Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Efektivní metodou streamování dat ze služby Azure Monitor do externích nástrojů je použití služby Azure Event Hubs. Tento článek obsahuje popis, jak streamovat data do služby Event Hubs a uvádí některé z partnerů, kteří můžou tato data využívat z centra. Někteří partneři se integrují se službou Azure Monitor a mají hostované služby Azure.
Vytvořte obor názvů služby Event Hubs
Než nakonfigurujete streamování pro datový zdroj, je třeba vytvořit jmennou oblast Event Hubs a centrum událostí. Tento obor názvů a centrum událostí je cílem pro všechna data monitorování. Obor názvů služby Event Hubs je logické seskupení center událostí, které sdílejí stejné zásady přístupu, podobně jako účet úložiště má jednotlivé kontejnery pro objekty blob v rámci účtu úložiště. Zvažte následující podrobnosti o názvech oborů služby Event Hubs a event hubů, které používáte pro streamování monitorovacích dat:
- Počet jednotek propustnosti umožňuje zvýšit škálování propustnosti pro vaše centra událostí. Obvykle je potřeba jenom jedna jednotka propustnosti. Pokud potřebujete zvýšit kapacitu při nárůstu využití logů, můžete počet jednotek propustnosti pro obor názvů ručně zvýšit nebo povolit automatické navýšení.
- Počet oddílů umožňuje paralelizovat spotřebu napříč mnoha uživateli. Jeden oddíl může podporovat až 20 MB/s nebo přibližně 20 000 zpráv za sekundu. V závislosti na nástroji, který data využívá, může nebo nemusí podporovat využívání z více oddílů. Pokud si nejste jistí, kolik oddílů se má nastavit, je vhodné začít se čtyřmi oddíly.
- Nastavte uchovávání zpráv v centru událostí na nejméně sedm dní. Pokud váš nástroj pro konzumaci přestane fungovat déle než jeden den, toto uchovávání zajišťuje, že nástroj může pokračovat tam, kde přestal, u událostí starých až sedm dnů.
- Použijte výchozí skupinu příjemců pro vaše centrum událostí. Není nutné vytvářet jiné skupiny příjemců nebo používat samostatnou skupinu příjemců, pokud neplánujete, že byste měli mít dva různé nástroje, které spotřebovávají stejná data ze stejného centra událostí.
- Pokud pro protokol aktivit Azure vyberete obor názvů služby Event Hubs, Azure Monitor vytvoří centrum událostí v rámci tohoto oboru názvů s názvem
insights-logs-operational-logs. U jiných typů protokolů můžete zvolit existující centrum událostí nebo vytvořit centrum událostí pro každou kategorii protokolu. - Odchozí port 5671 a 5672 musí být otevřen na počítači nebo virtuální síti, která využívá data z centra událostí.
Metody streamování
Data je možné odesílat do služby Event Hubs pomocí následujících metod ve službě Azure Monitor:
Pravidla shromažďování dat
Pravidla shromažďování dat se používají k přenosu protokolů a metrik do služby Event Hubs, pracovních prostorů služby Log Analytics a Azure Storage. Informace o tom, jak nastavit pravidla shromažďování dat, najdete v tématu Pravidla shromažďování dat ve službě Azure Monitor a Vytvoření a úprava pravidel shromažďování dat.
Nastavení diagnostiky
Pomocí nastavení diagnostiky můžete streamovat protokoly a metriky do služby Event Hubs. Informace o nastavení diagnostiky najdete v tématu Vytvoření nastavení diagnostiky.
Ruční streamování pomocí Logic Apps
U dat, která nemůžete přímo streamovat do centra událostí, můžete zapisovat do Služby Azure Storage a pak můžete použít aplikaci logiky aktivovanou časem, která načítá data ze služby Azure Blob Storage a odešle je jako zprávu do centra událostí. Další informace najdete v tématu Připojení k centru událostí z pracovních postupů v Azure Logic Apps.
Formáty dat
Následující JSON je příkladem dat metrik odesílaných do centra událostí:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Následující JSON je příkladem dat protokolu odesílaných do centra událostí:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
"appid": "44445555-eeee-6666-ffff-7777aaaa8888"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Partnerské nástroje s integrací služby Azure Monitor
Směrování dat monitorování do centra událostí pomocí služby Azure Monitor umožňuje snadnou integraci s externími nástroji SIEM a monitorovacími nástroji. Následující tabulka uvádí příklady nástrojů s integrací služby Azure Monitor.
| Nástroj | Hostované v Azure | Popis |
|---|---|---|
| IBM QRadar | Ne | Microsoft Azure DSM a protokol Microsoft Azure Event Hubs jsou k dispozici ke stažení z webu podpory IBM. |
| Splunk | Ne |
Doplněk Splunk pro Microsoft Cloud Services je opensourcový projekt dostupný v splunkbase. Pokud v instanci Splunk nemůžete nainstalovat doplněk a používáte proxy server nebo běží v Splunk Cloudu, můžete tyto události předávat do kolektoru událostí Splunk HTTP pomocí funkce Azure Functions for Splunk. Tento nástroj se aktivuje novými zprávami v centru událostí. |
| SumoLogic | Ne | Pokyny k nastavení sumoLogic pro využívání dat z centra událostí jsou k dispozici v části Shromažďování protokolů pro aplikaci Audit Azure ze služby Event Hubs. |
| ArcSight | Ne | Inteligentní konektor ArcSight Azure Event Hubs je k dispozici jako součást kolekce inteligentních konektorů ArcSight. |
| Syslogový server | Ne | Pokud chcete streamovat data služby Azure Monitor přímo na server Syslog, můžete použít řešení založené na funkci Azure. |
| LogRhythm | Ne | Pokyny k nastavení LogRhythm pro shromažďování protokolů z centra událostí jsou k dispozici na tomto webu LogRhythm. |
| Logz.io | Ano | Další informace najdete v tématu Začínáme s monitorováním a protokolováním pomocí Logz.io pro aplikace Java běžící v Azure. |