0

我的工作中有一个场景,我需要将来自 Azure 上的多个资源的日志发送到单个日志分析工作区以实现合规性,然后将相同的日志摄取到 Azure Sentinel 工作区以用于 SIEM 服务,但是我无法在第一个工作区上启用 Azure Sentinel ,请提供任何线索或解决方案。

4

1 回答 1

0

首先,我认为您最好的选择是将所有内容放入一个保留期较长的日志分析工作区,但可以说这根本不可能。

我可以在这里看到 2 个选项:最简单的可能是在每个资源上设置 2 个诊断设置,这些设置指向单独的日志分析工作空间。

一个更难的选择是使用持续导出到 Azure 存储(这可能是您需要做的所有事情)或事件中心,然后使用 Azure 函数将其处理回日志分析。

最后的评论是,无论在这里做什么,您都将为数据摄取支付两次费用,这至少会使您的成本增加一倍,从而缩短保留时间。

于 2021-05-19T16:17:04.777 回答