Как обрабатывать события журнала Azure из концентратора событий и фильтровать их по критериям.
Мы пытаемся отфильтровать определенные критически важные или связанные с безопасностью журналы диагностики и активности, прежде чем использовать наше решение Onprem SIEM.
Может ли кто-нибудь посоветовать мне, как фильтровать данные из концентратора событий, а затем повторно загружать их в другой концентратор событий. Погода это возможно или любые другие доступные альтернативы.
На высоком уровне поток показан ниже. Источник из журналов активности или диагностики Azure (монитор) -> Концентратор событий -> Фильтр / запрос -> Концентратор событий
Сам Event Hub не может выполнять фильтрацию за вас, это просто инструмент для приема, поэтому вам нужно будет взглянуть на другой инструмент, чтобы просмотреть эти данные и отфильтровать то, что вам нужно. Самый простой инструмент для этого - Stream Analytics, который может обрабатывать данные напрямую из концентратора событий, а затем отправлять их туда, где вам нужно. Посмотреть пример Вот.
