دفق بيانات مراقبة Azure إلى مركز أحداث وشريك خارجي

طريقة فعالة لدفق البيانات من Azure Monitor إلى الأدوات الخارجية هي باستخدام Azure Event Hubs. توفر هذه المقالة وصفا لكيفية دفق البيانات إلى مراكز الأحداث وتسرد بعض الشركاء الذين يمكنهم استهلاك تلك البيانات من المركز. يتكامل بعض الشركاء مع Azure Monitor ولديهم خدمات مستضافة من Azure.

إنشاء مساحة اسم مراكز الأحداث

قبل تكوين البث لمصدر بيانات، تحتاج إلى إنشاء مساحة اسم مراكز الأحداث ومركز الأحداث. تعدّ مساحة الاسم هذه ومركز الأحداث الوجهة لجميع بيانات المراقبة الخاصة بك. مساحة اسم مراكز الأحداث هي تجميع منطقي لمراكز الأحداث التي تشترك في نفس نهج الوصول، مثل حساب التخزين الذي يحتوي على حاويات فردية للكائنات الثنائية كبيرة الحجم داخل حساب التخزين. ضع في اعتبارك التفاصيل التالية حول مساحة اسم مراكز الأحداث ومراكز الأحداث التي تستخدمها لتدفق بيانات المراقبة:

• يسمح لك عدد وحدات معدل النقل بزيادة مقياس معدل النقل لمراكز الأحداث الخاصة بك. عادةً لا يلزم وجود سوى وحدة معدل نقل واحدة فقط. إذا كنت بحاجة إلى تغيير السعة خلال زيادة استخدام السجل الخاص بك، فيمكنك يدويًا زيادة عدد وحدات معدل النقل لمساحة الاسم أو تمكين التضخم التلقائي.
• يسمح لك عدد الأقسام بالتوازي مع الاستهلاك عبر العديد من المستهلكين. يمكن أن يدعم قسم واحد حتى 20 ميجابت أو حوالي 20,000 رسائل في الثانية. اعتمادا على الأداة التي تستهلك البيانات، قد تدعم أو لا تدعم الاستهلاك من أقسام متعددة. من المنطقي البدء بأربعة أقسام إذا لم تكن متأكدًا من عدد الأقسام المراد تعيينها.
• تعيين الاحتفاظ بالرسائل على مركز الأحداث إلى سبعة أيام على الأقل. إذا انخفضت أداة الاستهلاك لأكثر من يوم واحد، فيضمن هذا الاستبقاء أن الأداة يمكن أن تلتقط من حيث توقفت بالنسبة إلى الأحداث الموجودة منذ 7 أيام.
• استخدم مجموعة المستهلكين الافتراضية لمركز الأحداث. ليست هناك حاجة لإنشاء مجموعات أخرى من المستهلكين أو استخدام مجموعة مستهلكة منفصلة إلا إذا كنت تخطط لجعل أداتين مختلفتين تستهلكان البيانات ذاتها من مركز الأحداث نفسه.
• بالنسبة لسجل نشاط Azure، عند تحديد مساحة اسم مراكز الأحداث، ينشئ Azure Monitor مركز أحداث داخل مساحة الاسم هذه تسمى insights-logs-operational-logs. بالنسبة إلى أنواع السجلات الأخرى، يمكنك إما اختيار مركز أحداث موجود أو أن يقوم Azure Monitor بإنشاء مركز أحداث لكل فئة سجل.
• يجب فتح المنفذ الصادر 5671 و5672 على الجهاز أو الشبكة الظاهرية التي تستهلك البيانات من مركز الأحداث.

طرق الدفق

يمكن إرسال البيانات إلى مراكز الأحداث باستخدام الطرق التالية في Azure Monitor:

• قواعد جمع البيانات
  يتم استخدام قواعد جمع البيانات لدفق السجلات والمقاييس إلى مراكز الأحداث ومساحات عمل تحليلات السجل وتخزين Azure. للحصول على معلومات حول كيفية إعداد قواعد جمع البيانات، راجع قواعد جمع البيانات في Azure Monitor وإنشاء قواعد تجميع البيانات وتحريرها.

• إعدادات التشخيص
  استخدم إعداد التشخيص لدفق السجلات والمقاييس إلى مراكز الأحداث. للحصول على معلومات حول كيفية إعداد إعدادات التشخيص، راجع إنشاء إعدادات التشخيص.

• الدفق يدويا باستخدام Logic Apps
  بالنسبة للبيانات التي لا يمكنك دفقها مباشرة إلى مركز أحداث، يمكنك الكتابة إلى Azure Storage ثم يمكنك استخدام تطبيق منطقي يتم تشغيله زمنيا يسحب البيانات من Azure Blob Storage ويدفعها كرسالة إلى مركز الأحداث. لمزيد من المعلومات، راجع الاتصال بمركز أحداث من مهام سير العمل في Azure Logic Apps.

تنسيقات البيانات

JSON التالي هو مثال على بيانات المقاييس المرسلة إلى مركز الأحداث:

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

JSON التالي هو مثال على بيانات السجل المرسلة إلى مركز أحداث:

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
            "appid": "44445555-eeee-6666-ffff-7777aaaa8888"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

أدوات الشركاء مع تكامل Azure Monitor

يمكنك توجيه بيانات المراقبة إلى مركز أحداث باستخدام Azure Monitor من الاندماج بسهولة مع إدارة معلومات الأمان والأحداث (SIEM) الخارجية وأدوات المراقبة. يسرد الجدول التالي أمثلة على الأدوات مع تكامل Azure Monitor.

أداة	مستضاف في Azure	‏‏الوصف
IBM QRadar	لا	يمكن تنزيل كلٍ من Microsoft Azure DSM وبروتوكول مراكز الأحداث من موقع دعم IBM.
Splunk	لا	إن المكون الإضافي Splunk لخدمات Microsoft السحابية هو مشروع مفتوح المصدر متوفر في Splunkbase. إذا لم تتمكن من تثبيت وظيفة إضافية في مثيل Splunk الخاص بك وكنت تستخدم وكيلا أو تعمل على Splunk Cloud، يمكنك إعادة توجيه هذه الأحداث إلى Splunk HTTP Event Collector باستخدام وظيفة Azure ل Splunk. يتم تشغيل هذه الأداة بواسطة رسائل جديدة في مركز الحدث.
SumoLogic	لا	تتوفر إرشادات لإعداد SumoLogic لاستهلاك البيانات من مركز أحداث في تجميع السجلات لتطبيق Azure Audit من مركز الأحداث.
ArcSight	لا	يتوفر الموصل الذكي لمراكز أحداث ArcSight كجزء من مجموعة الموصل الذكي لـ ArcSight Azure.
خادم Syslog	لا	إذا كنت ترغب في دفق بيانات Azure Monitor مباشرة إلى خادم Syslog، يمكنك استخدام حل يستند إلى دالة Azure.
LogRhythm	لا	تتوفر إرشادات لإعداد LogRhythm لتجميع السجلات من مركز الأحداث في موقع LogRhythm هذا.
Logz.io	‏‏نعم‬	لمزيد من المعلومات، راجع البدء في المراقبة والتسجيل باستخدام Logz.io لتطبيقات Java التي تعمل على Azure.

الخطوات التالية

• مصادر بيانات Azure Monitor وأساليب جمع البيانات
• قواعد تجميع بيانات Azure Monitor
• تصدير المقاييس باستخدام قواعد جمع البيانات
• إعدادات تشخيص Azure Monitor
• إعداد تنبيه استنادا إلى حدث سجل نشاط