Exportación de datos del área de trabajo de Log Analytics en Azure Monitor

La exportación de datos de un área de trabajo de Log Analytics le permite exportar continuamente datos de las tablas seleccionadas del área de trabajo. Puede exportar a una cuenta de Azure Storage o a Azure Event Hubs a medida que llegan los datos a una canalización de Azure Monitor. En este artículo se ofrecen detalles sobre esta característica y pasos para configurar la exportación de datos en las áreas de trabajo.

Introducción

Los datos de Log Analytics están disponibles durante el período de retención definido en el área de trabajo. Se usa en varias experiencias proporcionadas en Azure Monitor y otros servicios de Azure. Hay casos en los que necesita usar otras herramientas:

  • Cumplimiento con el almacenamiento protegido contra manipulación: los datos no se pueden modificar en Log Analytics después de su ingesta, pero se pueden purgar. Expórtelos a una cuenta de almacenamiento que tenga establecidas las directivas de inmutabilidad para proteger los datos de posibles alteraciones.
  • Integración con los servicios de Azure y otras herramientas: exportación a Event Hubs a medida que llegan los datos y se procesan en Azure Monitor.
  • Retención a largo plazo de los datos de auditoría y seguridad: exportación a una cuenta de almacenamiento en la región del área de trabajo. O bien, puede replicar los datos en otras regiones mediante cualquiera de las opciones de redundancia de Azure Storage, entre ellas, GRS y GZRS.

Después de configurar las reglas de exportación de datos en el área de trabajo de Log Analytics, los nuevos datos de las tablas de las reglas se exportan desde la canalización de Azure Monitor a su cuenta de almacenamiento o Event Hubs a medida que llegan. El tráfico de exportación de datos está en la red troncal de Azure y no sale de la red de Azure.

Diagrama que muestra un flujo de exportación de datos.

Los datos se exportan sin filtro. Por ejemplo, al configurar una regla de exportación de datos para la tabla SecurityEvent, se exportan todos los datos enviados a la tabla SecurityEvent a partir de la hora de configuración. Como alternativa, puede filtrar o modificar los datos exportados mediante la configuración de transformaciones en el área de trabajo, que se aplican a los datos entrantes, antes de que se envíen a las áreas de trabajo de Log Analytics y a los destinos de exportación.

Otras opciones de exportación

La exportación continua de datos del área de trabajo de Log Analytics exporta continuamente los datos que se envían al área de trabajo de Log Analytics. Hay otras opciones para exportar datos para escenarios concretos:

Limitaciones

  • Los registros personalizados creados mediante la API del recopilador de datos HTTP no se pueden exportar, incluidos los registros basados en texto consumidos por el agente de Log Analytics. Se pueden exportar los registros personalizados creados mediante reglas de recopilación de datos, incluidos los registros basados en texto.
  • La exportación de datos admitirá gradualmente más tablas, pero actualmente se limita a las especificadas en la sección tablas admitidas. Puede incluir tablas que aún no se admitan en las reglas, pero no se exportarán datos hasta que se admitan las tablas.
  • Puede definir hasta 10 reglas habilitadas en el área de trabajo y cada una de ellas puede incluir varias tablas. Puede crear más reglas en el área de trabajo en estado deshabilitado.
  • Los destinos deben estar en la misma región que el área de trabajo de Log Analytics.
  • La cuenta de almacenamiento debe ser única en todas las reglas del área de trabajo.
  • Los nombres de tabla pueden tener hasta 60 caracteres en la exportación a una cuenta de almacenamiento. Pueden tener hasta 47 caracteres al exportar a Event Hubs. Las tablas con nombres más largos no se exportarán.
  • No se admite la exportación a la cuenta Premium Storage.
  • Actualmente no hay ningún cargo por la exportación a nubes soberanas. Se enviará una notificación antes de la habilitación.

Integridad de los datos

La exportación de datos está optimizada para mover un gran volumen de datos a los destinos. En caso de destino con una escala o disponibilidad insuficientes, un proceso de reintento continúa durante hasta 12 horas y puede ser un resultado con una fracción de duplicación de los registros exportados. Siga las recomendaciones para los destinos de Cuenta de almacenamiento y Event Hubs para mejorar la confiabilidad. Para más información sobre los límites de destino y las alertas recomendadas, vea Creación o actualización de una regla de exportación de datos. Si los destinos siguen sin estar disponibles después del período de reintento, se descartarán los datos.

Modelo de precios

Los cargos de exportación de datos se basan en el número de bytes exportados a destinos en datos con formato JSON y se miden en GB (10^9 bytes). El cálculo de tamaño en la consulta del área de trabajo no se puede corresponder con los cargos de exportación, ya que no incluye los datos con formato JSON. Puede usar PowerShell para calcular el tamaño total de facturación de un contenedor de blobs. Actualmente no hay ningún cargo por la exportación a nubes soberanas. Se enviará una notificación antes de la habilitación.

Para más información, incluida la escala de tiempo de facturación de la exportación de datos, consulte Precios de Azure Monitor. La facturación para la exportación de datos se habilitó a principios de octubre de 2023.

Destinos de la exportación

El destino de exportación de los datos debe estar disponible antes de crear reglas de exportación en el área de trabajo. No es necesario que el destino esté en la misma suscripción que el área de trabajo. Cuando se usa Azure Lighthouse, también se pueden enviar datos a destinos que estén en otro inquilino de Microsoft Entra.

Debe tener permisos de escritura en el área de trabajo y el destino para poder configurar una regla de exportación de datos en cualquier tabla del área de trabajo. La directiva de acceso compartido del espacio de nombres de Event Hubs, define los permisos que tiene el mecanismo de transmisión. Para transmitir a Event Hubs, se necesitan permisos de administración, envío y escucha. Para actualizar la regla de exportación, debe tener el permiso ListKey en esa regla de autorización de Event Hubs.

Cuenta de almacenamiento

No use una cuenta de almacenamiento existente que tenga otros datos que no son de supervisión para controlar mejor el acceso a los datos, evitar alcanzar el límite de velocidad de entrada de almacenamiento, los errores y la latencia.

Para enviar los datos a la cuenta de almacenamiento inmutable, establezca la directiva de inmutabilidad para la cuenta de almacenamiento, tal como se escribe en Configuración de directivas de inmutabilidad para versiones de blobs. Debe seguir todos los pasos que se indican en este artículo, incluida la habilitación de las operaciones de escritura en blobs en anexos protegidos.

La cuenta de Storage no puede ser Premium, debe tener la versión StorageV1 o posterior y estar en la misma región que el área de trabajo. Si tiene que replicar los datos en otras cuentas de almacenamiento de otras regiones, puede usar cualquiera de las opciones de redundancia de Azure Storage, incluidos GRS y GZRS.

Los datos se envían a las cuentas de almacenamiento a medida que llegan a Azure Monitor y se exportan a destinos ubicados en la región del área de trabajo. Se crea un contenedor para cada tabla en la cuenta de almacenamiento denominado am- seguido del nombre de la tabla. Por ejemplo, la tabla SecurityEvent se enviaría a un contenedor denominado am-SecurityEvent.

Los blobs se almacenan en carpetas de cinco minutos con la siguiente estructura de ruta de acceso: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/<grupo-de-recursos>/providers/microsoft.operationalinsights/workspaces/<área-de-trabajo>/y=<cuatro-dígitos-del-año>/m=<dos-dígitos-del-mes>/d=<dos-dígitos-del-día>/h=<dos-dígitos-de-la-hora-en-un-reloj-de-24-horas>/m=<dos-dígitos-de-los-minutos>/PT05M.json. Los anexos a blobs están limitados a 50 000 escrituras. Se agregarán más blobs en la carpeta con el formato PT05M_#.json*, donde "#" es el número incremental de blobs.

Nota

Los anexos a blobs se escriben en función del campo "TimeGenerated" y se producen al recibir datos de origen. Los datos que llegan a Azure Monitor con retraso o se reintentan tras la limitación de destinos, se escriben en blobs según su TimeGenerated.

El formato de los blobs de la cuenta de almacenamiento está en las líneas JSON, donde cada registro está delimitado por una nueva línea, sin matriz de registros externa y sin comas entre los registros JSON.

Captura de pantalla que muestra el formato de datos en un blob.

Event Hubs

No use un centro de eventos existente que tenga datos que no son de supervisión para evitar que se alcance el límite de velocidad de entrada de un espacio de nombres de Event Hubs, los errores y la latencia.

Los datos se envían al centro de eventos a medida que llegan a Azure Monitor y se exportan a destinos ubicados en la región del área de trabajo. Puede crear varias reglas de exportación en el mismo espacio de nombres de Event Hubs; para ello, proporcione diferentes elementos Event Hub name en la regla. Cuando no se proporciona un elemento Event Hub name, se crea un centro de eventos predeterminado para las tablas que se exportan con el nombre am- seguido del nombre de la tabla. Por ejemplo, la tabla SecurityEvent se enviaría a un centro de eventos llamado am-SecurityEvent.

El número de Event Hubs admitidos en los niveles de espacios de nombres "Básico" y "Estándar" es 10. Para exportar más de 10 tablas a estos niveles, divida las tablas entre varias reglas de exportación a distintos espacios de nombres de Event Hubs, o bien proporcione el nombre de un centro de eventos para exportar todas las tablas al mismo.

Nota:

  • El nivel de espacio de nombres Básico de Event Hubs está limitado. Admite un tamaño de evento menor y no admite la opción de inflado automático para escalar verticalmente y aumentar el número de unidades de procesamiento de forma automática. Dado que el volumen de datos del área de trabajo aumenta con el tiempo y, por tanto, es necesario el escalado del centro de eventos, use los niveles "Estándar", "Premium" o "Dedicado" de Event Hubs con la característica Inflado automático habilitada. Para obtener más información, consulte Escalado vertical automático de unidades de procesamiento de Azure Event Hubs.
  • La exportación de datos no puede acceder a los recursos de Event Hubs cuando las redes virtuales están habilitadas. Debe activar la casilla Permita que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento para omitir esta configuración de firewall en un centro de eventos para conceder acceso a Event Hubs.

Consulta de los datos exportados

La exportación de datos de áreas de trabajo a cuentas de almacenamiento ayuda a satisfacer varios escenarios mencionados en la sección de información general y las herramientas que pueden leer blobs de cuentas de almacenamiento pueden consumir dicha función. Los métodos siguientes permiten consultar datos mediante el lenguaje de consulta de Log Analytics, que es el mismo para Azure Data Explorer.

  1. Use Azure Data Explorer para consultar datos en Azure Data Lake.
  2. Use Azure Data Explorer para ingerir datos de una cuenta de almacenamiento.
  3. Use el área de trabajo de Log Analytics para consultar datos ingeridos mediante la API de ingesta de registros. Los datos ingeridos son para una tabla de registro personalizada y no la tabla original.

Habilitación de la exportación de datos

Para habilitar la exportación de datos de Log Analytics, hay que seguir los pasos que se detallan a continuación. Para obtener más información sobre cada opción, consulte las secciones siguientes:

  • Registrar el proveedor de recursos
  • Habilitación de los servicios de Microsoft de confianza
  • Creación o actualización de una regla de exportación de datos

Registrar el proveedor de recursos

Se debe registrar en la suscripción el proveedor de recursos de Azure Microsoft.Insights para habilitar la exportación de datos de Log Analytics.

Probablemente, este proveedor de recursos ya esté registrado para la mayoría de los usuarios de Azure Monitor. Para comprobarlo, vaya a Suscripciones en Azure Portal. Seleccione la suscripción y, a continuación, seleccione Proveedores de recursos en la sección Configuración del menú. Busque Microsoft.Insights. Si su estado es Registrado, entonces ya está registrado. Si no es así, seleccione Registrar para registrarlo.

También puede usar cualquiera de los métodos disponibles para registrar un proveedor de recursos, tal y como se describe en Tipos y proveedores de recursos de Azure. El siguiente comando de ejemplo usa la CLI de Azure:

az provider register --namespace 'Microsoft.insights'

El siguiente comando de ejemplo usa PowerShell:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

Habilitación de los servicios de Microsoft de confianza

Si ha configurado la cuenta de almacenamiento para permitir el acceso desde las redes seleccionadas, tiene que agregar una excepción para permitir que Azure Monitor escriba en la cuenta. En la opción Firewalls y redes virtuales de la cuenta de almacenamiento, asegúrese de que la opción Permita que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento.

Captura de pantalla que muestra la opción Permita que los servicios de Azure de la lista de servicios de confianza...

Supervisión de destinos

Importante

Los destinos de exportación tienen restricciones y deben supervisarse para minimizar la limitación, los errores y la latencia. Para más información, consulte la escalabilidad de la cuenta de almacenamiento y las cuotas de los espacios de nombres de Event Hubs.

Las métricas siguientes están disponibles para la operación de exportación de datos y las alertas

Nombre de métrica Descripción
Bytes exportados Número total de bytes exportados al destino desde el área de trabajo de Log Analytics dentro del intervalo de tiempo seleccionado. El tamaño de los datos exportados es el número de bytes de los datos exportados con formato JSON. 1 GB = 10^9 bytes
Errores de importación Número total de solicitudes de exportación fallidas al destino desde el área de trabajo de Log Analytics dentro del intervalo de tiempo seleccionado. Este número incluye los intentos de exportación fallidos debido a la limitación de recursos de destino, error de acceso prohibido o cualquier error del servidor. Un proceso de reintento controla los intentos fallidos y el número no indica los datos que faltan.
Registros exportados Número total de registros exportados desde el área de trabajo de Log Analytics dentro del intervalo de tiempo seleccionado. Este número cuenta los registros de las operaciones que finalizaron con éxito.

Supervisión de una cuenta de almacenamiento

  1. Use una cuenta de almacenamiento independiente para la exportación.

  2. Configure una alerta sobre la métrica:

    Ámbito Espacio de nombres de métricas Métrica Agregación Umbral
    storage-name Cuenta Entrada Sum 80 % de entrada máxima por período de evaluación de alertas. Por ejemplo: el límite es de 60 Gbps para la versión 2 de uso general en la región Oeste de EE. UU. El umbral de alertas es de 1676 GiB por cada período de evaluación de 5 minutos.
  3. Acciones de corrección de las alertas:

    • Use una cuenta de almacenamiento independiente para la exportación que no se comparta con datos que no sean de supervisión.
    • Las cuentas Estándar de Azure Storage admiten límites de entrada más altos por solicitud. Para solicitar un aumento, póngase en contacto con Soporte técnico de Azure.
    • Divida las tablas entre más cuentas de almacenamiento.

Supervisión de Event Hubs

  1. Configure las alertas en las métricas:

    Ámbito Espacio de nombres de métricas Métrica Agregación Umbral
    namespaces-name Métricas estándar del centro de eventos Bytes de entrada Sum 80 % de entrada máxima por período de evaluación de alertas. Por ejemplo, el límite es de 1 MB/s por unidad (TU o PU) y cinco unidades utilizadas. El umbral es de 228 MiB por cada período de evaluación de 5 minutos.
    namespaces-name Métricas estándar del centro de eventos Solicitudes entrantes Count 80 % del número máximo de eventos por período de evaluación de alertas. Por ejemplo, el límite es de 1000/s por unidad (TU o PU) y cinco unidades utilizadas. El umbral es de 1 200 000 por cada período de evaluación de 5 minutos.
    namespaces-name Métricas estándar del centro de eventos Errores de cuota superada Count 1 % de la solicitud. Por ejemplo, las solicitudes por cada período de 5 minutos son 600 000. El umbral es de 6000 por cada período de evaluación de 5 minutos.
  2. Acciones de corrección de las alertas:

    • Utilice un espacio de nombres de Event Hubs independiente para la exportación que no se comparta con datos que no sean de supervisión.
    • Configure la característica Inflado automático para escalar verticalmente y aumentar el número de unidades de procesamiento de forma automática para satisfacer las necesidades de uso.
    • Compruebe el aumento de las unidades de procesamiento para dar cabida al volumen de datos.
    • Divida las tablas entre más espacios de nombres.
    • Utilice los niveles "Premium" o "Dedicado" para obtener un mayor rendimiento.

Creación o actualización de una regla de exportación de datos

Una regla de exportación de datos define el destino y las tablas cuyos datos se exportan. El aprovisionamiento de reglas tarda unos 30 minutos antes de que se inicie la operación de exportación. Consideraciones sobre las reglas de exportación de datos:

  • La cuenta de almacenamiento debe ser única en todas las reglas del área de trabajo.
  • Varias reglas pueden usar el mismo espacio de nombres de Event Hubs cuando se envía a Event Hubs independientes.
  • Exportación a una cuenta de almacenamiento: se crea un contenedor independiente en la cuenta de almacenamiento para cada tabla.
  • Exportación a Event Hubs: si no se proporciona el nombre de un centro de eventos, se crea un centro de eventos independiente para cada tabla. El número de Event Hubs admitidos en los niveles de espacios de nombres "Básico" y "Estándar" es 10. Para exportar más de 10 tablas a estos niveles, divida las tablas entre varias reglas de exportación a distintos espacios de nombres de Event Hubs, o bien proporcione el nombre de un centro de eventos en la regla para exportar todas las tablas al mismo.
  1. En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración. Seleccione Nueva regla de exportación en la parte superior del panel.

    Captura de pantalla que muestra el punto de entrada de exportación de datos.

  2. Siga los pasos y, a continuación, seleccione Crear. Solo las tablas con datos en ellas se muestran en la pestaña "Origen".

    Captura de pantalla de la configuración de la regla de exportación.

Consulta de la configuración de la regla de exportación de datos

  1. En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración.

    Captura de pantalla que muestra la pantalla de exportación de datos.

  2. Seleccione una regla para acceder a la vista de configuración.

    Captura de pantalla de la vista de la regla de exportación de datos.

Deshabilitación o actualización de una regla de exportación

Puede deshabilitar las reglas de exportación para detener la exportación durante un período determinado; por ejemplo, cuando se realizan pruebas. En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración. Seleccione el botón de alternancia Estado para deshabilitar o habilitar la regla de exportación.

Captura de pantalla que muestra la deshabilitación de la regla de exportación de datos.

Eliminación de una regla de exportación

En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración. Seleccione los puntos suspensivos situados a la derecha de la regla y seleccione Eliminar.

Captura de pantalla que muestra la eliminación de la regla de exportación de datos.

Consulta de todas las reglas de exportación de datos en un área de trabajo

En el menú Área de trabajo de Log Analytics de Azure Portal, seleccione Exportación de datos en la sección Configuración para ver todas las reglas de exportación del área de trabajo.

Captura de pantalla que muestra la vista de reglas de exportación de datos.

Tablas no admitidas

Si la regla de exportación de datos incluye una tabla no admitida, la configuración se realizará correctamente, pero no se exportará ningún dato de esa tabla. Si la tabla se admite posteriormente, sus datos se exportarán en ese momento.

Tablas admitidas

Nota:

Estamos en un proceso de agregar compatibilidad con más tablas. Consulte este artículo con regularidad.

 Tabla  Limitaciones
AACAudit
AACHttpRequest
AADB2CRequestLogs
AADCustomSecurityAttributeAuditLogs
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesDNSAuditsDynamicUpdates
AADDomainServicesDNSAuditsGeneral
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACICollaborationAudit
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallAutomationIncomingOperations
ACSCallAutomationMediaSummary
ACSCallClientMediaStatsTimeSeries
ACSCallClientOperations
ACSCallClosedCaptionsSummary
ACSCallDiagnostics
ACSCallRecordingIncomingOperations
ACSCallRecordingSummary
ACSCallSummary
ACSCallSurvey
ACSChatIncomingOperations
ACSEmailSendMailOperational
ACSEmailStatusUpdateOperational
ACSEmailUserEngagementOperational
ACSJobRouterIncomingOperations
ACSNetworkTraversalDiagnostics
ACSNetworkTraversalIncomingOperations
ACSRoomsIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
AddonAzureBackupAlerts
AddonAzureBackupJobs
AddonAzureBackupPolicy
AddonAzureBackupProtectedInstance
AddonAzureBackupStorage
ADFActivityRun
ADFAirflowSchedulerLogs
ADFAirflowTaskLogs
ADFAirflowWebLogs
ADFAirflowWorkerLogs
ADFPipelineRun
ADFSandboxActivityRun
ADFSandboxPipelineRun
ADFSSignInLogs
ADFSSISIntegrationRuntimeLogs
ADFSSISPackageEventMessageContext
ADFSSISPackageEventMessages
ADFSSISPackageExecutableStatistics
ADFSSISPackageExecutionComponentPhases
ADFSSISPackageExecutionDataStatistics
ADFTriggerRun
ADPAudit
ADPDiagnostics
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDataHistoryOperation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXIngestionBatching
ADXJournal
ADXQuery
ADXTableDetails
ADXTableUsageStatistics
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAssignmentBlobLogs
AEWAuditLogs
AEWComputePipelinesLogs
AFSAuditLogs
AGCAccessLogs
AgriFoodApplicationAuditLogs
AgriFoodFarmManagementLogs
AgriFoodFarmOperationLogs
AgriFoodInsightLogs
AgriFoodJobProcessedLogs
AgriFoodModelInferenceLogs
AgriFoodProviderAuthLogs
AgriFoodSatelliteLogs
AgriFoodSensorManagementLogs
AgriFoodWeatherLogs
AGSGrafanaLoginEvents
AGWAccessLogs
AGWFirewallLogs
AGWPerformanceLogs
AHDSDicomAuditLogs
AHDSDicomDiagnosticLogs
AHDSMedTechDiagnosticLogs
AirflowDagProcessingLogs
AKSAudit
AKSAuditAdmin
AKSControlPlane
ALBHealthEvent
Alerta La compatibilidad es parcial. No se admite la ingesta de datos para alertas de Zabbix.
AlertEvidence
AlertInfo
AmlComputeClusterEvent
AmlComputeCpuGpuUtilization
AmlComputeInstanceEvent
AmlComputeJobEvent
AmlDataLabelEvent
AmlDataSetEvent
AmlDataStoreEvent
AmlDeploymentEvent
AmlEnvironmentEvent
AmlInferencingEvent
AmlModelsEvent
AmlOnlineEndpointConsoleLog
AmlOnlineEndpointEventLog
AmlOnlineEndpointTrafficLog
AmlPipelineEvent
AmlRegistryReadEventsLog
AmlRegistryWriteEventsLog
AmlRunEvent
AmlRunStatusChangedEvent
AMSKeyDeliveryRequests
AMSLiveEventOperations
AMSMediaAccountHealth
AMSStreamingEndpointRequests
AMWMetricsUsageDetails
ANFFileAccess
Anomalías
AOIDatabaseQuery
AOIDigestion
AOIStorage
ApiManagementGatewayLogs
ApiManagementWebSocketConnectionLogs
AppAvailabilityResults
AppBrowserTimings
AppCenterError
AppDependencies
AppEnvSpringAppConsoleLogs
AppEvents
AppExceptions
AppMetrics
AppPageViews
AppPerformanceCounters
AppPlatformBuildLogs
AppPlatformContainerEventLogs
AppPlatformIngressLogs
AppPlatformLogsforSpring
AppPlatformSystemLogs
AppRequests
AppServiceAntivirusScanAuditLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceAuthenticationLogs
AppServiceConsoleLogs
AppServiceEnvironmentPlatformLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServiceIPSecAuditLogs
AppServicePlatformLogs
AppServiceServerlessSecurityPluginData
AppSystemEvents
AppTraces
ArcK8sAudit
ArcK8sAuditAdmin
ArcK8sControlPlane
ASCAuditLogs
ASCDeviceEvents
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
ASRJobs
ASRReplicatedItems
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AVNMConnectivityConfigurationChange
AVNMIPAMPoolAllocationChange
AVNMNetworkGroupMembershipChange
AVNMRuleCollectionChange
AVSSyslog
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
AZFWApplicationRule
AZFWApplicationRuleAggregation
AZFWDnsQuery
AZFWFatFlow
AZFWFlowTrace
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNatRule
AZFWNatRuleAggregation
AZFWNetworkRule
AZFWNetworkRuleAggregation
AZFWThreatIntel
AZKVAuditLogs
AZKVPolicyEvaluationDetailsLogs
AZMSApplicationMetricLogs
AZMSArchiveLogs
AZMSAutoscaleLogs
AZMSCustomerManagedKeyUserLogs
AZMSDiagnosticErrorLogs
AZMSHybridConnectionsEvents
AZMSKafkaCoordinatorLogs
AZMSKafkaUserErrorLogs
AZMSOperationalLogs
AZMSRunTimeAuditLogs
AZMSVnetConnectionEvents
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureBackupOperations
AzureDevOpsAuditing
AzureLoadTestingOperation
AzureMetricsV2
BehaviorAnalytics
CassandraAudit
CassandraLogs
CCFApplicationLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
ChaosStudioExperimentEventLogs
CHSMManagementAuditLogs
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfidentialWatchlist
ConfigurationData La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación.
ContainerAppConsoleLogs
ContainerAppSystemLogs
ContainerEvent
ContainerImageInventory
ContainerInstanceLog
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerRegistryLoginEvents
ContainerRegistryRepositoryEvents
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksBrickStoreHttpGateway
DatabricksCapsule8Dataplane
DatabricksClamAVScan
DatabricksCloudStorageMetadata
DatabricksClusterLibraries
DatabricksClusters
DatabricksDashboards
DatabricksDataMonitoring
DatabricksDBFS
DatabricksDeltaPipelines
DatabricksFeatureStore
DatabricksFilesystem
DatabricksGenie
DatabricksGitCredentials
DatabricksGlobalInitScripts
DatabricksIAMRole
DatabricksIngestion
DatabricksInstancePools
DatabricksJobs
DatabricksLineageTracking
DatabricksMarketplaceConsumer
DatabricksMLflowAcledArtifact
DatabricksMLflowExperiment
DatabricksModelRegistry
DatabricksNotebook
DatabricksPartnerHub
DatabricksPredictiveOptimization
DatabricksRemoteHistoryService
DatabricksRepos
DatabricksSecrets
DatabricksServerlessRealTimeInference
DatabricksSQLPermissions
DatabricksSSH
DatabricksUnityCatalog
DatabricksWebTerminal
DatabricksWorkspace
DatabricksWorkspaceLogs
DataTransferOperations
DataverseActivity
DCRLogErrors
DCRLogTroubleshooting
DevCenterBillingEventLogs
DevCenterDiagnosticLogs
DevCenterResourceOperationLogs
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
DNSQueryLogs
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
DynamicSummary
EGNFailedMqttConnections
EGNFailedMqttPublishedMessages
EGNFailedMqttSubscriptions
EGNMqttDisconnections
EGNSuccessfulMqttConnections
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
EnrichedMicrosoft365AuditLogs
ETWEvent La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación.
Evento La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación.
ExchangeAssessmentRecommendation
ExchangeOnlineAssessmentRecommendation
FailedIngestion
FunctionAppLogs
GCPAuditLogs
GoogleCloudSCC
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightGatewayAuditLogs
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightJupyterNotebookEvents
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightRangerAuditLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkExtraEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
HDInsightStormLogs
HDInsightStormMetrics
HDInsightStormTopologyMetrics
HealthStateChangeEvent
Latido
HuntingBookmark
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación.
IntuneAuditLogs
IntuneDeviceComplianceOrg
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubePVInventory
KubeServices
LAQueryLogs
LASummaryLogs
LinuxAuditLog
LogicAppWorkflowRuntime
McasShadowItReporting
MCCEventLogs
MCVPAuditLogs
MCVPOperationLogs
MDCFileIntegrityMonitoringEvents
MDECustomCollectionDeviceFileEvents
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftDataShareShareLog
MicrosoftGraphActivityLogs
MicrosoftHealthcareApisAuditLogs
MicrosoftPurviewInformationProtection
MNFDeviceUpdates
MNFSystemSessionHistoryUpdates
MNFSystemStateMessageUpdates
NCBMBreakGlassAuditLogs
NCBMSecurityDefenderLogs
NCBMSecurityLogs
NCBMSystemLogs
NCCKubernetesLogs
NCCVMOrchestrationLogs
NCSStorageAlerts
NCSStorageLogs
NetworkAccessTraffic
NetworkMonitoring
NGXOperationLogs
NSPAccessLogs
NTAInsights
NTAIpDetails
NTANetAnalytics
NTATopologyDetails
NWConnectionMonitorDestinationListenerResult
NWConnectionMonitorDNSResult
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OEPAirFlowTask
OEPAuditLogs
OEPDataplaneLogs
OEPElasticOperator
OEPElasticsearch
OfficeActivity
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
Operación La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación.
Perf
PFTitleAuditLogs
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerBIAuditTenant
PowerBIDatasetsTenant
PowerBIDatasetsWorkspace
PowerBIReportUsageWorkspace
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
PurviewSecurityLogs
REDConnectionEvents
RemoteNetworkHealthLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecureScoreControls
SecureScores
SecurityAlert
SecurityAttackPathData
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SecurityRegulatoryCompliance
SentinelAudit
SentinelHealth
ServiceFabricOperationalEvent La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación.
ServiceFabricReliableActorEvent La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación.
ServiceFabricReliableServiceEvent La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación.
SfBAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SqlAtpStatus
SQLSecurityAuditEvents
SqlVulnerabilityAssessmentScanStatus
StorageBlobLogs
StorageCacheOperationEvents
StorageCacheUpgradeEvents
StorageCacheWarningEvents
StorageFileLogs
StorageMalwareScanningResults
StorageMoverCopyLogsFailed
StorageMoverCopyLogsTransferred
StorageMoverJobRunLogs
StorageQueueLogs
StorageTableLogs
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseDXCommand
SynapseDXFailedIngestion
SynapseDXIngestionBatching
SynapseDXQuery
SynapseDXSucceededIngestion
SynapseDXTableDetails
SynapseDXTableUsageStatistics
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseLinkEvent
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
Syslog
ThreatIntelligenceIndicator
TSIIngress
UCClient
UCClientReadinessStatus
UCClientUpdateStatus
UCDeviceAlert
UCDOAggregatedStatus
UCDOStatus
UCServiceUpdateStatus
UCUpdateAlert
Actualizar La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación.
UpdateRunProgress
UpdateSummary
UrlClickEvents
Uso
UserAccessAnalytics
UserPeerAnalytics
VCoreMongoRequests
VIAudit
VIIndexing
VMConnection La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación.
W3CIISLog La compatibilidad es parcial. Los datos que llegan del agente de Log Analytics o el agente de Azure Monitor son totalmente compatibles con la exportación. Los datos que llegan mediante el agente de la extensión de diagnósticos se recopilan mediante el almacenamiento. No se admite esta ruta de acceso en la exportación.
WaaSDeploymentStatus
WaaSInsiderStatus
WaaSUpdateStatus
Watchlist
WebPubSubConnectivity
WebPubSubHttpRequest
WebPubSubMessaging
Windows365AuditLogs
WindowsClientAssessmentRecommendation
WindowsEvent
WindowsFirewall
WindowsServerAssessmentRecommendation
WireData La compatibilidad es parcial. Algunos de los datos se ingieren por medio de servicios internos que no se admiten en la exportación. Actualmente, falta esta parte en la exportación.
WorkloadDiagnosticLogs
WUDOAggregatedStatus
WUDOStatus
WVDAgentHealthStatus
WVDAutoscaleEvaluationPooled
WVDCheckpoints
WVDConnectionGraphicsDataPreview
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement
WVDSessionHostManagement

Pasos siguientes

Consulta de datos exportados desde Azure Monitor mediante Azure Data Explorer