設定 Azure 監視器資料收集規則
將記錄資料正規化的另一種方式,是在擷取時轉換資料。 這可讓您以剖析格式儲存資料,以用於 Microsoft Sentinel。
Azure 監視器中的資料收集規則
資料收集規則 (DCR) 可在 Azure 監視器中提供類似 ETL 的管道,這可讓您定義如何處理進入 Azure 監視器的資料。 根據工作流程類型而定,DCR 可以指定資料應該傳送的位置,而且可以在資料儲存在 Azure 監視器記錄內之前,篩選或轉換資料。 部分資料收集規則將由 Azure 監視器建立和管理,而您可以建立其他規則來自訂特定需求的資料收集。
資料收集規則的類型
Azure 監視器中目前有兩種類型的資料收集規則:
標準 DCR。 可與傳送資料至 Azure 監視器的不同工作流程搭配使用。 目前支援的工作流程,為 Azure 監視器代理程式和自訂記錄。
工作區轉換 DCR。 可與 Log Analytics 工作區搭配使用,將擷取時間轉換套用至目前不支援 DCR 的工作流程。
轉換
資料收集規則 (DCR) 中的轉換,可讓您先篩選或修改傳入資料,再將其儲存在 Log Analytics 工作區中。 資料轉換是使用 Kusto 查詢語言 (KQL) 陳述式所定義,該陳述式會個別套用至資料來源中的每個項目。 其必須了解傳入資料的格式,並在目標資料表的結構中建立輸出。
轉換結構
輸入資料流是由名為 source 的虛擬資料表來表示,其資料行符合輸入資料流定義。 下列是轉換的典型範例。 此範例包含下列功能:
- 使用 where 陳述式篩選傳入資料
- 使用 extend 運算子新增新的資料行
- 使用 Project 運算子將輸出格式化,以符合目標資料表的資料行
source
| where severity == "Critical"
| extend Properties = parse_json(properties)
| project
TimeGenerated = todatetime(["time"]),
Category = category,
StatusDescription = StatusDescription,
EventName = name,
EventId = tostring(Properties.EventId)