Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u transformatie van opnametijdgegevens en aangepaste logboekopname configureert voor gebruik in Microsoft Sentinel.
Transformatie van opnametijdgegevens biedt klanten meer controle over de opgenomen gegevens. Als aanvulling op de vooraf geconfigureerde, vastgelegde werkstromen waarmee gestandaardiseerde tabellen worden gemaakt, voegt opnametijdtransformatie de mogelijkheid toe om de uitvoertabellen te filteren en te verrijken, zelfs voordat er query's worden uitgevoerd. Aangepaste logboekopname maakt gebruik van de Aangepaste logboek-API om logboeken in aangepaste indeling te normaliseren, zodat ze kunnen worden opgenomen in bepaalde standaardtabellen, of om aangepaste uitvoertabellen te maken met door de gebruiker gedefinieerde schema's voor het opnemen van deze aangepaste logboeken.
Deze twee mechanismen worden geconfigureerd met behulp van gegevensverzamelingsregels (DDR's), hetzij in de Log Analytics-portal, hetzij via EEN API of ARM-sjabloon. Dit artikel helpt u bij het kiezen van het type DCR dat u nodig hebt voor uw specifieke gegevensconnector en leidt u naar de instructies voor elk scenario.
Vereisten
Voordat u begint met het configureren van DCR's voor gegevenstransformatie:
Meer informatie over gegevenstransformatie en DDR's vindt u in Azure Monitor en Microsoft Sentinel. Zie voor meer informatie:
Controleer de ondersteuning van de gegevensconnector. Zorg ervoor dat uw gegevensconnectors worden ondersteund voor gegevenstransformatie.
Controleer in ons naslagartikel over de gegevensconnector de sectie voor uw gegevensconnector om te begrijpen welke typen DDR's worden ondersteund. Ga verder in dit artikel om te begrijpen hoe het DCR-type dat u selecteert van invloed is op de rest van het opname- en transformatieproces.
Uw vereisten bepalen
| Als u | Opnametijdtransformatie is... | Dit DCR-type gebruiken |
|---|---|---|
|
Aangepaste gegevens via de Logboekopname-API |
Standard DCR | |
|
Ingebouwde gegevenstypen (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) de Azure Monitor-agent gebruiken |
Standard DCR | |
|
Ingebouwde gegevenstypen uit de meeste andere bronnen |
DCR voor werkruimtetransformatie |
Uw gegevenstransformatie configureren
Gebruik de volgende procedures uit de documentatie van Log Analytics en Azure Monitor om uw gegevenstransformatie-DDR's te configureren:
Directe opname via de Log Ingestion-API:
- Doorloop een zelfstudie voor het opnemen van logboeken met behulp van de Azure Portal.
- Bekijk een zelfstudie voor het opnemen van logboeken met behulp van ARM-sjablonen (Azure Resource Manager) en REST API.
- Doorloop een zelfstudie voor het configureren van werkruimtetransformatie met behulp van de Azure Portal.
- Bekijk een zelfstudie voor het configureren van werkruimtetransformatie met behulp van ARM-sjablonen (Azure Resource Manager) en REST API.-
Meer informatie over regels voor gegevensverzameling:
- Structuur van een regel voor gegevensverzameling in Azure Monitor (preview)
- Transformaties van gegevensverzameling in Azure Monitor (preview)
Wanneer u klaar bent, gaat u terug naar Microsoft Sentinel om te controleren of uw gegevens worden opgenomen op basis van uw zojuist geconfigureerde transformatie. Het kan tot 60 minuten duren voordat de configuraties voor gegevenstransformatie zijn toegepast.
Migreren naar gegevenstransformatie in opnametijd
Als u momenteel aangepaste Microsoft Sentinel gegevensconnectors of ingebouwde API-gegevensconnectors hebt, kunt u migreren naar met behulp van gegevenstransformatie tijdens opnametijd.
Gebruik een van de volgende methoden:
Configureer een DCR om de aangepaste opname van uw gegevensbron naar een nieuwe tabel te definiƫren. U kunt deze optie gebruiken als u een nieuw schema wilt gebruiken dat niet de huidige kolomachtervoegsels bevat en waarvoor geen KQL-functies met querytijd nodig zijn om uw gegevens te standaardiseren.
Nadat u hebt gecontroleerd of uw gegevens correct zijn opgenomen in de nieuwe tabel, kunt u de verouderde tabel en uw verouderde aangepaste gegevensconnector verwijderen.
Gebruik de aangepaste tabel die is gemaakt door uw aangepaste gegevensconnector. U kunt deze optie gebruiken als u veel aangepaste beveiligingsinhoud hebt gemaakt voor uw bestaande tabel. In dergelijke gevallen raadpleegt u Migrate from Data Collector API and custom fields enabled tables to DCR-based custom logs in the Azure Monitor documentation( Migreren van data collector-API en tabellen waarvoor aangepaste velden zijn ingeschakeld.
Volgende stappen
Zie voor meer informatie over gegevenstransformatie en DCR's:
- Aangepaste gegevensopname en transformatie in Microsoft Sentinel (preview)
- Transformaties van gegevensverzameling in Azure Logboeken bewaken (preview)
- Logboekopname-API in Azure Logboeken bewaken (preview)
- Structuur van een regel voor gegevensverzameling in Azure Monitor (preview)
- Gegevensverzameling configureren voor de Azure Monitor-agent