니다.

경고 수정 작업:
- 비 모니터링 데이터와 공유되지 않은 내보내기에는 별도의 Event Hubs 네임스페이스를 사용합니다.
- 자동 확장 기능을 구성하여 사용량 요구 사항에 맞게 처리량 단위 수를 자동으로 확장하고 늘입니다.
- 데이터 볼륨을 수용하기 위해 처리량 단위의 증가를 확인합니다.
- 더 많은 네임스페이스 간의 테이블을 분할합니다.
- 처리량을 높이려면 프리미엄 또는 전용 계층을 사용합니다.

데이터 내보내기 규칙 만들기 또는 업데이트

데이터 내보내기 규칙은 데이터를 내보낼 테이블과 대상을 정의합니다. 내보내기 작업이 시작되기 전에 규칙 프로비전에는 약 30분이 소요됩니다. 데이터 내보내기 규칙 고려 사항:

스토리지 계정은 작업 영역의 규칙 간에 고유해야 합니다.
별도의 Event Hubs로 보낼 때 여러 규칙이 동일한 Event Hubs 네임스페이스를 사용할 수 있습니다.
스토리지 계정으로 내보내기: 각 테이블에 대한 스토리지 계정에 별도의 컨테이너가 만들어집니다.
Event Hubs로 내보내기: 이벤트 허브 이름이 제공되지 않으면 각 테이블에 대해 별도의 이벤트 허브가 만들어집니다. 기본 및 표준 네임스페이스 계층에서 지원되는 Event Hubs 수는 10개입니다. 10개 이상의 테이블을 이러한 계층으로 내보낼 경우 여러 내보내기 규칙 간에 테이블을 분할하거나, 다른 Event Hubs 네임스페이스로 분할하거나, 규칙에 이벤트 허브 이름을 제공하여 여기로 모든 테이블을 내보냅니다.

Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션에서 데이터 내보내기를 선택합니다. 창 위쪽에서 새 내보내기 규칙을 선택합니다.
단계를 수행한 다음 만들기를 선택합니다. "원본" 탭에는 데이터가 포함된 테이블만 표시됩니다.

PowerShell을 사용하여 스토리지 계정으로 데이터 내보내기 규칙을 만들려면 다음 명령을 사용합니다. 각 테이블에 대해 별도의 컨테이너가 생성됩니다.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

PowerShell을 사용하여 특정 이벤트 허브로 데이터 내보내기 규칙을 만들려면 다음 명령을 사용합니다. 모든 테이블은 제공된 이벤트 허브 이름으로 내보내지고 형식 필드로 필터링하여 테이블을 구분할 수 있습니다.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

PowerShell을 사용하여 Event Hub로 데이터 내보내기 규칙을 만들려면 다음 명령을 사용합니다. 특정 이벤트 허브 이름이 제공되지 않으면 각 Event Hubs 계층에서 지원되는 Event Hubs 수까지 각 테이블에 대해 별도의 컨테이너가 만들어집니다. 더 많은 테이블을 내보내려면 규칙에 이벤트 허브 이름을 제공합니다. 또는 다른 규칙을 설정하고 나머지 테이블을 다른 Event Hubs 네임스페이스로 내보낼 수 있습니다.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

다음 명령을 사용하여 CLI를 사용하여 스토리지 계정에 대한 데이터 내보내기 규칙을 만듭니다. 각 테이블에 대해 별도의 컨테이너가 생성됩니다.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

다음 명령을 사용하여 CLI를 통해 특정 이벤트 허브에 대한 데이터 내보내기 규칙을 만듭니다. 모든 테이블은 제공된 이벤트 허브 이름으로 내보내지고 형식 필드로 필터링하여 테이블을 구분할 수 있습니다.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

다음 명령을 사용하여 CLI를 통해 이벤트 허브에 대한 데이터 내보내기 규칙을 만듭니다. 특정 이벤트 허브 이름이 제공되지 않으면 Event Hubs 계층에 대해 지원되는 Event Hubs 수까지 각 테이블에 대해 별도의 컨테이너가 만들어집니다. 내보낼 테이블이 더 있는 경우 원하는 수의 테이블을 내보낼 이벤트 허브 이름을 제공합니다. 또는 나머지 테이블을 다른 Event Hubs 네임스페이스로 내보내도록 다른 규칙을 설정할 수 있습니다.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

다음 요청을 사용하여 REST API를 사용하여 스토리지 계정에 대한 데이터 내보내기 규칙을 만듭니다. 각 테이블에 대해 별도의 컨테이너가 생성됩니다. 요청은 전달자 토큰 권한 부여 및 콘텐츠 형식 application/json을 사용해야 합니다.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

요청 본문은 테이블의 대상을 지정합니다. 다음 예에서는 REST 요청의 샘플 본문입니다.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

다음 예에서는 이벤트 허브에 대한 REST 요청의 샘플 본문입니다.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

다음 예에서는 이벤트 허브 이름이 제공되는 이벤트 허브에 대한 REST 요청의 샘플 본문입니다. 이 경우 내보낸 모든 데이터가 그 이벤트 허브로 전송됩니다.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

다음 명령을 사용하여 Azure Resource Manager 템플릿을 사용하여 스토리지 계정에 대한 데이터 내보내기 규칙을 만듭니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "___location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

다음 명령을 사용하여 Resource Manager 템플릿을 사용하여 이벤트 허브에 대한 데이터 내보내기 규칙을 만듭니다. 각 테이블에 대해 별도의 이벤트 허브가 생성됩니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "___location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

다음 명령을 사용하여 Resource Manager 템플릿을 사용하여 특정 이벤트 허브에 대한 데이터 내보내기 규칙을 만듭니다. 모든 테이블이 그것으로 내보내집니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "___location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

데이터 내보내기 규칙 구성 보기

Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션에서 데이터 내보내기를 선택합니다.
구성 보기에 대한 규칙을 선택합니다.

PowerShell을 사용하여 데이터 내보내기 규칙의 구성을 보려면 다음 명령을 사용합니다.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

CLI를 사용하여 데이터 내보내기 규칙의 구성을 보려면 다음 명령을 사용합니다.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST API를 사용하여 데이터 내보내기 규칙의 구성을 보려면 다음 요청을 사용합니다. 요청은 전달자 토큰 권한 부여를 사용해야 합니다.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

내보내기 규칙을 사용 안 하거나 업데이트하다

테스트가 보류 중인 경우와 같이 특정 기간 동안 내보내기를 중지하도록 내보내기 규칙을 사용하지 않도록 설정할 수 있습니다. Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션에서 데이터 내보내기를 선택합니다. 상태 토글을 선택하여 내보내기 규칙을 사용하지 않도록 설정하거나 사용하도록 설정합니다.

테스트가 보류 중인 경우와 같이 특정 기간 동안 내보내기를 중지하도록 내보내기 규칙을 사용하지 않도록 설정할 수 있습니다. PowerShell을 사용하여 규칙 매개 변수를 사용하지 않도록 설정하거나 업데이트하려면 다음 명령을 사용합니다.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

테스트가 보류 중인 경우와 같이 특정 기간 동안 내보내기를 중지하도록 내보내기 규칙을 사용하지 않도록 설정할 수 있습니다. CLI를 사용하여 규칙 매개 변수를 사용하지 않도록 설정하거나 업데이트하려면 다음 명령을 사용합니다.

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

테스트가 보류 중인 경우와 같이 특정 기간 동안 내보내기를 중지하도록 내보내기 규칙을 사용하지 않도록 설정할 수 있습니다. REST API를 사용하여 규칙 매개 변수를 사용하지 않도록 설정하거나 업데이트하려면 다음 명령을 사용합니다. 요청은 전달자 토큰 권한 부여를 사용해야 합니다.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

내보내기 규칙 삭제

Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션에서 데이터 내보내기를 선택합니다. 규칙 오른쪽에 있는 줄임표를 선택하고 삭제를 선택합니다.

PowerShell을 사용하여 데이터 내보내기 규칙을 삭제하려면 다음 명령을 사용합니다.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

CLI를 사용하여 데이터 내보내기 규칙을 삭제하려면 다음 명령을 사용합니다.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

REST API를 사용하여 데이터 내보내기 규칙을 삭제하려면 다음 요청을 사용합니다. 요청은 전달자 토큰 권한 부여를 사용해야 합니다.

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

작업 영역에서 모든 데이터 내보내기 규칙 보기

Azure Portal의 Log Analytics 작업 영역 메뉴에서 설정 섹션에서 데이터 내보내기를 선택하여 작업 영역의 모든 내보내기 규칙을 봅니다.

PowerShell을 사용하여 작업 영역의 모든 데이터 내보내기 규칙을 보려면 다음 명령을 사용합니다.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

CLI를 사용하여 작업 영역의 모든 데이터 내보내기 규칙을 보려면 다음 명령을 사용합니다.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

REST API를 사용하여 작업 영역에서 모든 데이터 내보내기 규칙을 보려면 다음 요청을 사용합니다. 요청은 전달자 토큰 권한 부여를 사용해야 합니다.

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2023-09-01

지원되지 않는 테이블

참고

데이터 내보내기 규칙에 지원되지 않는 테이블이 포함되어 있으면 구성이 성공하지만 해당 테이블에 대한 데이터를 내보내지 않습니다. 테이블이 지원되면 데이터 내보내기가 시작됩니다. 더 많은 테이블에 대한 지원을 추가하는 중입니다. 이 문서를 정기적으로 확인하세요.

테이블:	제한 사항
ADXDataOperation
경고	일부 지원. Zabbix 경고에 대한 데이터 수집은 지원되지 않습니다.
경고 기록
AzureActivity	일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
AzureDiagnostics
AzureMetrics
구성 변경
구성 데이터	일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
데이터브릭스SQL
DatabricksSQL (데이터브릭스 SQL)
디바이스 앱 실행
디바이스 캘린더
장치연결세션
DeviceEtw
DeviceHealth
디바이스하트비트
ETWEvent	일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
이벤트	일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
InsightsMetrics	일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
네트워크 세션
작업(Operation)	일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
보호 상태
서비스패브릭 운영 이벤트	일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
ServiceFabric신뢰할수있는액터이벤트 (ServiceFabricReliableActorEvent)	일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
서비스패브릭신뢰할수있는서비스이벤트	일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
업데이트	일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.
VMBoundPort
VMComputer
VMConnection
VMProcess
W3CIISLog	일부 지원. Log Analytics 에이전트 또는 Azure Monitor 에이전트에서 도착하는 데이터는 내보내기에서 완전히 지원됩니다. 진단 확장 에이전트를 통해 도착하는 데이터는 스토리지를 통해 수집됩니다. 이 경로는 내보내기에서 지원되지 않습니다.
WireData	일부 지원. 일부 데이터는 내보내기에서 지원되지 않는 내부 서비스를 통해 수집됩니다. 현재 이 부분은 내보내기에서 누락되었습니다.

다음 단계

Azure Data Explorer에서 내보낸 데이터 쿼리

피드백

이 페이지가 도움이 되었나요?