Structure d’une règle de collecte de données dans Azure Monitor
Les règles de collecte de données (DCR) sont des ensembles d’instructions qui déterminent comment collecter et traiter les données de télémétrie envoyées à Azure Monitor. Certaines règles DCR sont créées et gérées par Azure Monitor. Cet article décrit les propriétés JSON des règles DCR pour les créer et les modifier dans les cas où vous devez les utiliser directement.
- Pour plus d’informations sur l’utilisation du JSON décrit ici, consultez Créer et modifier des règles de collecte de données (DCR) dans Azure Monitor.
- Pour obtenir des exemples de règles DCR pour différents scénarios, consultez Exemple de règles de collecte de données (DCR) dans Azure Monitor.
Propriétés
Propriétés au niveau supérieur de la DCR.
Propriété | Description |
---|---|
immutableId |
Identificateur unique de la règle de collecte de données. La propriété et la valeur sont créées automatiquement lorsque la DCR est créée. |
description |
Description de la règle de collecte de données. |
dataCollectionEndpointId |
ID de ressource du point de terminaison de collecte de données (DCE) utilisé par le DCR si vous en avez fourni un. Propriété non présente dans les contrôleurs de domaine qui n’utilisent pas de DCE. |
endpoints
Contient les URL des points de terminaison pour le DCR. Cette section et ses propriétés sont créées automatiquement lors de la création du DCR.
Remarque
Ces propriétés n’ont pas été créées pour les contrôleurs de domaine créés avant le 31 mars 2024. Les contrôleurs de domaine créés avant cette date nécessitaient un point de terminaison de collecte de données (DCE) et la propriété dataCollectionEndpointId
à spécifier. Si vous souhaitez utiliser ces contrôleurs de domaine incorporés, vous devez créer une DCR.
Propriété | Description |
---|---|
logsIngestion |
URL du point de terminaison d’ingestion pour les données de journal. |
metricsIngestion |
URL du point de terminaison d’ingestion pour les données de métriques. |
Scénarios
- API d’ingestion de journaux
dataCollectionEndpointId
Spécifie le point de terminaison de collecte de données (DCE) utilisé par la règle DCR.
Scénarios
- Agent Azure Monitor
- API d’ingestion de journaux
- Hubs d’événements
streamDeclarations
Déclaration des différents types de données envoyés dans l’espace de travail Log Analytics. Chaque flux est un objet dont la clé représente le nom du flux, qui doit commencer par Custom-. Le flux contient une liste complète des propriétés de niveau supérieur contenues dans les données JSON qui seront envoyées. La forme des données que vous envoyez au point de terminaison ne doit pas nécessairement être identique à celle de la table de destination. La sortie de la transformation appliquée sur les données d’entrée doit plutôt correspondre à la forme de destination.
Cette section n’est pas utilisée pour les sources de données qui envoient des types de données connus tels que les données d’événements et de performances envoyées à partir de l’agent Azure Monitor.
Les types de données possibles qui peuvent être affectés aux propriétés sont :
string
int
long
real
boolean
dynamic
datetime
.
Scénarios
- Agent Azure Monitor (journaux texte uniquement)
- API d’ingestion de journaux
- Event Hubs
destinations
Déclaration de toutes les destinations où les données seront envoyées. Seul logAnalytics
est actuellement pris en charge en tant que destination, sauf pour l’agent Azure Monitor qui peut également utiliser azureMonitorMetrics
. Chaque destination Log Analytics nécessite l’ID de ressource complet de l’espace de travail et un nom convivial qui sera utilisé ailleurs dans la règle DCR pour faire référence à cet espace de travail.
Scénarios
- Agent Azure Monitor (journaux texte uniquement)
- API d’ingestion de journaux
- Event Hubs
- DCR de transformation de l’espace de travail
dataSources
Une source unique de données de surveillance qui a son propre format et sa propre méthode pour exposer les données. Chaque source de données a un type de source de données et chaque type définit un ensemble unique de propriétés qui doivent être spécifiées pour chaque source de données. Les types de sources de données actuellement disponibles sont indiqués dans le tableau suivant.
Type de source de données | Description |
---|---|
eventHub | Données à partir d’Azure Event Hubs |
extension | Source de données basée sur une extension VM, utilisée exclusivement par les solutions Log Analytics et les services Azure (Voir les services et solutions pris en charge par l’agent) |
logFiles | Journal texte sur une machine virtuelle |
performanceCounters | Compteurs de performances pour les machines virtuelles Windows et Linux |
syslog | Événements Syslog sur une machine virtuelle Linux |
windowsEventLogs | Journal des événements Windows sur les machines virtuelles |
Scénarios
- Agent Azure Monitor
- Event Hubs
dataFlows
Correspond aux flux avec des destinations et spécifie éventuellement une transformation.
Important
Un flux peut uniquement envoyer vers un espace de travail Log Analytics dans un DCR. Vous pouvez avoir plusieurs entrées dataFlow
pour un seul flux si elles utilisent des tables différentes dans le même espace de travail. Si vous devez envoyer des données à plusieurs espaces de travail Log Analytics à partir d’un seul flux, créez un DCR distinct pour chaque espace de travail.
dataFlows/Streams
Un ou plusieurs flux définis dans la section précédente. Vous pouvez inclure plusieurs flux dans un seul flux de données si vous souhaitez envoyer plusieurs sources de données vers la même destination. Utilisez un seul flux si le flux de données comprend une transformation. Un flux peut également être utilisé par plusieurs flux de données lorsque vous souhaitez envoyer une source de données particulière vers plusieurs tables dans le même espace de travail Log Analytics.
dataFlows/destinations
Une ou plusieurs destinations de la section destinations
ci-dessus.
dataFlows/transformKql
Transformation facultative appliquée au flux entrant. La transformation doit comprendre le schéma des données entrantes et des données sortantes dans le schéma de la table cible. Si vous utilisez une transformation, le flux de données ne doit utiliser qu’un seul flux.
dataFlows/outputStream
Décrit la table de l’espace de travail spécifiée sous la propriété destination
vers laquelle les données sont envoyées. La valeur de outputStream
a le format Microsoft-[tableName]
lorsque les données sont ingérées dans une table Log Analytics standard, ou Custom-[tableName]
lorsqu’elles sont ingérées dans une table personnalisée. Une seule destination est autorisée par flux.
Cette propriété n’est pas utilisée pour les sources de données connues d’Azure Monitor, telles que les données d’événements et de performances, car elles sont envoyées vers des tables prédéfinies. |
Scénarios
- Agent Azure Monitor
- API d’ingestion de journaux
- Event Hubs
- DCR de transformation de l’espace de travail
Étapes suivantes
Vue d’ensemble des règles de collecte des données et des méthodes pour les créer