如何处理来自事件中心的Azure日志事件并根据条件进行过滤。
我们正在尝试将特定的关键或安全相关的诊断和活动日志过滤掉,然后再输入我们的Onprem SIEM解决方案。
[有人可以指导我如何从事件中心过滤数据,然后重新输入到另一个事件中心。这是否可行,或者是否有其他可用的替代方法。
高层次上,流程如下所示。来自诊断日志(监视器)的源->事件中心->过滤/查询->事件中心enter image description here
答案可能很简单-但是在我们的例子中,我们使用Azure Functions执行类似的操作。如您所知,数据的形状-函数可以确定事件是转发到其他EH还是丢弃。