只需要单击一次即可将日志从Azure 活动日志流式传输到 azure Sentinel。 活动日志是一种订阅日志,可用于深入了解 Azure 中发生的订阅级别事件。 这包括从 Azure 资源管理器操作数据到服务运行状况事件更新的一系列数据。 使用活动日志,可以确定针对订阅中的资源执行的任何写入操作(PUT、POST、DELETE)的 "操作内容、操作人员和操作时间"。 还可以了解该操作和其他相关属性的状态。活动日志不包括读取(GET)操作或针对使用经典/"RDFE" 模型的资源的操作。
先决条件
- 具有全局管理员或安全管理员权限的用户
连接到 Azure 活动日志
-
在 Azure Sentinel 中,选择 "数据连接器",然后单击 " Azure 活动日志" 磁贴。
-
在 "Azure 活动日志" 窗格中,选择要流式传输到 Azure Sentinel 的订阅。
-
单击“连接”。
-
若要在 Azure 活动警报的 Log Analytics 中使用相关架构,请搜索AzureActivity。
后续步骤
本文档介绍了如何将 Azure 活动日志连接到 Azure Sentinel。 要详细了解 Azure Sentinel,请参阅以下文章:
- 了解如何了解你的数据以及潜在的威胁。
- 开始通过 Azure Sentinel 检测威胁。
)
)
——通过模板创建MAP版本项目)
——领域层创建实体)
