问题

• 是否可以将内容从一个 Azure Log Analytics 工作区转发到另一个？

请注意，我不是在询问 Log Analytics 代理的多宿主，以便它写入两个工作区。相反，我想知道在我已经有两个工作区的情况下，其中一个是否可以持续将其内容发送给另一个。

环境与商业案例

哨兵

我们正在使用 Azure Sentinel 来监控基于 Azure 的资源和本地资源的日志。我们使用单个 Sentinel 实例和单个 Log Analytics 工作区。根据 Microsoft 文档的建议，我们需要监控的所有资源都将其日志存储在这个工作区中。

本地 Windows 主机

对于我们的本地 Windows 服务器，我们使用 Azure Log Analytics 代理将各种日志发送到 Sentinel 工作区。此类日志之一是 Windows 事件日志，我们将其中的某些事件从安全、应用程序和系统日志发送到 Azure。这工作正常。

未满足的要求

（注意：不要让提到 SQL Server 吓到你；这只是手头问题的附带问题。）

我们的一些本地 Windows 主机正在运行 SQL Server。我们有审计某些数据库事件的合规性要求。我们正在使用 SQL Server Audit 将这些事件写入 Windows 安全事件日志。

问题是 Log Analytics 代理没有将我们关心的事件从安全事件日志发送到 Sentinel 的 Log Analytics 工作区。这是预期的，基于我们的配置；见下。

技术问题

概念

我们可以配置将 Windows 事件日志中的哪些信息存储在 Azure 中。此配置由目标 Log Analytics 工作区定义。

然而，目前，Azure 只允许相对粗略的配置选项。对于安全事件日志，我们可以存储任何内容、所有内容或以下两组事件之一：“Minimal”和“Common”。Microsoft 记录了每个类别中的事件 ID 列表。

问题

不幸的是，我们关心的与 SQL Server 相关的事件不包括在最小或通用事件 ID 组中。

选项

我看到了几个存储我们想要的特定事件 ID 的选项，但每个选项都有一个重要的缺点：

• 存储所有事件。我们可以更改 Sentinel 工作区的配置以存储来自安全事件日志的所有事件。问题是更改此设置将影响我们所有的 Windows 主机（我们只需要增加运行 SQL Server 的主机子集的日志记录）。如果我们这样做，我们的数据入口和存储成本将急剧增加，尤其是考虑到我们的长期保留要求。

• 使用新的 Azure Monitor 代理。Azure Monitor 代理最终将取代 Log Analytics 代理，并包括定义精细事件存储筛选器的能力。但是，目前，此代理处于预览状态。此外，我们的计划不包括用 Azure Monitor 代理替换我们的 Log Analytics 代理、学习/编写过滤器或更新辅助基础结构（如自动将代理部署到新主机的 Azure 策略）的足够时间。

• 创建第二个 Sentinel 实例。使用具有自己的 Log Analytics 工作区的第二个 Sentinel 将允许我们仅从那里的数据库服务器发送日志。反过来，我们可以将工作区配置为存储来自安全事件日志的所有事件。这将允许我们从这几个数据库服务器存储我们需要的事件，而不会存储来自其他 Windows 服务器的大量噪音。问题是我们现在将有两个独立的 Sentinel 实例，如果我理解正确的话，它们需要额外的配置（例如，分析规则、工作簿等的跨工作区查询）来关联我们不同层之间的安全事件。环境（例如数据库、Web 应用程序、操作系统）。

解决方案？

我设想了一个可能的解决方案，我们将第二个“暂存”Log Analytics 工作区仅用于数据库服务器。此工作区将配置为存储其安全事件日志中的所有事件 - 然后将这些事件转发到 Sentinel 工作区。

在这种情况下，两个工作区将允许我们比使用单个工作区更精细地配置事件日志存储。但是，我们仍然有一个单一的 Sentinel 实例，它可以使用一个统一的工作区关联事件。

诚然，第二个工作区将存储重复记录，但我们可以配置一个较短的保留期，因为它们将被转发到 Sentinel 正在使用的“真实”工作区进行长期存储。额外的费用是可以忍受的。

不过，我不知道这是否可能。我已阅读有关从 Log Analytics 工作区连续导出的信息，但看起来目标只能是存储帐户和事件中心，而不是其他工作区。

因此，我希望有人知道将记录从一个 Log Analytics 工作区转发到另一个的简单方法（即原始问题）。

其他想法？

当然，如果您有其他建议来完成我们将特定 Windows 安全事件日志事件 ID 发送到我们的 Sentinel 实例的业务目标，请随时推荐它们。请注意，我们目前对 Sentinel 专业知识的访问有限，因此任何需要比最适度的 Sentinel 重新配置更多的东西目前可能都不切实际。

提前感谢您的时间和考虑。

使用ARM 模板，我想为我的Azure SQL 数据库启用诊断设置，并将该数据存储在我创建的Log Analytics 工作区中。我想启用错误、超时、阻塞和等待统计日志以及基本指标选项。我能够使用 Web 应用程序来实现此功能，因此我采用了类似的方法，但我的模板失败并抛出错误，指出我引用的指标或诊断类别不存在或不受支持。这是我的模板的一些资源部分：

我不确定是否需要在模板中启用或引用其他设置才能使其正常工作，但我将不胜感激，谢谢！

          "resources": [
                {
                    "type": "databases",
                    "apiVersion": "2019-06-01-preview",
                    "name": "[parameters('sqlDatabase')]",
                    "location": "[parameters('location')]",
                    "tags": {},
                    "dependsOn": [
                        "[parameters('sqlServer')]"
                    ],
                    "sku": {
                        "name": "GP_Gen5_4",
                        "tier": "GeneralPurpose"
                    },
                    "properties": {
                        "startIpAddress": "0.0.0.0",
                        "endIpAddress": "0.0.0.0"
                    }
                },

                {
                    "type": "providers/diagnosticSettings",
                    "name": "[concat('Microsoft.Insights/', parameters('diagnostics-name'))]",
                    "dependsOn": [
                        "[resourceId('Microsoft.Sql/servers', parameters('sqlServer'))]",
                        "[resourceId('Microsoft.Sql/servers/databases', parameters('sqlServer'), parameters('sqlDatabase'))]"
                    ],

                    "apiVersion": "2017-05-01-preview",
                    "properties": {
                        "name": "[parameters('diagnostics-name')]",
                        "workspaceId": "[concat('subscriptions/', subscription().subscriptionId, '/resourceGroups/', parameters('loganalytics-rg'), '/providers/Microsoft.OperationalInsights/workspaces/', parameters('workspacename'))]",
                        "logs": [
                            {
                                "category": "Errors",
                                "enabled": "true",
                                "retentionPolicy": {
                                    "enabled": "true",
                                    "days": 7
                                }
                            },
                            {
                                "category": "DatabaseWaitStatistics",
                                "enabled": "true",
                                "retentionPolicy": {
                                    "enabled": "true",
                                    "days": 7
                                }
                            },
                            {
                                "category": "Timeouts",
                                "enabled": "true",
                                "retentionPolicy": {
                                    "enabled": "true",
                                    "days": 7
                                }
                            },
                            {
                                "category": "Blocks",
                                "enabled": "true",
                                "retentionPolicy": {
                                    "enabled": "true",
                                    "days": 7
                                }
                            }

                        ]
                    }
                }
            ]
        }
    ]
}