Konfigurieren von Azure Monitor-Datensammlungsregeln

  • 5 Minuten

Eine weitere Möglichkeit zum Normalisieren von Protokolldaten besteht darin, die Daten zum Zeitpunkt der Erfassung zu transformieren. Dies bietet den Vorteil, dass Daten in einem geparsten Format zur Verwendung in Microsoft Sentinel gespeichert werden können.

Datensammlungsregeln in Azure Monitor

Datensammlungsregeln (Data Collection Rules, DCRs) stellen eine ETL-ähnliche Pipeline in Azure Monitor bereit, mit der Sie definieren können, wie Daten, die in Azure Monitor eingehen, verarbeitet werden sollen. Abhängig vom Workflowtyp können DCRs angeben, wohin Daten gesendet werden sollen, und Daten filtern oder transformieren, bevor sie in Azure Monitor-Protokollen gespeichert werden. Einige Datensammlungsregeln werden von Azure Monitor erstellt und verwaltet, während Sie andere Regeln erstellen können, um die Datensammlung an Ihre speziellen Anforderungen anzupassen.

Typen von Datensammlungsregeln

Derzeit gibt es in Azure Monitor zwei Arten von Datensammlungsregeln:

  • Standard-DCR. Wird mit verschiedenen Workflows verwendet, die Daten an Azure Monitor senden. Derzeit unterstützte Workflows sind Azure Monitor-Agent und benutzerdefinierte Protokolle.

  • Arbeitsbereichstransformations-DCR. Wird mit einem Log Analytics-Arbeitsbereich verwendet, um Erfassungszeittransformationen auf Workflows anzuwenden, die derzeit keine DCRs unterstützen.

Transformationen

Mit Transformationen in einer Datensammlungsregel (Data Collection Rule, DCR) können Sie eingehende Daten filtern oder modifizieren, bevor sie in einem Log Analytics-Arbeitsbereich gespeichert werden. Datentransformationen werden mithilfe einer KQL-Anweisung definiert, die einzeln auf jeden Eintrag in der Datenquelle angewendet wird. Sie muss das Format der eingehenden Daten erfassen können und die Ausgabe in der Struktur der Zieltabelle erstellen.

Transformationsstruktur

Der Eingabestream wird durch eine virtuelle Tabelle namens source dargestellt, deren Spalten mit der Definition des Eingabedatenstroms übereinstimmen. Das folgende Beispiel ist typisch für eine Transformation. Dieses Beispiel umfasst die folgenden Funktionen:

  • Filtern der eingehenden Daten mit einer where-Anweisung
  • Hinzufügen einer neuen Spalte mithilfe des extend-Operators
  • Formatieren der Ausgabe mithilfe des project-Operators, sodass sie mit den Spalten der Zieltabelle übereinstimmt
source  
| where severity == "Critical" 
| extend Properties = parse_json(properties)
| project
    TimeGenerated = todatetime(["time"]),
    Category = category,
    StatusDescription = StatusDescription,
    EventName = name,
    EventId = tostring(Properties.EventId)