Streamen von Azure-Überwachungsdaten an einen Event Hub oder externen Partner
Azure Monitor bietet vollständige Stapelüberwachung für Anwendungen und Dienste in Azure, in anderen Clouds und lokal. In den meisten Fällen ist die effektivste Methode zum Streamen von Überwachungsdaten an externe Tools die Verwendung von Azure Event Hubs. Dieser Artikel enthält eine kurze Beschreibung zum Streamen von Daten und listet dann einige der Partner auf, an die Sie sie senden können. Einige Partner weisen eine besondere Integration in Azure Monitor auf und werden möglicherweise in Azure gehostet.
Erstellen eines Event Hubs-Namespace
Bevor Sie das Streaming für eine Datenquelle konfigurieren, müssen Sie einen Event Hubs-Namespace und einen Event Hub erstellen. Dieser Namespace und Event Hub sind das Ziel für sämtliche Ihrer Überwachungsdaten. Ein Event Hubs-Namespace ist eine logische Gruppierung von Event Hubs mit derselben Zugriffsrichtlinie, er ähnelt damit einem Speicherkonto mit mehreren Blobs. Beachten Sie die folgenden Hinweise zum Event Hubs-Namespace und zu den Event Hubs, die Sie zum Streamen von Überwachungsdaten verwenden:
- Über die Anzahl der Durchsatzeinheiten können Sie den Durchsatz für Ihre Event Hubs erhöhen. In der Regel ist nur eine Durchsatzeinheit erforderlich. Wenn Sie aufgrund steigender Protokollnutzung hochskalieren müssen, können Sie die Anzahl der Durchsatzeinheiten für den Namespace manuell erhöhen oder die automatische Aufstockung aktivieren.
- Über die Anzahl von Partitionen können Sie den Verbrauch vieler Consumer parallelisieren. Eine einzelne Partition kann bis zu 20 MBit/s oder ungefähr 20.000 Nachrichten pro Sekunde unterstützen. Je nach Tool, das die Daten nutzt, ist es auch möglich, Daten von mehreren Partitionen zu verarbeiten. Vier Partitionen sind für den Anfang sinnvoll, wenn Sie sich über die Anzahl der festzulegenden Partitionen nicht sicher sind.
- Sie legen die Nachrichtenaufbewahrung in Ihrem Event Hub auf mindestens sieben Tage fest. Wenn Ihr Tool länger als einen Tag ausfällt, wird sichergestellt, dass das Tool bei Ereignissen, die bis zu sieben Tage alt sind, dort weitermachen kann, wo es aufgehört hat.
- Sie sollten die Standardconsumergruppe für Ihren Event Hub verwenden. Es ist nicht erforderlich, andere Verbrauchergruppen zu erstellen oder eine separate Verbrauchergruppe zu verwenden, es sei denn, Sie möchten, dass zwei verschiedene Tools dieselben Daten aus demselben Event Hub nutzen.
- Für das Azure-Aktivitätsprotokoll wählen Sie einen Event Hubs-Namespace aus. Azure Monitor erstellt dann in diesem Namespace den Event Hub insights-logs-operational-logs. Für andere Protokolltypen können Sie entweder einen vorhandenen Event Hub verwenden oder Azure Monitor für jede Protokollkategorie einen Event Hub erstellen lassen.
- In der Regel müssen die ausgehenden Ports 5671 und 5672 auf dem Computer oder im virtuellen Netzwerk offen sein, der bzw. das die Daten vom Event Hub verarbeitet.
Verfügbare Überwachungsdaten
Quellen von Überwachungsdaten für Azure Monitor beschreibt die Datenebenen für Azure-Anwendungen und die jeweils verfügbaren Datenarten. In der folgenden Tabelle werden die einzelnen Ebenen aufgeführt und es wird beschrieben, wie diese Daten an einen Event Hub gestreamt werden können. Über die Links erhalten Sie weitere Informationen.
| Tarif | Daten | Methode |
|---|---|---|
| Azure-Mandant | Azure Active Directory-Überwachungsprotokolle | Konfigurieren Sie eine Mandanten-Diagnoseeinstellung auf Ihrem Azure Active Directory-Mandanten. Weitere Informationen finden Sie unter Tutorial: Streamen von Azure Active Directory-Protokollen an einen Azure Event Hub. |
| Azure-Abonnement | Azure-Aktivitätsprotokoll | Erstellen Sie ein Protokollprofil zum Exportieren von Ereignissen des Aktivitätsprotokolls an Event Hubs. Weitere Informationen finden Sie unter Streamen von Protokollen der Azure-Plattform an Azure Event Hubs. |
| Azure-Ressourcen | Plattformmetriken Ressourcenprotokolle |
Beide Arten von Daten werden mithilfe einer Ressourcendiagnoseeinstellung an einen Event Hub gesendet. Weitere Informationen finden Sie unter Streamen von Azure-Ressourcenprotokollen an einen Event Hub. |
| Betriebssystem (Gast) | Virtuelle Azure-Computer | Installieren Sie die Azure-Diagnoseerweiterung auf virtuellen Windows- und Linux-Computern in Azure. Weitere Detailinformationen zu Windows-VMs finden Sie unter Streamen von Azure-Diagnosedaten im langsamsten Pfad mithilfe von Event Hubs. Weitere Detailinformationen zu Linux-VMs finden Sie unter Verwenden der Linux-Diagnoseerweiterung zum Überwachen von Metriken und Protokollen. |
| Anwendungscode | Application Insights | Verwenden Sie Diagnoseeinstellungen, um zu Event Hubs zu streamen. Diese Dienstebene ist nur mit arbeitsbereichsbasierten Application Insights-Ressourcen verfügbar. Hilfe zum Einrichten Workspace-basierter Application Insights-Ressourcen finden Sie unter Workspace-basierte Application Insights-Ressourcen und Migration zu Workspace-basierter Application Insights-Ressourcen. |
Manuelles Streamen mit einer Logik-App
Bei Daten, die sich nicht direkt an einen Event Hub streamen lassen, können Sie in Azure Storage schreiben. Anschließend können Sie eine zeitlich ausgelöste Logik-App verwenden, die Daten aus Azure Blob Storage pull und sie als Nachricht an den Event Hub pusht.
Partnertools mit Azure Monitor-Integration
Die Weiterleitung Ihrer Überwachungsdaten an einen Event Hub mit Azure Monitor ermöglicht eine einfache Integration in externe SIEM- und Überwachungstools. In der folgenden Tabelle werden Beispiele für Tools mit Azure Monitor-Integration aufgeführt.
| Tool | In Azure gehostet | BESCHREIBUNG |
|---|---|---|
| IBM QRadar | Nein | Das DSM und Event Hubs-Protokoll von Microsoft Azure sind zum Download auf der Website des IBM-Supports erhältlich. |
| Splunk | Nein | Das Splunk-Add-On für Microsoft Cloud Services ist ein Open-Source-Projekt, das in Splunkbase verfügbar ist. Falls Sie kein Add-On in Ihrer Splunk-Instanz installieren können, z. B. bei Verwendung eines Proxys oder bei Ausführung in Splunk Cloud, können Sie diese Ereignisse an die HTTP-Ereignissammlung von Splunk weiterleiten, indem Sie Azure Function For Splunk verwenden. Dieses Tool wird durch neue Nachrichten im Event Hub ausgelöst. |
| sumologic | Nein | Anweisungen zum Einrichten von SumoLogic für die Nutzung von Daten aus einem Event Hub finden Sie unter Collect Logs for the Azure Audit App from Event Hubs (Sammeln von Protokollen für die Azure Audit App aus Event Hubs). |
| ArcSight | Nein | Der intelligente Azure Event Hubs-Connector von ArcSight wird im Rahmen dieser ArcSight-Sammlung von intelligenten Connectors zur Verfügung gestellt. |
| Syslog-Server | Nein | Wenn Sie Azure Monitor-Daten direkt an einen Syslog-Server streamen möchten, können Sie eine auf einer Azure-Funktion basierende Lösung nutzen. |
| LogRhythm | Nein | Anweisungen zum Einrichten von LogRhythm zum Erfassen von Protokollen aus einem Event Hub sind auf der LogRhythm-Website verfügbar. |
| Logz.io | Ja | Weitere Informationen finden Sie unter Erste Schritte bei der Überwachung und Protokollierung mithilfe von Logz.io für in Azure ausgeführte Java-Apps. |
Es können auch andere Partner verfügbar sein. Eine vollständigere Liste aller Azure Monitor-Partner und ihrer Funktionen finden Sie unter Azure Monitor – integrierte Partnerlösungen.