我们是一家托管服务提供商,通过 Azure Lighthouse 管理大约 30 个租户。
每个租户都有一个 Log Analytics 工作区,用于收集该租户下托管的资源的日志和指标。
我的问题是我们能否将数据从所有租户的工作区发送到我们租户的主工作区。这主要是因为我们要创建 Alert 规则,它不以多个资源为源。
如果有更好的选择来实现这一点,请建议
问问题
259 次
1 回答
0
如果您选中此将 Log Analytics 工作区移动到不同的订阅或资源组Microsoft 文档,您会发现将日志从一个 Log Analytics 工作区移动到不同订阅中的另一个工作区非常容易。
但是,如果您尝试将日志从一个租户移动到另一个租户,那么它会变得有点困难,因为很多数据将没有用,因为您会丢失很多参考数据。仍然有办法解决这个问题。
要将数据从所有租户的工作区发送到租户的主工作区,您必须使用Microsoft Sentinel。Microsoft Sentinel 构建在 Log Analytics 工作区之上。Microsoft Sentinel 提供多工作区功能,可实现集中监控、配置和管理。
在您的情况下,您应该使用托管安全服务提供商 (MSSP) Microsoft Sentinel 服务。 MSSP 可以使用 Azure Lighthouse 跨租户扩展 Microsoft Sentinel 跨工作空间功能。有关更多信息,请查看同时处理多个工作区中的事件文档。我还建议阅读Microsoft 的跨工作区和租户的扩展 Microsoft Sentinel文档以获取更多信息。
还有另一种方法可以将日志从一个租户的工作空间移动到另一个租户,但与上述方法相比,这种方法效率不高。您可以使用 Log Analytics 数据导出并将事件发送到该租户的 EventHub。数据位于事件中心后,您可以编写逻辑应用来处理数据并将其写入新租户中的逻辑应用。但个人会推荐第一种方法而不是这种方法。
于 2021-12-06T08:20:30.730 回答