你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Azure 事件中心连接器
Azure 事件中心是大数据流式处理平台和事件引入服务。 它可以每秒接收和处理数百万个事件。 使用此连接器可将 Azure 事件中心诊断日志流式传输到 Microsoft Sentinel 中,以便持续监视活动。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | AzureDiagnostics(事件中心) |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
所有日志
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.EVENTHUB"
按事件中心计数
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.EVENTHUB"
| summarize count() by Resource
先决条件
要与 Azure 事件中心集成,请确保:
- 策略:为每个策略分配范围分配的所有者角色
供应商安装说明
将 Azure 事件中心诊断日志连接到 Sentinel。
此连接器使用 Azure Policy 将单个 Azure 事件中心日志流式处理配置应用到定义为某个范围的实例集合。 按照以下说明创建策略并将其应用于所有当前和将来的实例。 注意,对于这种资源类型,你可能已有活动策略。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。