Konfigurace pravidel shromažďování dat služby Azure Monitor

  • 5 min

Dalším způsobem normalizace dat protokolu je transformace dat v době příjmu dat. To poskytuje výhodu ukládání dat do analyzovaného formátu pro použití v Microsoft Sentinelu.

Pravidla shromažďování dat ve službě Azure Monitor

Pravidla shromažďování dat (DCR) poskytují kanál podobný ETL ve službě Azure Monitor, který umožňuje definovat způsob, jakým by se měla zpracovávat data přicházející do služby Azure Monitor. V závislosti na typu pracovního postupu můžou řadiče domény určit, kam se mají data odesílat, a před uložením v protokolech služby Azure Monitor mohou filtrovat nebo transformovat data. Služba Azure Monitor vytvoří a spravuje některá pravidla shromažďování dat, zatímco můžete vytvořit další pro přizpůsobení shromažďování dat pro vaše konkrétní požadavky.

Typy pravidel shromažďování dat

Ve službě Azure Monitor jsou aktuálně dva typy pravidel shromažďování dat:

  • Standard DCR. Používá se s různými pracovními postupy, které odesílají data do služby Azure Monitor. Pracovní postupy jsou aktuálně podporované agentem Azure Monitoru a vlastními protokoly.

  • DcR transformace pracovního prostoru Používá se s pracovním prostorem služby Log Analytics k použití transformací v čase příjmu dat na pracovní postupy, které aktuálně nepodporují žádosti DCR.

Transformace

Transformace v pravidle shromažďování dat (DCR) umožňují filtrovat nebo upravovat příchozí data před jejich uložením v pracovním prostoru služby Log Analytics. Transformace dat se definují pomocí příkazu dotazovací jazyk Kusto (KQL), který se použije jednotlivě pro každou položku ve zdroji dat. Musí pochopit formát příchozích dat a vytvořit výstup ve struktuře cílové tabulky.

Struktura transformace

Vstupní datový proud je reprezentován virtuální tabulkou pojmenovanou zdrojem se sloupci odpovídajícími definici vstupního datového proudu. Následuje typický příklad transformace. Tento příklad obsahuje následující funkce:

  • Filtruje příchozí data pomocí příkazu where.
  • Přidá nový sloupec pomocí operátoru extend.
  • Naformátuje výstup tak, aby odpovídal sloupcům cílové tabulky pomocí operátoru projektu.
source  
| where severity == "Critical" 
| extend Properties = parse_json(properties)
| project
    TimeGenerated = todatetime(["time"]),
    Category = category,
    StatusDescription = StatusDescription,
    EventName = name,
    EventId = tostring(Properties.EventId)