Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается структура JSON для DCR в тех случаях, когда необходимо работать непосредственно с их определением.
- Дополнительные сведения о работе с json, описанной здесь, см. в статье "Создание и изменение правил сбора данных (DCR) в Azure Monitor .
- См. примеры правил сбора данных (DCR) в Azure Monitor для разных сценариев.
Свойства
В следующей таблице описываются свойства на верхнем уровне DCR.
| Недвижимость | Описание |
|---|---|
description |
Необязательное описание правила сбора данных, определенного пользователем. |
dataCollectionEndpointId |
Идентификатор ресурса конечной точки сбора данных (DCE), используемой, если вы указали его при создании DCR. Это свойство отсутствует в DCR, которые не используют DCE. |
endpoints
1 |
Содержит logsIngestion и metricsIngestion URL-адрес конечных точек для DCR. Этот раздел и его свойства автоматически создаются при создании DCR только в том случае, если kind атрибут в DCR имеет значение Direct. |
immutableId |
Уникальный идентификатор правила сбора данных. Это свойство и его значение автоматически создаются при создании DCR. |
kind |
Указывает сценарий сбора данных, для который используется DCR. Этот параметр описан ниже. |
1 Это свойство не было создано для DCR, созданных до 31 марта 2024 г. Запросы на изменение данных, созданные до этой даты, требовали указания конечной точки сбора данных (DCE) и dataCollectionEndpointId свойства. Если вы хотите использовать эти встроенные DCE, вы должны создать новый DCR.
Добрый
Свойство kind в DCR указывает тип коллекции, для которую используется DCR. Каждый тип DCR имеет другую структуру и свойства.
В следующей таблице перечислены различные типы DCR и их подробные сведения.
| Добрый | Описание |
|---|---|
Direct |
Прямое потребление журналов с помощью API приема. Конечные точки создаются для DCR только тогда, когда используется этот тип значения. |
AgentDirectToStore |
Отправка собранных данных в Хранилище Azure и Event Hubs. |
AgentSettings |
Настройка параметров агента Azure Monitor. |
Linux |
Сбор событий и данных о производительности с компьютеров Linux. |
PlatformTelemetry |
Экспорт метрик платформы. |
Windows |
Сбор событий и данных о производительности с компьютеров Windows. |
WorkspaceTransforms |
Преобразование рабочей области DCR. Этот DCR не включает входной поток. |
Обзор потока данных DCR
Базовый поток DCR показан на следующей схеме. Каждый из компонентов описан в следующих разделах.
Входные потоки
В разделе входного потока DCR определяются входящие данные, собираемые. В зависимости от конкретного сценария сбора данных существует два типа входящего потока. Большинство сценариев сбора данных используют один из входных потоков, а некоторые могут использовать оба.
Замечание
Преобразования рабочей области DCR не имеют входного потока.
| Входной поток | Описание |
|---|---|
dataSources |
Известный тип данных. Часто эти данные обрабатываются агентом Azure Monitor и передаются в Azure Monitor с известным типом данных. |
streamDeclarations |
Пользовательские данные, которые необходимо определить в DCR. |
Данные, отправленные из API приема журналов, используют streamDeclaration схему входящих данных. Это связано с тем, что API отправляет пользовательские данные, которые могут иметь любую схему.
Текстовые журналы из AMA — это пример сбора данных, который требует наличия как dataSources, так и streamDeclarations. Источник данных включает конфигурацию
Источники данных
Источники данных — это уникальные источники данных мониторинга, каждый из которых имеет собственный формат и метод предоставления своих данных. Каждый тип источника данных имеет уникальный набор параметров, которые должны быть настроены для каждого источника данных. Данные, возвращаемые источником данных, обычно являются известным типом, поэтому схема не должна быть определена в DCR.
Например, события и данные о производительности, собранные с виртуальной машины с агентом Azure Monitor (AMA), используют такие источники данных, как windowsEventLogs и performanceCounters. Вы указываете критерии для событий и счетчиков производительности, которые требуется собрать, но не нужно определять структуру самих данных, так как это известная схема для потенциальных входящих данных.
Общие параметры
Все типы источников данных используют следующие общие параметры.
| Параметр | Описание |
|---|---|
name |
Имя для идентификации источника данных в DCR. |
streams |
Список потоков, которые будет собирать источник данных. Если это стандартный тип данных, например событие Windows, поток будет находиться в форме Microsoft-<TableName>. Если это пользовательский тип, он будет находиться в форме Custom-<TableName> |
Допустимые типы источников данных
Типы источников данных, доступные в настоящее время, перечислены в следующей таблице.
| Тип источника данных | Описание | Потоки | Параметры |
|---|---|---|---|
eventHub |
Данные из центров событий Azure. | Пользовательский1 |
consumerGroup — группа потребителей концентратора событий для сбора данных. |
iisLogs |
Журналы IIS с компьютеров Windows | Microsoft-W3CIISLog |
logDirectories — каталог, в котором журналы IIS хранятся на клиенте. |
logFiles |
Текстовый журнал или журнал формата JSON на виртуальной машине | Пользовательский1 |
filePatterns — Шаблон папки и файла для сбора файлов журналов от клиента.format
-
json или text |
performanceCounters |
Счетчики производительности для виртуальных машин Windows и Linux | Microsoft-PerfMicrosoft-InsightsMetrics |
samplingFrequencyInSeconds — частота выборки данных о производительности.counterSpecifiers — Объекты и счетчики, которые следует собирать. |
prometheusForwarder |
Данные Prometheus, собранные из кластера Kubernetes. | Microsoft-PrometheusMetrics |
streams — потоки данных для обработкиlabelIncludeFilter — Список фильтров для включения меток в формате пар "имя-значение". В настоящее время поддерживается только microsoft_metrics_include_label. |
syslog |
События системного журнала на виртуальных машинах Linux События в общем формате событий на устройствах безопасности |
Microsoft-SyslogMicrosoft-CommonSecurityLog для CEF |
facilityNames - Оборудование для сбораlogLevels — уровни журнала для сбора |
windowsEventLogs |
Журнал событий Windows на виртуальных машинах | Microsoft-Event |
xPathQueries — XPaths, указывающие критерии для событий, подлежащих сбору. |
extension |
Источник данных на основе расширений, используемый агентом Azure Monitor. | Зависит от расширения |
extensionName — имя расширенияextensionSettings — Значения для каждого параметра, требуемого расширением |
1 Эти источники данных используют как источник данных, так и объявление потока, так как схема собираемых данных может отличаться. Поток, используемый в источнике данных, должен быть пользовательским потоком, определенным в объявлении потока.
Объявления потоков
Объявление различных типов данных, отправленных в рабочую область Log Analytics. Каждый поток — это объект, ключ которого представляет имя потока, которое должно начинаться с custom-. Поток содержит полный список свойств верхнего уровня, содержащихся в данных JSON, которые будут отправлены. Форма данных, отправляемых в конечную точку, не должна соответствовать форме целевой таблицы. Вместо этого выходные данные преобразования, примененного поверх входных данных, должны соответствовать целевой форме.
Типы данных
Возможные типы данных, которые можно назначить свойствам:
stringintlongrealbooleandynamic-
datetime.
Назначения
В destinations разделе содержится запись для каждого назначения, в котором будут отправляться данные. Эти пункты назначения соответствуют входным потокам в dataFlows разделе.
Общие параметры
| Параметры | Описание |
|---|---|
name |
Имя для идентификации назначения в разделе dataSources. |
Допустимые назначения
Доступные в настоящее время назначения перечислены в следующей таблице.
| Место назначения | Описание | Обязательные параметры |
|---|---|---|
logAnalytics |
Рабочая область Log Analytics |
workspaceResourceId — идентификатор ресурса рабочей области.workspaceID — идентификатор рабочей областиЭто указывает только рабочую область, а не таблицу, в которой будут отправляться данные. Если это известный адресат, таблица не должна быть указана. Для пользовательских таблиц таблица указывается в источнике данных. |
azureMonitorMetrics |
Метрики Azure Monitor | Конфигурация не требуется, так как для подписки существует только одно хранилище метрик. |
storageTablesDirect |
Хранилище таблиц Azure |
storageAccountResourceId — идентификатор ресурса учетной записи храненияtableName — Имя таблицы |
storageBlobsDirect |
Хранилище блочных объектов Azure |
storageAccountResourceId — идентификатор ресурса учетной записи храненияcontainerName — Имя контейнера BLOB-объектов |
eventHubsDirect |
Центры событий |
eventHubsDirect — идентификатор ресурса концентратора событий. |
Это важно
Один поток может отправляться только в одну рабочую область Log Analytics в DCR. Вы можете использовать несколько dataFlow записей для одного потока, если они используют разные таблицы в одной рабочей области. Если необходимо отправить данные в несколько рабочих областей Log Analytics из одного потока, создайте отдельный DCR для каждой рабочей области.
Потоки данных
Потоки данных сопоставляются с входными потоками и назначениями. Каждый источник данных может дополнительно указать преобразование и в некоторых случаях может указывать на определенную таблицу в рабочей области Log Analytics.
Свойства потока данных
| Секция | Описание |
|---|---|
streams |
Один или несколько потоков, определенных в разделе входных потоков. Вы можете включить несколько потоков в один поток данных, если вы хотите отправить несколько источников данных в одно место назначения. Используйте один поток, только если поток данных включает преобразование. Один поток также можно использовать несколькими потоками данных, если требуется отправить определенный источник данных в несколько таблиц в одной рабочей области Log Analytics. |
destinations |
Одно или несколько пунктов назначения из приведенного destinations выше раздела. Для сценариев с несколькими адресами разрешено несколько назначений. |
transformKql |
Необязательное преобразование, применяемое к входящему потоку. Преобразование должно понимать схему входящих данных и выходных данных в схеме целевой таблицы. При использовании преобразования поток данных должен содержать только одну последовательность. |
outputStream |
Описывает таблицу в рабочей области, указанной в свойстве destination , в которую будут отправляться данные. Значение outputStream имеет формат Microsoft-[tableName] при приеме данных в стандартную таблицу или Custom-[tableName] при приеме данных в настраиваемую таблицу. Для каждого потока допускается только одно назначение.Это свойство не используется для известных источников данных из Azure Monitor, таких как события и данные о производительности, так как они отправляются в предопределенные таблицы. |
Дальнейшие шаги
Общие сведения о правилах и методах сбора данных для их создания