通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

创建和管理 Jupyter 笔记本作业

可以使用 Visual Studio Code 的 Microsoft Sentinel 扩展创建计划作业,以在特定时间或时间间隔运行。 作业允许自动执行数据处理任务,以汇总、转换或分析 Microsoft Sentinel 数据湖中的数据。 作业还用于处理数据并将结果写入湖层或分析层中的自定义表。

权限

Microsoft Entra ID 角色提供对数据湖中所有工作区的广泛访问权限。 若要创建和计划作业、跨所有工作区读取表、写入分析层和湖层,你必须具有受支持的 Microsoft Entra ID 角色之一。 有关角色和权限的详细信息,可查看 Microsoft Sentinel 中的角色和权限

若要在分析层中创建新的自定义表,必须在 Log Analytics 工作区中为 Data Lake 托管标识分配 Log Analytics 参与者 角色。

若要分配角色,请执行以下步骤:

  1. 在 Azure 门户中,导航到要向其分配角色的 Log Analytics 工作区。
  2. 在左侧导航窗格中,选择“访问控制 (IAM)”
  3. 选择“添加角色分配”。
  4. “角色”表中,选择“Log Analytics 参与者”,然后选择“下一步
  5. 选择托管标识,然后选择选择成员
  6. 数据湖托管标识是一个系统分配的托管标识,其名称为 msg-resources-<guid>。 选择托管身份,然后选择 选择
  7. 选择“查看并分配”

有关为托管标识分配角色的详细信息,请参阅使用 Azure 门户分配 Azure 角色

创建和安排任务

可通过以下三种方式之一创建作业:

  1. 在笔记本编辑器中,从工具栏中选择“ 创建计划作业 ”。

  2. “资源管理器” 窗格中,右键单击笔记本文件,然后选择 Microsoft Sentinel,然后选择“ 创建计划作业”。

    显示如何在 Visual Studio Code 中创建新作业的屏幕截图。

  3. 从作业列表中,选择 + 用于创建新作业的图标。

    显示如何在 Visual Studio Code 中的作业列表中创建新作业的屏幕截图。

  4. 选择 “使用现有笔记本 ”选择现有笔记本文件,或选择“ 创建新笔记本 ”,为作业创建新的笔记本文件。

    显示如何为作业选择现有笔记本的屏幕截图。

  5. “作业配置 ”页上的“ 作业详细信息 ”部分中,输入作业 的名称说明

  6. 根据作业计算需求,选择要运行作业的 Spark 池大小。

  7. 若要在没有计划的情况下手动运行作业,请在“计划”部分选择“按需”,然后选择“提交”以保存作业配置并发布作业。

  8. 若要指定作业的计划,请在“计划”部分选择计划的安排

    1. 选择作业的 重复频率 。 可以选择 “按分钟”、“ 每小时”、“ 每周”、“ 每日”或 “每月”。

    2. 将显示其他选项来配置计划,具体取决于选择的频率。 例如,一周中的某一天、一天中的某个时刻或一个月中的某一天。

    3. 选择计划开始运行的开始时间

    4. 为计划选择停止运行的结束时间。 如果不想为计划设置结束时间,请选择“ 设置作业”以无限期运行。 日期和时间位于用户的时区中。

    5. 选择 “提交 ”以保存作业配置并发布作业。

    显示作业配置页的屏幕截图。

  9. 若要查看作业,请选择左侧工具栏中的Microsoft Sentinel 盾牌图标。 作业显示在 “作业 ”面板上。

  10. 选择作业以查看作业详细信息。

  11. 可以通过选择“ 立即运行”、“禁用和启用作业计划”或删除作业来立即运行作业。

    显示作业详细信息页的屏幕截图。

  12. “运行历史记录 ”选项卡中查看作业历史记录。

    显示作业运行页的屏幕截图。

  13. 选择活动以查看更多详细信息。 显示作业运行详细信息页的屏幕截图。

编辑已提交的任务

提交作业会创建一个作业定义,其中包括笔记本文件、作业配置和计划。 作业定义是从 VS Code 编辑器上传的,并存储在 Microsoft Sentinel 数据湖中。 提交后,作业将不再与您本地文件系统中的笔记本文件连接。 如果要编辑笔记本作业中的代码,则必须下载作业定义、编辑笔记本文件,然后重新提交作业。

若要编辑提交的作业,请执行以下步骤:

  1. “作业 ”部分中,选择要编辑的作业。

  2. 选择 “下载 云”图标,将作业定义下载到本地文件系统。 在作业详细信息编辑器中,可以看到作业配置。 还可以选择“ 下载最新笔记本”。

    显示 VS Code 中的编辑和下载作业图标的屏幕截图。

  3. 编辑下载的 ipynb 工作簿文件以进行更改。

  4. 返回到“ 作业详细信息 ”选项卡,然后选择“ 编辑作业”。

  5. 编辑作业名称、说明、群集配置和计划。 更改作业名称会在提交作业时创建新的作业定义。

  6. 选择 提交 以上传更新后的笔记本文件和作业配置。

  7. 成功提交作业时会显示确认。

    显示 VS Code 中编辑面板页的屏幕截图。

在 Microsoft Defender 门户中查看工作

除了在 VS Code 中查看作业,还可以在 Defender 门户中查看笔记本作业。 若要在 Defender 门户中查看作业,请选择“Microsoft Sentinel”“数据湖探索”>“作业”>

该页显示作业及其类型的列表。 选择一个笔记本作业以查看其详细信息。 可以启用和禁用作业的计划,但无法在 Defender 门户中编辑笔记本作业。

显示 Defender 门户中的“作业”页的屏幕截图。

  1. 选择作业以查看作业详细信息。

显示 Defender 门户中作业详细信息的屏幕截图。

  1. 选择 “查看历史记录 ”以查看作业运行的历史记录。

显示 Defender 门户中的“作业历史记录”页的屏幕截图。

服务参数和限制和故障排除

有关 Microsoft Sentinel 数据湖的服务限制列表,请参阅 Microsoft Sentinel data Lake 服务限制

有关故障排除的信息,请参阅在 Microsoft Sentinel 数据湖上运行笔记本

相关内容