تحويل البيانات أو تخصيصها في وقت الاستيعاب في Microsoft Azure Sentinel (معاينة)
توضح هذه المقالة كيفية تكوين تحويل بيانات وقت الاستيعاب واستيعاب السجل المخصص للاستخدام في Microsoft Sentinel.
يوفر تحويل بيانات وقت الاستيعاب للعملاء مزيداً من التحكم في البيانات التي تم استيعابها. استكمالًا لسير العمل المكوّن مسبقًا والمشفر الذي ينشئ جداول قياسية، فإن تحويل وقت الاستيعاب يضيف القدرة على تصفية جداول الإخراج وإثرائها، حتى قبل تشغيل أي استفسارات. يستخدم استيعاب السجل المخصص واجهة برمجة تطبيقات السجل المخصص لتطبيع السجلات ذات التنسيق المخصص بحيث يمكن استيعابها في جداول قياسية معينة، أو بدلا من ذلك، لإنشاء جداول إخراج مخصصة مع مخططات معرفة من قبل المستخدم لاستيعاب هذه السجلات المخصصة.
يتم تكوين هاتين الآليتين باستخدام قواعد تجميع البيانات (DCRs)، إما في مدخل Log Analytics، أو عبر واجهة برمجة التطبيقات أو قالب ARM. ستساعدك هذه المقالة على اختيار نوع قواعد تجميع البيانات التي تحتاجها لموصل البيانات خاصتك، وتوجيهك إلى الإرشادات الخاصة بكل سيناريو.
المتطلبات الأساسية
قبل البدء في تكوين DCRs لتحويل البيانات:
تعرف على المزيد حول تحويل البيانات و DCRs في Azure Monitor و Microsoft Sentinel. لمزيد من المعلومات، راجع:
تحقق من دعم موصل البيانات. تأكد من دعم موصلات البيانات لتحويل البيانات.
في المقالة مرجع موصل البيانات، تحقق من قسم موصل البيانات لفهم أنواع DCRs المدعومة. تابع في هذه المقالة لفهم كيفية تأثير نوع DCR الذي تحدده على بقية عملية الاستيعاب والتحويل.
تحديد متطلباتك
| إذا كنت تقوم باستيعاب | تحويلات وقت الاستيعاب... | استخدم نوع قواعد تجميع البيانات هذا |
|---|---|---|
| بيانات مخصصة من خلال واجهة برمجة تطبيقات استيعاب السجل |
قاعدة تجميع البيانات القياسية | |
| أنواع البيانات المضمنة (Syslog، CommonSecurityLog، WindowsEvent، SecurityEvent) استخدام عامل Azure Monitor |
قاعدة تجميع البيانات القياسية | |
| أنواع البيانات المضمنة من معظم المصادر الأخرى |
تحويل مساحة عمل DCR |
تكوين تحويل البيانات
استخدم الإجراءات التالية من وثائق Log Analytics وAzure Monitor لتكوين قواعد تجميع البيانات الخاصة بتحويل البيانات:
الاستيعاب المباشر من خلال واجهة برمجة تطبيقات استيعاب السجل:
- اطلع على برنامج تعليمي لاستيعاب السجلات باستخدام مدخل Microsoft Azure.
- اطلع على برنامج تعليمي لاستيعاب السجلات باستخدام قوالب Azure Resource Manager (ARM) وواجهة برمجة تطبيقات REST.
- اطلع على برنامج تعليمي لتكوين تحويل مساحة العمل باستخدام مدخل Microsoft Azure.
- اطلع على برنامج تعليمي لتكوين تحويل مساحة العمل باستخدام قوالب Azure Resource Manager (ARM) وواجهة برمجة تطبيقات REST.-
المزيد عن قواعد جمع البيانات :
- بنية قاعدة تجميع البيانات في Azure Monitor (معاينة)
- تحويلات قواعد جمع البيانات في برنامج Azure Monitor (معاينة )
عند الانتهاء، عد إلى Microsoft Sentinel للتحقق من أن بياناتك يتم استيعابها استنادا إلى التحويل الذي تم تكوينه حديثا. قد يستغرق تطبيق تكوينات تحويل البيانات ما يصل إلى 60 دقيقة.
الانتقال إلى تحويل بيانات وقت الاستيعاب
إذا كان لديك حاليًا موصلات بيانات Microsoft Azure Sentinel مخصصة، أو موصلات بيانات مضمنة تستند إلى واجهة برمجة التطبيقات، فقد تحتاج إلى الانتقال إلى استخدام تحويل بيانات وقت الاستيعاب.
استخدم أحد الأساليب التالية:
تكوين قاعدة تجميع البيانات من البداية، لتعريف الاستيعاب المخصص من مصدر البيانات إلى جدول جديد. قد تستخدم هذا الخيار إذا كنت تريد استخدام مخطط جديد لا يحتوي على لاحقات العمود الحالية، ولا يتطلب دالات KQL في وقت الاستعلام لتوحيد بياناتك.
بعد التحقق من استيعاب بياناتك بشكل صحيح في الجدول الجديد، يمكنك حذف الجدول القديم، بالإضافة إلى موصل البيانات المخصص القديم.
استمر في استخدام الجدول المخصص الذي أنشأه موصل البيانات المخصص. يمكنك استخدام هذا الخيار إذا كان لديك الكثير من محتوى الأمان المخصص الذي تم إنشاؤه لجدولك الحالي. في مثل هذه الحالات، راجع الترحيل من Data Collector API والجداول المخصصة الممكنة للحاويات إلى السجلات المخصصة المستندة إلى قاعدة تجميع البيانات في وثائق Azure Monitor.
الخطوات التالية
لمزيد من المعلومات حول تحويل البيانات وقواعد تجميع البيانات، راجع: