將歷程資料擷取到目標平台

在先前的文章中，您已針對歷程記錄資料選取目標平台。 您也已選取工具來傳輸資料，並將歷程記錄資料儲存至暫存位置。 您現在可以開始將資料擷取至目標平台。

本文說明如何將歷程記錄資料擷取至您選取的目標平台。

從舊版 SIEM 匯出資料

一般而言，SIEM 可以將資料匯出或傾印至本機檔案系統中的檔案，因此您可以使用此方法來擷取歷程記錄資料。 設定已匯出檔案的暫存位置也十分重要。 您用來傳輸資料擷取的工具可以將檔案從暫存位置複製至目標平台。

此圖顯示高階匯出和擷取程序。

若要從目前的 SIEM 匯出資料，請參閱下列其中一節：

• 從 ArcSight 匯出資料
• 從 Splunk 匯出資料
• 從 QRadar 匯出資料

擷取至 Azure 資料總管

若要將歷程記錄資料擷取至 Azure 資料總管 (ADX) (上圖中的選項 1)：

1. 在匯出記錄的系統上安裝和設定 LightIngest，或在可存取已匯出記錄的另一個系統上安裝 LightIngest。 LightIngest 僅支援 Windows。
2. 如果您沒有現有 ADX 叢集，則請建立新的叢集，並複製連接字串。 了解如何設定 ADX。
3. 在 ADX 中，建立資料表，並定義 CSV 或 JSON 格式的結構描述 (適用於 QRadar)。 了解如何建立資料表，並定義含範例資料或不含範例資料的結構描述。
4. 使用包含已匯出記錄作為路徑的資料夾路徑，以及 ADX 連接字串作為輸出，來執行 LightIngest。 當您執行 LightIngest 時，請確定您提供目標 ADX 資料表名稱、將引數模式設定為 *.csv，並且將格式設定為 .csv (或針對 QRadar，設定為 json)。

將資料擷取至 Microsoft Sentinel 基本記錄

若要將歷程記錄資料擷取至 Microsoft Sentinel 基本記錄 (上圖中的選項 2)：

1. 如果您沒有現有的 Log Analytics 工作區，則請建立新的工作區，並安裝 Microsoft Sentinel。

2. 建立應用程式註冊以針對 API 進行驗證。

3. 建立自訂記錄資料表來儲存資料，並提供資料範例。 在此步驟中，您也可以在擷取資料之前定義轉換。

4. 從資料收集規則收集資訊，並將權限指派給規則。

5. 將資料表從分析變更為基本記錄。

6. 執行自訂記錄擷取指令碼。 此指令碼會要求下列詳細資料：

   • 要擷取的記錄檔路徑
   • Microsoft Entra 租用戶識別碼
   • 應用程式識別碼
   • 應用程式祕密
   • DCE 端點 (使用 DCR 的記錄擷取端點 URI)
   • DCR 固定識別碼
   • 來自 DCR 的資料串流名稱

   指令碼會傳回已傳送至工作區的事件數目。

擷取至 Azure Blob 儲存體

若要將歷程記錄資料擷取至 Azure Blob 儲存體 (上圖中的選項 3)：

1. 在您已匯出記錄的目標系統上安裝和設定 AzCopy。 或者，在另一個可存取已匯出記錄的系統上安裝 AzCopy。
2. 建立 Azure Blob 儲存體帳戶，並複製已授權的 Microsoft Entra ID 認證或共用存取簽章權杖。
3. 使用包含已匯出記錄作為來源的資料夾路徑，以及 Azure Blob 儲存體連接字串作為輸出，來執行 AzCopy。

下一步

在本文中，您已了解如何將資料擷取至目標平台。

將儀表板轉換成活頁簿