Streamování dat monitorování Azure do centra událostí nebo externího partnera
Ve většině případů je nejúčinnější metodou streamování dat ze služby Azure Monitor do externích nástrojů pomocí služby Azure Event Hubs. Tento článek obsahuje stručný popis, jak streamovat data, a pak uvádí některé z partnerů, kde je můžete odeslat. Někteří partneři mají speciální integraci se službou Azure Monitor a můžou být hostovaní v Azure.
Vytvoření oboru názvů služby Event Hubs
Než nakonfigurujete streamování pro jakýkoli zdroj dat, musíte vytvořit obor názvů služby Event Hubs a centrum událostí. Tento obor názvů a centrum událostí je cílem pro všechna data monitorování. Obor názvů služby Event Hubs je logické seskupení center událostí, které sdílejí stejné zásady přístupu, podobně jako účet úložiště obsahuje jednotlivé objekty blob v rámci tohoto účtu úložiště. Zvažte následující podrobnosti o oboru názvů služby Event Hubs a centrech událostí, které používáte pro streamování dat monitorování:
- Počet jednotek propustnosti umožňuje zvýšit škálování propustnosti pro vaše centra událostí. Obvykle je potřeba jenom jedna jednotka propustnosti. Pokud potřebujete vertikálně navýšit kapacitu při nárůstu využití protokolů, můžete počet jednotek propustnosti pro obor názvů ručně zvýšit nebo povolit automatickou inflace.
- Počet oddílů umožňuje paralelizovat spotřebu napříč mnoha uživateli. Jeden oddíl může podporovat až 20 MB/s nebo přibližně 20 000 zpráv za sekundu. V závislosti na nástroji, který data využívá, může nebo nemusí podporovat využívání z více oddílů. Pokud si nejste jistí, kolik oddílů se má nastavit, je vhodné začít se čtyřmi oddíly.
- Uchovávání zpráv v centru událostí nastavíte na nejméně sedm dnů. Pokud váš spotřebující nástroj klesne déle než den, toto uchovávání zajišťuje, že nástroj může vyzvednout místo, kde skončil u událostí až sedm dnů starých.
- Pro centrum událostí byste měli použít výchozí skupinu příjemců. Není nutné vytvářet jiné skupiny příjemců nebo používat samostatnou skupinu příjemců, pokud neplánujete, že byste měli mít dva různé nástroje, které spotřebovávají stejná data ze stejného centra událostí.
- Pro protokol aktivit Azure vyberete obor názvů služby Event Hubs a Azure Monitor v rámci daného oboru názvů vytvoří centrum událostí označované jako insights-logs-operational-logs. U jiných typů protokolů můžete zvolit existující centrum událostí nebo vytvořit centrum událostí pro každou kategorii protokolu.
- Odchozí port 5671 a 5672 se obvykle musí otevřít v počítači nebo virtuální síti využívající data z centra událostí.
Dostupná data monitorování
Zdroje dat monitorování pro Azure Monitor a jejich metody shromažďování dat popisují různé druhy dat shromažďovaných službou Azure Monitor a metody používané ke shromažďování dat. V tomto článku najdete tato data, která se dají streamovat do centra událostí, a odkazy na podrobnosti o konfiguraci.
Streamovat diagnostická data
Pomocí nastavení diagnostiky můžete streamovat protokoly a metriky do služby Event Hubs. Informace o nastavení diagnostiky najdete v tématu Vytvoření nastavení diagnostiky.
Následující JSON je příkladem dat metrik odesílaných do centra událostí:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Následující JSON je příkladem dat protokolu odesílaných do centra událostí:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
"appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "12345678-abcd-1234-abcd-1234567890ab",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Ruční streamování pomocí aplikace logiky
U dat, která nemůžete přímo streamovat do centra událostí, můžete zapisovat do Služby Azure Storage a pak můžete použít aplikaci logiky aktivovanou časem, která načítá data ze služby Azure Blob Storage a odešle je jako zprávu do centra událostí.
Partnerské nástroje s integrací služby Azure Monitor
Směrování dat monitorování do centra událostí pomocí služby Azure Monitor umožňuje snadnou integraci s externími nástroji SIEM a monitorovacími nástroji. Následující tabulka uvádí příklady nástrojů s integrací služby Azure Monitor.
| Nástroj | Hostované v Azure | Popis |
|---|---|---|
| IBM QRadar | No | Microsoft Azure DSM a protokol Microsoft Azure Event Hubs jsou k dispozici ke stažení z webu podpory IBM. |
| Splunk | No | Doplněk Splunk pro Microsoft Cloud Services je opensourcový projekt dostupný v splunkbase. Pokud v instanci Splunk nemůžete nainstalovat doplněk a například používáte proxy server nebo běží v Splunk Cloudu, můžete tyto události předávat do kolektoru událostí SPlunk HTTP pomocí funkce Azure Functions for Splunk. Tento nástroj se aktivuje novými zprávami v centru událostí. |
| SumoLogic | No | Pokyny k nastavení sumoLogic pro využívání dat z centra událostí jsou k dispozici v části Shromažďování protokolů pro aplikaci Audit Azure ze služby Event Hubs. |
| ArcSight | No | Inteligentní konektor ArcSight Azure Event Hubs je k dispozici jako součást kolekce inteligentních konektorů ArcSight. |
| Server syslogu | No | Pokud chcete streamovat data služby Azure Monitor přímo na server Syslog, můžete použít řešení založené na funkci Azure. |
| LogRhythm | No | Pokyny k nastavení LogRhythm pro shromažďování protokolů z centra událostí jsou k dispozici na tomto webu LogRhythm. |
| Logz.io | Ano | Další informace najdete v tématu Začínáme s monitorováním a protokolováním pomocí Logz.io pro aplikace Java běžící v Azure. |