Экспорт данных рабочей области Log Analytics в Azure Monitor

Статья
2025-04-18

Экспорт данных в рабочей области Log Analytics позволяет непрерывно экспортировать данные в выбранные таблицы вашей рабочей области. Вы можете экспортировать данные в учетную запись службы хранения Azure или Центров событий Azure по мере их поступления в конвейер Azure Monitor. В данной статье представлены подробные сведения о данной функции, а также шаги по настройке экспорта данных в ваших рабочих областях.

Обзор

Данные в Log Analytics доступны для периода хранения, определенного в рабочей области. Он используется в различных опытах, предоставляемых в Azure Monitor и службах Azure. В некоторых случаях необходимо использовать другие средства:

Соответствие требованиям защищенных от несанкционированного вмешательства хранилищ: данные нельзя изменить в Log Analytics после приема, но их можно удалить. Экспорт в учетную запись хранения с политиками неизменяемости для защиты данных от изменений.
Интеграция со службами Azure и другими инструментами. Экспорт в Центры событий в качестве поступающих данных и обрабатывается в Azure Monitor.
Долгосрочное хранение данных аудита и безопасности: экспорт в учетную запись хранения в регионе рабочей области. Кроме того, вы можете реплицировать данные в другие регионы, используя любой из вариантов избыточности хранилища Azure, включая GRS и GZRS.

После настройки правил экспорта данных в рабочей области Log Analytics новые данные для таблиц в правилах экспортируются из конвейера Azure Monitor в учетную запись хранения или центры событий по мере поступления. Трафик экспорта данных находится в магистральной сети Azure и не покидает сеть Azure.

Данные экспортируются без фильтрации. Например, при настройке правила экспорта данных для таблицы SecurityEvent все данные, отправленные в таблицу SecurityEvent, экспортируются начиная с времени настройки. Кроме того, можно отфильтровать или изменить экспортированные данные, настроив преобразования в рабочей области, которые применяются к входящим данным, прежде чем они будут отправлены в рабочие области Log Analytics и в места экспорта.

Другие варианты экспорта

Экспорт данных из рабочей области Log Analytics постоянно перемещает данные, отправленные в вашу рабочую область Log Analytics. Существуют и другие способы экспорта данных для конкретных сценариев.

Если ресурс Azure уже отправляет журналы в рабочую область Log Analytics через параметры журнала диагностики, рассмотрите возможность обновления параметров диагностики непосредственно на ресурсе Azure, чтобы добавить новое место назначения, вместо регулярного выполнения экспорта данных. Этот подход имеет меньшую задержку по сравнению с экспортом данных, но не отправляет исторические данные.
Запланируйте экспорт данных на основе запроса журнала, который вы определяете с помощью API запросов Log Analytics. Используйте Службу синхронизации данных Azure, Функции Azure или Логические приложения Azure для оркестрации запросов в рабочей области и экспорта данных в конечный пункт. Этот метод аналогичен функции экспорта данных, но его можно использовать для экспорта исторических данных из рабочей области с помощью фильтров и агрегирования. Этот метод применяется к ограничениям запросов журнала и не предназначен для масштабирования. Дополнительные сведения см. в статье "Экспорт данных из рабочей области Log Analytics" в учетную запись хранения с помощью Logic Apps.
Используйте одноразовый экспорт на локальный компьютер с помощью скрипта PowerShell. Дополнительные сведения см. в разделе Invoke-AzOperationalInsightsQueryExport.

Требуются разрешения

Действие	Требуются разрешения
Создание или обновление правила экспорта данных	`Microsoft.OperationalInsights/workspaces/dataexports/write` разрешения на рабочую область Log Analytics, как указано для встроенной роли Участника Log Analytics, например
Удаление правила экспорта данных	`Microsoft.OperationalInsights/workspaces/dataexports/delete` разрешения на рабочую область Log Analytics, как указано для встроенной роли Участника Log Analytics, например
Экспорт в аккаунт хранения	`Microsoft.Storage/storageAccounts/blobServices/containers/write` разрешения на хранилище, например, предоставляемые встроенной ролью участника хранилища.
Экспорт в Концентратор событий	`Microsoft.EventHub/namespaces/eventhubs/write`, `Microsoft.EventHub/namespaces/eventhubs/messages/write`, `Microsoft.EventHub/namespaces/authorizationRules/listkeys/action` разрешения на концентратор событий, как, например, указано встроенными ролями владельца данных Центров событий Azure.
Журналы запросов в таблице	`Microsoft.OperationalInsights/workspaces/query/<table>/read`разрешения на рабочую область Log Analytics, как предусмотрено встроенной ролью Log Analytics Reader, например
Запрос журналов в таблице (операция с таблицей)	`Microsoft.OperationalInsights/workspaces/tables/query/read` разрешения на рабочую область Log Analytics, предоставляемые встроенной ролью Log Analytics Reader, например

Ограничения

Пользовательские журналы, созданные с помощью API сборщика данных HTTP, нельзя экспортировать, включая текстовые журналы, используемые агентом Log Analytics. Пользовательские журналы, созданные с помощью правил сбора данных, включая текстовые журналы, можно экспортировать.
Экспорт данных постепенно поддерживает больше таблиц, но в настоящее время ограничен таблицами, указанными в разделе поддерживаемых таблиц .
Максимальное количество активных правил для каждой рабочей области равно 10, каждое из них может включать несколько таблиц.
Поддерживаемые планы таблиц — план аналитика и план базовый. Вспомогательный план не поддерживается.
Целевые объекты должны находиться в том же регионе, что и рабочая область Log Analytics.
Учетная запись хранения должна быть уникальной в пределах правил в рабочей области.
Экспорт в учетную запись хранилища класса Premium не поддерживается.
Имена таблиц могут содержать 60 символов при экспорте в учетную запись хранения. При экспорте в Центры событий они могут быть 47 символов. Таблицы с более длинными именами не будут экспортированы.

Полнота данных

Экспорт данных оптимизирован для перемещения большого объема данных в места назначения. В случае, если место назначения имеет недостаточный масштаб или доступность, процесс повторной попытки продолжается до 12 часов и может привести к частичному дублированию экспортированных записей. Следуйте рекомендациям для учетной записи хранения и центров событий, чтобы повысить надежность. Дополнительные сведения об ограничениях назначения и рекомендуемых оповещениях см. в статье "Создание или обновление правила экспорта данных". Если пункты назначения по-прежнему недоступны после периода повтора, данные удаляются.

Модель ценообразования

Расходы на экспорт данных основаны на количестве байтов, экспортированных в назначения в формате JSON, и измеряются в ГБ (10^9 байт). Вычисление размера в запросе рабочей области не может соответствовать расходам на экспорт данных, поскольку не включает данные, оформленные в формате JSON. Вы можете использовать PowerShell для вычисления общего объема выставляемых счетов контейнера BLOB-объектов. В настоящее время нет платы за экспорт в суверенные облака. Уведомление будет отправлено перед включением.

Дополнительные сведения, включая график выставления счетов за экспорт данных, см. в разделе Цены Azure Monitor. Выставление счетов за экспорт данных было включено в начале октября 2023 года.

Направления экспорта

Назначение экспорта данных должно быть доступно перед созданием правил экспорта в рабочей области. Целевые точки могут находиться в разных подписках, и при этом, используя Azure Lighthouse, также возможно отправлять данные в целевые точки в другом арендаторе Microsoft Entra.

Учетная запись хранения

Избегайте использования существующей учетной записи хранения с другими данными без мониторинга, чтобы лучше управлять доступом к данным, предотвращать достижение сбоев ограничения скорости входящего хранилища и задержки.

Чтобы отправить данные в неизменяемую учетную запись хранения, задайте политику неизменяемости для учетной записи хранения, как описано в разделе Настройка и управление политиками неизменяемости для хранилища Blob в Azure. Необходимо выполнить все действия, описанные в этой статье, в том числе включить защищенные операции записи для добавления BLOB-объектов.

Учетная запись хранения не может быть Premium, должна быть StorageV1 или более поздней версии и находиться в том же регионе, что и рабочая область. Если вам нужно реплицировать данные в другие учетные записи хранения в других регионах, можно использовать любой из вариантов избыточности Azure хранилища, включая GRS и GZRS.

Данные отправляются в учетные записи хранения по мере их поступления в Azure Monitor и экспортируются в пункты назначения, расположенные в регионе рабочей области. Контейнер создается для каждой таблицы в учетной записи хранения с именем, которое начинается с am-, за которым следует имя таблицы. К примеру, таблица SecurityEvent будет отправлена в контейнер с именем am-SecurityEvent.

Большие двоичные объекты (Blobs) хранятся в 5-минутных папках по следующей структуре пути: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace>/y=<четырехзначный числовой год>/m=<двузначный числовой месяц>/d=<двузначный числовой день>/h=<двузначный час в формате 24 часов>/m=<двузначная минута из 60 минут>/PT05M.json. Добавление к BLOB-объектам ограничено 50K операциями записи. В папку будут добавлены новые файлы в формате PT05M_#.json*, где "#" — это порядковый номер блоба.

Примечание.

Добавление к BLOB-объектам записывается на основе поля TimeGenerated и возникает при получении исходных данных. Данные, поступающие в Azure Monitor с задержкой или повторно отправленные после ограничения полосы пропускания получателей, записываются в объекты Blob в соответствии с их TimeGenerated.

Формат двоичных объектов в учётной записи хранилища представлен в строках формата JSON, где каждая запись разделена новой строкой, без внешнего массива записей и без запятых между записями JSON.

Центры событий

Избегайте использования существующего концентратора событий, который содержит данные, не относящиеся к мониторингу, чтобы предотвратить превышение ограничения скорости входящего трафика в пространстве имен концентраторов событий и избежать задержек.

Данные отправляются в Концентратор событий, как только они достигают Azure Monitor, и экспортируются в места назначения, расположенные в регионе рабочей области. Вы можете создать несколько правил экспорта в одно пространство имен Event Hubs, указав другое Event Hub name в правиле. Когда Event Hub name не предоставлен, создается концентратор событий по умолчанию для таблиц, которые вы экспортируете, с именем am-, за которым следует имя таблицы. Например, таблица SecurityEvent будет отправлена в Концентратор событий с именем am-SecurityEvent.

Число поддерживаемых центров событий на уровнях пространства имен "Базовый" и "Стандартный" составляет 10. При экспорте более 10 таблиц на эти уровни можно разделить таблицы между несколькими правилами экспорта в разные пространства имен Центров событий или указать имя концентратора событий для экспорта всех таблиц в него.

Примечание.

Уровень пространства имен "Базовые центры событий" ограничен. Он поддерживает уменьшенный размер события и не включает опцию автовосполнения для автоматического масштабирования и увеличения числа единиц пропускной способности. По мере того как объем данных в рабочей области увеличивается со временем, и вследствие этого требуется масштабирование концентратора событий, используйте уровни "Стандартный", "Премиум" или "Выделенный концентратор событий" с функцией автоматического расширения, включенной. Дополнительные сведения см. в статье «Автоматическое масштабирование единиц пропускной способности Центров событий Azure».
Экспортируемые данные не попадают в ресурсы Центров событий, когда включены виртуальные сети. Чтобы обойти этот параметр брандмауэра в Концентраторе событий и предоставить доступ к вашим Центрам событий, необходимо выбрать флажок Разрешить службам Azure из списка доверенных служб доступ к этой учетной записи хранения.

Запросы к экспортированным данным

Экспорт данных из рабочих областей в учетные записи хранения помогает удовлетворить различные сценарии, упомянутые в обзоре, и может использоваться средствами, которые могут считывать блобы из учетных записей хранения. Следующие методы позволяют запрашивать данные с помощью языка запросов Log Analytics, который совпадает с Azure Data Explorer.

Используйте Azure Data Explorer для запроса данных в Azure Data Lake.
Используйте Azure Data Explorer для загрузки данных из учетной записи хранения.
Используйте рабочую область Log Analytics для запроса ингерированных данных с помощью API загрузки журналов. Данные поступают в настраиваемую таблицу журналов, а не в исходную таблицу.

Включить экспорт данных

Для включения функции экспорта данных Log Analytics необходимо выполнить следующие действия. Дополнительные сведения о каждом из них см. в следующих разделах:

Регистрация поставщика ресурсов
Разрешить доверенные службы Microsoft
Создание или обновление правила экспорта данных

Регистрация поставщика ресурсов

Поставщик ресурсов Azure Microsoft.Insights должен быть зарегистрирован в подписке, чтобы включить экспорт данных Log Analytics.

Для большинства пользователей Azure Monitor указанный поставщик ресурсов, вероятно, уже будет зарегистрирован. Для проверки перейдите в раздел Подписки на портале Azure. Выберите подписку и выберите поставщики ресурсов в разделе "Параметры" меню. Найдите Microsoft.Insights. Если ее статус помечен как Зарегистрировано, значит, она уже зарегистрирована. Если нет, выберите "Зарегистрировать ", чтобы зарегистрировать его.

Вы также можете воспользоваться любым из доступных методов для регистрации поставщика ресурсов, как описано в разделе Поставщики и типы ресурсов Azure. Следующая пример команды использует Azure CLI:

az provider register --namespace 'Microsoft.insights'

Следующая примерная команда использует PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Разрешить доверенные службы Microsoft

Если вы настроили аккаунт хранения для разрешения доступа из выбранных сетей, необходимо добавить исключение, чтобы разрешить Azure Monitor записывать в аккаунт. В брандмауэрах и виртуальных сетях для учетной записи хранения выберите разрешить службам Azure в списке доверенных служб доступ к этой учетной записи хранения.

Отслеживание мест назначения

Внимание

Для мест назначения экспорта действуют ограничения, и их необходимо отслеживать для снижения регулирования, числа сбоев и длительности задержки. Дополнительные сведения см. в разделе "Масштабируемость учетной записи хранения" и квоты пространства имен Центров событий.

Следующие метрики доступны для операций экспорта данных и оповещений

Имя метрики	Описание
Экспорт байтов	Общее количество байтов, экспортированных в место назначения из рабочей области Log Analytics в пределах выбранного диапазона времени. Размер экспортируемых данных — это количество байтов в экспортированных данных в формате JSON. 1 ГБ = 10^9 байт.
Сбои экспорта	Общее количество неудачных запросов экспорта в место назначения из рабочей области Log Analytics в течение выбранного диапазона времени. Это число включает неудачные попытки экспорта из-за ограничения ресурсов назначения, ошибки запрещенного доступа или какой-либо ошибки сервера. Процесс повторных попыток обрабатывает неудачные попытки, и число не является признаком отсутствия данных.
Экспортированные записи	Общее количество записей, экспортированных из рабочей области Log Analytics в выбранном диапазоне времени. Это число подсчитывает записи для операций, закончившихся успешно.

Мониторинг учетной записи хранения

Используйте отдельную учетную запись хранения для экспорта.

Настройте оповещение для метрики:

Область	Пространство имен метрик	Метрика	Агрегация	Порог
имя хранилища	Учетная запись	Вход	Сумма	80 % от максимального входящего трафика за период оценки оповещений. Например, ограничение составляет 60 Гбит/с для общего назначения версии 2 в западной части США. Пороговое значение генерации оповещений составляет 1676 ГиБ за 5-минутный период оценки.

Действия по исправлению оповещений:
- Используйте отдельную учетную запись хранения для экспорта, которая не используется совместно с данными, не относящимися к мониторингу.
- Хранилище Azure стандартные учетные записи поддерживают более высокий предел входящего трафика по запросу. Чтобы запросить увеличение, обратитесь в Службу поддержки Azure.
- Распределите таблицы между несколькими учетными записями хранения.

Мониторинг центров событий

Настройте оповещения на основе метрик:

Область	Пространство имен метрик	Метрика	Агрегация	Порог
namespaces-name	Стандартные метрики Центра событий	Входящие байты	Сумма	80 % от максимального входящего трафика за период оценки оповещений. Например, ограничение составляет 1 МБ/с на единицу (TU или PU) и пять единиц, используемых. Пороговое значение составляет 228 МиБ за 5-минутный период оценки.
namespaces-name	Стандартные метрики Центра событий	Входящие запросы	Количество	80 % максимальных событий на период оценки оповещений. Например, ограничение составляет 1000/с на единицу (TU или PU) при использовании пяти единиц. Пороговое значение составляет 1200 000 за 5-минутный период оценки.
namespaces-name	Стандартные метрики Центра событий	Ошибки превышения квоты	Count	Около 1% запроса. Например, запросы в течение 5 минут составляют 600 000. Пороговое значение составляет 6 000 за 5-минутный период оценки.

Действия по устранению последствий оповещений:
- Используйте отдельное пространство имен Event Hubs для экспорта, которое не используется для данных, не связанных с мониторингом.
- Настройте функцию автоматического раздувания, чтобы автоматически масштабировать и увеличить количество единиц пропускной способности в соответствии с потребностями использования.
- Проверьте увеличение единиц пропускной способности для размещения объёма данных.
- Разделение таблиц между дополнительными пространствами имен.
- Используйте уровни "Премиум" или "Выделенный" для повышения пропускной способности.

Создание или обновление правила экспорта данных

Правило экспорта данных определяет назначение и таблицы, для которых экспортируются данные. Подготовка правил занимает около 30 минут до начала операции экспорта. Рекомендации по экспорту данных:

Учетная запись хранения должна быть уникальной в пределах правил в рабочей области.
Несколько правил могут использовать одно и то же пространство имен Центров событий при отправке в отдельные центры событий.
Экспорт в учетную запись хранения: отдельный контейнер создается в учетной записи хранения для каждой таблицы.
Экспорт в Центры событий: если имя концентратора событий не указано, для каждой таблицы создается отдельный концентратор событий. Число поддерживаемых центров событий на уровнях пространства имен "Базовый" и "Стандартный" составляет 10. Если вы экспортируете более чем 10 таблиц для этих уровней, либо распределите таблицы между несколькими правилами экспорта в разные пространства имен Центров событий, либо укажите имя концентратора событий в правиле, чтобы экспортировать в него все таблицы.

В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе "Параметры". Выберите новое правило экспорта в верхней части области.
Выполните действия, а затем нажмите кнопку "Создать". На вкладке "Источник" отображаются только таблицы с данными.

Используйте следующую команду, чтобы создать правило экспорта данных в учетную запись хранения с помощью PowerShell. Для каждой таблицы создается отдельный контейнер.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $storageAccountResourceId

Используйте следующую команду, чтобы создать правило экспорта данных в определенный концентратор событий с помощью PowerShell. Все таблицы экспортируются в предоставленное имя узла событий и могут фильтроваться по полю "Тип" для разделения таблиц.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId -EventHubName EventhubName

Используйте следующую команду, чтобы создать правило экспорта данных в Концентратор событий с помощью PowerShell. Если имя концентратора событий не указано, для каждой таблицы создается отдельный контейнер, причем их количество может достигать числа Центров событий, поддерживаемых на каждом уровне Центров событий. Чтобы экспортировать дополнительные таблицы, укажите имя концентратора событий в правиле. Кроме того, можно задать другое правило и экспортировать оставшиеся таблицы в другое пространство имен Центров событий.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
New-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -ResourceId $eventHubResourceId

Используйте следующую команду, чтобы создать правило экспорта данных в учетную запись хранения с помощью интерфейса командной строки. Для каждой таблицы создается отдельный контейнер.

$storageAccountResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $storageAccountResourceId

Используйте следующую команду, чтобы создать правило экспорта данных в определенный концентратор событий с помощью интерфейса командной строки. Все таблицы экспортируются в предоставленное имя узла событий и могут фильтроваться по полю "Тип" для разделения таблиц.

$eventHubResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name/eventhubs/eventhub-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubResourceId

Используйте следующую команду, чтобы создать правило экспорта данных в Концентратор событий с помощью интерфейса командной строки. Когда имя конкретного Центра событий не указано, создается отдельный контейнер для каждой таблицы, соблюдая лимит количества поддерживаемых Центров событий для вашего уровня Центров событий. Если у вас есть дополнительные таблицы для экспорта, укажите имя концентратора событий для экспорта любого количества таблиц. Или можно задать другое правило для экспорта оставшихся таблиц в другое пространство имен Центров событий.

$eventHubsNamespacesResourceId = '/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.EventHub/namespaces/namespaces-name'
az monitor log-analytics workspace data-export create --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --destination $eventHubsNamespacesResourceId

Используйте следующий запрос, чтобы создать правило экспорта данных в учетную запись хранения с помощью REST API. Для каждой таблицы создается отдельный контейнер. Запрос должен использовать авторизацию с использованием токена и тип данных application/json.

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Текст запроса указывает назначение таблицы. В следующем примере представлен пример текста запроса REST.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
            "table1",
            "table2" 
        ],
        "enable": true
    }
}

В следующем примере представлен пример текста запроса REST для концентратора событий.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
}

В следующем примере представлен пример текста запроса REST для концентратора событий, в котором указано имя концентратора событий. В этом случае туда отправляются все экспортированные данные.

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.EventHub/namespaces/eventhub-namespaces-name",
            "metaData": {
                "EventHubName": "eventhub-name"
        },
        "tablenames": [
            "table1",
            "table2"
        ],
        "enable": true
    }
  }
}

Используйте следующую команду, чтобы создать правило экспорта данных в учетную запись хранения с помощью шаблона Azure Resource Manager.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "storageAccountRuleName": {
            "defaultValue": "storage-account-rule-name",
            "type": "string"
        },
        "storageAccountResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
                {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/' , parameters('storageAccountRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('storageAccountResourceId')]"
                      },
                      "tableNames": [
                          "Heartbeat",
                          "InsightsMetrics",
                          "VMConnection",
                          "Usage"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Используйте следующую команду, чтобы создать правило экспорта данных в Концентратор событий с помощью шаблона Resource Manager. Для каждой таблицы создается отдельный Центр событий.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]"
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Используйте следующую команду, чтобы создать правило экспорта данных в определенный концентратор событий с помощью шаблона Resource Manager. В него будут экспортированы все таблицы.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "defaultValue": "workspace-name",
            "type": "String"
        },
        "workspaceLocation": {
            "defaultValue": "workspace-region",
            "type": "string"
        },
        "eventhubRuleName": {
            "defaultValue": "event-hub-rule-name",
            "type": "string"
        },
        "namespacesResourceId": {
            "defaultValue": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/microsoft.eventhub/namespaces/namespaces-name",
            "type": "String"
        },
        "eventhubName": {
            "defaultValue": "event-hub-name",
            "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2023-09-01",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('workspaceLocation')]",
            "resources": [
              {
                  "type": "microsoft.operationalinsights/workspaces/dataexports",
                  "apiVersion": "2023-09-01",
                  "name": "[concat(parameters('workspaceName'), '/', parameters('eventhubRuleName'))]",
                  "dependsOn": [
                      "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
                  ],
                  "properties": {
                      "destination": {
                          "resourceId": "[parameters('namespacesResourceId')]",
                          "metaData": {
                              "eventHubName": "[parameters('eventhubName')]"
                          }
                      },
                      "tableNames": [
                          "Usage",
                          "Heartbeat"
                      ],
                      "enable": true
                  }
              }
            ]
        }
    ]
}

Просмотр конфигурации правила экспорта данных

В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе "Параметры".
Выберите правило для представления конфигурации.

Используйте следующую команду, чтобы просмотреть конфигурацию правила экспорта данных с помощью PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Используйте следующую команду, чтобы просмотреть конфигурацию правила экспорта данных с помощью интерфейса командной строки.

az monitor log-analytics workspace data-export show --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

Используйте следующий запрос, чтобы просмотреть конфигурацию правила экспорта данных с помощью REST API. Запрос должен использовать авторизацию с токеном типа "носитель".

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Отключение или обновление правила экспорта

Правила экспорта можно отключить, чтобы остановить экспорт в течение определенного периода, например при тестировании. В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе "Параметры". Выберите переключатель состояния , чтобы отключить или включить правило экспорта.

Правила экспорта можно отключить, чтобы остановить экспорт в течение определенного периода, например при тестировании. Используйте следующую команду, чтобы отключить или обновить параметры правила с помощью PowerShell.

Update-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName' -TableName 'SecurityEvent,Heartbeat' -Enable: $false

az monitor log-analytics workspace data-export update --resource-group resourceGroupName --workspace-name workspaceName --name ruleName --tables SecurityEvent Heartbeat --enable false

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
    "properties": {
        "destination": {
            "resourceId": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/Microsoft.Storage/storageAccounts/storage-account-name"
        },
        "tablenames": [
"table1",
    "table2" 
        ],
        "enable": false
    }
}

Удалить правило экспорта

В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе "Параметры". Выберите многоточие справа от правила и нажмите кнопку "Удалить".

Используйте следующую команду, чтобы удалить правило экспорта данных с помощью PowerShell.

Remove-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName -DataExportName 'ruleName'

Используйте следующую команду, чтобы удалить правило экспорта данных с помощью интерфейса командной строки.

az monitor log-analytics workspace data-export delete --resource-group resourceGroupName --workspace-name workspaceName --name ruleName

Используйте следующий запрос, чтобы удалить правило экспорта данных с помощью REST API. Запрос должен использовать авторизацию с токеном типа "носитель".

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports/<data-export-name>?api-version=2023-09-01

Просмотр всех правил экспорта данных в рабочей области

В меню рабочей области Log Analytics в портал Azure выберите пункт "Экспорт данных" в разделе "Параметры", чтобы просмотреть все правила экспорта в рабочей области.

Используйте следующую команду, чтобы просмотреть все правила экспорта данных в рабочей области с помощью PowerShell.

Get-AzOperationalInsightsDataExport -ResourceGroupName resourceGroupName -WorkspaceName workspaceName

Используйте следующую команду, чтобы просмотреть все правила экспорта данных в рабочей области с помощью интерфейса командной строки.

az monitor log-analytics workspace data-export list --resource-group resourceGroupName --workspace-name workspaceName

Используйте следующий запрос, чтобы просмотреть все правила экспорта данных в рабочей области с помощью REST API. Запрос должен использовать авторизацию с токеном типа "носитель".

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.operationalInsights/workspaces/<workspace-name>/dataexports?api-version=2023-09-01

Неподдерживаемые таблицы

Если правило экспорта данных включает неподдерживаемую таблицу, конфигурация будет успешной, но данные для этой таблицы не будут экспортированы. При поддержке таблицы экспорт данных начнется.

Поддерживаемые таблицы

Примечание.

Мы в процессе добавления поддержки для дополнительных таблиц. Регулярно проверяйте эту статью.

таблица	Ограничения
AACAudit
AACHttpRequest
AADB2CRequestLogs (журналы запросов AADB2C)
Журналы AAD настраиваемых атрибутов безопасности аудита
AADDomainServicesAccountLogon
УправлениеУчетнымиЗаписямиAADDomainServices
Доступ к службе каталога AADDomainServices
АудитДинамическихОбновленийDNSвAADDomainServices
Аудиты общей информации DNS служб домена AAD
AADDomainServicesLogonLogoff
ИзменениеПолитикиAADDomainServices
ИспользованиеПривилегийAADДоменныхСервисов
Логи входа по управляемым идентификациям AAD
Журналы входа неинтерактивных пользователей AAD
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
События риска пользователя AAD
ABSBotRequests
Аудит совместной работы ACI
ACRConnectedClientList
Операции входящей авторизации ACS
Использование ACS для выставления счетов
Автоматизация входящих вызовов ACS
Сводка мультимедиа автоматизации вызовов ACS
Временной ряд медиа-статистики клиента ACS Call
Операции клиента ACSCall
Резюме закрытых субтитров звонка ACS
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
Резюме записи вызова ACS
ACSCallSummary
ACSCallSurvey
Входящие операции ACSChat
Оперативная отправка письма через ACSEmail
Email ACS: Обновление статуса - действует.
ОперацииПоВзаимодействиюПользователейЧерезЭлектроннуюПочтуACS
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSСетевойОбходВходящиеОперации
Операции входящих сообщений комнат ACS
Операции входящих SMS ACSS
Рекомендации по оценке AD
AddonAzureBackupAlerts (уведомления о резервном копировании в Azure)
AddonAzureBackupJobs
ДополнениеAzureРезервноеКопированиеПолитика
АддонAzureBackupЗащищённыйЭкземпляр
Дополнение для резервного хранилища Azure
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
Статистика исполнения пакета ADFSSIS данных
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
Результат репликации Active Directory
РекомендацияПоОценкеБезопасностиAD
ОперацияИсторииДанныхADT
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXIngestionBatching
ADXJournal
ADXQuery
ADXTableDetails
Статистика использования таблиц ADX
AegDataPlaneRequests
Журналы ошибок доставки Aeg
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
Журнал аудита AFS
Журналы доступа AGC
Журналы аудита приложения AgriFood
Журналы управления агропищевой фермой
Операционные журналы агро-продовольственных ферм
AgriFoodInsightLogs (АгриФудИнсайтЛоги)
ЖурналОбработанныхРаботАгроПищевойПромышленности
AgriFoodModelInferenceLogs
ЖурналыАутентификацииПоставщикаСельскохозяйственнойПродукции
Логи спутников агропродукции
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
Логи обработки DAG в Airflow
AKSAudit
AKSAuditAdmin
AKSControlPlane
ALBHealthEvent
Предупреждение	Частичная поддержка. Прием данных для оповещений Zabbix не поддерживается.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlCompute использование CPU и GPU
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataLabelEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
Журнал событий AmlOnlineEndpoint
Журнал Трафика Онлайн-Конечных Точек AML
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
Запросы к AMSStreamingEndpoint
AMWMetricsUsageDetails
ANFFileAccess
Аномалии
AOIDatabaseQuery
AOIDigestion
AOIStorage
Логи шлюза управления API
ApiManagementWebSocketConnectionLogs
Результаты_доступности_приложения
ТаймингиБраузераПриложения
AppCenterError
Зависимости приложения
AppEnvSpringAppConsoleLogs
События приложений
AppExceptions
AppMetrics
Просмотры страниц приложения
Счетчики производительности приложения
Логи сборки платформы приложений
Журналы событий контейнера платформы приложений
AppPlatformIngressLogs
Лог-файлы платформы приложений для Spring
AppPlatformSystemLogs
Запросы приложений
Журналы аудита антивирусного сканирования службы приложений
AppServiceAppLogs
Журналы аудита службы приложений
Журналы аутентификации AppService
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
Журналы аудита файлов AppService
AppServiceHTTPLogs
Журналы аудита IP-сети службы приложений
AppServicePlatformLogs
AppServiceServerlessSecurityПлагинДанные
События системы приложения
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
Журналы событий аутентификации ASim
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
Логи веб-сеансов ASim
AsRJobs
ASR Реплицированные элементы
ATCExpressRouteCircuitIpfix
Журналы аудита
Журнал оценок автомасштабирования
АвтомасштабированиеДействияЖурнал
AVNMConnectivityConfigurationChange
Изменение распределения пула AVNMIPAM
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
Сбор правил приложений AZFW
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
Ошибка разрешения внутреннего FQDN в AZFW
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSDiagnosticErrorLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
Журналы аудита выполнения AZMS
AZMSVnetConnectionEvents
AzureРекомендацияПоОценке
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
Аналитика поведения
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
Журналы событий экспериментов Chaos Studio
CHSMManagementAuditLogs
Аудит событий CI
CIEventsOperational
CloudAppEvents
ОбщийЖурналБезопасности
Компьютерная Группа
Конфиденциальный контрольный список
Конфигурационные данные	Частичная поддержка. Некоторые данные обрабатываются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
Журналы консоли ContainerApp
Системные журналы ContainerApp
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
Инвентаризация контейнеров
Журнал контейнера
ContainerLogV2
ИнвентаризацияКонтейнерныхУзлов
СобытияАвторизацииВКонтейнерномРеестре
События репозитория реестра контейнеров
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksBrickStoreHttpGateway
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksCloudStorageMetadata
Библиотеки Databricks Cluster
Кластеры Databricks
DatabricksDashboards
МониторингДанныхDatabricks
DatabricksDBFS
DatabricksDeltaPipelines
Функциональный магазин Databricks
DatabricksFilesystem
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksIngestion
DatabricksInstancePools
DatabricksJobs
Отслеживание происхождения данных Databricks
DatabricksMarketplaceConsumer
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
Databricks предсказательная оптимизация
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
Бессерверный реального времени вывод на основе Databricks
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
ОперацииПередачиДанных
DataverseActivity
DCRLogErrors
Устранение неполадок DCRLog
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
События устройств
Информация о сертификате файла устройства
DeviceFileEvents
СобытияЗагрузкиИзображенийУстройства
DeviceInfo
СобытияВходаУстройства
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
События реестра устройств
Оценка безопасной конфигурации устройства TVM
УстройствоОценкаБезопаснойКонфигурацииБЗ
DeviceTvmSoftwareInventory
Уязвимости программного обеспечения DeviceTvm
УязвимостиПрограммногоОбеспеченияDeviceTvmKB
DnsEvents
DnsInventory
Журналы DNS-запросов
DSMAzureBlobStorageLogs
Логи классификации данных DSM
Журналы маркировки данных DSM
Dynamics365Activity
Динамическое резюме
Сбой подключения MQTT в EGN
EGNОшибкаПубликацииMqttСообщений
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNУспешныеMqttСоединения
ИнформацияОВложенииЭлектроннойПочты
События электронной почты
СобытияПослеДоставкиЭлектроннойПочты
Информация о URL электронной почты
РасширенныеЛогиАудитаMicrosoft365
Событие ETW	Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
Мероприятие	Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
Рекомендация по оценке обмена
рекомендация по оценке Exchange Online
Неудачный прием
FunctionAppLogs
Аудит-логи GCP
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
Логи аудита шлюза HDInsight
HDInsightHadoopAndYarnLogs
Метрики HDInsightHadoop и Yarn
HDInsightHBaseLogs
HDInsightHBaseMetrics
Журналы HDInsight Hive и LLAP
HDInsight Hive и метрики LLAP
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
События HDInsight Jupyter Notebook
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
События приложений HDInsightSpark
События менеджера блоков HDInsightSpark
События окружения HDInsight Spark
HDInsightSparkExecutorEvents
HDInsightSparkДополнительныеСобытия
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
СобытиеИзмененияСостоянияЗдоровья
Пульс
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
Анализ и метрики	Частичная поддержка. Некоторые данные обрабатываются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
IntuneAuditLogs
IntuneDeviceComplianceOrg
Устройства Intune
Операционные журналы Intune
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
ЛАСуммариЛогс
Linux журнал аудита
LogicAppWorkflowRuntime
Отчётность McasShadowIt
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
СобытияМониторингаЦелостностиФайловMDC
СобытияФайловУстройстваПользовательскойКоллекцииMDE
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareПолученныйСнимокЖурнал
ЖурналОтправленныхСнимковMicrosoftDataShare
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs (Журналы аудита API здравоохранения от Microsoft)
MicrosoftPurview Защита Информации
Обновления для устройств MNF
ИсторияОбновленийСессииMNFСистемы
ОбновленияСостоянияСообщенийСистемыMNF
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
Трафик доступа к сети
Мониторинг сети
Журналы операций NGX
NSPAccessLogs
NTAInsights
NTAIpDetails
NTANetAnalytics
Детали Топологии NTA
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorDNSResult (результат мониторинга DNS соединиения NW)
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
Офисная деятельность
Операции сущности цепочки поставок OLP
OLPSupplyChainEvents
Операция	Частичная поддержка. Некоторые данные обрабатываются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
Производительность
PFTitleAuditLogs
PowerAppsActivity
ПауэрАвтоматАктивити
Деятельность Power BI
PowerBIAuditTenant (ПауэрБИАудитТенант)
PowerBIDatasetsTenant
Рабочая область наборов данных PowerBI
PowerBIОтчетИспользованияРабочееПространство
Активность администратора PowerPlatform
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
Проектная активность
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ЖурналыПубличногоДоступаУправленияРесурсами
Рекомендация по оценке SCCM
Оценка и Рекомендация SCOM
SecureScoreControls
SecureScores
Предупреждение о безопасности
ДанныеПутиАтакиБезопасности
SecurityBaseline
Сводка базового уровня безопасности
Обнаружение безопасности
Событие безопасности
Инцидент безопасности
SecurityIoTRawEvent
Рекомендация по вложенной безопасности
Рекомендация по безопасности
Соблюдение нормативных требований безопасности
SentinelAudit
SentinelHealth
Операционное событие ServiceFabric	Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
ServiceFabricReliableActorEvent	Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
Событие надежного сервиса ServiceFabric	Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
Рекомендации по оценке SfB (if "SfB" is assumed to be a specific acronym that doesn't have a direct Russian translation)
SharePoint Online Рекомендация по оценке
Диагностические логи службы SignalR (SignalRServiceDiagnosticLogs)
SigninLogs
Оценка и Рекомендации SP
Рекомендация по оценке SQL
SqlAtpStatus
МероприятияАудитаБезопасностиSQL
Статус Сканирования Оценки Уязвимостей Sql
StorageBlobLogs
События операции кэширования хранилища
СобытияОбновленияКэшаХранилища
Предупреждающие события кэша хранения
StorageFileLogs
РезультатыСканированияНаВредоносноеПОВХранилище
Ошибка при копировании журналов StorageMover
журнал перемещения и копирования данных
Журналы выполнения заданий StorageMover
StorageQueueLogs
StorageTableLogs
УспешнаяЗагрузка
Завершение приложений Synapse Big Data Pool
ЗапросыВстроенногоSqlПулаSynapseЗавершены
SynapseDXCommand
Сбой импорта данных в SynapseDX
SynapseDXIngestionBatching
SynapseDXQuery
SynapseDXSucceededIngestion
Подробности таблицы SynapseDX
СтатистикаИспользованияТаблицыSynapseDX
SynapseGatewayApiRequests
Активности интеграции Synapse
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
Завершение задач пула SynapseScopePoolScope
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Системный журнал
Индикатор Угрозовой Интеллектуальной Системы
TSIIngress
UCClient
Статус готовности клиента UCClient (UCClientReadinessStatus)
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Обновить	Частичная поддержка. Некоторые данные обрабатываются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
UpdateRunProgress
ОбновлениеСводка
UrlClickEvents
Использование
АналитикаДоступаПользователей
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection	Частичная поддержка. Некоторые данные обрабатываются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
W3CIISLog	Частичная поддержка. Данные, поступающие из агента Log Analytics или агента Azure Monitor, полностью поддерживаются при экспорте. Данные, поступающие через агент расширения диагностики, собираются через хранилище. Этот путь не поддерживается при экспорте.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Список наблюдения
Подключение к WebPubSub (WebPubSubConnectivity)
WebPubSubHttpRequest
Веб-публикация и подписка на сообщения
Windows365AuditLogs
ВиндовсКлиентОценкаРекомендация
WindowsEvent
Брандмауэр Windows
Рекомендации по оценке Windows Server
Данные проводной связи	Частичная поддержка. Некоторые данные обрабатываются через внутренние службы, которые не поддерживаются при экспорте. В настоящее время эта часть отсутствует в экспорте.
ЖурналыДиагностикиРабочейНагрузки
WUDOAggregatedStatus
WUDOStatus
Состояние здоровья агента WVD
WVDAutoscaleEvaluationPooled
Контрольные точки WVD
WVDConnectionGraphicsDataPreview
Данные сети WVDConnection
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement
WVDSessionHostManagement

Следующие шаги

Запрос экспортированных данных из Azure Data Explorer

Поделиться через

Экспорт данных рабочей области Log Analytics в Azure Monitor

Обзор

Другие варианты экспорта

Требуются разрешения

Ограничения

Полнота данных

Модель ценообразования

Направления экспорта

Учетная запись хранения

Центры событий

Запросы к экспортированным данным

Включить экспорт данных

Регистрация поставщика ресурсов

Разрешить доверенные службы Microsoft

Отслеживание мест назначения

Мониторинг учетной записи хранения

Мониторинг центров событий

Создание или обновление правила экспорта данных

Просмотр конфигурации правила экспорта данных

Отключение или обновление правила экспорта

Удалить правило экспорта

Просмотр всех правил экспорта данных в рабочей области

Неподдерживаемые таблицы

Поддерживаемые таблицы

Следующие шаги

Обратная связь

Дополнительные ресурсы