在 Microsoft Sentinel (預覽版) 中擷取資料時轉換或自訂
本文說明如何設定擷取時轉換資料和自訂記錄擷取,以便用於 Microsoft Sentinel。
擷取時轉換資料可讓客戶充分掌控擷取的資料。 擷取時轉換新增了篩選及擴充輸出資料表的功能 (甚至可在執行任何查詢前使用),以補強建立標準化資料表所用的預先設定硬式編碼工作流程。 自訂記錄擷取會使用自訂記錄 API 將自訂格式記錄正規化,以便內嵌至特定標準資料表;或以使用者定義的架構建立自訂輸出資料表,以擷取這些自訂記錄。
這兩種機制設定使用資料收集規則 (DCR):無論是在 Log Analytics 入口網站中,還是透過 API 或 ARM 範本。 本文將協助您選擇特定資料連線器所需的 DCR 類型,並引導您瀏覽各案例的指示。
必要條件
在開始設定 DCR 轉換資料前,請先:
深入了解 Azure 監視器和 Microsoft Sentinel 中的資料轉換和 DCR。 如需詳細資訊,請參閱
確認資料連線器支援。 請確定您的資料連線器支援資料轉換。
在我們的資料連線器參考文章中,請查看資料連線器相關章節,以了解支援的 DCR 類型。 繼續瀏覽本文,了解所選 DCR 類型對其他擷取和轉換流程的影響。
判斷您的需求
| 若您要擷取 | 擷取時轉換為... | 使用此 DCR 類型 |
|---|---|---|
| 自訂資料透過 記錄擷取 API |
標準 DCR | |
| 內建資料類型 (Syslog、CommonSecurityLog、WindowsEvent、SecurityEvent) 使用 Azure 監視器代理程式 |
標準 DCR | |
| 內建資料類型 來自大部分其他來源 |
工作區轉換 DCR |
設定您的資料轉換
使用 Log Analytics 和 Azure 監視器文件中的下列程序,以設定您的資料轉換 DCR:
- 使用 Azure 入口網站擷取記錄的逐步解說教學課程。
- 使用 Azure Resource Manager (ARM) 範本和 REST API 擷取記錄的逐步解說教學課程。
- 使用 Azure 入口網站設定工作區轉換的逐步解說教學課程。
- 使用 Azure Resource Manager (ARM) 範本和 REST API 設定工作區轉換的逐步解說教學課程。
當您完成時,請返回 Microsoft Sentinel,確認您的資料是根據新設定的轉換而擷取。 套用資料轉換組態最多可能需要 60 分鐘的時間。
改為擷取時轉換資料
若目前有自訂的 Microsoft Sentinel 資料連線器或內建的 API 型資料連線器,您可能希望改用擷取時轉換資料。
使用下列其中一種方法:
設定 DCR,從頭定義由資料來源到新資料表的自訂擷取方式。 若要使用不含目前資料行尾碼的新結構描述,且不需要查詢時間 KQL 函數來標準化資料,則可使用此選項。
確認您的資料已正確內嵌至新資料表後,便可刪除舊的資料表,以及舊的自訂資料連線器。
繼續使用自訂資料連線器所建立的自訂資料表。 若您已針對現有資料表建立許多自訂安全性內容,便可使用此選項。 在這類情況下,請參閱 Azure 監視器文件從資料收集器 API 和已啟用自訂欄位的資料表改用以 DCR 為基礎的自訂記錄。
下一步
如需資料轉換和 DCR 的詳細資訊,請參閱: