我需要以增量方式从 Azure Sentinel 中提取数据。
例如:
- 第 1 步:需要从 Sentinel 到我的 UI 的每日登录详细信息(使用 KQL)
- 第 2 步:从 ADF 创建管道
- 第 3 步:将数据加载到表中
是否有任何可供 Azure Sentinel 或 Azure Log Analytics 连接 Azure 数据工厂的 Lync 服务或连接器?
问问题
44 次
2 回答
0
我们使用了下面的 Kusto 查询来提取过去一天在特定计算机上发生的登录列表
SecurityEvent
| where TimeGenerated >= ago(1d)
| where Computer == "<vmname>"
您可以参考此文档,以获取更多示例 kusto 查询查询。
是否有任何可供 Azure Sentinel 或 Azure Log Analytics 连接 Azure 数据工厂的 Lync 服务或连接器?
不,我们没有任何可用于将 Azure 日志分析工作区或 Azure Sentinel 与 Azure 数据工厂连接的直接连接器。
如果要在 ADF 中使用日志分析工作区/Azure 哨兵数据,则需要将数据导出到存储帐户(blob 存储)或 Azure 事件中心,并将该数据从 blob 存储加载到数据工厂,如本文档中所述。
您可以参考这些文档将数据从Azure 日志分析工作区导出到存储帐户,将 Azure 哨兵数据导出到 azure 存储帐户
于 2021-11-16T12:12:23.603 回答
0
有两种方法取决于 API 的身份验证方法。
首先是服务原则,高级步骤: 将 Azure Monitor 日志数据导入 Azure 数据工厂 博客主题:https ://datasavvy.me/2020/12/24/retrieving-log-analytics-data-with-数据工厂/comment-page-1/#comment-28467
其次是托管身份:
- 首先使用 IAM 让 ADF 访问 Log Analytics如何在 Azure 数据工厂中使用此 API
- 然后使用 Web 活动或复制活动连接到 Log Analytic API(这是我开始工作的两个)。
网络活动
网址:https ://api.loganalytics.io/v1/workspaces/[Workspace ID]/query
正文: {"query":"search '*'| where TimeGenerated >= datetime(@{pipeline().parameters.it_startDate}) 和 TimeGenerated < datetime(@{pipeline().parameters.it_endDate}) | distinct $table "}
复制活动
首先是链接服务。
ADF 数据集:
基本 URL: URL:https://api.loganalytics.io/v1/workspaces/ [工作区ID]/
复制来源:
正文:{“查询”:“@{item()[0]} | 其中 TimeGenerated >= datetime(@{pipeline().parameters.it_startDate}) 和 TimeGenerated < datetime(@{pipeline().parameters.it_endDate} )" }
附加:上面的正文代码使用 Web 活动获取日志分析中的表名列表。然后我将其传递给 Copy Activity 以导出每个表的数据副本。
于 2021-12-23T03:21:30.163 回答