Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo configurar la transformación de datos en tiempo de ingesta y la ingesta de registros personalizada para su uso en Microsoft Sentinel.
La transformación de datos en tiempo de ingesta proporciona a los clientes más control sobre los datos ingeridos. Complementando los flujos de trabajo preconfigurados y codificados de forma rígida que crean tablas estandarizadas, la transformación de tiempo de ingesta agrega la capacidad de filtrar y enriquecer las tablas de salida, incluso antes de ejecutar las consultas. La ingesta de registros personalizada usa Custom Log API para normalizar los registros de formato personalizado para que se puedan ingerir en determinadas tablas estándar o, como alternativa, para crear tablas de salida personalizadas con esquemas definidos por el usuario para ingerir estos registros personalizados.
Estos dos mecanismos se configuran mediante reglas de recopilación de datos (DCR), ya sea en el portal de Log Analytics o a través de la API o la plantilla de ARM. Este artículo le ayudará a elegir qué tipo de DCR necesita para el conector de datos determinado y le dirigirá a las instrucciones para cada escenario.
Requisitos previos
Antes de empezar a configurar dcr para la transformación de datos:
Obtenga más información sobre la transformación de datos y los DCR en Azure Monitor y Microsoft Sentinel. Para más información, vea:
Compruebe la compatibilidad con el conector de datos. Asegúrese de que los conectores de datos son compatibles con la transformación de datos.
En nuestro artículo de referencia del conector de datos , compruebe la sección del conector de datos para comprender qué tipos de DCR se admiten. Continúe en este artículo para comprender cómo afecta el tipo de DCR seleccionado al resto del proceso de ingesta y transformación.
Determinación de los requisitos
| Si está ingiriendo | La transformación en tiempo de ingesta es... | Uso de este tipo de DCR |
|---|---|---|
|
Datos personalizados a través de la API de ingesta de registros |
dcr de Standard | |
|
Tipos de datos integrados (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) uso del agente de Azure Monitor |
dcr de Standard | |
|
Tipos de datos integrados de la mayoría de los demás orígenes |
DCR de transformación del área de trabajo |
Configuración de la transformación de datos
Use los procedimientos siguientes de la documentación de Log Analytics y Azure Monitor para configurar los DCR de transformación de datos:
Ingesta directa a través de la API de ingesta de registros:
- Recorra un tutorial para ingerir registros mediante el Azure Portal.
- Recorra un tutorial para ingerir registros mediante plantillas de Azure Resource Manager (ARM) y la API REST.
Transformaciones del área de trabajo:
- Consulte un tutorial para configurar la transformación del área de trabajo mediante el Azure Portal.
- Recorra un tutorial para configurar la transformación del área de trabajo mediante plantillas de Azure Resource Manager (ARM) y la API REST.-
Más información sobre las reglas de recopilación de datos:
- Estructura de una regla de recopilación de datos en Azure Monitor (versión preliminar)
- Transformaciones de recopilación de datos en Azure Monitor (versión preliminar)
Cuando haya terminado, vuelva a Microsoft Sentinel para comprobar que los datos se ingieren en función de la transformación recién configurada. Las configuraciones de transformación de datos pueden tardar hasta 60 minutos en aplicarse.
Migración a la transformación de datos en tiempo de ingesta
Si actualmente tiene conectores de datos de Microsoft Sentinel personalizados o conectores de datos integrados basados en API, es posible que desee migrar a mediante la transformación de datos en tiempo de ingesta.
Utilice uno de los métodos siguientes:
Configure una DCR para definir, desde cero, la ingesta personalizada desde el origen de datos a una nueva tabla. Puede usar esta opción si desea usar un nuevo esquema que no tenga los sufijos de columna actuales y no requiera funciones KQL en tiempo de consulta para estandarizar los datos.
Después de comprobar que los datos se ingieren correctamente en la nueva tabla, puede eliminar la tabla heredada, así como el conector de datos personalizado heredado.
Siga usando la tabla personalizada creada por el conector de datos personalizados. Puede usar esta opción si tiene un montón de contenido de seguridad personalizado creado para la tabla existente. En tales casos, consulte Migración desde data collector API y tablas personalizadas habilitadas para campos a registros personalizados basados en DCR en la documentación de Azure Monitor.
Pasos siguientes
Para obtener más información sobre la transformación de datos y los DCR, consulte:
- Ingesta y transformación de datos personalizados en Microsoft Sentinel (versión preliminar)
- Transformaciones de recopilación de datos en registros de Azure Monitor (versión preliminar)
- API de ingesta de registros en los registros de Azure Monitor (versión preliminar)
- Estructura de una regla de recopilación de datos en Azure Monitor (versión preliminar)
- Configuración de la recopilación de datos para el agente de Azure Monitor