Transformera eller anpassa data vid inmatning i Microsoft Sentinel (förhandsversion)

  • Artikel

Den här artikeln beskriver hur du konfigurerar datatransformering för inmatningstid och anpassad logginmatning för användning i Microsoft Sentinel.

Datatransformering vid inmatningstid ger kunderna mer kontroll över inmatade data. Genom att komplettera de förkonfigurerade, hårdkodade arbetsflöden som skapar standardiserade tabeller lägger inmatningstidstransformering till funktionen att filtrera och utöka utdatatabellerna, även innan du kör några frågor. Anpassad logginmatning använder API:et för anpassad logg för att normalisera loggar i anpassat format så att de kan matas in i vissa standardtabeller, eller alternativt för att skapa anpassade utdatatabeller med användardefinierade scheman för att mata in dessa anpassade loggar.

Dessa två mekanismer konfigureras med hjälp av datainsamlingsregler (DCR), antingen i Log Analytics-portalen eller via API- eller ARM-mallen. Den här artikeln hjälper dig att välja vilken typ av DCR du behöver för din specifika dataanslutning och dirigerar dig till anvisningarna för varje scenario.

Förutsättningar

Innan du börjar konfigurera DCR:er för datatransformering:

Fastställ dina krav

Om du matar in Inmatningstidstransformeringen är... Använd den här DCR-typen
Anpassade data via
API:et för logginmatning
  • Obligatoriskt
  • Ingår i DCR som definierar datamodellen
    		•  Standard DCR
    Inbyggda datatyper
    (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent)
    använda Azure Monitor-agenten
  • Valfritt
  • Om så önskas läggs till i DCR som konfigurerar hur dessa data matas in
    		•  Standard DCR
    Inbyggda datatyper
    från de flesta andra källor
  • Valfritt
  • Om du vill lägger du till den DCR som är kopplad till arbetsytan där dessa data matas in
    		•  DCR för arbetsytetransformering

    Konfigurera datatransformeringen

    Använd följande procedurer i Log Analytics- och Azure Monitor-dokumentationen för att konfigurera dcr:er för datatransformering:

    Direkt inmatning via API:et för logginmatning:

    Omvandlingar av arbetsytor:

    Mer information om regler för datainsamling:

    När du är klar kan du gå tillbaka till Microsoft Sentinel för att kontrollera att dina data matas in baserat på din nyligen konfigurerade transformering. Det kan ta upp till 60 minuter innan konfigurationerna för datatransformering tillämpas.

    Migrera till datatransformering för inmatningstid

    Om du för närvarande har anpassade Microsoft Sentinel-dataanslutningar eller inbyggda API-baserade dataanslutningar kanske du vill migrera till att använda datatransformering för inmatningstid.

    Använd en av följande metoder:

    • Konfigurera en DCR för att från grunden definiera den anpassade inmatningen från datakällan till en ny tabell. Du kan använda det här alternativet om du vill använda ett nytt schema som inte har de aktuella kolumnsuffixen och inte kräver KQL-funktioner för frågetid för att standardisera dina data.

      När du har kontrollerat att dina data matas in korrekt till den nya tabellen kan du ta bort den äldre tabellen samt din äldre anpassade dataanslutning.

    • Fortsätt att använda den anpassade tabellen som skapats av din anpassade dataanslutning. Du kan använda det här alternativet om du har skapat mycket anpassat säkerhetsinnehåll för din befintliga tabell. I sådana fall kan du läsa Migrera från API för datainsamlare och anpassade fältaktiverade tabeller till DCR-baserade anpassade loggar i Azure Monitor-dokumentationen.

    Nästa steg

    Mer information om datatransformering och DCR finns i: