本文說明如何在 Microsoft Sentinel 中設定資料擷取時間轉換與自訂日誌擷取。
資料擷取時間轉換讓客戶對所接收資料有更多控制權。 作為預先設定、硬編碼工作流程建立標準化資料表的補充,攝取時間轉換還能在執行查詢前就過濾並豐富輸出資料表的能力。 自訂日誌擷取利用自訂日誌 API 來正規化自訂格式的日誌,使其能被匯入特定標準資料表,或建立帶有使用者自訂結構的客製化輸出資料表以擷取這些自訂日誌。
這兩種機制皆透過資料收集規則 (DCR) 配置,無論是在日誌分析入口網站,或透過 API 或 ARM 範本。 本文將協助你選擇適合你資料接頭所需的 DCR,並指引你參考每種情境的說明。
必要條件
在開始設定 DCR 進行資料轉換之前:
了解更多關於 Azure Monitor 與 Microsoft Sentinel 中的資料轉換與 DCR。 如需詳細資訊,請參閱:
確認資料連接器支援。 確保你的資料連接器支援資料轉換。
在我們的 資料連接器參考 文章中,請查看您的資料連接器章節,了解支援哪些類型的 DCR。 繼續閱讀本文,了解您所選擇的 DCR 類型如何影響整個攝取與轉化過程。
確定你的需求
| 如果你正在攝取 | 吞食時間轉換是...... | 使用這種DCR類型 |
|---|---|---|
|
自訂資料 日誌擷取 API |
Standard DCR | |
|
內建資料型態 (Syslog、CommonSecurityLog、WindowsEvent、SecurityEvent) 使用 Azure Monitor Agent |
Standard DCR | |
|
內建資料型態 來自大多數其他來源 |
工作空間轉型 DCR |
設定你的資料轉換
請依照 Log Analytics 與 Azure Monitor 文件中的以下程序來配置您的資料轉換 DCR:
- 請一步步學習如何使用 Azure 入口網站擷取日誌。
- 請一步步學習使用 ARM) 範本和 REST API Azure Resource Manager (擷取日誌的教學。
更多關於資料收集規則的資訊:
完成後,請回來 Microsoft Sentinel 確認你的資料是否根據新設定的轉換被收錄。 資料轉換配置可能需要長達 60 分鐘才能套用。
遷移至擷取時資料轉換
如果你目前有自訂的 Microsoft Sentinel 資料連接器,或內建基於 API 的資料連接器,你可能會想遷移到使用資料擷取時間轉換。
請使用下列其中一種方法:
設定一個 DCR,從零開始定義從資料來源到新資料表的自訂擷取。 如果你想使用沒有現有欄位後綴、且不需要查詢時 KQL 函式來標準化資料的新結構,你可以使用這個選項。
確認資料已正確匯入新資料表後,你可以刪除舊有資料表以及舊有的自訂資料連接器。
繼續使用你自訂資料連接器建立的自訂資料表。 如果你為現有資料表建立了大量自訂安全內容,可能會使用這個選項。 此時,請參閱 Azure Monitor 文件中的「從資料收集器 API 及自訂欄位啟用資料表遷移至基於 DCR 的自訂日誌」。
後續步驟
欲了解更多資料轉換與DCR的資訊,請參閱: