Azure Event Hub сортировка журналов потоковой передачи по запросу

Question

Как обрабатывать Azure Записывать события из концентратора событий и фильтровать их по критериям.

Мы пытаемся отфильтровать определенные c критические или связанные с безопасностью журналы диагностики c и активность перед подачей в наш Решение Onprem SIEM.

Может кто-нибудь подсказать мне, как отфильтровать данные из концентратора событий, а затем повторно ввести их в другой концентратор событий. Возможно ли это или какие-либо другие альтернативы доступны.

На высоком уровне поток показан ниже. Источник из Diagnosti c Журналы (Монитор) -> Концентратор событий -> Фильтр / Запрос -> Концентратор событий введите описание изображения здесь

Answer 1

Ответ может быть очень простым, но в нашем случае мы используем Azure Функции для выполнения аналогичных операций. Как вы знаете форму данных - функция может решить, будет ли событие переслано в другой EH или оно будет отброшено.