Azure :如何根据标准从事件中心处理Azure日志事件并进行筛选

Question

如何从事件中心处理Azure日志事件，并根据标准进行筛选。

在输入Onprem SIEM解决方案之前，我们正在尝试过滤特定的关键或安全相关的诊断和活动日志。

请有人指导我如何过滤来自事件中心的数据，然后重新摄取到另一个事件中心。如果这是可能的，或任何其他可供选择的地方。

在较高的水平上，流程如下所示。源来自Azure活动或诊断日志(监视器) ->事件集线器->筛选器/查询->事件中心

Azure事件日志数据流诊断

Answer 1

事件集线器本身不能为您进行任何筛选，它只是一个摄取工具，因此您需要查看另一个工具来查看这些数据并筛选出所需的内容。最简单的工具是流分析，它可以直接处理事件集线器中的数据，然后将其发送到需要的地方。参见一个示例这里。