【发布时间】:2021-08-08 21:04:20
【问题描述】:
我想了解我是否将日志从日志分析工作区发送到 azure 中的存储帐户,这些日志是否有可能在使用存储连接器时由 Azure sentinel 监控,或者 azure sentinel 仅监控存储帐户日志
【问题讨论】:
标签: azure azure-log-analytics azure-storage-account azure-sentinel
【发布时间】:2021-08-08 21:04:20
【问题描述】:
听起来您希望读取 Azure 存储的内容并摄取到 Sentinel。如果是这样,您将需要custom connector。 GitHub 上有一个 Azure Function 示例here。
【讨论】:
-
是的,一种情况是,如果任何本地设备日志存储在 azure blob 中,sentinel 可以读取这些日志以处理任何与安全相关的事件
-
是的,它们可以通过自定义连接器实现。我知道上面的例子看起来很多,EvenGrid、StrQueue、AzFunction、LogA 但这只是一个例子。 EventGrid 需要在它们登陆时发送日志,如果您可以延迟一段时间,您可以将 AzFunction 配置为定期运行。