Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Azure Storage Blob-Connector vereinfacht das Sammeln von Protokollen aus Azure Storage. IsVs und Benutzer können skalierbare Connectors auf der Grundlage Azure Storage-Integrationen über das vollständig verwaltete Codeless Connector Framework (CCF) erstellen.
In diesem Artikel werden die Connectorressourcen zusammengefasst und Schritte zum Erstellen und Überprüfen Ihres ersten Azure Storage-Connectors beschrieben.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
- Ein Azure Storage-Konto mit aktiviertem hierarchischem Namespace (Azure Data Lake Storage Gen2) und einem Container, der die Protokolldateien enthält.
- Ein Microsoft Sentinel Arbeitsbereich mit Microsoft Sentinel Rolle Mitwirkender oder höher zum Erstellen von Datenconnectors.
- Rollenberechtigungen "Besitzer" oder "EventGrid-Mitwirkender" für das Speicherkonto zum Erstellen von Event Grid-Systemthemen und -Abonnements.
Hinweis
Stellen Sie sicher, dass der Microsoft.EventGrid-Ressourcenanbieter in dem Abonnement registriert ist, das das Speicherkonto enthält.
Übersicht über Connectorressourcen
Der Azure Storage-Blobconnector verwendet ein warteschlangenbasiertes Blobzeigermodell, um Blob-erstellte Ereignisse in Ihrem Speicherkonto zu abonnieren. Ein Event Grid-Systemthemaabonnement lauscht auf Bloberstellungsaktivitäten und pusht Ereignisse basierend auf konfigurierbaren Filterkriterien in eine Azure Storage-Warteschlange. Mehrere Connectorinstanzen können aus demselben Container erfassen, während Dateien nach Ordner und Dateimuster eingegrenzt werden. Sie können die Filterung über das Portal oder die ARM-Vorlage des Connectors steuern, indem Sie Blobpräfix- und Suffixmuster festlegen.
Der Microsoft Sentinel-Connector:
- Fragt die Azure Storage-Warteschlange auf Blob-erstellte Nachrichten ab.
- Ruft Dateien aus dem Azure Storage Blob-Container basierend auf dem Pfad in der Warteschlangennachricht ab.
- Löscht die Warteschlangennachricht nach erfolgreicher Weiterleitung.
Der Connector authentifiziert sich beim Speicherkonto mithilfe eines Dienstprinzipals, auf den die Connectoranwendung zugreifen kann. Die Anwendungs-IDs pro Cloud und das vollständige Vorlagenschema finden Sie in der API-Referenz zu Azure Storage-Blobconnectors. Verwenden Sie die ARM-Vorlagenautomatisierung, um zu überprüfen, ob der Dienstprinzipal vorhanden ist, und um die erforderlichen Rollenzuweisungen auf das Speicherkonto anzuwenden.
Erstellen eines Azure Storage Blob-Connectors
- Überprüfen und anpassen Sie die ARM-Beispielvorlage in der API-Referenz für Azure Storage-Blobconnectors. Legen Sie den Containernamen, den Warteschlangennamen (falls nicht automatisch erstellt), die Blobpräfix-/Suffixfilter und die Zuordnung der Zieltabelle fest.
- Stellen Sie die Vorlage bereit, indem Sie erstellen einen codelosen Connector für Microsoft Sentinel. Stellen Sie sicher, dass der Bereitstellungsbereich dem Speicherkonto und Microsoft Sentinel Arbeitsbereichs entspricht.
- Vergewissern Sie sich nach der Bereitstellung, dass der Connector instance in Microsoft Sentinel erstellt wird und dass das Event Grid-Abonnement status fehlerfrei ist.
Überprüfen des Connectors
- Laden Sie eine Beispieldatei hoch, die Ihrem Präfix-/Suffixfilter entspricht, und vergewissern Sie sich, dass Warteschlangennachrichten erstellt und genutzt werden.
- Überprüfen Sie die Erfassung in der Zieltabelle in Microsoft Sentinel, und suchen Sie auf dem Blatt "Connectorintegrität" nach Fehlern.
- Wenn Sie Netzwerkeinschränkungen verwenden, vergewissern Sie sich, dass die vom Connector verwalteten Ressourcen die Blob- und Warteschlangenendpunkte erreichen können.
Problembehandlung
Schritte zur Problembehandlung finden Sie unter Behandeln von Problemen mit Azure Storage Blob-Connector.