فئة موفر Microsoft Sentinel

MicrosoftSentinelProvider توفر الفئة طريقة للتفاعل مع مستودع بيانات Microsoft Sentinel، مما يسمح لك بإجراء عمليات مثل سرد قواعد البيانات وقراءة الجداول وحفظ البيانات. تم تصميم هذه الفئة للعمل مع جلسات Spark في دفاتر ملاحظات Jupyter وتوفر طرقا للوصول إلى البيانات المخزنة في مستودع بيانات Microsoft Sentinel ومعالجتها.

هذه الفئة هي جزء من الوحدة النمطية sentinel.datalake وتوفر أساليب للتفاعل مع مستودع البيانات. لاستخدام هذه الفئة، قم باستيرادها وإنشاء مثيل للفئة باستخدام spark جلسة العمل.

from sentinel_lake.providers import MicrosoftSentinelProvider
data_provider = MicrosoftSentinelProvider(spark)      

يجب أن يكون لديك الأذونات اللازمة لتنفيذ عمليات مثل قراءة البيانات وكتابتها. لمزيد من المعلومات حول الأذونات، راجع أذونات مستودع بيانات Microsoft Sentinel.

Methods

MicrosoftSentinelProvider توفر الفئة عدة طرق للتفاعل مع مستودع بيانات Microsoft Sentinel. يفترض كل أسلوب مدرج أدناه أنه MicrosoftSentinelProvider تم استيراد الفئة وتم إنشاء مثيل باستخدام spark جلسة العمل كما يلي:

from sentinel_lake.providers import MicrosoftSentinelProvider
data_provider = MicrosoftSentinelProvider(spark) 

list_databases

سرد جميع قواعد البيانات المتوفرة / مساحات عمل Microsoft Sentinel.

data_provider.list_databases()    

Returns:

• list[str]: قائمة بأسماء قواعد البيانات (مساحات العمل) المتوفرة في مستودع بيانات Microsoft Sentinel.

list_tables

سرد كافة الجداول في قاعدة بيانات معينة.

data_provider.list_tables([database_name],[database_id])
   

Parameters:

• database_name (str، اختياري): اسم قاعدة البيانات (مساحة العمل) لسرد الجداول منها. IF غير محدد يتم استخدام قاعدة بيانات جداول النظام.
• database_id (str، اختياري): المعرف الفريد لقاعدة البيانات إذا لم تكن أسماء مساحة العمل فريدة.

Returns:

• list[str]: قائمة بأسماء الجداول في قاعدة البيانات المحددة.

Examples:

سرد كافة الجداول في قاعدة بيانات جداول النظام:

data_provider.list_tables() 

سرد كافة الجداول في قاعدة بيانات معينة. database_id حدد قاعدة البيانات إذا لم تكن أسماء مساحة العمل فريدة:

data_provider.list_tables("workspace1", database_id="ab1111112222ab333333")

read_table

تحميل DataFrame من جدول في Lake.

data_provider.read_table({table}, [database_name], [database_id])

Parameters:

• table_name (str): اسم الجدول المراد قراءته.
• database_name (str، اختياري): اسم قاعدة البيانات (مساحة العمل) التي تحتوي على الجدول. الإعدادات الافتراضية لـ System tables.
• database_id (str، اختياري): المعرف الفريد لقاعدة البيانات إذا لم تكن أسماء مساحة العمل فريدة.

Returns:

• DataFrame: DataFrame يحتوي على البيانات من الجدول المحدد.

Example:

df = data_provider.read_table("EntraGroups", "Workspace001")

save_as_table

اكتب DataFrame كجدول مدار. يمكنك الكتابة إلى طبقة البحيرة باستخدام اللاحقة _SPRK في اسم الجدول، أو إلى طبقة التحليلات باستخدام اللاحقة _SPRK_CL .

data_provider.save_as_table({DataFrame}, {table_name}, [database_name], [database_id], [write_options])

Parameters:

• DataFrame (DataFrame): DataFrame للكتابة كجدول.
• table_name (str): اسم الجدول المراد إنشاؤه أو الكتابة فوقه.
• database_name (str، اختياري): اسم قاعدة البيانات (مساحة العمل) لحفظ الجدول فيها. الإعدادات الافتراضية لـ System tables.
• database_id (str، اختياري، مستوى التحليلات فقط): المعرف الفريد لقاعدة البيانات في طبقة التحليلات إذا لم تكن أسماء مساحة العمل فريدة.
• write_options (إملاء، اختياري): خيارات لكتابة الجدول. الخيارات المدعومة: - الوضع: append أو overwrite (الافتراضي: append) - partitionBy: قائمة الأعمدة المراد تقسيمها حسب المثال: {'mode': 'append', 'partitionBy': ['date']}

Returns:

• str: معرف تشغيل عملية الكتابة.

Note

ينطبق خيار التقسيم فقط على الجداول المخصصة في قاعدة بيانات جداول النظام (مساحة العمل) في طبقة مستودع البيانات. وهو غير مدعوم للجداول في طبقة التحليلات أو الجداول في قواعد بيانات أخرى غير قاعدة بيانات جداول النظام في طبقة مستودع البيانات.

Examples:

إنشاء جدول مخصص جديد في طبقة مستودع البيانات في System tables مساحة العمل.

data_provider.save_as_table(dataframe, "CustomTable1_SPRK", "System tables")

إلحاق بجدول في قاعدة بيانات جداول النظام (مساحة العمل) في طبقة مستودع البيانات.

write_options = {
    'mode': 'append'
}
data_provider.save_as_table(dataframe, "CustomTable1_SPRK", write_options=write_options)

إنشاء جدول مخصص جديد في طبقة التحليلات.

data_provider.save_as_table(dataframe, "CustomTable1_SPRK_CL", "analyticstierworkspace")

إلحاق أو الكتابة فوق جدول مخصص موجود في طبقة التحليلات.

write_options = {
    'mode': 'append'
}
data_provider.save_as_table(dataframe, "CustomTable1_SPRK_CL", "analyticstierworkspace", write_options)

إلحاق بقاعدة بيانات جداول النظام مع التقسيم على TimeGenerated العمود.

data_loader.save_as_table(dataframe, "table1", write_options: {'mode': 'append', 'partitionBy': ['TimeGenerated']})

delete_table

حذف الجدول من طبقة البحيرة. يمكنك حذف الجدول من طبقة البحيرة باستخدام اللاحقة _SPRK في اسم الجدول. لا يمكنك حذف جدول من طبقة التحليلات باستخدام هذه الدالة. لحذف جدول مخصص في طبقة التحليلات، استخدم وظائف Log Analytics API. لمزيد من المعلومات، راجع إضافة جداول وأعمدة أو حذفها في سجلات Azure Monitor.

data_provider.delete_table({table_name}, [database_name], [database_id])

Parameters:

• table_name (str): اسم الجدول المراد حذفه.
• database_name (str، اختياري): اسم قاعدة البيانات (مساحة العمل) التي تحتوي على الجدول. الإعدادات الافتراضية لـ System tables.
• database_id (str، اختياري): المعرف الفريد لقاعدة البيانات إذا لم تكن أسماء مساحة العمل فريدة.

Returns:

• dict: قاموس يحتوي على نتيجة عملية الحذف.

Example:

data_provider.delete_table("customtable_SPRK", "System tables")

المحتوى ذو الصلة

• استخدام دفاتر ملاحظات Jupyter مع مستودع بيانات Microsoft Sentinel
• نظرة عامة على مستودع بيانات Microsoft Sentinel
• أذونات مستودع بيانات Microsoft Sentinel
• عينة من دفاتر الملاحظات لبحيرة بيانات Microsoft Sentinel