你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将仪表板转换为 Azure 工作簿

现有 SIEM 中的仪表板将转换为 Azure Monitor 工作簿、Azure Monitor 工作簿 的 Microsoft Sentinel 采用,从而在创建自定义仪表板时提供多功能性。

本文介绍如何查看、计划和将当前工作簿转换为 Azure Monitor 工作簿。

查看当前 SIEM 中的仪表板

设计迁移时,请查看这些注意事项。

  • 发现仪表板。 收集有关仪表板的信息,包括设计、参数、数据源和其他详细信息。 确定每个仪表板的用途或用法。
  • 选择。 不要不加考虑就迁移所有仪表板。 专注于关键且经常使用的仪表板。
  • 考虑权限。 考虑谁是工作簿的目标用户。 Microsoft Sentinel 使用 Azure 工作簿,使用 Azure Role Based 访问控制 (RBAC) 控制访问权限。 若要在 Azure 外部创建仪表板,例如,对于没有 Azure 访问权限的业务执行人员,请使用报表工具(例如 Power BI)。

准备仪表板转换

查看仪表板后,执行以下操作来准备仪表板迁移:

  • 查看每个仪表板中的所有可视化效果。 当前 SIEM 中的仪表板可能包含多个图表或面板。 查看列出的仪表板的内容以消除任何不需要的可视化效果或数据至关重要。
  • 捕获仪表板设计和交互性。
  • 确定对用户至关重要的任何设计元素。 例如,仪表板的布局、图表的排列甚至图形的字号或颜色。
  • 捕获任何交互性,例如向下钻取、筛选和其他需要传递给 Azure Monitor 工作簿的其他交互。
  • 标识所需的参数或用户输入。 在大多数情况下,需要为用户定义参数,以执行搜索、筛选或确定结果范围(例如日期范围、帐户名和其他)。 因此,捕获有关参数的详细信息至关重要。 下面是一些关键点,可帮助你收集参数要求:
    • 用户执行选择或输入的参数类型。 例如,日期范围、文本或其他。
    • 如何表示参数,例如下拉列表、文本框或其他参数。
    • 预期值格式,例如时间、字符串、整数或其他格式。
    • 其他属性(例如默认值)允许多选、条件可见性或其他属性。

转换仪表板

在 Azure 工作簿和 Microsoft Sentinel 中执行以下任务以转换仪表板。

1.确定数据源

Azure Monitor 工作簿与大量的数据源兼容。 在大多数情况下,请使用 Azure Monitor 日志数据源并使用 Kusto 查询语言 (KQL) 查询可视化 Microsoft Sentinel 工作区中的基础日志。

2.构造或查看 KQL 查询

在此步骤中,主要使用 KQL 来可视化数据。 在将查询转换为 Azure Monitor 工作簿之前,可以在 Microsoft Sentinel 日志页中构造和测试查询。 在完成 KQL 查询之前,请始终查看和优化查询以提高查询性能。 优化的查询具有以下特点:

  • 运行速度更快,缩短了查询执行操作的总持续时间。
  • 被限制或拒绝的可能性更小。

了解如何优化 KQL 查询:

3.创建或更新工作簿

创建工作簿、更新工作簿或克隆现有工作簿,以便无需从头开始。 此外,指定如何表示、排列和分组数据或可视化效果。 两个常见的设计是:

  • 垂直工作簿
  • 选项卡式工作簿

4.创建或更新工作簿参数或用户输入

到达此阶段时,应已标识所需的参数。 使用参数,可以从使用者收集输入,并在工作簿的其他部分引用输入。 此输入通常用于限定结果集的范围,以设置正确的可视化效果,并允许生成交互式报表和体验。

工作簿允许你控制参数控件呈现给使用者的方式。 例如,选择控件是显示为文本框还是下拉列表,还是单选还是多选。 还可以从文本、JSON、KQL 或 Azure Resource Graph 等选择要使用的值。

查看支持的工作簿参数。 可以通过绑定或值扩展在工作簿的其他部分引用这些参数值。

5.创建或更新可视化效果

工作簿提供了一组丰富的功能以用于将数据可视化。 查看每个可视化类型的这些详细示例。

6.预览并保存工作簿

保存工作簿后,请指定参数(如果有),并验证结果。 还可以尝试自动刷新或打印功能以另存为 PDF

后续步骤

本文介绍了如何将仪表板转换为 Azure 工作簿。