Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når du har konfigureret dataconnectors i organisationsnetværket, kan du få adgang til tabeller i organisationsnetværket via flere grænseflader i Microsoft Sentinel. Sammenkædede tabeller bruges på samme måde som andre data lake-tabeller. I denne artikel forklares det, hvordan du får vist tabeller i organisationsnetværket, forespørger dem ved hjælp af KQL (Kusto Query Language) og arbejder med dem i Jupyter-notesbøger.
Forudsætninger
Før du begynder, skal du sikre dig, at:
- Din lejer skal være onboardet til den Sentinel datasø. Du kan få flere oplysninger under Onboard to Microsoft Sentinel data lake
- Du har de nødvendige tilladelser til at forespørge om data i den Sentinel data lake. Du kan få flere oplysninger under Roller og tilladelser på Microsoft Sentinel platform.
Forstå navngivning af organisationsnetværkstabeller
Navne på sammenkædede tabeller følger mønsteret <tableName>_<connectorInstanceName>. Det kan f.eks. være:
| Oprindeligt tabelnavn | Navn på forbindelsesforekomst | Navn på tabel i organisationsnetværk |
|---|---|---|
widgets |
ADLS01 |
widgets_ADLS01 |
sales_data |
AzureDBX01 |
sales_data_AzureDBX01 |
inventory |
Fabric01 |
inventory_Fabric01 |
Hvis flere tabeller i connectorforekomsten har det samme tabelnavn, føjes der et numerisk id til navnet på connectorforekomsten, f.eks widgets_ADLS01_1 . når to tabeller i forbindelsesforekomsten ADLS01 kaldes widgets.
Brug navnet på den sammenkædede tabel, når du forespørger om data fra Sentinel data lake.
Vis organisationsnetværkstabeller i tabelstyring
Tabeladministrationsvisningen indeholder en oversigt over alle tabeller i din Sentinel datasø, herunder organisationsnetværkstabeller.
- Naviger til Microsoft Sentinel>Konfigurationstabeller>.
- Vælg filteret Type .
- Vælg Organisationsnetværk, og vælg Anvend.
Vis tabeldetaljer
Vælg en tabelrække for at åbne detaljepanelet. Panelet indeholder tre faner:
| Tab | Beskrivelse |
|---|---|
| Oversigt | Grundlæggende oplysninger om tabellen i organisationsnetværket, herunder kildetype og forbindelsesstatus. |
| Datakilder | Viser, hvilke connectorforekomster der leverer data til denne tabel. |
| Skema | Viser kolonnerne, datatyperne og beskrivelserne for tabellens kolonner. Brugere med tilladelse til at skrive til tabellerne i datasøen System kan vælge Opdater skema for at opdatere kolonner og andre skemametadata fra kilden. |
Forespørg i organisationsnetværkstabeller ved hjælp af KQL
KQL-forespørgselssiden i Microsoft Sentinel giver dig mulighed for at forespørge tabeller i organisationsnetværket sammen med oprindelige Sentinel data. Sammenkædede tabeller understøttes for KQL-job, interaktive og asynkrone forespørgsler og MCP-værktøjer.
Gå til Microsoft Sentinel>Data lake exploration>KQL-forespørgsler.
Vælg knappen Valgt arbejdsområde på informationslinjen.
Vælg Systemtabeller som et af arbejdsområderne.
Under fanen Skema skal du udvide afsnittet Systemtabeller .
Udvid afsnittet Tabeller i organisationsnetværket .
Find samlingstypen for din datakilde, f.eks. Microsoft Fabric, Azure Databricks eller Azure Data Lake Storage Gen2.
Udvid samlingstypen for at se tabellerne i organisationsnetværket.
Udvid en tabel for at få vist dens kolonner.
Bemærk!
På grund af optimering af forespørgselsydeevnen i KQL kan det tage op til 15 minutter, før nye data i en tabel i organisationsnetværket bliver tilgængelige for forespørgslen.
Skriv og udfør forespørgsler
Forespørgsler i organisationsnetværkstabeller fungerer som forespørgsler mod oprindelige laketabeller med nogle få vigtige forskelle:
Det er muligt, at der foretages en ændring af skemaet for en tabel i den eksterne kilde. Dette kan resultere i en fejl under en forespørgsel, der angiver, at en kolonne ikke findes. Opdater kolonner på siden Tabeladministration ved at vælge den sammenkædede tabel, vælge fanen Skema og vælge Opdater skema.
Sammenkædede tabeller uden en
TimeGeneratedkolonne, eller hvor der findes enTimeGeneratedkolonne med data i det forkerte format, kan ikke bruges i Data Lake Explorer til at vælge tidsintervaller ved hjælp af tidsvælgeren i brugergrænsefladen. Definer datofiltre i brødteksten i den KQL, der svarer til den sammenkædede tabels datoformat.
Opret KQL-job fra organisationsforespørgsler
Du kan oprette KQL-job baseret på forespørgsler, der bruger tabeller i organisationsnetværket:
- Skriv og test din KQL-forespørgsel ved hjælp af sammenkædede tabeller.
- Vælg knappen Opret job i øverste højre hjørne af forespørgselspanelet.
- Konfigurer jobindstillingerne, herunder tidsplan og outputdestination.
- Gem jobbet.
Bemærk!
Skrivning af data til en tabel i organisationsnetværket understøttes ikke. KQL-output oprettes på baggrund af de samme kriterier, der bruges i dag, når du opretter et KQL-job, hvor det kan skrives ud til en ny eller eksisterende tabel baseret på din valgte destination.
Hvis tabeller i organisationsnetværket ikke indeholder
TimeGeneratedkolonner, eller dit output ikke indeholder enTimeGeneratedkolonne med en korrekt formateret datoværdi for hver række, fungerer KQL-forespørgsler ikke i tabellen, når de er oprettet i søen.
Sammenkædede tabeller understøttes fuldt ud for KQL-job, asynkrone forespørgsler og MCP-værktøjer.
Opret MCP-værktøj med tabelforespørgsler i organisationsnetværk
Du kan oprette MCP-værktøjer baseret på forespørgsler, der bruger tabeller i organisationsnetværket:
Skriv og test din KQL-forespørgsel ved hjælp af sammenkædede tabeller.
Vælg knappen Gem som værktøj over forespørgselseditoren.
Tilpas forespørgslen efter behov, f.eks. parameteriser værdier.
Hvis du vil have en reference til en tabel i organisationsnetværket, skal du sikre dig, at du angiver et præfiks for tabelnavnet med
workspace("default").. Hvis tabellen f.eks. varwidgets_ADLS01, visesworkspace("default").widgets_ADLS01din kode for den pågældende tabel.Gem værktøjet.
Brug tabeller i organisationsnetværket i Jupyter-notesbøger
Sammenkædede tabeller er tilgængelige i Jupyter-notesbøger via udvidelsen Microsoft Sentinel VS Code.
I udvidelsen Microsoft Sentinel VS Code vises sammenkædede tabeller under: Lake tables>System tables>Federated tables
Når du arbejder med organisationsnetværkstabeller i Jupyter-notesbøger, følger de samme mønstre som oprindelige systemtabeller:
-
Brug det fulde tabelnavn: Referencetabeller ved hjælp af
<tableName>_<connectorInstance>formatet. - Angiv ikke et navn til arbejdsområdet: Læsehandlinger kræver ikke en specifikation for arbejdsområdet.
- Skrivebeskyttet adgang: Sammenkædede tabeller er skrivebeskyttede. Du kan ikke skrive data tilbage til sammenkædede kilder.
Bemærk!
Når du har aktiveret dataforbundet første gang, kan det tage op til 24 timer, før du kan se organisationsnetværkstabeller i Jupyter-notesbøger.
Jupyter-notesbogjob
Du kan oprette planlagte Jupyter-notesbogjob, der anvender sammenkædede tabeller på samme måde, som du ville oprette et notesbogjob for oprindelige data lake-tabeller:
- Udvikl din notesbog med tabelforespørgsler i organisationsnetværk.
- Test notesbogen for at sikre, at forespørgsler i organisationsnetværket udføres korrekt.
- Opret et job fra notesbogen.
- Konfigurer jobplanen og parametrene.
Bemærk!
Notesbogjob kan kun skrive til Sentinel arbejdsområder eller systemtabeller som destinationer. Du kan ikke skrive data til en tabel i organisationsnetværket.
Anbefalede fremgangsmåder
Forespørgselsoptimering
- Anvend filtre tidligt: Filtrer data ved kilden, når det er muligt for at reducere dataoverførslen.
-
Begræns resultatsæt: Brug
takeellerlimitdelsætninger under udvikling. - Brug projektioner: Vælg kun de kolonner, du har brug for for at forbedre ydeevnen.
Eksempel: Optimeret forespørgsel
large_dataset_adls_connector
| where EventTime >= ago(1h) // Filter early
| where EventType == "Login" // Reduce data volume
| project EventTime, UserId, SourceIP // Select needed columns
| take 10000 // Limit results
Deltag i strategier
-
Brug relevante joinforbindelser: Vælg
inner,leftouterellerrightouterud fra dine behov. - Filtrer før tilmelding: Reducer datamængden, før du joinforbinder handlinger.
- Overvej datastørrelser: Placer den mindre tabel i højre side af joinforbindelsen.
Fejlhåndtering
- Kontrollér forbindelsesstatus: Kontrollér, at der er forbindelse mellem forekomster af organisationsnetværksforbindelsen, før du forespørger.
-
Håndter null-værdier: Eksterne data kan indeholde uventede null-værdier.
isnull()ellercoalesce()funktioner. - Overvåg forespørgselsydeevnen: Spor kørselstider for organisationsforespørgsler for at identificere problemer med ydeevnen.
Fejlfinding
Forespørgslen returnerer ingen resultater
- Kontrollér, at connectorforekomsten er i en forbundet tilstand.
- Kontrollér, at den eksterne datakilde er tilgængelig sammen med de tabeller, der er målrettet i forespørgslen.
- Kontrollér, at tilladelserne ikke blev fjernet fra tjenesteprincipalen eller Sentinel administrerede identitet baseret på den målrettede datakilde.
- Kontrollér, at du bruger det korrekte navneformat i organisationsnetværkstabellen.
- Sørg for, at systemtabeller er tilgængelige i navigationsruden for dine KQL-forespørgsler eller notesbogsessionen.
Forespørgslen er langsom
- Anvend filtre for at reducere den datamængde, der forespørges fra eksterne kilder.
- Kontrollér den eksterne kildes ydeevne og tilgængelighed.
- Overvej at oprette oversigtstabeller til data, der ofte åbnes.
Skemauoverensstemmelse
- Gennemse tabelskemaet i tabeladministrationsvisningen.
- Juster din forespørgsel for at håndtere skemaforskelle.
- Kontrollér, om skemaet for den eksterne tabel er ændret siden oprettelsen af connectoren.
Det var ikke muligt at køre MCP-værktøjer til sammenkædede tabeller
Sørg for, at du har foransat tabelnavnet, workspace("default"). uanset hvor du refererer til en tabel i organisationsnetværket i MCP-værktøjet.