Transmisión de datos de supervisión de Azure a un centro de eventos o asociado externo

En la mayoría de los casos, el método más efectivo para transmitir datos desde Azure Monitor a herramientas externas, es usar Azure Event Hubs. En este artículo se proporciona una breve descripción sobre cómo transmitir datos y después se enumeran algunos de los asociados donde puede enviar tales datos. Algunas soluciones de asociados tienen una integración especial con Azure Monitor y se pueden hospedar en Azure.

Creación de un espacio de nombres de Event Hubs

Antes de configurar la transmisión de cualquier origen de datos, debe crear un espacio de nombres de Event Hubs y un centro de eventos. Estos centro de eventos y espacio de nombres son el destino de todos los datos de supervisión. Un espacio de nombres de Event Hubs es una agrupación lógica de centros de eventos que comparten la misma directiva de acceso, al igual que una cuenta de almacenamiento tiene blobs individuales dentro de esa cuenta de almacenamiento. Tenga en cuenta los siguientes detalles sobre el espacio de nombres de Event Hubs y los centros de eventos que use para transmitir los datos de supervisión:

• El número de unidades de rendimiento permite aumentar la escala de rendimiento para los centros de eventos. Solo se necesita una unidad de procesamiento normalmente. Si necesita escalar verticalmente a medida que el uso del registro aumenta, siempre puede aumentar manualmente el número de unidades de procesamiento del espacio de nombres o habilitar la inflación automática.
• El número de particiones permite paralelizar el consumo entre muchos consumidores. Una sola partición puede admitir hasta 20 MBps o, aproximadamente, 20 000 mensajes por segundo. Dependiendo de la herramienta que consume los datos, puede admitir o no el consumo de varias particiones. Es razonable comenzar con cuatro particiones si no está seguro de la cantidad de particiones que debe configurar.
• Igualmente, debe establecer la retención de mensajes en el centro de eventos durante al menos siete días. Si la herramienta de consumo deja de funcionar durante más de un día, esta retención garantiza que dicha herramienta pueda continuar desde donde se quedó (en cuanto a los eventos de hasta siete días de antigüedad).
• Debe usar el grupo de consumidores predeterminado en el centro de eventos. No es necesario para crear otros grupos de consumidores o usar un grupo de consumidores independientes a menos que piense disponer de dos herramientas diferentes que consuman los mismos datos del mismo centro de eventos.
• En cuanto al registro de actividad de Azure, usted elige un espacio de nombres de Event Hubs y Azure Monitor crea un centro de eventos dentro de ese espacio de nombres denominado insights-logs-operational-logs. Para otros tipos de registro, puede elegir un centro de eventos existente o hacer que Azure Monitor cree un centro de eventos en función de la categoría de registro.
• Los puertos de salida 5671 y 5672 deben estar abiertos en el equipo o la red virtual que consume datos del centro de eventos.

Datos de supervisión disponibles

En Orígenes de datos de supervisión para Azure Monitor y sus métodos de recopilación de datos se describen los diferentes tipos de datos que recopila Azure Monitor y los métodos usados para su recopilación. Consulte ese artículo para ver esos datos que se pueden transmitir a un centro de eventos y vínculos a los detalles de la configuración.

Transmisión de datos de diagnóstico

Usa la configuración de diagnóstico para transmitir registros y métricas a Event Hubs. Para obtener información sobre cómo establecer la configuración de diagnóstico, consulta Creación de una configuración de diagnóstico

El siguiente JSON es un ejemplo de datos de métricas enviados a un centro de eventos:

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

El siguiente JSON es un ejemplo de datos de registro enviados a un centro de eventos:

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
            "appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "12345678-abcd-1234-abcd-1234567890ab",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

Transmisión manual con una aplicación lógica

Para los datos que no puede transmitir directamente a un centro de eventos, puede escribirlos en Azure Storage y usar después una aplicación lógica que se desencadene en función de un período de tiempo y que extraiga los datos de Azure Blob Storage y los envíe en forma de mensaje al centro de eventos.

Herramientas de asociados con la integración de Azure Monitor

El enrutamiento de los datos de supervisión a un centro de eventos con Azure Monitor facilita la integración con las herramientas externas de SIEM y de supervisión. En la siguiente tabla se enumeran ejemplos de herramientas que se integran con Azure Monitor.

Herramienta	Hospedado en Azure	Descripción
IBM QRadar	No	Los protocolos de Microsoft Azure DSM y Microsoft Azure Event Hubs se pueden descargar en el sitio web de soporte técnico de IBM.
Splunk	No	Splunk Add-on for Microsoft Cloud Services es un proyecto de código abierto disponible en Splunkbase. Si no puede instalar un complemento en su instancia de Splunk y, por ejemplo, utiliza un proxy o la ejecuta en Splunk Cloud, puede reenviar estos eventos a Splunk HTTP Event Collector por medio de Azure Function for Splunk. Esta herramienta se desencadena cuando llegan nuevos mensajes al centro de eventos.
sumologic	No	Las instrucciones para configurar SumoLogic para consumir datos de un centro de eventos están disponibles en Recopilación de registros para la aplicación de auditoría de Azure desde Event Hubs.
ArcSight	No	El conector inteligente de Azure Event Hubs de ArcSight está disponible como parte de esta colección de conectores inteligentes de ArcSight.
Servidor de Syslog	No	Si quiere transmitir datos de Azure Monitor directamente a un servidor de Syslog, puede usar una solución basada en una función de Azure.
LogRhythm	No	Las instrucciones para configurar LogRhythm con el fin de recopilar registros de un centro de eventos están disponibles en este sitio web de LogRhythm.
Logz.io	Sí	Para obtener más información, consulte Tutorial: Introducción a la supervisión y el registro con Logz.io para aplicaciones de Java que se ejecutan en Azure.

Pasos siguientes

• Leer la introducción a los registros de actividad de Azure
• Configurar una alerta basada en un evento del registro de actividad