Сортировка журналов Azure Event Hub с помощью запроса

Как обрабатывать события журнала Azure из концентратора событий и фильтровать их по критериям.

Мы пытаемся фильтровать определенные критически важные или связанные с безопасностью журналы диагностики и активности, прежде чем вводить их в наше решение Onprem SIEM.

Может ли кто-нибудь посоветовать мне, как фильтровать данные из концентратора событий, а затем повторно загружать их в другой концентратор событий. Возможно ли это или какие-либо другие доступные альтернативы.

На высоком уровне поток показан ниже. Источник из журналов диагностики (монитор) -> Концентратор событий -> Фильтр / запрос -> Концентратор событий введите изображение описание здесь


azure-security azure-logic-apps azure-log-analytics azure-eventhub azure-diagnostics
person Anil Kash    schedule 19.03.2020    source источник
comment
Какой тип фильтра вы хотите применить? Если полезная нагрузка - это JSON или AVRO и вы хотите отфильтровать одно из свойств документа, вы можете написать запросы Azure Stream Analytics для пересылки событий в другой концентратор событий.   -  person Serkant Karaca    schedule 19.03.2020
comment
Полезная нагрузка - это JSON из журналов событий Azure, и я уже пробовал Stream Analytics, которая не может сортировать данные должным образом.   -  person Anil Kash    schedule 22.04.2020

Ответы (1)


arrow_upward
0
arrow_downward

Ответ может быть очень простым, но в нашем случае мы используем функции Azure для выполнения аналогичных операций. Как вы знаете форму данных - функция может решить, перенаправляется ли событие в другой EH или оно отбрасывается.

person profesor79    schedule 23.04.2020