Share via

بثّ بيانات المراقبة في Azure إلى مركز أحداث أو شريك خارجي

  • مقالة

في معظم الحالات، الطريقة الأكثر فعالية لدفق البيانات من Azure Monitor إلى الأدوات الخارجية هي باستخدام Azure Event Hubs. توفر هذه المقالة وصفًا مختصرًا حول كيفية سرد البيانات، ثم تسرد بعض الشركاء الذين يمكنك إرسالها إليهم. يتمتع بعض الشركاء بتكامل خاص مع Azure Monitor وقد تتم استضافتهم على Azure.

إنشاء مساحة اسم مراكز الأحداث

قبل تكوين البثّ لأي مصدر بيانات، تحتاج إلى إنشاء مساحة اسم في مراكز الأحداث، وكذلك إلى مركز أحداث. تعدّ مساحة الاسم هذه ومركز الأحداث الوجهة لجميع بيانات المراقبة الخاصة بك. مساحة الاسم في مراكز الأحداث عبارة عن تجميع منطقي لمراكز الأحداث التي تشترك في نهج الوصول نفسه، وتشبه إلى حدٍ كبير حساب تخزين الكائنات الثنائية كبيرة الحجم الفردية داخل حساب التخزين هذا. ضع في اعتبارك التفاصيل التالية حول مساحة اسم مراكز الأحداث ومراكز الأحداث التي تستخدمها لتدفق بيانات المراقبة:

  • يسمح لك عدد وحدات معدل النقل بزيادة مقياس معدل النقل لمراكز الأحداث الخاصة بك. عادةً لا يلزم وجود سوى وحدة معدل نقل واحدة فقط. إذا كنت بحاجة إلى تغيير السعة خلال زيادة استخدام السجل الخاص بك، فيمكنك يدويًا زيادة عدد وحدات معدل النقل لمساحة الاسم أو تمكين التضخم التلقائي.
  • يسمح لك عدد الأقسام بالتوازي مع الاستهلاك عبر العديد من المستهلكين. يمكن أن يدعم قسم واحد حتى 20 ميجابت أو حوالي 20,000 رسائل في الثانية. اعتمادا على الأداة التي تستهلك البيانات، قد تدعم أو لا تدعم الاستهلاك من أقسام متعددة. من المنطقي البدء بأربعة أقسام إذا لم تكن متأكدًا من عدد الأقسام المراد تعيينها.
  • أنت تعيّن استبقاء الرسائل في مركز الأحداث إلى 7 أيام على الأقل. إذا انخفضت أداة الاستهلاك لأكثر من يوم واحد، فيضمن هذا الاستبقاء أن الأداة يمكن أن تلتقط من حيث توقفت بالنسبة إلى الأحداث الموجودة منذ 7 أيام.
  • ينبغي استخدام مجموعة المستهلكين الافتراضية لمركز الأحداث. ليست هناك حاجة لإنشاء مجموعات أخرى من المستهلكين أو استخدام مجموعة مستهلكة منفصلة إلا إذا كنت تخطط لجعل أداتين مختلفتين تستهلكان البيانات ذاتها من مركز الأحداث نفسه.
  • بالنسبة إلى سجل نشاط Azure، يمكنك اختيار مساحة اسم مراكز الأحداث، وينشئ Azure Monitor مركز أحداث داخل مساحة الاسم هذه تسمى insights-logs-operational-logs. بالنسبة إلى أنواع السجلات الأخرى، يمكنك إما اختيار مركز أحداث موجود أو أن يقوم Azure Monitor بإنشاء مركز أحداث لكل فئة سجل.
  • يجب عادة فتح المنفذ الصادر 5671 و5672 على الكمبيوتر أو الشبكة الظاهرية المستهلكة للبيانات من مركز الأحداث.

بيانات المراقبة المتاحة

تصف مصادر بيانات المراقبة ل Azure Monitor وأساليب جمع البيانات الخاصة بها الأنواع المختلفة من البيانات التي تم جمعها بواسطة Azure Monitor والأساليب المستخدمة لجمعها. راجع هذه المقالة لتلك البيانات التي يمكن دفقها إلى مركز أحداث وارتباطات إلى تفاصيل التكوين.

دفق بيانات التشخيص

استخدم إعداد التشخيص لدفق السجلات والمقاييس إلى مراكز الأحداث. للحصول على معلومات حول كيفية إعداد إعدادات التشخيص، راجع إنشاء إعدادات التشخيص

JSON التالي هو مثال على بيانات المقاييس المرسلة إلى مركز الأحداث:

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

JSON التالي هو مثال على بيانات السجل المرسلة إلى مركز أحداث:

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
            "appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "12345678-abcd-1234-abcd-1234567890ab",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

الدفق اليدوي باستخدام تطبيق منطقي

بالنسبة للبيانات التي لا يمكنك دفقها مباشرة إلى مركز أحداث، يمكنك الكتابة إلى Azure Storage ثم يمكنك استخدام تطبيق منطقي يتم تشغيله زمنيا يسحب البيانات من Azure Blob Storage ويدفعها كرسالة إلى مركز الأحداث.

أدوات الشركاء مع تكامل Azure Monitor

يمكنك توجيه بيانات المراقبة إلى مركز أحداث باستخدام Azure Monitor من الاندماج بسهولة مع إدارة معلومات الأمان والأحداث (SIEM) الخارجية وأدوات المراقبة. يسرد الجدول التالي أمثلة على الأدوات مع تكامل Azure Monitor.

أداة مستضاف في Azure ‏‏الوصف
IBM QRadar لا يمكن تنزيل كلٍ من Microsoft Azure DSM وبروتوكول مراكز الأحداث من موقع دعم IBM.
Splunk لا إن المكون الإضافي Splunk لخدمات Microsoft السحابية هو مشروع مفتوح المصدر متوفر في Splunkbase.

إذا لم تتمكن من تثبيت وظيفة إضافية في مثيل Splunk الخاص بك، وعلى سبيل المثال، كنت تستخدم وكيلا أو تعمل على Splunk Cloud، يمكنك إعادة توجيه هذه الأحداث إلى Splunk HTTP Event Collector باستخدام وظيفة Azure ل Splunk. يتم تشغيل هذه الأداة بواسطة رسائل جديدة في مركز الحدث.
SumoLogic لا تتوفر إرشادات لإعداد SumoLogic لاستهلاك البيانات من مركز أحداث في تجميع السجلات لتطبيق Azure Audit من مركز الأحداث.
ArcSight لا يتوفر الموصل الذكي لمراكز أحداث ArcSight كجزء من مجموعة الموصل الذكي لـ ArcSight Azure.
خادم Syslog لا إذا كنت ترغب في دفق بيانات Azure Monitor مباشرة إلى خادم Syslog، يمكنك استخدام حل يستند إلى دالة Azure.
LogRhythm لا تتوفر إرشادات لإعداد LogRhythm لتجميع السجلات من مركز الأحداث في موقع LogRhythm هذا.
Logz.io ‏‏نعم‬ لمزيد من المعلومات، راجع البدء في المراقبة والتسجيل باستخدام Logz.io لتطبيقات Java التي تعمل على Azure.

الخطوات التالية