Configurare le regole di raccolta dati di Monitoraggio di Azure
Un altro modo per normalizzare i dati di log consiste nel trasformare i dati in fase di inserimento. Ciò offre il vantaggio di archiviare i dati in un formato analizzato da usare in Microsoft Sentinel.
Regole di raccolta dati in Monitoraggio di Azure
Le regole di raccolta dati (DCR) forniscono una pipeline simile a ETL in Monitoraggio di Azure, consentendo di definire la modalità di gestione dei dati in ingresso in Monitoraggio di Azure. A seconda del tipo di flusso di lavoro, le DCR possono specificare dove inviare i dati e possono filtrare o trasformare i dati prima che vengano archiviati nei log di Monitoraggio di Azure. Alcune regole di raccolta dati verranno create e gestite da Monitoraggio di Azure, mentre è possibile crearne altre per personalizzare la raccolta dati in base a requisiti specifici.
Tipi di regole di raccolta dati
Esistono attualmente due tipi di regole di raccolta dati in Monitoraggio di Azure:
DCR Standard. Usato con flussi di lavoro diversi che inviano dati a Monitoraggio di Azure. I flussi di lavoro attualmente supportati sono l'agente di Monitoraggio di Azure e i log personalizzati.
DCR di trasformazione dell’area di lavoro. Usato con un'area di lavoro Log Analytics per applicare trasformazioni in fase di inserimento ai flussi di lavoro che attualmente non supportano le DCR.
Trasformazioni
Le trasformazioni in una regola di raccolta dati (DCR) consentono di filtrare o modificare i dati in ingresso prima che vengano archiviati in un'area di lavoro Log Analytics. Le trasformazioni dei dati vengono definite usando un'istruzione KQL (Kusto Query Language) applicata singolarmente a ogni voce nell'origine dati. Deve comprendere il formato dei dati in ingresso e creare l'output nella struttura della tabella di destinazione.
Struttura di trasformazione
Il flusso di input è rappresentato da una tabella virtuale chiamata origine con colonne corrispondenti alla definizione del flusso dei dati di input. Di seguito è riportato un esempio tipico di trasformazione. Questo esempio include le funzionalità seguenti:
- Filtra i dati in ingresso con un'istruzione where
- Aggiunge una nuova colonna usando l'operatore extend
- Formatta l'output in modo che corrisponda alle colonne della tabella di destinazione usando l'operatore project
source
| where severity == "Critical"
| extend Properties = parse_json(properties)
| project
TimeGenerated = todatetime(["time"]),
Category = category,
StatusDescription = StatusDescription,
EventName = name,
EventId = tostring(Properties.EventId)