Azure Monitor-regels voor gegevensverzameling configureren

  • 5 minuten

Een andere manier om logboekgegevens te normaliseren, is het transformeren van de gegevens tijdens opnametijd. Dit biedt het voordeel van het opslaan van de gegevens in een geparseerde indeling voor gebruik in Microsoft Sentinel.

Regels voor gegevensverzameling in Azure Monitor

Regels voor gegevensverzameling (DCR's) bieden een ETL-achtige pijplijn in Azure Monitor, zodat u kunt definiƫren hoe gegevens die in Azure Monitor binnenkomen, moeten worden verwerkt. Afhankelijk van het type werkstroom kunnen DCR's opgeven waar gegevens moeten worden verzonden en gegevens kunnen filteren of transformeren voordat ze worden opgeslagen in Azure Monitor-logboeken. Sommige regels voor gegevensverzameling worden gemaakt en beheerd door Azure Monitor, terwijl u andere regels kunt maken om gegevensverzameling aan te passen aan uw specifieke vereisten.

Typen regels voor gegevensverzameling

Er zijn momenteel twee typen regels voor gegevensverzameling in Azure Monitor:

  • Standaard DCR. Wordt gebruikt met verschillende werkstromen waarmee gegevens naar Azure Monitor worden verzonden. Werkstromen die momenteel worden ondersteund, zijn Azure Monitor-agent en aangepaste logboeken.

  • DCR voor werkruimtetransformatie. Wordt gebruikt met een Log Analytics-werkruimte om opnametijdtransformaties toe te passen op werkstromen die momenteel geen DCR's ondersteunen.

Transformaties

Met transformaties in een regel voor gegevensverzameling (DCR) kunt u binnenkomende gegevens filteren of wijzigen voordat deze worden opgeslagen in een Log Analytics-werkruimte. Gegevenstransformaties worden gedefinieerd met behulp van een KQL-instructie (Kusto-querytaal) die afzonderlijk wordt toegepast op elke vermelding in de gegevensbron. Het moet de indeling van de binnenkomende gegevens begrijpen en uitvoer maken in de structuur van de doeltabel.

Transformatiestructuur

De invoerstroom wordt vertegenwoordigd door een virtuele tabel met de naam bron met kolommen die overeenkomen met de definitie van de invoergegevensstroom. Hieronder volgt een typisch voorbeeld van een transformatie. Dit voorbeeld bevat de volgende functionaliteit:

  • Filtert de binnenkomende gegevens met een where-instructie
  • Hiermee voegt u een nieuwe kolom toe met behulp van de operator uitbreiden
  • Hiermee wordt de uitvoer opgemaakt zodat deze overeenkomt met de kolommen van de doeltabel met behulp van de projectoperator
source  
| where severity == "Critical" 
| extend Properties = parse_json(properties)
| project
    TimeGenerated = todatetime(["time"]),
    Category = category,
    StatusDescription = StatusDescription,
    EventName = name,
    EventId = tostring(Properties.EventId)