我的工作中有一个场景,我需要将 azure 上的多个资源的日志发送到单个日志分析工作区以实现合规性目的,然后将相同的日志摄取到 Azure Sentinel 工作区以用于 SIEM 服务,但是我无法启用 Azure Sentinel第一个工作区,请提供任何线索或解决方案。
答案 0 :(得分:0)
首先,我认为您最好的选择是将所有内容放入一个保留期较长的日志分析工作区,但可以说这根本不可能。
我可以在这里看到 2 个选项: 最简单的方法可能是在每个指向单独日志分析工作空间的资源上设置 2 个 diagnostic settings。
更难的选择是将 continuous export 用于 Azure 存储(这可能是您需要做的全部)或事件中心,然后使用 Azure 函数将其处理回日志分析。
最后的评论是,无论在这里做什么,您都要为数据摄取支付两次费用,这至少会使您的成本增加一倍,因为保留时间较短。