Cribl akışından Azure Veri Gezgini'a veri alma
Cribl Stream , makine olay verilerini herhangi bir kaynaktan güvenli bir şekilde toplayan, işleyen ve akışla aktaran bir işleme altyapısıdır. Analiz ve yönetim için herhangi bir hedefe yönelik verileri güvenli bir şekilde ayrıştırmanıza ve işlemenize olanak tanır.
Bu makalede Cribl Stream ile veri alma işlemi gösterilmektedir.
Veri bağlayıcılarının tam listesi için bkz . Veri tümleştirmelerine genel bakış.
Önkoşullar
- Bir Cribl Stream hesabı
- Varsayılan önbellek ve bekletme ilkelerine sahip bir Azure Veri Gezgini kümesi ve veritabanı.
- Sorgu ortamı. Daha fazla bilgi için bkz . Sorgu tümleştirmelerine genel bakış.
- Biçimhttps://ingest-< kümesindeki TargetURI değeri için Kusto küme> URI'niz.<region.kusto.windows.net>. Daha fazla bilgi için bkz . Küme bağlantısı ekleme.
Microsoft Entra hizmet sorumlusu oluşturma
Microsoft Entra hizmet sorumlusu, aşağıdaki örnekte olduğu gibi Azure portalı aracılığıyla veya program aracılığıyla oluşturulabilir.
Bu hizmet sorumlusu, kusto'daki tablonuza veri yazmak için bağlayıcı tarafından kullanılan kimliktir. Bu hizmet sorumlusuna Kusto kaynaklarına erişmek için izinler verirsiniz.
Azure CLI aracılığıyla Azure aboneliğinizde oturum açın. Ardından tarayıcıda kimlik doğrulaması yapın.
az loginSorumluyu barındırmak için aboneliği seçin. Bu adım, birden çok aboneliğiniz olduğunda gereklidir.
az account set --subscription YOUR_SUBSCRIPTION_GUIDHizmet sorumlusunu oluşturun. Bu örnekte hizmet sorumlusu olarak adlandırılır
my-service-principal.az ad sp create-for-rbac -n "my-service-principal" --role Contributor --scopes /subscriptions/{SubID}Döndürülen JSON verilerinden, gelecekte kullanmak üzere ,
passwordvetenantdeğerini kopyalayınappId.{ "appId": "00001111-aaaa-2222-bbbb-3333cccc4444", "displayName": "my-service-principal", "name": "my-service-principal", "password": "00001111-aaaa-2222-bbbb-3333cccc4444", "tenant": "00001111-aaaa-2222-bbbb-3333cccc4444" }
Microsoft Entra uygulamanızı ve hizmet sorumlunuzu oluşturdunuz.
Hedef tablo oluşturma
Gelen veriler için bir hedef tablo ve alınan veri sütunlarını hedef tablodaki sütunlara eşlemek için bir alma eşlemesi oluşturun.
Sorgu düzenleyicinizde aşağıdaki tablo oluşturma komutunu çalıştırın ve TableName yer tutucusunu hedef tablonun adıyla değiştirin:
.create table <TableName> (_raw: string, _time: long, cribl_pipe: dynamic)Aşağıdaki create ingestion mapping komutunu çalıştırarak TableName yer tutucularını hedef tablo adıyla ve TableNameMapping öğesini alma eşlemesinin adıyla değiştirin:
.create table <TableName> ingestion csv mapping '<TableNameMapping>' 'CriblLogMapping' '[{"Name":"_raw","DataType":"string","Ordinal":"0","ConstValue":null},{"Name":"_time","DataType":"long","Ordinal":"1","ConstValue":null},{"Name":"cribl_pipe","DataType":"dynamic","Ordinal":"2","ConstValue":null}]'Microsoft Entra hizmet sorumlusu veritabanı alma rolü izinleri oluşturma bölümünden hizmet sorumlusuna veritabanıyla çalışma izni verin. Daha fazla bilgi için bkz . Örnekler. DatabaseName yer tutucusunu hedef veritabanının adıyla ve ApplicationID değerini bir Microsoft Entra hizmet sorumlusu oluştururken kaydettiğiniz değerle
AppIddeğiştirin..add database <DatabaseName> ingestors ('aadapp=<ApplicationID>') 'App Registration'
Cribl Stream hedefi oluşturma
Aşağıdaki bölümde Kusto'daki tablonuza veri yazan bir Cribl Stream hedefinin nasıl oluşturulacağı açıklanmaktadır. Her tablo ayrı bir Cribl Stream hedef bağlayıcısı gerektirir.
Hedef seç
Cribl Stream'i tablonuza bağlamak için:
Cribl'ın üst gezinti bölmesinde Yönet'i ve ardından bir Çalışan Grubu seçin.
Yönlendirme>QuickConnect (Akış)Hedef Ekle'yi> seçin.
Yeni QuickConnect Hedefini Ayarla penceresinde Azure Veri Gezgini'ı ve ardından Şimdi ekle'yi seçin.
Genel ayarları ayarlama
Yeni Veri Gezgini penceresinde, Genel Ayarlar'da aşağıdaki ayarları ayarlayın:
| Ayar | Value | Açıklama |
|---|---|---|
| Çıkış Kimliği | <OutputID>, örneğin KustoDestination | Hedefinizi tanımlamak için kullanılan ad. |
| Alma Modu | Toplu işlem (varsayılan) veya Akış | Alma modu ayarları. Toplu işlem, tablonuzun kısa bir süre içinde büyük miktarda veri alırken Cribl depolama kapsayıcısından toplu veri çekmesine olanak tanır. Akış verileri doğrudan hedef KQL tablosuna gönderir. Akış, daha az miktarda veri almak veya örneğin gerçek zamanlı olarak kritik bir uyarı göndermek için kullanışlıdır. Akış, toplu işlemden daha düşük gecikme süresi elde edebilir. Alma modu Akış olarak ayarlandıysa bir akış ilkesini etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Akış alma ilkesi. |
| Küme temel URI'si | temel URI | Temel URI. |
| Alım hizmeti URI'si | alma URI'si | Toplu işlem modu seçildiğinde görüntülenir. Alma URI'si. |
| Veritabanı adı | <DatabaseName> | Hedef veritabanınızın adı. |
| Tablo adı | <TableName> | Hedef tablonuzun adı. |
| Veritabanı ayarlarını doğrulama | Evet (varsayılan) veya Hayır. | Hedefinizi kaydederken veya başlatırken girdiğiniz hizmet sorumlusu uygulama kimlik bilgilerini doğrular. Eşleme nesnesi ekle seçeneğinin açık olması dışında tablo adını doğrular. Uygulamanızın hem Veritabanı Görüntüleyicisi hem de Tablo Görüntüleyicisi rolleri yoksa bu ayar devre dışı bırakılmalıdır. |
| Eşleme nesnesi ekleme | Evet veya Hayır (varsayılan.) | Yalnızca varsayılan Veri eşleme metin alanı yerine Toplu işlem modu seçildiğinde görüntülenir. Evet'i seçtiğinizde, JSON nesnesi olarak veri eşlemesi girmek için bir pencere açılır. |
| Veri eşleme | Hedef tablo oluşturma adımında tanımlanan eşleme şeması adı. | Eşleme şeması adı. Eşleme nesnesi ekle seçeneği Hayır olarak ayarlandığında varsayılan görünüm. |
| Sıkıştırmak | gzip (varsayılan) | Veri biçimi Parquet olarak ayarlandığında Sıkıştır seçeneği kullanılamaz. |
| Veri biçimi | JSON (varsayılan), Raw veya Parquet. | Veri biçimi. Parquet yalnızca Batching modunda kullanılabilir ve yalnızca Linux'ta desteklenir. |
| Geri baskı davranışı | Engelle (varsayılan) veya Bırak | Alıcılar geri baskı uyguladığında olayları engelleyip engellemeyeceğini veya bırakmayacağını seçin. |
| Etiketler | İsteğe bağlı değerler | Cribl Stream'in Hedefleri Yönet sayfasında hedefleri filtrelemek ve gruplandırmak için isteğe bağlı etiketler. Etiket adları arasında bir sekme veya sabit dönüş kullanın. Bu etiketler işlenen olaylara eklenmez. |
Tamamlandığında İleri'yi seçin.
Kimlik doğrulama ayarları
Kenar çubuğunda Kimlik Doğrulama Ayarları'nı seçin. Microsoft Entra hizmet sorumlusu oluşturma bölümüne kaydettiğiniz değerleri temel URI'nizle birlikte aşağıdaki gibi kullanın:
| Ayar | Value | Açıklama |
|---|---|---|
| Kiracı Kimliği | <Kiracı Kimliği> | tenant Microsoft Entra hizmet sorumlusu oluşturma bölümünde kaydettiğiniz değeri kullanın. |
| İstemci kimliği | <ClientID> | appId Microsoft Entra hizmet sorumlusu oluşturma bölümünde kaydettiğiniz değerleri kullanın. |
| Scope | <baseuri>/.default |
Baseuri için temel URI'den değeri kullanın. |
| Kimlik doğrulama yöntemi | İstemci gizli dizisi, İstemci gizli anahtarı (metin gizli dizisi) veya Sertifika | Seçenekler İstemci gizli dizisidir İstemci gizli dizisi için Microsoft Entra hizmet sorumlusu oluşturma bölümünde oluşturduğunuz Microsoft Entra uygulamasının istemci gizli dizisini kullanın. Sertifika için sertifikanız, Microsoft Entra hizmet sorumlusu oluşturma bölümünde oluşturduğunuz Microsoft Entra uygulamasına kaydettiğiniz/kaydedeceği ortak anahtarı kullanır. |
Sonra İleri'yi seçin.
Kalıcı Kuyruk
Alma modu Akış olarak ayarlandığında ve Geri baskı davranışı Kalıcı Kuyruk olarak ayarlandığında görüntülenir.
| Ayar | Value | Açıklama |
|---|---|---|
| En büyük dosya boyutu | 1 MB (varsayılan) | Dosyayı kapatmadan önce ulaşılabilmesi gereken en büyük kuyruk dosyası boyutu. Sayı girerken KB veya MB gibi birimleri ekleyin. |
| En büyük kuyruk boyutu | 5 GB (varsayılan) | Hedef, verileri kuyruğa alma işlemini durdurmadan önce kuyruğun her çalışan işleminde kullanabileceği maksimum disk alanı miktarı. KB, MB veya GB gibi birimlere sahip pozitif sayıların gerekli değeri. En yüksek değer 1 TB'tır. |
| Kuyruk dosyası yolu | $CRIBL_HOME/state/queues (varsayılan) |
Kalıcı kuyruk dosyası konumu. Cribl Stream bu değere eklenir /<worker‑id>/<output‑id> . |
| Sıkıştırma | Yok (varsayılan), gzip | Kapatıldığında kalıcı verileri sıkıştırmak için kullanılacak sıkıştırma yöntemi. |
| Kuyruk dolu davranışı | Engelle veya Bırak | Kuyruk düşük disk veya tam disk kapasitesi nedeniyle geri baskı uyguladığında olayları engellemeyi veya bırakmayı seçin. |
| Katı sıralama | Evet (varsayılan) veya Hayır | Evet olarak ayarlandığında olaylar ilk gelen ilk dışarı sıralamaya göre iletilir. Daha önce kuyruğa alınan olaylardan önce yeni olaylar göndermek için Hayır olarak ayarlayın. |
| Boşaltma oranı sınırı (EPS) | 0 (varsayılan) | Bu seçenek, kuyruktan alıcılara yazarken azaltma oranı (saniye başına olay cinsinden) ayarlamanıza olanak sağlamak için Katı sıralama Hayır olarak ayarlandığında görüntülenir. Kuyruğa alınan olayların boşaltma hızını azaltma, yeni veya etkin bağlantı aktarım hızını artırır. Sıfır azaltmayı devre dışı bırakır. |
| Kalıcı Kuyruğu Temizle | NA | Hedefinize teslim edilmek üzere şu anda kuyruğa alınmış dosyaları silmek için seçin. Kuyruğa alınan veriler teslim edilmeden kalıcı olarak silindiğinden bu eylemi onaylamanız gerekir. |
Tamamlandığında İleri'yi seçin.
İşlem ayarları
| Ayar | Value | Açıklama |
|---|---|---|
| Ardışık düzen | <\defined_pipeline> | Bu çıkışı kullanarak verileri göndermeden önce işlemek için isteğe bağlı bir işlem hattı. |
| Sistem alanları | cribl_pipe (varsayılan), cribl_host, cribl_input, cribl_output, cribl_routeveya cribl_wp |
Hedeflerine gönderilmeden önce olaylara otomatik olarak eklenen alanların listesi. Joker karakterler desteklenir. |
Tamamlandığında İleri'yi seçin.
Parquet ayarları
Veri Biçimi için Parquet'in ne zaman seçildiğini görüntüler.
Parquet seçildiğinde parquet şemasını seçmek için bir Parquet Ayarları sekmesi açılır.
| Ayar | Value | Açıklama |
|---|---|---|
| Otomatik şema | Açık veya Kapalı | Cribl Stream'in yazdığı her Parquet dosyasının olaylarını temel alan bir Parquet şeması oluşturmak için Açık'ı seçin. |
| Parquet şeması | açılan menü | Parquet şemanızı seçmenize izin vermek için Otomatik şema Kapalı olarak ayarlandığında görüntülenir. |
| Parquet sürümü | 1.0, 2.4, 2.6 (varsayılan) | Sürüm, desteklenen veri türlerini ve bunların nasıl temsil edildiklerini belirler. |
| Veri sayfası sürümü | V1, V2 (varsayılan) | Veri sayfası serileştirme biçimi. Parquet okuyucunuz Parquet V2'yi desteklemiyorsa V1'i kullanın. |
| Grup satırı sınırı | 1000 (varsayılan) | Her grubun içerebileceği en fazla satır sayısı. |
| Sayfa boyutu | 1 MB (varsayılan) | Sayfa kesimleri için hedef bellek boyutu. Daha düşük değerler okuma hızını artırırken, daha yüksek değerler sıkıştırmayı iyileştirebilir. |
| Geçersiz satırları günlüğe kaydetme | Evet veya Hayır | Evet seçildiğinde ve Günlük düzeyi olarak ayarlandığındadebug, veri biçimi uyuşmazlığı nedeniyle atlanan en fazla 20 benzersiz satır çıkar. |
| İstatistikleri yazma | Açık (varsayılan) veya Kapalı | Parquet istatistik görüntüleme araçlarını yapılandırdıysanız Açık'ı seçin. |
| Sayfa dizinleri yazma | Açık (varsayılan) veya Kapalı | Parquet okuyucunuz sayfa atlama özelliğini etkinleştirmek için Parquet sayfa dizini istatistikleri kullanıyorsa Açık'ı seçin. |
| Sayfa sağlama toplamı yazma | Açık veya Kapalı | Parquet sayfası sağlama toplamlarını kullanarak veri bütünlüğünü denetlemek için Parquet araçlarını kullanıyorsanız Açık'ı seçin. |
| Meta veriler (isteğe bağlı)* | Anahtar-değer çiftleri olarak eklenebilen Hedef dosya meta veri özellikleri. |
Yeniden deneme sayısı
Alma modu Akış olarak ayarlandığında görüntülenir.
| Ayar | Value | Açıklama |
|---|---|---|
| Yeniden Deneme-Sonra üst bilgisini kabul | Evet veya Hayır | Üst Retry-After bilgi kabul edilip edilmeyeceği. Etkinleştirildiğinde, üst bilgi 180 saniye veya daha kısa bir gecikmeyi belirttiği sürece, alınan Retry-After üst bilgi Yeniden Denemeler bölümündeki diğer yapılandırılmış seçeneklerden önce kullanılır. Aksi takdirde, Retry-After üst bilgiler yoksayılır. |
| Başarısız HTTP istekleri için ayarlar | HTTP durum kodu | Bağlanamazsa otomatik olarak yeniden denenecek HTTP durum kodlarının listesi. Cribl Stream 429 başarısız isteği otomatik olarak yeniden denenir. |
| Zaman aşımına uğradı HTTP isteklerini yeniden deneyin | Açık veya Kapalı | Ayarlandığında, daha fazla yeniden deneme davranışı ayarı kullanılabilir hale gelir. |
| Geri alma öncesi aralığı (ms) | 1000 ms (varsayılan) | Yeniden denemeden önceki bekleme süresi. |
| Geri alma çarpanı | 2 sn (varsayılan) | Yeniden denemeler arasındaki aralığı belirlemek için üstel geri alma algoritmasının temeli olarak kullanılır. |
| Geri alma sınırı (ms) | 10.000 ms (varsayılan) | Son akış yeniden denemesi için maksimum geri alma aralığı. Olası değerler 10.000 milisaniye (10 saniye) ile 180.000 milisaniye (3 dakika) arasında değişir. |
Tamamlandığında İleri'yi seçin.
Gelişmiş ayarlar
Kenar çubuğundan Gelişmiş Ayarlar'ı seçin. Batching seçildiğinde gelişmiş ayarlar aşağıda açıklanmaktadır:
| Ayar | Value | Açıklama |
|---|---|---|
| Hemen boşalt | Evet veya Hayır (varsayılan.) | Kusto'da veri toplamayı geçersiz kılmak için Evet olarak ayarlayın. Daha fazla bilgi için bkz . Kusto Alma kitaplığı için en iyi yöntemler. |
| Başarılı olduğunda blobu koruma | Evet veya Hayır (varsayılan.) | Veri alımı tamamlandıktan sonra veri blobu korumak için Evet olarak ayarlayın. |
| Kapsam etiketleri | <\ExtentTag, ET2,...> | İsterseniz etiketleri hedef tablonun bölümlenmiş kapsamlarına ayarlayın. |
| Etiket değerleri aracılığıyla benzersizliği zorlama | Gelen kapsamları filtrelemek ve listelenen değerle eşleşen kapsamları atmak için kullanılacak bir ingest-by değer listesi belirtmek için Değer ekle'yi seçin. Daha fazla bilgi için bkz . Kapsamlar (veri parçaları) |
|
| Rapor düzeyi | DoNotReport, FailuresOnly (varsayılan) ve FailuresAndSuccesses. | Alım durumu raporlama düzeyi. |
| Rapor yöntemi | Kuyruk (varsayılan), Tablo ve QueueAndTable (Önerilir.) | Alma durumu raporlama hedefi. |
| Ek alanlar | İsterseniz alma hizmetine göndermek için daha fazla yapılandırma özelliği ekleyin. | |
| Hazırlama konumu | /tmp (varsayılan) |
Dosyaları sıkıştırmadan ve son hedefe taşımadan önce arabelleğe alınacak yerel dosya sistemi konumu. Cribl, kararlı ve yüksek performanslı bir konum önerir. |
| Dosya adı sonek ifadesi | .${C.env["CRIBL_WORKER_ID"]}.${__format}${__compression === "gzip" ? ".gz" : ""}(varsayılan) |
Çıkış dosya adı soneki olarak kullanılan tırnak içine alınmış bir JavaScript ifadesi. formatJSON veya ham olabilir ve __compression hiçbiri veya gzip olabilir. Dosya adlarının üzerine yazılmasını önlemek için dosya adlarının sonuna altı karakterden oluşan rastgele bir sıra eklenir. |
| En büyük dosya boyutu (MB) | 32 MB (varsayılan) | Dosyaların kapanmadan ve depolama kapsayıcısına taşınmadan önce ulaşabileceği sıkıştırılmamış çıktı dosyası boyutu üst sınırı. |
| En fazla dosya açma süresi (sn) | 300 saniye (varsayılan) | Dosya kapatılıp depolama kapsayıcısına taşınmadan önce dosyaya yazma süresi (saniye cinsinden) üst sınırı. |
| En fazla dosya boşta kalma süresi (sn) | 30 saniye (varsayılan) | Etkin olmayan dosyaların kapanmadan ve depolama kapsayıcısına taşınmadan önce açık kalması için saniye cinsinden en fazla süre. |
| En fazla açık dosya | 100 (varsayılan) | En eski açık dosyalar kapatılıp depolama kapsayıcısına taşınmadan önce aynı anda açık tutulacak en fazla dosya sayısı. |
| En fazla eşzamanlı dosya bölümü | 1 (varsayılan) | Aynı anda karşıya yüklenecek en fazla dosya bölümü sayısı. Varsayılan değer 1, en yüksek değer ise 10'dur. Değerin bir olarak ayarlanması, tek seferde bir parçanın sırayla gönderilmesine olanak tanır. |
| Boş hazırlama dirlerini kaldırma | Evet (varsayılan) veya Hayır | Cribl Stream'de geçiş yapıldığında, dosyalar taşındıktan sonra boş hazırlama dizinleri silinir. Bu, yalnız bırakılmış boş dizinlerin çoğalmasını önler. Etkinleştirildiğinde, Hazırlama temizleme süresini kullanıma sunar. |
| Hazırlama temizleme dönemi | 300 (varsayılan) | Hazırlama dirlerini kaldır etkinleştirildiğinde boş dizinlerin silinmesine kadar saniye olarak süre. Boş hazırlama dirlerini kaldır ayarı Evet olarak ayarlandığında görüntülenir. En düşük değer 10 saniye ve en fazla 86.400 saniyedir (her 24 saatte bir). |
| Ortam | Boş olduğunda (varsayılan) yapılandırma her yerde etkinleştirilir. GitOps kullanıyorsanız, yapılandırmayı etkinleştirmek istediğiniz Git dalını belirtebilirsiniz. |
Tamamlandığında Kaydet'i seçin.
Bağlantı yapılandırması
Açılan Bağlantı Yapılandırması penceresinde Geçiş bağlantısı'nı ve ardından Kaydet'i seçin. Bağlayıcı verileri kuyruğa alma işlemini başlatır.
Veri alımını onaylama
Veriler tabloya ulaştığında, satır sayısını denetleyerek veri aktarımını onaylayın:
<Tablename> | countSon beş dakika içinde kuyruğa alınan almaları onaylayın:
.show commands-and-queries | where Database == "" and CommandType == "DataIngestPull" | where LastUpdatedOn >= ago(5m)Alma işleminde hata olmadığını onaylayın:
- Toplu işlem için:
.show ingestion failures- Akış için:
.show streamingingestion failures | order by LastFailureOn descTablonuzdaki verileri doğrulayın:
<TableName> | take 10
Sorgu örnekleri ve yönergeler için bkz. KQL'de sorgu yazma ve Kusto Sorgu Dili belgeleri.