Opret og administrer Jupyter-notesbogjob

Du kan oprette planlagte job, der skal køre på bestemte tidspunkter eller intervaller, ved hjælp af udvidelsen Microsoft Sentinel for Visual Studio Code. Job giver dig mulighed for at automatisere databehandlingsopgaver for at opsummere, transformere eller analysere data i Microsoft Sentinel data lake- og organisationstabeller. Job bruges også til at behandle data og skrive resultater til brugerdefinerede tabeller på lake-niveauet eller analyseniveauet.

Tilladelser

Microsoft Entra ID roller giver bred adgang på tværs af alle arbejdsområder i datasøen. Hvis du vil oprette og planlægge job, læse tabeller på tværs af alle arbejdsområder, skrive til analyse- og lakeniveauerne, skal du have en af de understøttede Microsoft Entra ID roller. Du kan få flere oplysninger om roller og tilladelser under Roller og tilladelser i Microsoft Sentinel.

Hvis du vil oprette nye brugerdefinerede tabeller på analyseniveauet, skal den administrerede identitet for datasøen tildeles rollen Log Analytics Contributor i Log Analytics-arbejdsområdet.

Hvis du vil tildele rollen, skal du følge nedenstående trin:

  1. I Azure Portal skal du navigere til det Log Analytics-arbejdsområde, du vil tildele rollen til.
  2. Vælg Adgangskontrol (IAM) i venstre navigationsrude.
  3. Vælg Tilføj rolletildeling.
  4. I rolletabellen skal du vælge Log Analytics Contributor og derefter vælge Næste
  5. Vælg Administreret identitet, og vælg derefter Vælg medlemmer.
  6. Den administrerede identitet for datasøen er en systemtildeling af en administreret identitet med navnet msg-resources-<guid>. Vælg den administrerede identitet, og vælg derefter Vælg.
  7. Vælg Gennemse og tildel.

Du kan få flere oplysninger om tildeling af roller til administrerede identiteter under Tildel Azure roller ved hjælp af Azure Portal.

Opret og planlæg et job

Du kan oprette et job på en af tre måder:

  1. Vælg Opret planjob på værktøjslinjen i notesbogeditoren.

  2. Højreklik på notesbogfilen i ruden Stifinder, vælg Microsoft Sentinel, og vælg derefter Opret planlæg job.

    Et skærmbillede, der viser, hvordan du opretter et nyt job i Visual Studio Code.

  3. Vælg + ikonet på listen over job for at oprette et nyt job.

    Et skærmbillede, der viser, hvordan du opretter et nyt job fra joblisten i Visual Studio Code.

  4. Vælg Brug eksisterende notesbog til at vælge en eksisterende notesbogfil, eller vælg Opret ny notesbog for at oprette en ny notesbogfil til jobbet.

    Et skærmbillede, der viser, hvordan du vælger en eksisterende notesbog til jobbet.

  5. Angiv et navn og en beskrivelse til jobbet i afsnittet Joboplysninger på siden Jobkonfiguration.

  6. Vælg spark pool-størrelsen for at køre jobbet i henhold til dine jobberegningsbehov.

  7. Hvis du vil køre et job manuelt uden en tidsplan, skal du vælge Efter behov i sektionen Tidsplan og derefter vælge Send for at gemme jobkonfigurationen og publicere jobbet.

  8. Hvis du vil angive en tidsplan for jobbet, skal du vælge Planlagt i sektionen Tidsplan .

    1. Vælg en gentagelsesfrekvens for jobbet. Du kan vælge mellem Efter minut, Time, Ugentligt, Dagligt eller Månedligt.

    2. Der vises flere indstillinger for at konfigurere tidsplanen, afhængigt af den hyppighed du vælger. Det kan f.eks. være ugedag, klokkeslæt eller dag i måneden.

    3. Vælg en Start til tiden, for at tidsplanen kan begynde at køre.

    4. Vælg En Slutdato til tiden, for at tidsplanen ikke længere skal køre. Hvis du ikke vil angive et sluttidspunkt for tidsplanen, skal du vælge Angiv job til kørsel på ubestemt tid. Datoer og klokkeslæt er i brugerens tidszone.

    5. Vælg Send for at gemme jobkonfigurationen og publicere jobbet.

    Et skærmbillede, der viser konfigurationssiden for jobbet.

  9. Hvis du vil have vist dine job, skal du vælge Microsoft Sentinel sentinelikonet på værktøjslinjen til venstre. Job vises i panelet Job .

  10. Vælg et job for at få vist joboplysningerne.

  11. Du kan køre jobbet med det samme ved at vælge Kør nu, deaktivere og aktivere jobplanen eller slette jobbet.

    Et skærmbillede, der viser siden med joboplysninger.

  12. Få vist jobhistorikken under fanen Kørselsoversigt .

    Et skærmbillede, der viser siden kørsler af jobbet.

  13. Vælg en aktivitet for at få vist flere oplysninger. Et skærmbillede, der viser siden med kørselsoplysninger for jobbet.

Rediger et sendt job

Når du sender et job, oprettes der en jobdefinition, der indeholder notesbogfilen, jobkonfigurationen og tidsplanen. Jobdefinitionen uploades fra VS Code-editoren og gemmes i den Microsoft Sentinel datasø. Når jobbet er indsendt, har det ikke længere forbindelse til notesbogfilen på dit lokale filsystem. Hvis du vil redigere koden i notesbogjobbet, skal du downloade jobdefinitionen, redigere notesbogfilen og derefter sende jobbet igen.

Hvis du vil redigere et indsendt job, skal du følge nedenstående trin:

  1. Vælg det job, du vil redigere, i afsnittet Job .

  2. Vælg ikonet Download cloud for at downloade jobdefinitionen til dit lokale filsystem. I jobinformationseditoren kan du se jobkonfigurationen. Du kan også vælge Download den nyeste notesbog.

    Et skærmbillede, der viser ikonet for redigerings- og downloadjobbet i VS Code.

  3. Rediger den downloadede ipynb projektmappefil for at foretage dine ændringer.

  4. Gå tilbage til fanen Joboplysninger , og vælg Rediger job.

  5. Rediger jobnavnet, beskrivelsen, klyngekonfigurationen og tidsplanen. Hvis du ændrer jobnavnet, oprettes der en ny jobdefinition, når du sender jobbet.

  6. Vælg Send for at uploade den opdaterede notesbogfil og jobkonfiguration.

  7. Der vises en bekræftelse, når jobbet er sendt.

    Et skærmbillede, der viser redigerings-jib-siden i VS Code.

Få vist job på Microsoft Defender-portalen

Ud over at få vist job i VS Code kan du også få vist dine notesbogjob på Defender-portalen. Hvis du vil have vist dine job på Defender-portalen, skal du vælge Microsoft Sentinel>Datasøudforskningsjob> .

På siden vises en liste over job og deres typer. Vælg et notesbogjob for at få vist detaljerne. Du kan aktivere og deaktivere jobbets tidsplan, men du kan ikke redigere et notesbogjob på Defender-portalen.

Et skærmbillede, der viser jobsiden på Defender-portalen.

  1. Vælg et job for at få vist joboplysningerne.

Et skærmbillede, der viser joboplysningerne på Defender-portalen.

  1. Vælg Vis historik for at få vist oversigten over jobkørsler.

Et skærmbillede, der viser siden med joboversigten på Defender-portalen.

Tjenesteparametre og -grænser og fejlfinding

Kolonnenavne

Følgende regler gælder for kolonnenavne, når du bruger metoden save_as til at skrive data fra en notesbog til den Microsoft Sentinel data lake.

  • Kolonnenavne skal starte med et bogstav.

  • Følgende standardkolonner understøttes ikke til eksport. Indtagelsesprocessen overskriver disse kolonner på destinationsniveau:

    • Lejer-id
    • _TimeReceived
    • Type
    • Kildesystem
    • _ResourceId
    • _SubscriptionId
    • _ItemId
    • _BilledSize
    • _IsBillable
    • _WorkspaceId

  • TimeGenerated overskrives, hvis den er ældre end to dage. Hvis du vil bevare det oprindelige hændelsestidspunkt, skal du skrive kildetidsstemplet til en separat kolonne.

Du kan se en liste over tjenestegrænser for Microsoft Sentinel data lake under Microsoft Sentinel grænser for data lake service.

Fejlfinding

Du kan finde oplysninger om fejlfinding under Fejlfinding af notesbøger på Microsoft Sentinel datasø.

Relateret indhold

  • Last updated on