Konfigurowanie reguł zbierania danych usługi Azure Monitor
Innym sposobem normalizacji danych dziennika jest przekształcanie danych w czasie pozyskiwania. Zapewnia to korzyść z przechowywania danych w formacie przeanalizowanym do użycia w usłudze Microsoft Sentinel.
Reguły zbierania danych w usłudze Azure Monitor
Reguły zbierania danych (DCR) zapewniają potok podobny do ETL w usłudze Azure Monitor, co umożliwia zdefiniowanie sposobu obsługi danych przychodzących do usługi Azure Monitor. W zależności od typu przepływu pracy kontrolery domeny mogą określać, gdzie mają być wysyłane dane i mogą filtrować lub przekształcać dane przed ich zapisaną w dziennikach usługi Azure Monitor. Niektóre reguły zbierania danych zostaną utworzone i zarządzane przez usługę Azure Monitor, podczas gdy możesz utworzyć inne, aby dostosować zbieranie danych pod kątem konkretnych wymagań.
Typy reguł zbierania danych
Obecnie w usłudze Azure Monitor istnieją dwa typy reguł zbierania danych:
Standardowy kontroler domeny. Używane z różnymi przepływami pracy, które wysyłają dane do usługi Azure Monitor. Obecnie obsługiwane przepływy pracy to agent usługi Azure Monitor i dzienniki niestandardowe.
DcR przekształcenia obszaru roboczego. Używany z obszarem roboczym usługi Log Analytics do stosowania przekształceń czasu pozyskiwania do przepływów pracy, które obecnie nie obsługują kontrolerów domeny.
Przekształcenia
Przekształcenia w regule zbierania danych (DCR) umożliwiają filtrowanie lub modyfikowanie danych przychodzących przed ich zapisaniem w obszarze roboczym usługi Log Analytics. Przekształcenia danych są definiowane przy użyciu instrukcji język zapytań Kusto (KQL), która jest stosowana indywidualnie do każdego wpisu w źródle danych. Musi on zrozumieć format danych przychodzących i utworzyć dane wyjściowe w strukturze tabeli docelowej.
Struktura przekształcania
Strumień wejściowy jest reprezentowany przez tabelę wirtualną o nazwie źródło z kolumnami pasującymi do definicji strumienia danych wejściowych. Poniżej przedstawiono typowy przykład przekształcenia. Ten przykład obejmuje następujące funkcje:
- Filtruje dane przychodzące za pomocą instrukcji where
- Dodaje nową kolumnę przy użyciu operatora extend
- Formatuje dane wyjściowe w celu dopasowania kolumn tabeli docelowej przy użyciu operatora projektu
source
| where severity == "Critical"
| extend Properties = parse_json(properties)
| project
TimeGenerated = todatetime(["time"]),
Category = category,
StatusDescription = StatusDescription,
EventName = name,
EventId = tostring(Properties.EventId)