はじめに
Sentinel で Workspace Manager という機能がパブリック プレビューになりました。
こちらの機能は、Sentinel で複数の Log Analytics ワークスペースを使用している場合の管理を容易にする機能で、親となるワークスペースの各種コンテンツを子のワークスペースに同期させることができます。以下がサポート対象のコンテンツです。
- 分析ルール
- オートメーション ルール (プレイブックは除く)
- パーサー、保存済み検索、関数
- ハンティング クエリ、ライブストリーム クエリ
- ワークブック
従来から課題であった、複数ワークスペース管理時のコンテンツの同期がレポジトリやエクスポート・インポートを使用しなくでも実現できるようになる機能です。
設定
まず親となるワークスペースで [設定] から [このワークスペースを親にします。] を ON にします。
ON にすると、メニューに [ワークスペース マネージャー (プレビュー)] が表示されるので、クリックします。
[追加] > [ワークスペース] をクリックします。
追加するワークスペースを選択して、[追加] をクリックします。Lighthouse で委任したワークスペースも選択可能です。
次に [追加] > [グループ] をクリックします。
名前を入力、ワークスペースを追加、子に反映させるコンテンツを指定し [作成] をクリックします。
コンテンツを公開します。
最終公開状態の欄をクリックすると同期状態が確認できます。下記の場合は宛先に該当のテーブルがないため、一部エラーになっています。
同期されたワークスペース側を確認してみると、同期されているのが確認できます。(同期元の分析ルールが古かったため、「更新があります」表記になっています)
更新して再同期
検証用に同期するルールを変えます。[アクション] > [編集] をクリックして、コンテンツをカスタムで作成したテストルールのみに変更します。
公開して、同期されていることを確認します。
親側のルールを編集して再同期します。
子側のルールを確認します。更新されていることが確認できました。
削除
コンテンツを空にして公開してみました。が、子側は消えません。
グループごと削除してみました。これも消えません。
グループ削除に注意が出ますが、コンテンツ自体の削除はできないようで、手動で削除する必要がありそうです。
Known Limitations にも書いてありました。
まとめ
機能にはいくつか制約がありますが、複数のワークスペースを管理する場合には非常に役立つ機能です。こちらを使えば、マスターとなるワークスペースを準備して、そこに子として参加することでコンテンツの新規追加・更新などの管理が非常に簡単にできそうです。
Discussion