将日志发送到多个Azure日志分析工作区
将日志发送到多个Azure日志分析工作区
提问于 2021-05-19 02:43:27
在我的工作中,我有一个场景,我需要将日志从azure上的多个资源发送到单个日志分析工作区,以便合规,然后将相同的日志摄取到Azure Sentinel工作区以获得SIEM服务,但是我无法在第一个工作区上启用Azure Sentinel,请提供任何线索或解决方案。
回答 1
Stack Overflow用户
发布于 2021-05-20 00:17:05
首先,我认为您最好的选择是将所有内容放到一个保留时间更长的日志分析工作区中,但假设这是完全不可能的。
我在这里可以看到两个选项:最简单的可能是在每个资源上设置2个diagnostic settings,它指向单独的日志分析工作空间。
一个更难的选择是将continuous export用于Azure Storage (这可能是您需要做的所有事情)或事件中心,然后使用Azure函数将其处理回日志分析。
最后的评论是,无论在这里做什么,您都将为数据摄取支付两次费用,这将使您的成本至少增加一倍,以获得更短的保留时间。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/67592217
复制相关文章
相似问题
腾讯云开发者
