Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det, hvordan du konfigurerer transformation af data for indtagelsestid og brugerdefineret logindtagelse til brug i Microsoft Sentinel.
Transformation af data for indtagelsestid giver kunderne større kontrol over de data, der indtages. Når du supplerer de forudkonfigurerede hardcodede arbejdsprocesser, der opretter standardiserede tabeller, tilføjer transformation af indtagelsestid muligheden for at filtrere og forbedre outputtabellerne, selv før du kører forespørgsler. Brugerdefineret logindtagelse bruger API'en Brugerdefineret log til at normalisere logfiler i brugerdefineret format, så de kan indtages i visse standardtabeller, eller alternativt til at oprette brugerdefinerede outputtabeller med brugerdefinerede skemaer til indtagelse af disse brugerdefinerede logge.
Disse to mekanismer konfigureres ved hjælp af dcr-regler (Data Collection Rules), enten på Log Analytics-portalen eller via API- eller ARM-skabelon. Denne artikel hjælper dig med at vælge, hvilken type DCR du har brug for til din bestemte dataconnector, og du bliver dirigeret til vejledningen for hvert scenarie.
Forudsætninger
Før du begynder at konfigurere DCR'er til datatransformation:
Få mere at vide om datatransformation og DCR'er i Azure Monitor og Microsoft Sentinel. Du kan finde flere oplysninger under:
Kontrollér understøttelse af dataconnector. Sørg for, at dine dataconnectors understøttes til datatransformation.
I vores artikel reference til dataconnector skal du se afsnittet for din dataconnector for at forstå, hvilke typer DCR'er der understøttes. Fortsæt i denne artikel for at forstå, hvordan den DCR-type, du vælger, påvirker resten af indtagelses- og transformationsprocessen.
Fastlæg dine krav
| Hvis du indtager | Transformation af indtagelsestid er... | Brug denne DCR-type |
|---|---|---|
|
Brugerdefinerede data via API til logindtagelse |
Standard DCR | |
|
Indbyggede datatyper (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) ved hjælp af Azure Monitor Agent |
Standard DCR | |
|
Indbyggede datatyper fra de fleste andre kilder |
DCR til transformation af arbejdsområde |
Konfigurer din datatransformation
Brug følgende procedurer fra dokumentationen til Log Analytics og Azure Monitor til at konfigurere dine DVU'er til datatransformation:
Direkte indtagelse via API til logindtagelse:
- Gennemgå et selvstudium i indtagelse af logge ved hjælp af Azure Portal.
- Gennemgå et selvstudium i indtagelse af logge ved hjælp af Azure Resource Manager (ARM)-skabeloner og REST API.
Transformationer af arbejdsområde:
- Gennemgå et selvstudium i konfiguration af transformation af arbejdsområdet ved hjælp af Azure Portal.
- Gennemgå et selvstudium i konfiguration af transformation af arbejdsområder ved hjælp af Azure Resource Manager (ARM)-skabeloner og REST API.-
Mere om regler for dataindsamling:
- Strukturen af en regel for dataindsamling i Azure Monitor (prøveversion)
- Transformationer af dataindsamling i Azure monitor (prøveversion)
Når du er færdig, kan du vende tilbage til Microsoft Sentinel for at bekræfte, at dine data indtages baseret på din nyligt konfigurerede transformation. Det kan tage op til 60 minutter, før konfigurationerne af datatransformationen gælder.
Migrer til transformation af data i indtagelsestid
Hvis du i øjeblikket har brugerdefinerede Microsoft Sentinel dataconnectors eller indbyggede API-baserede dataconnectors, kan du overføre til ved hjælp af datatransformation af data i indtagelsestid.
Brug en af følgende metoder:
Konfigurer en DCR for fra bunden at definere den brugerdefinerede indtagelse fra datakilden til en ny tabel. Du kan bruge denne indstilling, hvis du vil bruge et nyt skema, der ikke har de aktuelle kolonnesuffikser, og som ikke kræver KQL-funktioner for forespørgselstid for at standardisere dine data.
Når du har bekræftet, at dine data er korrekt indtaget til den nye tabel, kan du slette den ældre tabel samt din ældre brugerdefinerede dataconnector.
Fortsæt med at bruge den brugerdefinerede tabel, der er oprettet af din brugerdefinerede dataconnector. Du kan bruge denne indstilling, hvis du har oprettet en masse brugerdefineret sikkerhedsindhold til din eksisterende tabel. I sådanne tilfælde skal du se Overfør fra Dataindsamler-API og tabeller med aktiverede brugerdefinerede felter til DCR-baserede brugerdefinerede logge i dokumentationen til Azure Monitor.
Næste trin
Du kan få flere oplysninger om datatransformation og DCR'er under:
- Brugerdefineret dataindtagelse og -transformation i Microsoft Sentinel (prøveversion)
- Transformationer af dataindsamling i Azure overvågningslogge (prøveversion)
- Logførings-API i Azure overvågningslogge (prøveversion)
- Strukturen af en regel for dataindsamling i Azure Monitor (prøveversion)
- Konfigurer dataindsamling for Azure Monitor Agent