Az Azure Monitor adatgyűjtési szabályainak konfigurálása
A naplóadatok normalizálásának másik módja az adatok betöltésekor történő átalakítása. Ez lehetővé teszi az adatok elemzési formátumban való tárolását a Microsoft Sentinelben való használatra.
Adatgyűjtési szabályok az Azure Monitorban
Az adatgyűjtési szabályok (DCRs) egy ETL-szerű folyamatot biztosítanak az Azure Monitorban, amely lehetővé teszi az Azure Monitorba érkező adatok kezelésének módját. A munkafolyamat típusától függően a DCR-ek megadhatják, hogy hová kell adatokat küldeni, és szűrhetik vagy átalakíthatják az adatokat az Azure Monitor-naplókban való tárolás előtt. Néhány adatgyűjtési szabályt az Azure Monitor hoz létre és kezel, míg ön létrehozhat másokat, amelyekkel testre szabhatja az adatgyűjtést az ön igényeinek megfelelően.
Adatgyűjtési szabályok típusai
Az Azure Monitorban jelenleg kétféle adatgyűjtési szabály létezik:
Standard DCR. Különböző munkafolyamatokkal használható, amelyek adatokat küldenek az Azure Monitornak. A jelenleg támogatott munkafolyamatok az Azure Monitor-ügynök és az egyéni naplók.
Munkaterület-átalakítási DCR. Log Analytics-munkaterülettel használva betöltési idejű átalakításokat alkalmazhat olyan munkafolyamatokra, amelyek jelenleg nem támogatják a DCR-eket.
Átalakítások
Az adatgyűjtési szabály (DCR) átalakításával szűrheti vagy módosíthatja a bejövő adatokat, mielőtt azokat egy Log Analytics-munkaterületen tárolná. Az adatátalakítások egy Kusto lekérdezésnyelv (KQL) utasítással vannak definiálva, amelyet az adatforrás minden egyes bejegyzésére külön alkalmazunk. Meg kell értenie a bejövő adatok formátumát, és létre kell hoznia a kimenetet a céltábla szerkezetében.
Átalakítási struktúra
A bemeneti adatfolyamot egy forrás nevű virtuális tábla jelöli a bemeneti adatfolyam definíciójának megfelelő oszlopokkal. Az alábbi példa egy átalakítás tipikus példája. Ez a példa a következő funkciókat tartalmazza:
- A bejövő adatok szűrése egy where utasítással
- Új oszlop hozzáadása a kiterjesztő operátorral
- A kimenet formázása a céltábla oszlopainak megfelelően a projekt operátorával
source
| where severity == "Critical"
| extend Properties = parse_json(properties)
| project
TimeGenerated = todatetime(["time"]),
Category = category,
StatusDescription = StatusDescription,
EventName = name,
EventId = tostring(Properties.EventId)