Azure Event Hub日志排序使用查询流式处理

Question

如何处理来自事件中心的Azure日志事件并根据条件进行筛选。

我们正在尝试筛选特定的关键或与安全相关的诊断和活动日志，然后再输入我们的Onprem SIEM解决方案。

有没有人可以指导我如何从事件中心过滤数据，然后重新摄取到另一个事件中心。这是否可能，或者是否有任何其他可用的替代方案。

在较高的级别，流程如下所示。来自诊断日志(监视器)的源->事件中心->过滤器/查询->事件中心enter image description here

Answer 1

答案可能非常简单--但在我们的例子中，我们使用Azure函数来执行类似的操作。正如你所知道的数据的形状-函数可以决定事件是被转发到其他EH还是被丢弃。