Azure Storage BLOB コネクタを使用すると、Azure Storage からのログの収集が簡略化されます。 これにより、ISV とユーザーは、フル マネージドの Codeless Connector Framework (CCF) を通じて、Azure Storage 統合の上にスケーラブルなコネクタを構築できます。
この記事では、コネクタ リソースの概要と、最初の Azure Storage コネクタを作成して検証する手順について説明します。
前提条件
開始する前に、次のことを確認してください。
- 階層型名前空間が有効になっているAzureストレージ アカウント (Azure Data Lake Storage Gen2) と、ログ ファイルを保持するコンテナー。
- データ コネクタを作成するためのMicrosoft Sentinel共同作成者以上のロールを持つMicrosoft Sentinel ワークスペース。
- Event Grid システム トピックとサブスクリプションを作成するための、ストレージ アカウントに対する所有者または EventGrid 共同作成者ロールのアクセス許可。
注:
Microsoft.EventGrid リソース プロバイダーが、ストレージ アカウントを含むサブスクリプションに登録されていることを確認します。
コネクタ リソースの概要
Azure Storage BLOB コネクタでは、キュー ベースの BLOB ポインター モデルを使用して、ストレージ アカウントで BLOB で作成されたイベントをサブスクライブします。 Event Grid システム トピック サブスクリプションは、BLOB 作成アクティビティをリッスンし、構成可能なフィルター条件に基づいてイベントを Azure Storage キューにプッシュします。 複数のコネクタ インスタンスは、フォルダーとファイル パターンでファイルをスコープしながら、同じコンテナーから取り込むことができます。 BLOB プレフィックスとサフィックス パターンを設定することで、ポータルまたはコネクタ ARM テンプレートを使用してフィルター処理を制御できます。
Microsoft Sentinel コネクタ:
- BLOB で作成されたメッセージのAzure ストレージ キューをポーリングします。
- キュー メッセージ内のパスに基づいて、Azure Storage BLOB コンテナーからファイルをフェッチします。
- 転送が成功した後にキュー メッセージを削除します。
コネクタは、コネクタ アプリケーションからアクセスできるサービス プリンシパルを使用して、ストレージ アカウントに対して認証を行います。 クラウドごとのアプリケーション ID と完全なテンプレート スキーマについては、「Azure Storage BLOB コネクタ API リファレンス」を参照してください。 ARM テンプレートの自動化を使用して、サービス プリンシパルが存在することを確認し、ストレージ アカウントに必要なロールの割り当てを適用します。
Azure Storage BLOB コネクタを作成する
- Azure Storage BLOB コネクタ API リファレンスの ARM テンプレートの例を確認して調整します。 コンテナー名、キュー名 (自動作成されていない場合)、BLOB プレフィックス/サフィックス フィルター、および宛先テーブル マッピングを設定します。
- 「Microsoft Sentinel用のコードレス コネクタを作成する」に従ってテンプレートをデプロイします。 デプロイ スコープがストレージ アカウントとワークスペースMicrosoft Sentinel一致していることを確認します。
- デプロイ後、コネクタ インスタンスが Microsoft Sentinel で作成され、Event Grid サブスクリプションの状態が [正常] であることを確認します。
コネクタを検証する
- プレフィックス/サフィックス フィルターに一致するサンプル ファイルをアップロードし、キュー メッセージが作成されて使用されていることを確認します。
- Microsoft Sentinelのターゲット テーブルでインジェストを確認し、コネクタの正常性ブレードでエラーをチェックします。
- ネットワーク制限を使用する場合は、コネクタで管理されるリソースが BLOB エンドポイントとキュー エンドポイントに到達できることを確認します。
トラブルシューティング
トラブルシューティング手順については、「Azure Storage BLOB コネクタの問題のトラブルシューティング」を参照してください。