Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du konfigurerar datatransformering för inmatningstid och anpassad logginmatning för användning i Microsoft Sentinel.
Datatransformering för datainmatningstid ger kunderna mer kontroll över inmatade data. Genom att komplettera de förkonfigurerade, hårdkodade arbetsflöden som skapar standardiserade tabeller lägger inmatningstidstransformering till möjligheten att filtrera och utöka utdatatabellerna, även innan du kör några frågor. Anpassad logginmatning använder API:et för anpassad logg för att normalisera loggar i anpassat format så att de kan matas in i vissa standardtabeller, eller alternativt för att skapa anpassade utdatatabeller med användardefinierade scheman för inmatning av dessa anpassade loggar.
Dessa två mekanismer konfigureras med hjälp av datainsamlingsregler (DCR), antingen i Log Analytics-portalen eller via EN API- eller ARM-mall. Den här artikeln hjälper dig att välja vilken typ av DCR du behöver för din specifika dataanslutning och dirigera dig till instruktionerna för varje scenario.
Förhandskrav
Innan du börjar konfigurera domänkontrollanter för datatransformering:
Läs mer om datatransformering och DCR i Azure Övervaka och Microsoft Sentinel. Mer information finns i:
Verifiera stöd för dataanslutningsappen. Kontrollera att dina dataanslutningar stöds för datatransformering.
I vår referensartikel för dataanslutningsappen kontrollerar du avsnittet för din dataanslutning för att förstå vilka typer av dcrs som stöds. Fortsätt i den här artikeln för att förstå hur dcr-typen du väljer påverkar resten av inmatnings- och omvandlingsprocessen.
Fastställ dina krav
| Om du matar in | Inmatningstidstransformeringen är... | Använd den här DCR-typen |
|---|---|---|
|
Anpassade data via API:et för logginmatning |
Standard DCR | |
|
Inbyggda datatyper (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) med hjälp av Azure Monitor-agenten |
Standard DCR | |
|
Inbyggda datatyper från de flesta andra källor |
DCR för arbetsytetransformering |
Konfigurera datatransformeringen
Använd följande procedurer från Log Analytics- och Azure Monitor-dokumentationen för att konfigurera datatransformerings-DCR:er:
Direkt inmatning via LOG Ingestion-API:et:
- Gå igenom en självstudiekurs för att mata in loggar med hjälp av Azure Portal.
- Gå igenom en självstudiekurs för att mata in loggar med hjälp av arm-mallar (Azure Resource Manager) och REST API.
- Gå igenom en självstudiekurs för att konfigurera arbetsytetransformering med hjälp av Azure Portal.
- Gå igenom en självstudiekurs för att konfigurera arbetsytetransformering med hjälp av arm-mallar (Azure Resource Manager) och REST API.-
Mer information om regler för datainsamling:
- Strukturen för en datainsamlingsregel i Azure Monitor (förhandsversion)
- Datainsamlingstransformeringar i Azure Monitor (förhandsversion)
När du är klar går du tillbaka till Microsoft Sentinel för att kontrollera att dina data matas in baserat på den nyligen konfigurerade omvandlingen. Det kan ta upp till 60 minuter innan konfigurationerna för datatransformering tillämpas.
Migrera till datatransformering för inmatningstid
Om du för närvarande har anpassade Microsoft Sentinel dataanslutningar, eller inbyggda, API-baserade dataanslutningar, kanske du vill migrera till att använda datatransformering för inmatningstid.
Detta gör du genom att använda någon av följande metoder.
Konfigurera en DCR för att från grunden definiera den anpassade inmatningen från din datakälla till en ny tabell. Du kan använda det här alternativet om du vill använda ett nytt schema som inte har de aktuella kolumnsuffixen och inte kräver KQL-funktioner för frågetid för att standardisera dina data.
När du har kontrollerat att dina data har matats in korrekt i den nya tabellen kan du ta bort den äldre tabellen samt din äldre anpassade dataanslutning.
Fortsätt att använda den anpassade tabellen som skapats av din anpassade dataanslutning. Du kan använda det här alternativet om du har skapat mycket anpassat säkerhetsinnehåll för din befintliga tabell. I sådana fall kan du läsa Migrera från API för datainsamlare och anpassade fältaktiverade tabeller till DCR-baserade anpassade loggar i dokumentationen för Azure Monitor.
Nästa steg
Mer information om datatransformering och DCR finns i:
- Anpassad datainmatning och transformering i Microsoft Sentinel (förhandsversion)
- Datainsamlingstransformeringar i Azure Övervaka loggar (förhandsversion)
- Loggar inmatnings-API i Azure Övervaka loggar (förhandsversion)
- Strukturen för en datainsamlingsregel i Azure Monitor (förhandsversion)
- Konfigurera datainsamling för Azure Monitor-agenten