Microsoft.Insights dataCollectionRules
Definição de recurso do Bicep
O tipo de recurso dataCollectionRules pode ser implantado com operações de destino:
- Grupos de recursos - Consulte comandos de implantação do grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Insights/dataCollectionRules, adicione o Bicep a seguir ao modelo.
resource symbolicname 'Microsoft.Insights/dataCollectionRules@2023-03-11' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
kind: 'string'
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
agentSettings: {
logs: [
{
name: 'string'
value: 'string'
}
]
}
dataCollectionEndpointId: 'string'
dataFlows: [
{
builtInTransform: 'string'
captureOverflow: bool
destinations: [
'string'
]
outputStream: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
dataSources: {
dataImports: {
eventHub: {
consumerGroup: 'string'
name: 'string'
stream: 'string'
}
}
extensions: [
{
extensionName: 'string'
extensionSettings: any()
inputDataSources: [
'string'
]
name: 'string'
streams: [
'string'
]
}
]
iisLogs: [
{
logDirectories: [
'string'
]
name: 'string'
streams: [
'string'
]
transformKql: 'string'
}
]
logFiles: [
{
filePatterns: [
'string'
]
format: 'string'
name: 'string'
settings: {
text: {
recordStartTimestampFormat: 'string'
}
}
streams: [
'string'
]
transformKql: 'string'
}
]
performanceCounters: [
{
counterSpecifiers: [
'string'
]
name: 'string'
samplingFrequencyInSeconds: int
streams: [
'string'
]
transformKql: 'string'
}
]
platformTelemetry: [
{
name: 'string'
streams: [
'string'
]
}
]
prometheusForwarder: [
{
labelIncludeFilter: {
{customized property}: 'string'
}
name: 'string'
streams: 'Microsoft-PrometheusMetrics'
}
]
syslog: [
{
facilityNames: [
'string'
]
logLevels: [
'string'
]
name: 'string'
streams: 'Microsoft-Syslog'
transformKql: 'string'
}
]
windowsEventLogs: [
{
name: 'string'
streams: [
'string'
]
transformKql: 'string'
xPathQueries: [
'string'
]
}
]
windowsFirewallLogs: [
{
name: 'string'
profileFilter: [
'string'
]
streams: [
'string'
]
}
]
}
description: 'string'
destinations: {
azureDataExplorer: [
{
databaseName: 'string'
name: 'string'
resourceId: 'string'
}
]
azureMonitorMetrics: {
name: 'string'
}
eventHubs: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
eventHubsDirect: [
{
eventHubResourceId: 'string'
name: 'string'
}
]
logAnalytics: [
{
name: 'string'
workspaceResourceId: 'string'
}
]
microsoftFabric: [
{
artifactId: 'string'
databaseName: 'string'
ingestionUri: 'string'
name: 'string'
tenantId: 'string'
}
]
monitoringAccounts: [
{
accountResourceId: 'string'
name: 'string'
}
]
storageAccounts: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageBlobsDirect: [
{
containerName: 'string'
name: 'string'
storageAccountResourceId: 'string'
}
]
storageTablesDirect: [
{
name: 'string'
storageAccountResourceId: 'string'
tableName: 'string'
}
]
}
references: {
enrichmentData: {
storageBlobs: [
{
blobUrl: 'string'
lookupType: 'string'
name: 'string'
resourceId: 'string'
}
]
}
}
streamDeclarations: {
{customized property}: {
columns: [
{
name: 'string'
type: 'string'
}
]
}
}
}
}
Valores de propriedade
dataCollectionRules
| Nome | Descrição | Valor |
|---|---|---|
| nome | O nome do recurso | cadeia de caracteres (obrigatório) |
| localização | A localização geográfica onde o recurso reside. | cadeia de caracteres (obrigatório) |
| Tags | Marcas de recurso. | Dicionário de nomes e valores de marca. Consulte Marcas em modelos |
| tipo | O tipo do recurso. | 'Linux' 'Windows' |
| identidade | Identidade de serviço gerenciada do recurso. | DataCollectionRuleResourceIdentity |
| Propriedades | Propriedades do recurso. | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| Nome | Descrição | Valor |
|---|---|---|
| tipo | Tipo de identidade de serviço gerenciado (em que os tipos SystemAssigned e UserAssigned são permitidos). | 'None' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obrigatório) |
| userAssignedIdentities | O conjunto de identidades atribuídas pelo usuário associadas ao recurso. As chaves do dicionário userAssignedIdentities serão IDs de recurso do ARM no formulário: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Os valores do dicionário podem ser objetos vazios ({}) em solicitações. | UserAssignedIdentities |
UserAssignedIdentities
| Nome | Descrição | Valor |
|---|---|---|
| {propriedade personalizada} | UserAssignedIdentity |
UserAssignedIdentity
Esse objeto não contém nenhuma propriedade a ser definida durante a implantação. Todas as propriedades são ReadOnly.
DataCollectionRuleResourceProperties
| Nome | Descrição | Valor |
|---|---|---|
| agentSettings | Configurações do agente usadas para modificar o comportamento do agente em um determinado host | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | A ID do recurso do ponto de extremidade de coleta de dados com o qual essa regra pode ser usada. | corda |
| fluxos de dados | A especificação dos fluxos de dados. | do DataFlow [] |
| dataSources | A especificação de fontes de dados. Essa propriedade é opcional e pode ser omitida se a regra deve ser usada por meio de chamadas diretas para o ponto de extremidade provisionado. |
DataCollectionRuleDataSources |
| descrição | Descrição da regra de coleta de dados. | corda |
| Destinos | A especificação de destinos. | DataCollectionRuleDestinations |
| Referências | Define todas as referências que podem ser usadas em outras seções do DCR | DataCollectionRuleReferences |
| streamDeclarations | Declaração de fluxos personalizados usados nesta regra. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| Nome | Descrição | Valor |
|---|---|---|
| Logs | Todas as configurações aplicáveis ao AMA (agente de logs) | AgentSetting[] |
AgentSetting
| Nome | Descrição | Valor |
|---|---|---|
| nome | O nome da configuração. Deve fazer parte da lista de configurações com suporte |
'MaxDiskQuotaInMB' 'UseTimeReceivedForForwardedEvents' |
| valor | O valor da configuração | corda |
Fluxo
| Nome | Descrição | Valor |
|---|---|---|
| builtInTransform | A transformação builtIn para transformar dados de fluxo | corda |
| captureOverflow | Sinalizador para habilitar a coluna de estouro em destinos de LA | Bool |
| Destinos | Lista de destinos para esse fluxo de dados. | string[] |
| outputStream | O fluxo de saída da transformação. Necessário somente se a transformação alterar os dados para um fluxo diferente. | corda |
| Fluxos | Lista de fluxos para esse fluxo de dados. | Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
| transformKql | A consulta KQL para transformar dados de fluxo. | corda |
DataCollectionRuleDataSources
| Nome | Descrição | Valor |
|---|---|---|
| dataImports | Especificações de fontes de dados baseadas em pull | DataSourcesSpecDataImports |
| Extensões | A lista de configurações de fonte de dados de extensão da VM do Azure. | ExtensionDataSource [] |
| iisLogs | A lista de configurações de origem de logs do IIS. | IisLogsDataSource [] |
| logFiles | A lista de configurações de origem dos arquivos de log. | LogFilesDataSource [] |
| performanceCounters | A lista de configurações de fonte de dados do contador de desempenho. | PerfCounterDataSource [] |
| platformTelemetry | A lista de configurações de telemetria de plataforma | PlatformTelemetryDataSource[] |
| prometheusForwarder | A lista de configurações de fonte de dados do encaminhador prometheus. | PrometheusForwarderDataSource[] |
| syslog | A lista de configurações de fonte de dados do Syslog. | SyslogDataSource [] |
| windowsEventLogs | A lista de configurações de fonte de dados do Log de Eventos do Windows. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | A lista de configurações de origem de logs do Firewall do Windows. | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| Nome | Descrição | Valor |
|---|---|---|
| eventHub | Definição de configuração do Hub de Eventos. | DataImportSourcesEventHub |
DataImportSourcesEventHub
| Nome | Descrição | Valor |
|---|---|---|
| consumerGroup | Nome do grupo de consumidores do Hub de Eventos | corda |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| riacho | O fluxo a ser coletado do EventHub | corda |
ExtensionDataSource
| Nome | Descrição | Valor |
|---|---|---|
| extensionName | O nome da extensão da VM. | cadeia de caracteres (obrigatório) |
| extensionSettings | As configurações de extensão. O formato é específico para uma extensão específica. | Para o Bicep, você pode usar a função |
| inputDataSources | A lista de fontes de dados da qual essa extensão precisa de dados. | string[] |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
IisLogsDataSource
| Nome | Descrição | Valor |
|---|---|---|
| logDirectories | Localização de arquivo de caminhos absolutos | string[] |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Fluxos do IIS | string[] (obrigatório) |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
LogFilesDataSource
| Nome | Descrição | Valor |
|---|---|---|
| filePatterns | Padrões de arquivo em que os arquivos de log estão localizados | string[] (obrigatório) |
| formato | O formato de dados dos arquivos de log | 'json' 'text' (obrigatório) |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Configurações | As configurações específicas dos arquivos de log. | logFilesDataSourceSettings |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica qual esquema será usado para essa fonte de dados |
string[] (obrigatório) |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
LogFilesDataSourceSettings
| Nome | Descrição | Valor |
|---|---|---|
| Texto | Configurações de texto | LogFileSettingsText |
LogFileSettingsText
| Nome | Descrição | Valor |
|---|---|---|
| recordStartTimestampFormat | Um dos formatos de carimbo de data/hora com suporte | 'ISO 8601' 'M/D/YYYYY HH:MM:SS AM/PM' 'MMM d hh:mm:ss' 'Mon DD, YYYYY HH:MM:SS' 'YYYY-MM-DD HH:MM:SS' 'dd/MMM/yyyy:HH:mm:ss zzz' 'ddMMyyy HH:mm:ss' 'yyMMdd HH:mm:ss' 'yyyyy-MM-ddTHH:mm:ssK' (obrigatório) |
PerfCounterDataSource
| Nome | Descrição | Valor |
|---|---|---|
| counterSpecifiers | Uma lista de nomes especificadores dos contadores de desempenho que você deseja coletar. Use um curinga (*) para coletar um contador para todas as instâncias. Para obter uma lista de contadores de desempenho no Windows, execute o comando 'typeperf'. |
string[] |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| samplingFrequencyInSeconds | O número de segundos entre medidas de contador consecutivas (exemplos). | int |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-InsightsMetrics' 'Microsoft-Perf' |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
PlatformTelemetryDataSource
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos de telemetria de plataforma a serem coletados | string[] (obrigatório) |
PrometheusForwarderDataSource
PrometheusForwarderDataSourceLabelIncludeFilter
| Nome | Descrição | Valor |
|---|---|---|
| {propriedade personalizada} | corda |
SyslogDataSource
| Nome | Descrição | Valor |
|---|---|---|
| facilityNames | A lista de nomes de instalações. | Matriz de cadeia de caracteres que contém qualquer um dos: '*' 'alerta' 'auditar' 'auth' 'authpriv' 'relógio' 'cron' 'daemon' 'ftp' 'kern' 'local0' 'local1' 'local2' 'local3' 'local4' 'local5' 'local6' 'local7' 'lpr' 'mail' 'mark' 'news' 'nopri' 'ntp' 'syslog' 'user' 'uucp' |
| logLevels | Os níveis de log a serem coletados. | Matriz de cadeia de caracteres que contém qualquer um dos: '*' 'Alerta' 'Crítico' 'Depurar' 'Emergência' 'Erro' 'Informações' 'Aviso' 'Aviso' |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-Syslog' |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
WindowsEventLogDataSource
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-Event' 'Microsoft-WindowsEvent' |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
| xPathQueries | Uma lista de consultas do Log de Eventos do Windows no formato XPATH. | string[] |
WindowsFirewallLogsDataSource
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| profileFilter | Filtro de perfil de logs de firewall | Matriz de cadeia de caracteres que contém qualquer um dos: 'Domínio' 'Privado' 'Público' |
| Fluxos | Fluxos de logs de firewall | string[] (obrigatório) |
DataCollectionRuleDestinations
| Nome | Descrição | Valor |
|---|---|---|
| azureDataExplorer | Lista de destinos do Azure Data Explorer. | AdxDestination [] |
| azureMonitorMetrics | Destino das Métricas do Azure Monitor. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Lista de destinos dos Hubs de Eventos. | EventHubDestination [] |
| eventHubsDirect | Lista de destinos diretos dos Hubs de Eventos. | EventHubDirectDestination [] |
| logAnalytics | Lista de destinos do Log Analytics. | LogAnalyticsDestination[] |
| microsoftFabric | Lista de destinos do Microsoft Fabric. | MicrosoftFabricDestination[] |
| monitoringAccounts | Lista de destinos de conta de monitoramento. | MonitoringAccountDestination[] |
| storageAccounts | Lista de destinos de contas de armazenamento. | StorageBlobDestination [] |
| storageBlobsDirect | Lista de destinos diretos do Blob de Armazenamento. Para ser usado apenas para enviar dados diretamente para armazenar do agente. | StorageBlobDestination [] |
| storageTablesDirect | Lista de destinos diretos da tabela de armazenamento. | StorageTableDestination [] |
AdxDestination
| Nome | Descrição | Valor |
|---|---|---|
| databaseName | O nome do banco de dados ao qual os dados serão ingeridos. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| resourceId | A ID de recurso do ARM do recurso do Adx. | corda |
DestinationsSpecAzureMonitorMetrics
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
EventHubDestination
| Nome | Descrição | Valor |
|---|---|---|
| eventHubResourceId | A ID do recurso do hub de eventos. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
EventHubDirectDestination
| Nome | Descrição | Valor |
|---|---|---|
| eventHubResourceId | A ID do recurso do hub de eventos. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
LogAnalyticsDestination
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| workspaceResourceId | A ID do recurso do workspace do Log Analytics. | corda |
MicrosoftFabricDestination
| Nome | Descrição | Valor |
|---|---|---|
| artifactId | A ID do artefato do recurso do Microsoft Fabric. | corda |
| databaseName | O nome do banco de dados ao qual os dados serão ingeridos. | corda |
| ingestionUri | O uri de ingestão do recurso do Microsoft Fabric. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| tenantId | A ID do locatário do recurso do Microsoft Fabric. | corda |
MonitoringAccountDestination
| Nome | Descrição | Valor |
|---|---|---|
| accountResourceId | A ID do recurso da conta de monitoramento. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
StorageBlobDestination
| Nome | Descrição | Valor |
|---|---|---|
| containerName | O nome do contêiner do Blob de Armazenamento. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| storageAccountResourceId | A ID do recurso da conta de armazenamento. | corda |
StorageTableDestination
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| storageAccountResourceId | A ID do recurso da conta de armazenamento. | corda |
| tableName | O nome da Tabela de Armazenamento. | corda |
DataCollectionRuleReferences
| Nome | Descrição | Valor |
|---|---|---|
| enrichmentData | Todas as fontes de dados de enriquecimento referenciadas em fluxos de dados | ReferencesSpecEnrichmentData |
ReferencesSpecEnrichmentData
| Nome | Descrição | Valor |
|---|---|---|
| storageBlobs | Todos os blobs de armazenamento usados como fontes de dados de enriquecimento | StorageBlob [] |
StorageBlob
| Nome | Descrição | Valor |
|---|---|---|
| blobUrl | URL do blob de armazenamento | corda |
| lookupType | O tipo de pesquisa a ser executada no blob | 'Cidr' 'String' |
| nome | O nome da fonte de dados de enriquecimento usada como alias ao referenciar essa fonte de dados em fluxos de dados | corda |
| resourceId | ID do recurso da conta de armazenamento que hospeda o blob | corda |
DataCollectionRuleStreamDeclarations
| Nome | Descrição | Valor |
|---|---|---|
| {propriedade personalizada} | StreamDeclaration |
StreamDeclaration
| Nome | Descrição | Valor |
|---|---|---|
| Colunas | Lista de colunas usadas pelos dados neste fluxo. | ColumnDefinition[] |
ColumnDefinition
| Nome | Descrição | Valor |
|---|---|---|
| nome | O nome da coluna. | corda |
| tipo | O tipo dos dados da coluna. | 'booliano' 'datetime' 'dinâmico' 'int' 'long' 'real' 'string' |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
| Modelo | Descrição |
|---|---|
implantar o dimensionamento automático do Darktrace vSensors
|
Este modelo permite que você implante uma implantação de dimensionamento automático automaticamente de vSensors do Darktrace |
|
regra de coleta de dados para do Syslog
|
Esse modelo cria uma regra de coleta de dados definindo a fonte de dados (Syslog) e o workspace de destino. |
Definição de recurso de modelo do ARM
O tipo de recurso dataCollectionRules pode ser implantado com operações de destino:
- Grupos de recursos - Consulte comandos de implantação do grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Insights/dataCollectionRules, adicione o JSON a seguir ao modelo.
{
"type": "Microsoft.Insights/dataCollectionRules",
"apiVersion": "2023-03-11",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"kind": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"agentSettings": {
"logs": [
{
"name": "string",
"value": "string"
}
]
},
"dataCollectionEndpointId": "string",
"dataFlows": [
{
"builtInTransform": "string",
"captureOverflow": "bool",
"destinations": [ "string" ],
"outputStream": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"dataSources": {
"dataImports": {
"eventHub": {
"consumerGroup": "string",
"name": "string",
"stream": "string"
}
},
"extensions": [
{
"extensionName": "string",
"extensionSettings": {},
"inputDataSources": [ "string" ],
"name": "string",
"streams": [ "string" ]
}
],
"iisLogs": [
{
"logDirectories": [ "string" ],
"name": "string",
"streams": [ "string" ],
"transformKql": "string"
}
],
"logFiles": [
{
"filePatterns": [ "string" ],
"format": "string",
"name": "string",
"settings": {
"text": {
"recordStartTimestampFormat": "string"
}
},
"streams": [ "string" ],
"transformKql": "string"
}
],
"performanceCounters": [
{
"counterSpecifiers": [ "string" ],
"name": "string",
"samplingFrequencyInSeconds": "int",
"streams": [ "string" ],
"transformKql": "string"
}
],
"platformTelemetry": [
{
"name": "string",
"streams": [ "string" ]
}
],
"prometheusForwarder": [
{
"labelIncludeFilter": {
"{customized property}": "string"
},
"name": "string",
"streams": "Microsoft-PrometheusMetrics"
}
],
"syslog": [
{
"facilityNames": [ "string" ],
"logLevels": [ "string" ],
"name": "string",
"streams": "Microsoft-Syslog",
"transformKql": "string"
}
],
"windowsEventLogs": [
{
"name": "string",
"streams": [ "string" ],
"transformKql": "string",
"xPathQueries": [ "string" ]
}
],
"windowsFirewallLogs": [
{
"name": "string",
"profileFilter": [ "string" ],
"streams": [ "string" ]
}
]
},
"description": "string",
"destinations": {
"azureDataExplorer": [
{
"databaseName": "string",
"name": "string",
"resourceId": "string"
}
],
"azureMonitorMetrics": {
"name": "string"
},
"eventHubs": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"eventHubsDirect": [
{
"eventHubResourceId": "string",
"name": "string"
}
],
"logAnalytics": [
{
"name": "string",
"workspaceResourceId": "string"
}
],
"microsoftFabric": [
{
"artifactId": "string",
"databaseName": "string",
"ingestionUri": "string",
"name": "string",
"tenantId": "string"
}
],
"monitoringAccounts": [
{
"accountResourceId": "string",
"name": "string"
}
],
"storageAccounts": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageBlobsDirect": [
{
"containerName": "string",
"name": "string",
"storageAccountResourceId": "string"
}
],
"storageTablesDirect": [
{
"name": "string",
"storageAccountResourceId": "string",
"tableName": "string"
}
]
},
"references": {
"enrichmentData": {
"storageBlobs": [
{
"blobUrl": "string",
"lookupType": "string",
"name": "string",
"resourceId": "string"
}
]
}
},
"streamDeclarations": {
"{customized property}": {
"columns": [
{
"name": "string",
"type": "string"
}
]
}
}
}
}
Valores de propriedade
dataCollectionRules
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | 'Microsoft.Insights/dataCollectionRules' |
| apiVersion | A versão da API do recurso | '2023-03-11' |
| nome | O nome do recurso | cadeia de caracteres (obrigatório) |
| localização | A localização geográfica onde o recurso reside. | cadeia de caracteres (obrigatório) |
| Tags | Marcas de recurso. | Dicionário de nomes e valores de marca. Consulte Marcas em modelos |
| tipo | O tipo do recurso. | 'Linux' 'Windows' |
| identidade | Identidade de serviço gerenciada do recurso. | DataCollectionRuleResourceIdentity |
| Propriedades | Propriedades do recurso. | DataCollectionRuleResourceProperties |
DataCollectionRuleResourceIdentity
| Nome | Descrição | Valor |
|---|---|---|
| tipo | Tipo de identidade de serviço gerenciado (em que os tipos SystemAssigned e UserAssigned são permitidos). | 'None' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obrigatório) |
| userAssignedIdentities | O conjunto de identidades atribuídas pelo usuário associadas ao recurso. As chaves do dicionário userAssignedIdentities serão IDs de recurso do ARM no formulário: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Os valores do dicionário podem ser objetos vazios ({}) em solicitações. | UserAssignedIdentities |
UserAssignedIdentities
| Nome | Descrição | Valor |
|---|---|---|
| {propriedade personalizada} | UserAssignedIdentity |
UserAssignedIdentity
Esse objeto não contém nenhuma propriedade a ser definida durante a implantação. Todas as propriedades são ReadOnly.
DataCollectionRuleResourceProperties
| Nome | Descrição | Valor |
|---|---|---|
| agentSettings | Configurações do agente usadas para modificar o comportamento do agente em um determinado host | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | A ID do recurso do ponto de extremidade de coleta de dados com o qual essa regra pode ser usada. | corda |
| fluxos de dados | A especificação dos fluxos de dados. | do DataFlow [] |
| dataSources | A especificação de fontes de dados. Essa propriedade é opcional e pode ser omitida se a regra deve ser usada por meio de chamadas diretas para o ponto de extremidade provisionado. |
DataCollectionRuleDataSources |
| descrição | Descrição da regra de coleta de dados. | corda |
| Destinos | A especificação de destinos. | DataCollectionRuleDestinations |
| Referências | Define todas as referências que podem ser usadas em outras seções do DCR | DataCollectionRuleReferences |
| streamDeclarations | Declaração de fluxos personalizados usados nesta regra. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| Nome | Descrição | Valor |
|---|---|---|
| Logs | Todas as configurações aplicáveis ao AMA (agente de logs) | AgentSetting[] |
AgentSetting
| Nome | Descrição | Valor |
|---|---|---|
| nome | O nome da configuração. Deve fazer parte da lista de configurações com suporte |
'MaxDiskQuotaInMB' 'UseTimeReceivedForForwardedEvents' |
| valor | O valor da configuração | corda |
Fluxo
| Nome | Descrição | Valor |
|---|---|---|
| builtInTransform | A transformação builtIn para transformar dados de fluxo | corda |
| captureOverflow | Sinalizador para habilitar a coluna de estouro em destinos de LA | Bool |
| Destinos | Lista de destinos para esse fluxo de dados. | string[] |
| outputStream | O fluxo de saída da transformação. Necessário somente se a transformação alterar os dados para um fluxo diferente. | corda |
| Fluxos | Lista de fluxos para esse fluxo de dados. | Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
| transformKql | A consulta KQL para transformar dados de fluxo. | corda |
DataCollectionRuleDataSources
| Nome | Descrição | Valor |
|---|---|---|
| dataImports | Especificações de fontes de dados baseadas em pull | DataSourcesSpecDataImports |
| Extensões | A lista de configurações de fonte de dados de extensão da VM do Azure. | ExtensionDataSource [] |
| iisLogs | A lista de configurações de origem de logs do IIS. | IisLogsDataSource [] |
| logFiles | A lista de configurações de origem dos arquivos de log. | LogFilesDataSource [] |
| performanceCounters | A lista de configurações de fonte de dados do contador de desempenho. | PerfCounterDataSource [] |
| platformTelemetry | A lista de configurações de telemetria de plataforma | PlatformTelemetryDataSource[] |
| prometheusForwarder | A lista de configurações de fonte de dados do encaminhador prometheus. | PrometheusForwarderDataSource[] |
| syslog | A lista de configurações de fonte de dados do Syslog. | SyslogDataSource [] |
| windowsEventLogs | A lista de configurações de fonte de dados do Log de Eventos do Windows. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | A lista de configurações de origem de logs do Firewall do Windows. | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| Nome | Descrição | Valor |
|---|---|---|
| eventHub | Definição de configuração do Hub de Eventos. | DataImportSourcesEventHub |
DataImportSourcesEventHub
| Nome | Descrição | Valor |
|---|---|---|
| consumerGroup | Nome do grupo de consumidores do Hub de Eventos | corda |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| riacho | O fluxo a ser coletado do EventHub | corda |
ExtensionDataSource
| Nome | Descrição | Valor |
|---|---|---|
| extensionName | O nome da extensão da VM. | cadeia de caracteres (obrigatório) |
| extensionSettings | As configurações de extensão. O formato é específico para uma extensão específica. | |
| inputDataSources | A lista de fontes de dados da qual essa extensão precisa de dados. | string[] |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-Event' 'Microsoft-InsightsMetrics' 'Microsoft-Perf' 'Microsoft-Syslog' 'Microsoft-WindowsEvent' |
IisLogsDataSource
| Nome | Descrição | Valor |
|---|---|---|
| logDirectories | Localização de arquivo de caminhos absolutos | string[] |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Fluxos do IIS | string[] (obrigatório) |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
LogFilesDataSource
| Nome | Descrição | Valor |
|---|---|---|
| filePatterns | Padrões de arquivo em que os arquivos de log estão localizados | string[] (obrigatório) |
| formato | O formato de dados dos arquivos de log | 'json' 'text' (obrigatório) |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Configurações | As configurações específicas dos arquivos de log. | logFilesDataSourceSettings |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica qual esquema será usado para essa fonte de dados |
string[] (obrigatório) |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
LogFilesDataSourceSettings
| Nome | Descrição | Valor |
|---|---|---|
| Texto | Configurações de texto | LogFileSettingsText |
LogFileSettingsText
| Nome | Descrição | Valor |
|---|---|---|
| recordStartTimestampFormat | Um dos formatos de carimbo de data/hora com suporte | 'ISO 8601' 'M/D/YYYYY HH:MM:SS AM/PM' 'MMM d hh:mm:ss' 'Mon DD, YYYYY HH:MM:SS' 'YYYY-MM-DD HH:MM:SS' 'dd/MMM/yyyy:HH:mm:ss zzz' 'ddMMyyy HH:mm:ss' 'yyMMdd HH:mm:ss' 'yyyyy-MM-ddTHH:mm:ssK' (obrigatório) |
PerfCounterDataSource
| Nome | Descrição | Valor |
|---|---|---|
| counterSpecifiers | Uma lista de nomes especificadores dos contadores de desempenho que você deseja coletar. Use um curinga (*) para coletar um contador para todas as instâncias. Para obter uma lista de contadores de desempenho no Windows, execute o comando 'typeperf'. |
string[] |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| samplingFrequencyInSeconds | O número de segundos entre medidas de contador consecutivas (exemplos). | int |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-InsightsMetrics' 'Microsoft-Perf' |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
PlatformTelemetryDataSource
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos de telemetria de plataforma a serem coletados | string[] (obrigatório) |
PrometheusForwarderDataSource
PrometheusForwarderDataSourceLabelIncludeFilter
| Nome | Descrição | Valor |
|---|---|---|
| {propriedade personalizada} | corda |
SyslogDataSource
| Nome | Descrição | Valor |
|---|---|---|
| facilityNames | A lista de nomes de instalações. | Matriz de cadeia de caracteres que contém qualquer um dos: '*' 'alerta' 'auditar' 'auth' 'authpriv' 'relógio' 'cron' 'daemon' 'ftp' 'kern' 'local0' 'local1' 'local2' 'local3' 'local4' 'local5' 'local6' 'local7' 'lpr' 'mail' 'mark' 'news' 'nopri' 'ntp' 'syslog' 'user' 'uucp' |
| logLevels | Os níveis de log a serem coletados. | Matriz de cadeia de caracteres que contém qualquer um dos: '*' 'Alerta' 'Crítico' 'Depurar' 'Emergência' 'Erro' 'Informações' 'Aviso' 'Aviso' |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-Syslog' |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
WindowsEventLogDataSource
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: 'Microsoft-Event' 'Microsoft-WindowsEvent' |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
| xPathQueries | Uma lista de consultas do Log de Eventos do Windows no formato XPATH. | string[] |
WindowsFirewallLogsDataSource
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| profileFilter | Filtro de perfil de logs de firewall | Matriz de cadeia de caracteres que contém qualquer um dos: 'Domínio' 'Privado' 'Público' |
| Fluxos | Fluxos de logs de firewall | string[] (obrigatório) |
DataCollectionRuleDestinations
| Nome | Descrição | Valor |
|---|---|---|
| azureDataExplorer | Lista de destinos do Azure Data Explorer. | AdxDestination [] |
| azureMonitorMetrics | Destino das Métricas do Azure Monitor. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Lista de destinos dos Hubs de Eventos. | EventHubDestination [] |
| eventHubsDirect | Lista de destinos diretos dos Hubs de Eventos. | EventHubDirectDestination [] |
| logAnalytics | Lista de destinos do Log Analytics. | LogAnalyticsDestination[] |
| microsoftFabric | Lista de destinos do Microsoft Fabric. | MicrosoftFabricDestination[] |
| monitoringAccounts | Lista de destinos de conta de monitoramento. | MonitoringAccountDestination[] |
| storageAccounts | Lista de destinos de contas de armazenamento. | StorageBlobDestination [] |
| storageBlobsDirect | Lista de destinos diretos do Blob de Armazenamento. Para ser usado apenas para enviar dados diretamente para armazenar do agente. | StorageBlobDestination [] |
| storageTablesDirect | Lista de destinos diretos da tabela de armazenamento. | StorageTableDestination [] |
AdxDestination
| Nome | Descrição | Valor |
|---|---|---|
| databaseName | O nome do banco de dados ao qual os dados serão ingeridos. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| resourceId | A ID de recurso do ARM do recurso do Adx. | corda |
DestinationsSpecAzureMonitorMetrics
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
EventHubDestination
| Nome | Descrição | Valor |
|---|---|---|
| eventHubResourceId | A ID do recurso do hub de eventos. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
EventHubDirectDestination
| Nome | Descrição | Valor |
|---|---|---|
| eventHubResourceId | A ID do recurso do hub de eventos. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
LogAnalyticsDestination
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| workspaceResourceId | A ID do recurso do workspace do Log Analytics. | corda |
MicrosoftFabricDestination
| Nome | Descrição | Valor |
|---|---|---|
| artifactId | A ID do artefato do recurso do Microsoft Fabric. | corda |
| databaseName | O nome do banco de dados ao qual os dados serão ingeridos. | corda |
| ingestionUri | O uri de ingestão do recurso do Microsoft Fabric. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| tenantId | A ID do locatário do recurso do Microsoft Fabric. | corda |
MonitoringAccountDestination
| Nome | Descrição | Valor |
|---|---|---|
| accountResourceId | A ID do recurso da conta de monitoramento. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
StorageBlobDestination
| Nome | Descrição | Valor |
|---|---|---|
| containerName | O nome do contêiner do Blob de Armazenamento. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| storageAccountResourceId | A ID do recurso da conta de armazenamento. | corda |
StorageTableDestination
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| storageAccountResourceId | A ID do recurso da conta de armazenamento. | corda |
| tableName | O nome da Tabela de Armazenamento. | corda |
DataCollectionRuleReferences
| Nome | Descrição | Valor |
|---|---|---|
| enrichmentData | Todas as fontes de dados de enriquecimento referenciadas em fluxos de dados | ReferencesSpecEnrichmentData |
ReferencesSpecEnrichmentData
| Nome | Descrição | Valor |
|---|---|---|
| storageBlobs | Todos os blobs de armazenamento usados como fontes de dados de enriquecimento | StorageBlob [] |
StorageBlob
| Nome | Descrição | Valor |
|---|---|---|
| blobUrl | URL do blob de armazenamento | corda |
| lookupType | O tipo de pesquisa a ser executada no blob | 'Cidr' 'String' |
| nome | O nome da fonte de dados de enriquecimento usada como alias ao referenciar essa fonte de dados em fluxos de dados | corda |
| resourceId | ID do recurso da conta de armazenamento que hospeda o blob | corda |
DataCollectionRuleStreamDeclarations
| Nome | Descrição | Valor |
|---|---|---|
| {propriedade personalizada} | StreamDeclaration |
StreamDeclaration
| Nome | Descrição | Valor |
|---|---|---|
| Colunas | Lista de colunas usadas pelos dados neste fluxo. | ColumnDefinition[] |
ColumnDefinition
| Nome | Descrição | Valor |
|---|---|---|
| nome | O nome da coluna. | corda |
| tipo | O tipo dos dados da coluna. | 'booliano' 'datetime' 'dinâmico' 'int' 'long' 'real' 'string' |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
| Modelo | Descrição |
|---|---|
|
implantar o dimensionamento automático do Darktrace vSensors
|
Este modelo permite que você implante uma implantação de dimensionamento automático automaticamente de vSensors do Darktrace |
|
regra de coleta de dados para do Syslog
|
Esse modelo cria uma regra de coleta de dados definindo a fonte de dados (Syslog) e o workspace de destino. |
Definição de recurso do Terraform (provedor de AzAPI)
O tipo de recurso dataCollectionRules pode ser implantado com operações de destino:
- grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Insights/dataCollectionRules, adicione o Terraform a seguir ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Insights/dataCollectionRules@2023-03-11"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
agentSettings = {
logs = [
{
name = "string"
value = "string"
}
]
}
dataCollectionEndpointId = "string"
dataFlows = [
{
builtInTransform = "string"
captureOverflow = bool
destinations = [
"string"
]
outputStream = "string"
streams = [
"string"
]
transformKql = "string"
}
]
dataSources = {
dataImports = {
eventHub = {
consumerGroup = "string"
name = "string"
stream = "string"
}
}
extensions = [
{
extensionName = "string"
inputDataSources = [
"string"
]
name = "string"
streams = [
"string"
]
}
]
iisLogs = [
{
logDirectories = [
"string"
]
name = "string"
streams = [
"string"
]
transformKql = "string"
}
]
logFiles = [
{
filePatterns = [
"string"
]
format = "string"
name = "string"
settings = {
text = {
recordStartTimestampFormat = "string"
}
}
streams = [
"string"
]
transformKql = "string"
}
]
performanceCounters = [
{
counterSpecifiers = [
"string"
]
name = "string"
samplingFrequencyInSeconds = int
streams = [
"string"
]
transformKql = "string"
}
]
platformTelemetry = [
{
name = "string"
streams = [
"string"
]
}
]
prometheusForwarder = [
{
labelIncludeFilter = {
{customized property} = "string"
}
name = "string"
streams = "Microsoft-PrometheusMetrics"
}
]
syslog = [
{
facilityNames = [
"string"
]
logLevels = [
"string"
]
name = "string"
streams = "Microsoft-Syslog"
transformKql = "string"
}
]
windowsEventLogs = [
{
name = "string"
streams = [
"string"
]
transformKql = "string"
xPathQueries = [
"string"
]
}
]
windowsFirewallLogs = [
{
name = "string"
profileFilter = [
"string"
]
streams = [
"string"
]
}
]
}
description = "string"
destinations = {
azureDataExplorer = [
{
databaseName = "string"
name = "string"
resourceId = "string"
}
]
azureMonitorMetrics = {
name = "string"
}
eventHubs = [
{
eventHubResourceId = "string"
name = "string"
}
]
eventHubsDirect = [
{
eventHubResourceId = "string"
name = "string"
}
]
logAnalytics = [
{
name = "string"
workspaceResourceId = "string"
}
]
microsoftFabric = [
{
artifactId = "string"
databaseName = "string"
ingestionUri = "string"
name = "string"
tenantId = "string"
}
]
monitoringAccounts = [
{
accountResourceId = "string"
name = "string"
}
]
storageAccounts = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageBlobsDirect = [
{
containerName = "string"
name = "string"
storageAccountResourceId = "string"
}
]
storageTablesDirect = [
{
name = "string"
storageAccountResourceId = "string"
tableName = "string"
}
]
}
references = {
enrichmentData = {
storageBlobs = [
{
blobUrl = "string"
lookupType = "string"
name = "string"
resourceId = "string"
}
]
}
}
streamDeclarations = {
{customized property} = {
columns = [
{
name = "string"
type = "string"
}
]
}
}
}
kind = "string"
})
}
Valores de propriedade
dataCollectionRules
DataCollectionRuleResourceIdentity
| Nome | Descrição | Valor |
|---|---|---|
| tipo | Tipo de identidade de serviço gerenciado (em que os tipos SystemAssigned e UserAssigned são permitidos). | "SystemAssigned" "SystemAssigned,UserAssigned" "UserAssigned" (obrigatório) |
| identity_ids | O conjunto de identidades atribuídas pelo usuário associadas ao recurso. As chaves do dicionário userAssignedIdentities serão IDs de recurso do ARM no formulário: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. Os valores do dicionário podem ser objetos vazios ({}) em solicitações. | Matriz de IDs de identidade do usuário. |
UserAssignedIdentities
| Nome | Descrição | Valor |
|---|---|---|
| {propriedade personalizada} | UserAssignedIdentity |
UserAssignedIdentity
Esse objeto não contém nenhuma propriedade a ser definida durante a implantação. Todas as propriedades são ReadOnly.
DataCollectionRuleResourceProperties
| Nome | Descrição | Valor |
|---|---|---|
| agentSettings | Configurações do agente usadas para modificar o comportamento do agente em um determinado host | DataCollectionRuleAgentSettings |
| dataCollectionEndpointId | A ID do recurso do ponto de extremidade de coleta de dados com o qual essa regra pode ser usada. | corda |
| fluxos de dados | A especificação dos fluxos de dados. | do DataFlow [] |
| dataSources | A especificação de fontes de dados. Essa propriedade é opcional e pode ser omitida se a regra deve ser usada por meio de chamadas diretas para o ponto de extremidade provisionado. |
DataCollectionRuleDataSources |
| descrição | Descrição da regra de coleta de dados. | corda |
| Destinos | A especificação de destinos. | DataCollectionRuleDestinations |
| Referências | Define todas as referências que podem ser usadas em outras seções do DCR | DataCollectionRuleReferences |
| streamDeclarations | Declaração de fluxos personalizados usados nesta regra. | DataCollectionRuleStreamDeclarations |
DataCollectionRuleAgentSettings
| Nome | Descrição | Valor |
|---|---|---|
| Logs | Todas as configurações aplicáveis ao AMA (agente de logs) | AgentSetting[] |
AgentSetting
| Nome | Descrição | Valor |
|---|---|---|
| nome | O nome da configuração. Deve fazer parte da lista de configurações com suporte |
"MaxDiskQuotaInMB" "UseTimeReceivedForForwardedEvents" |
| valor | O valor da configuração | corda |
Fluxo
| Nome | Descrição | Valor |
|---|---|---|
| builtInTransform | A transformação builtIn para transformar dados de fluxo | corda |
| captureOverflow | Sinalizador para habilitar a coluna de estouro em destinos de LA | Bool |
| Destinos | Lista de destinos para esse fluxo de dados. | string[] |
| outputStream | O fluxo de saída da transformação. Necessário somente se a transformação alterar os dados para um fluxo diferente. | corda |
| Fluxos | Lista de fluxos para esse fluxo de dados. | Matriz de cadeia de caracteres que contém qualquer um dos: "Microsoft-Event" "Microsoft-InsightsMetrics" "Microsoft-Perf" "Microsoft-Syslog" "Microsoft-WindowsEvent" |
| transformKql | A consulta KQL para transformar dados de fluxo. | corda |
DataCollectionRuleDataSources
| Nome | Descrição | Valor |
|---|---|---|
| dataImports | Especificações de fontes de dados baseadas em pull | DataSourcesSpecDataImports |
| Extensões | A lista de configurações de fonte de dados de extensão da VM do Azure. | ExtensionDataSource [] |
| iisLogs | A lista de configurações de origem de logs do IIS. | IisLogsDataSource [] |
| logFiles | A lista de configurações de origem dos arquivos de log. | LogFilesDataSource [] |
| performanceCounters | A lista de configurações de fonte de dados do contador de desempenho. | PerfCounterDataSource [] |
| platformTelemetry | A lista de configurações de telemetria de plataforma | PlatformTelemetryDataSource[] |
| prometheusForwarder | A lista de configurações de fonte de dados do encaminhador prometheus. | PrometheusForwarderDataSource[] |
| syslog | A lista de configurações de fonte de dados do Syslog. | SyslogDataSource [] |
| windowsEventLogs | A lista de configurações de fonte de dados do Log de Eventos do Windows. | WindowsEventLogDataSource[] |
| windowsFirewallLogs | A lista de configurações de origem de logs do Firewall do Windows. | WindowsFirewallLogsDataSource[] |
DataSourcesSpecDataImports
| Nome | Descrição | Valor |
|---|---|---|
| eventHub | Definição de configuração do Hub de Eventos. | DataImportSourcesEventHub |
DataImportSourcesEventHub
| Nome | Descrição | Valor |
|---|---|---|
| consumerGroup | Nome do grupo de consumidores do Hub de Eventos | corda |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| riacho | O fluxo a ser coletado do EventHub | corda |
ExtensionDataSource
| Nome | Descrição | Valor |
|---|---|---|
| extensionName | O nome da extensão da VM. | cadeia de caracteres (obrigatório) |
| extensionSettings | As configurações de extensão. O formato é específico para uma extensão específica. | |
| inputDataSources | A lista de fontes de dados da qual essa extensão precisa de dados. | string[] |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: "Microsoft-Event" "Microsoft-InsightsMetrics" "Microsoft-Perf" "Microsoft-Syslog" "Microsoft-WindowsEvent" |
IisLogsDataSource
| Nome | Descrição | Valor |
|---|---|---|
| logDirectories | Localização de arquivo de caminhos absolutos | string[] |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Fluxos do IIS | string[] (obrigatório) |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
LogFilesDataSource
| Nome | Descrição | Valor |
|---|---|---|
| filePatterns | Padrões de arquivo em que os arquivos de log estão localizados | string[] (obrigatório) |
| formato | O formato de dados dos arquivos de log | "json" "text" (obrigatório) |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Configurações | As configurações específicas dos arquivos de log. | logFilesDataSourceSettings |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica qual esquema será usado para essa fonte de dados |
string[] (obrigatório) |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
LogFilesDataSourceSettings
| Nome | Descrição | Valor |
|---|---|---|
| Texto | Configurações de texto | LogFileSettingsText |
LogFileSettingsText
| Nome | Descrição | Valor |
|---|---|---|
| recordStartTimestampFormat | Um dos formatos de carimbo de data/hora com suporte | "ISO 8601" "M/D/YYYYY HH:MM:SS AM/PM" "MMM d hh:mm:ss" "Mon DD, YYYYY HH:MM:SS" "YYYY-MM-DD HH:MM:SS" "dd/MMM/yyyy:HH:mm:ss zzz" "ddMMYyy HH:mm:ss" "yyMMdd HH:mm:ss" "yyyyy-MM-ddTHH:mm:ssK" (obrigatório) |
PerfCounterDataSource
| Nome | Descrição | Valor |
|---|---|---|
| counterSpecifiers | Uma lista de nomes especificadores dos contadores de desempenho que você deseja coletar. Use um curinga (*) para coletar um contador para todas as instâncias. Para obter uma lista de contadores de desempenho no Windows, execute o comando 'typeperf'. |
string[] |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| samplingFrequencyInSeconds | O número de segundos entre medidas de contador consecutivas (exemplos). | int |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: "Microsoft-InsightsMetrics" "Microsoft-Perf" |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
PlatformTelemetryDataSource
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos de telemetria de plataforma a serem coletados | string[] (obrigatório) |
PrometheusForwarderDataSource
PrometheusForwarderDataSourceLabelIncludeFilter
| Nome | Descrição | Valor |
|---|---|---|
| {propriedade personalizada} | corda |
SyslogDataSource
| Nome | Descrição | Valor |
|---|---|---|
| facilityNames | A lista de nomes de instalações. | Matriz de cadeia de caracteres que contém qualquer um dos: "*" "alerta" "auditoria" "autenticação" "authpriv" "relógio" "cron" "daemon" "ftp" "kern" "local0" "local1" "local2" "local3" "local4" "local5" "local6" "local7" "lpr" "email" "mark" "news" "nopri" "ntp" "syslog" "user" "uucp" |
| logLevels | Os níveis de log a serem coletados. | Matriz de cadeia de caracteres que contém qualquer um dos: "*" "Alerta" "Crítico" "Depurar" "Emergência" "Erro" "Informações" "Aviso" "Aviso" |
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: "Microsoft-Syslog" |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
WindowsEventLogDataSource
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| Fluxos | Lista de fluxos para os quais essa fonte de dados será enviada. Um fluxo indica para qual esquema será usado para esses dados e, geralmente, para qual tabela no Log Analytics os dados serão enviados. |
Matriz de cadeia de caracteres que contém qualquer um dos: "Microsoft-Event" "Microsoft-WindowsEvent" |
| transformKql | A consulta KQL para transformar a fonte de dados. | corda |
| xPathQueries | Uma lista de consultas do Log de Eventos do Windows no formato XPATH. | string[] |
WindowsFirewallLogsDataSource
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para a fonte de dados. Esse nome deve ser exclusivo em todas as fontes de dados (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| profileFilter | Filtro de perfil de logs de firewall | Matriz de cadeia de caracteres que contém qualquer um dos: "Domínio" "Particular" "Público" |
| Fluxos | Fluxos de logs de firewall | string[] (obrigatório) |
DataCollectionRuleDestinations
| Nome | Descrição | Valor |
|---|---|---|
| azureDataExplorer | Lista de destinos do Azure Data Explorer. | AdxDestination [] |
| azureMonitorMetrics | Destino das Métricas do Azure Monitor. | DestinationsSpecAzureMonitorMetrics |
| eventHubs | Lista de destinos dos Hubs de Eventos. | EventHubDestination [] |
| eventHubsDirect | Lista de destinos diretos dos Hubs de Eventos. | EventHubDirectDestination [] |
| logAnalytics | Lista de destinos do Log Analytics. | LogAnalyticsDestination[] |
| microsoftFabric | Lista de destinos do Microsoft Fabric. | MicrosoftFabricDestination[] |
| monitoringAccounts | Lista de destinos de conta de monitoramento. | MonitoringAccountDestination[] |
| storageAccounts | Lista de destinos de contas de armazenamento. | StorageBlobDestination [] |
| storageBlobsDirect | Lista de destinos diretos do Blob de Armazenamento. Para ser usado apenas para enviar dados diretamente para armazenar do agente. | StorageBlobDestination [] |
| storageTablesDirect | Lista de destinos diretos da tabela de armazenamento. | StorageTableDestination [] |
AdxDestination
| Nome | Descrição | Valor |
|---|---|---|
| databaseName | O nome do banco de dados ao qual os dados serão ingeridos. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| resourceId | A ID de recurso do ARM do recurso do Adx. | corda |
DestinationsSpecAzureMonitorMetrics
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
EventHubDestination
| Nome | Descrição | Valor |
|---|---|---|
| eventHubResourceId | A ID do recurso do hub de eventos. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
EventHubDirectDestination
| Nome | Descrição | Valor |
|---|---|---|
| eventHubResourceId | A ID do recurso do hub de eventos. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
LogAnalyticsDestination
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| workspaceResourceId | A ID do recurso do workspace do Log Analytics. | corda |
MicrosoftFabricDestination
| Nome | Descrição | Valor |
|---|---|---|
| artifactId | A ID do artefato do recurso do Microsoft Fabric. | corda |
| databaseName | O nome do banco de dados ao qual os dados serão ingeridos. | corda |
| ingestionUri | O uri de ingestão do recurso do Microsoft Fabric. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| tenantId | A ID do locatário do recurso do Microsoft Fabric. | corda |
MonitoringAccountDestination
| Nome | Descrição | Valor |
|---|---|---|
| accountResourceId | A ID do recurso da conta de monitoramento. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
StorageBlobDestination
| Nome | Descrição | Valor |
|---|---|---|
| containerName | O nome do contêiner do Blob de Armazenamento. | corda |
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| storageAccountResourceId | A ID do recurso da conta de armazenamento. | corda |
StorageTableDestination
| Nome | Descrição | Valor |
|---|---|---|
| nome | Um nome amigável para o destino. Esse nome deve ser exclusivo em todos os destinos (independentemente do tipo) dentro da regra de coleta de dados. |
corda |
| storageAccountResourceId | A ID do recurso da conta de armazenamento. | corda |
| tableName | O nome da Tabela de Armazenamento. | corda |
DataCollectionRuleReferences
| Nome | Descrição | Valor |
|---|---|---|
| enrichmentData | Todas as fontes de dados de enriquecimento referenciadas em fluxos de dados | ReferencesSpecEnrichmentData |
ReferencesSpecEnrichmentData
| Nome | Descrição | Valor |
|---|---|---|
| storageBlobs | Todos os blobs de armazenamento usados como fontes de dados de enriquecimento | StorageBlob [] |
StorageBlob
| Nome | Descrição | Valor |
|---|---|---|
| blobUrl | URL do blob de armazenamento | corda |
| lookupType | O tipo de pesquisa a ser executada no blob | "Cidr" "Cadeia de caracteres" |
| nome | O nome da fonte de dados de enriquecimento usada como alias ao referenciar essa fonte de dados em fluxos de dados | corda |
| resourceId | ID do recurso da conta de armazenamento que hospeda o blob | corda |
DataCollectionRuleStreamDeclarations
| Nome | Descrição | Valor |
|---|---|---|
| {propriedade personalizada} | StreamDeclaration |
StreamDeclaration
| Nome | Descrição | Valor |
|---|---|---|
| Colunas | Lista de colunas usadas pelos dados neste fluxo. | ColumnDefinition[] |
ColumnDefinition
| Nome | Descrição | Valor |
|---|---|---|
| nome | O nome da coluna. | corda |
| tipo | O tipo dos dados da coluna. | "booliano" "datetime" "dinâmico" "int" "long" "real" "string" |