Как обрабатывать события журнала Azure из концентратора событий и фильтровать их по критериям.
Мы пытаемся фильтровать определенные критически важные или связанные с безопасностью журналы диагностики и активности, прежде чем вводить их в наше решение Onprem SIEM.
Может ли кто-нибудь посоветовать мне, как фильтровать данные из концентратора событий, а затем повторно загружать их в другой концентратор событий. Возможно ли это или какие-либо другие доступные альтернативы.
На высоком уровне поток показан ниже. Источник из журналов диагностики (монитор) -> Концентратор событий -> Фильтр / запрос -> Концентратор событий введите изображение описание здесь