Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Nadat u federatieve gegevensconnectors hebt ingesteld, hebt u toegang tot uw federatieve tabellen via meerdere interfaces in Microsoft Sentinel. Federatieve tabellen worden op dezelfde manier gebruikt als andere Data Lake-tabellen. In dit artikel wordt uitgelegd hoe u federatieve tabellen weergeeft, er een query op uitvoert met behulp van KQL (Kusto-querytaal) en ermee werkt in Jupyter-notebooks.
Vereisten
Voordat u begint, moet u het volgende controleren:
- Uw tenant moet worden ge onboardd naar de Sentinel Data Lake. Zie Onboard to Microsoft Sentinel data lake (Onboarden naar Microsoft Sentinel data lake) voor meer informatie
- U hebt de juiste machtigingen om query's uit te voeren op gegevens in de Sentinel data lake. Zie Rollen en machtigingen in het Microsoft Sentinel-platform voor meer informatie.
Federatieve tabelnaamgeving begrijpen
Federatieve tabelnamen volgen het patroon <tableName>_<connectorInstanceName>. Bijvoorbeeld:
| Oorspronkelijke tabelnaam | Naam van connectorexemplaren | Federatieve tabelnaam |
|---|---|---|
widgets |
ADLS01 |
widgets_ADLS01 |
sales_data |
AzureDBX01 |
sales_data_AzureDBX01 |
inventory |
Fabric01 |
inventory_Fabric01 |
Als meerdere tabellen in het connectorexemplaren dezelfde tabelnaam hebben, wordt een numerieke id toegevoegd aan de naam van het connectorexemplaren, bijvoorbeeld widgets_ADLS01_1 wanneer twee tabellen in het ADLS01 connectorexemplaren worden aangeroepen widgets.
Gebruik de naam van de federatieve tabel bij het opvragen van gegevens uit de Sentinel data lake.
Federatieve tabellen weergeven in tabelbeheer
De tabelbeheerweergave biedt een overzicht van alle tabellen in uw Sentinel Data Lake, inclusief federatieve tabellen.
- Ga naar Microsoft Sentinel>Configuratietabellen>.
- Selecteer het filter Type .
- Selecteer Federatief en selecteer Toepassen.
Tabeldetails weergeven
Selecteer een tabelrij om het detailvenster te openen. Het deelvenster bevat drie tabbladen:
| Tab | Omschrijving |
|---|---|
| Overzicht | Basisinformatie over de federatieve tabel, waaronder het brontype en de verbindingsstatus. |
| Gegevensbronnen | Toont welke connectorexemplaren gegevens leveren voor deze tabel. |
| Schema | Geeft de kolommen, gegevenstypen en beschrijvingen weer voor de kolommen van de tabel. Gebruikers met machtigingen om te schrijven naar de Data Lake System-tabellen kunnen Schema vernieuwen selecteren om kolommen en andere schemametagegevens uit de bron bij te werken. |
Query uitvoeren op federatieve tabellen met behulp van KQL
Op de pagina KQL-query's in Microsoft Sentinel kunt u federatieve tabellen naast systeemeigen Sentinel gegevens opvragen. Federatieve tabellen worden ondersteund voor KQL-taken, interactieve en asynchrone query's en MCP-hulpprogramma's.
Navigeer naar KQL-query's voor Microsoft Sentinel>Data lake-verkenning>.
Selecteer de knop Geselecteerde werkruimte in de informatiebalk.
Selecteer Systeemtabellen als een van de werkruimten.
Vouw op het tabblad Schema de sectie Systeemtabellen uit .
Vouw de sectie Federatieve tabellen uit.
Zoek het federatietype voor uw gegevensbron, zoals Microsoft Fabric, Azure Databricks of Azure Data Lake Storage Gen2.
Vouw het federatietype uit om uw federatieve tabellen weer te geven.
Vouw een tabel uit om de kolommen weer te geven.
Opmerking
Vanwege optimalisatie van queryprestaties in KQL kan het tot 15 minuten duren voordat nieuwe gegevens in een federatieve tabel beschikbaar zijn voor query.
Query's schrijven en uitvoeren
Query's op federatieve tabellen werken als query's op systeemeigen Lake-tabellen met enkele belangrijke verschillen:
Het is mogelijk dat er een wijziging optreedt in het schema van een tabel in de externe bron. Dit kan leiden tot een fout tijdens een query die aangeeft dat een kolom niet aanwezig is. Vernieuw kolommen op de pagina Tabelbeheer door de federatieve tabel te selecteren, het tabblad Schema te selecteren en Schema vernieuwen te selecteren.
Federatieve tabellen zonder kolom
TimeGenerated, of waarbij eenTimeGeneratedkolom aanwezig is met gegevens in de verkeerde indeling, kunnen niet worden gebruikt in Data Lake Explorer om tijdsbereiken te selecteren met behulp van de tijdkiezer in de gebruikersinterface. Definieer datumfilters in de hoofdtekst van de KQL die overeenkomen met de datumnotatie van uw federatieve tabel.
KQL-taken maken op basis van federatieve query's
U kunt KQL-taken maken op basis van query's die gebruikmaken van federatieve tabellen:
- Schrijf en test uw KQL-query met behulp van federatieve tabellen.
- Selecteer de knop Taak maken in de rechterbovenhoek van het queryvenster.
- Configureer de taakinstellingen, inclusief planning en uitvoerbestemming.
- Sla de taak op.
Opmerking
Het schrijven van gegevens naar een federatieve tabel wordt niet ondersteund. KQL-uitvoer wordt gemaakt op basis van dezelfde criteria die momenteel worden gebruikt bij het maken van een KQL-taak, waarbij deze kan worden uitgeschreven naar een nieuwe of bestaande tabel op basis van de geselecteerde bestemming.
Als federatieve tabellen geen kolommen bevatten
TimeGeneratedof als de uitvoer geen kolom bevat met eenTimeGeneratedcorrect opgemaakte datumwaarde voor elke rij, werken KQL-query's niet meer in de tabel zodra deze in de lake zijn gemaakt.
Federatieve tabellen worden volledig ondersteund voor KQL-taken, asynchrone query's en MCP-hulpprogramma's.
Een MCP-hulpprogramma maken met federatieve tabelquery's
U kunt MCP-hulpprogramma's maken op basis van query's die gebruikmaken van federatieve tabellen:
Schrijf en test uw KQL-query met behulp van federatieve tabellen.
Selecteer de knop Opslaan als boven de queryeditor.
Pas de query zo nodig aan, bijvoorbeeld waarden parameteriseren.
Voor elke verwijzing naar een federatieve tabel zorgt u ervoor dat u de tabelnaam voorvoegt met
workspace("default").. Als uw tabel bijvoorbeeld is, wordtwidgets_ADLS01uw code voor die tabel weergegevenworkspace("default").widgets_ADLS01.Sla het hulpprogramma op.
Federatieve tabellen gebruiken in Jupyter-notebooks
Federatieve tabellen zijn toegankelijk in Jupyter-notebooks via de extensie Microsoft Sentinel VS Code.
In de Microsoft Sentinel VS Code-extensie worden federatieve tabellen weergegeven onder: Lake-tabellen>Systeemtabellen>Federatieve tabellen
Werken met federatieve tabellen in Jupyter-notebooks volgt dezelfde patronen als systeemeigen systeemtabellen:
-
Gebruik de volledige tabelnaam: Verwijs naar tabellen met de
<tableName>_<connectorInstance>indeling. - Geef geen werkruimtenaam op: leesbewerkingen vereisen geen werkruimtespecificatie.
- Alleen-lezentoegang: federatieve tabellen zijn alleen-lezen; u kunt geen gegevens terugschrijven naar federatieve bronnen.
Opmerking
Nadat u gegevensfederatie de eerste keer hebt ingeschakeld, kan het tot 24 uur duren voordat u federatieve tabellen in Jupyter-notebooks ziet.
Jupyter-notebooktaken
U kunt geplande Jupyter-notebooktaken maken die gebruikmaken van federatieve tabellen op dezelfde manier als u een notebooktaak voor systeemeigen Data Lake-tabellen zou maken:
- Ontwikkel uw notebook met federatieve tabelquery's.
- Test het notebook om te controleren of federatieve query's correct worden uitgevoerd.
- Maak een taak vanuit het notitieblok.
- Configureer het taakschema en de parameters.
Opmerking
Notebooktaken kunnen alleen als doel naar Sentinel werkruimten of systeemtabellen worden geschreven. U kunt geen gegevens schrijven naar een federatieve tabel.
Aanbevolen procedures
Queryoptimalisatie
- Filters vroeg toepassen: gegevens bij de bron filteren, indien mogelijk om de gegevensoverdracht te verminderen.
-
Resultatensets beperken: gebruik
takeoflimit-componenten tijdens de ontwikkeling. - Projecties gebruiken: selecteer alleen de kolommen die u nodig hebt om de prestaties te verbeteren.
Voorbeeld: Geoptimaliseerde query
large_dataset_adls_connector
| where EventTime >= ago(1h) // Filter early
| where EventType == "Login" // Reduce data volume
| project EventTime, UserId, SourceIP // Select needed columns
| take 10000 // Limit results
Strategieƫn voor deelnemen
-
Gebruik de juiste jointypen: kies
inner,leftouterofrightouterop basis van uw behoeften. - Filteren voor deelname: verminder het gegevensvolume voordat u de bewerkingen samenvoegt.
- Houd rekening met gegevensgrootten: plaats de kleinere tabel aan de rechterkant van de join.
Foutafhandeling
- Verbindingsstatus controleren: controleer of federatieve connectorexemplaren zijn verbonden voordat u een query uitvoert.
-
Null-waarden verwerken: externe gegevens kunnen onverwachte null-waarden bevatten; gebruik
coalesce()ofisnull()functies. - Prestaties van query's bewaken: houd uitvoeringstijden bij voor federatieve query's om prestatieproblemen te identificeren.
Problemen oplossen
Query retourneert geen resultaten
- Controleer of het connectorexemplaren een verbonden status heeft.
- Controleer of de externe gegevensbron beschikbaar is, samen met de tabellen waarop de query is gericht.
- Controleer of de machtigingen niet zijn verwijderd uit de service-principal of Sentinel beheerde identiteit op basis van de doelgegevensbron.
- Controleer of u de juiste federatieve tabelnaamindeling gebruikt.
- Zorg ervoor dat Systeemtabellen beschikbaar zijn in het navigatiedeelvenster voor uw KQL-query's of Notebook-sessie.
Query is traag
- Pas filters toe om het gegevensvolume te verminderen dat vanuit externe bronnen wordt opgevraagd.
- Controleer de prestaties en beschikbaarheid van de externe bron.
- Overweeg overzichtstabellen te maken voor veelgebruikte gegevens.
Schema komt niet overeen
- Bekijk het tabelschema in de tabelbeheerweergave.
- Pas uw query aan om schemaverschillen af te handelen.
- Controleer of het externe tabelschema is gewijzigd sinds het maken van de connector.
Kan GEEN MCP-hulpprogramma's uitvoeren voor federatieve tabellen
Zorg ervoor dat u het voorvoegsel van de tabelnaam hebt voorafgegaan door workspace("default"). de plaats waar u verwijst naar een federatieve tabel in het hulpprogramma MCP.