Azure monitorozási adatok streamelése eseményközpontba vagy külső partnerhez

A legtöbb esetben az Azure Monitorból külső eszközökre streamelt adatok leghatékonyabb módja az Azure Event Hubs használata. Ez a cikk rövid leírást nyújt az adatok streameléséhez, majd felsorol néhány olyan partnert, ahol elküldheti azokat. Egyes partnerek speciális integrációval rendelkeznek az Azure Monitorral, és az Azure-ban üzemeltethetők.

Event Hubs-névtér létrehozása

Mielőtt bármilyen adatforráshoz konfigurálja a streamelést, létre kell hoznia egy Event Hubs-névteret és egy eseményközpontot. Ez a névtér és az eseményközpont az összes monitorozási adat célhelye. Az Event Hubs-névtér olyan eseményközpontok logikai csoportosítása, amelyek ugyanazt a hozzáférési szabályzatot használják, hasonlóan a tárfiókokhoz, amelyeken belül egyedi blobok találhatók. Vegye figyelembe a streamelési monitorozási adatokhoz használt Event Hubs-névtér és eseményközpontok alábbi adatait:

  • Az átviteli egységek száma lehetővé teszi az eseményközpontok átviteli sebességének növelését. Általában csak egy átviteli egységre van szükség. Ha fel kell skáláznia a naplóhasználat növekedésével, manuálisan növelheti a névtér átviteli egységeinek számát, vagy engedélyezheti az automatikus inflációt.
  • A partíciók száma lehetővé teszi a fogyasztás párhuzamossá alakítását számos fogyasztó között. Egyetlen partíció legfeljebb 20 MBps vagy körülbelül 20 000 üzenetet támogat másodpercenként. Az adatokat használó eszköztől függően előfordulhat, hogy több partícióból is támogatja a használatot. Négy partícióval érdemes kezdeni, ha nem biztos a beállított partíciók számában.
  • Az üzenetmegőrzést az eseményközpontban legalább hét napra állítja be. Ha a fogyasztóeszköz egy napnál hosszabb ideig leáll, ez a megőrzés biztosítja, hogy az eszköz fel tudja venni a hét naposnál régebbi eseményeknél abbahagyott helyre.
  • Az eseményközpont alapértelmezett fogyasztói csoportját kell használnia. Nincs szükség más fogyasztói csoportok létrehozására vagy külön fogyasztói csoport használatára, hacsak nem tervezi, hogy két különböző eszköz ugyanazokat az adatokat használja ugyanazon eseményközpontból.
  • Az Azure-tevékenységnaplóhoz válasszon egy Event Hubs-névteret, és az Azure Monitor létrehoz egy eseményközpontot azon a névtéren belül, az insights-logs-operational-logs névtérben. Más naplótípusok esetén választhat egy meglévő eseményközpontot, vagy beállíthatja, hogy az Azure Monitor naplókategória szerint hozzon létre eseményközpontot.
  • Az 5671-ben és az 5672-ben kimenő portot általában azon a számítógépen vagy virtuális hálózaton kell megnyitni, amely adatokat használ az eseményközpontból.

Rendelkezésre álló adatok monitorozása

Az Azure Monitor monitorozási adatainak forrásai az Azure-alkalmazások adatrétegeit és az egyes alkalmazásokhoz elérhető adattípusokat ismertetik. Az alábbi táblázat bemutatja, hogyan lehet különböző típusú adatokat streamelni egy eseményközpontba. Kövesse a további részletekért megadott hivatkozásokat.

Szint Adatok Method
Azure-bérlő Microsoft Entra auditnaplók Konfiguráljon egy bérlődiagnosztikai beállítást a Microsoft Entra-bérlőn. További információ : Oktatóanyag: Microsoft Entra-naplók streamelése egy Azure-eseményközpontba.
Azure-előfizetés Azure-tevékenységnapló Hozzon létre egy diagnosztikai beállítást a tevékenységnapló-események eseményközpontokba való exportálásához. További információ: Azure-platformnaplók streamelése az Azure-eseményközpontokba.
Azure resources Platformmetrikák
Erőforrásnaplók
Hozzon létre egy diagnosztikai beállítást az erőforrásnaplók és metrikák eseményközpontokba való exportálásához. További információ: Azure-platformnaplók streamelése az Azure-eseményközpontokba.
Operációs rendszer (vendég) Azure-beli virtuális gépek Telepítse az Azure Diagnostics bővítményt Windows és Linux rendszerű virtuális gépekre az Azure-ban. További információ: Azure Diagnostics-adatok streamelése a gyakori elérésű útvonalon az eseményközpontok használatával a Windows rendszerű virtuális gépek részleteiért. A Linux rendszerű virtuális gépeken a metrikák és naplók monitorozása a Linux diagnosztikai bővítmény használatával című témakörben olvashat.
Alkalmazáskód Application Insights Diagnosztikai beállítások használatával streamelhet az eseményközpontokba. Ez a szint csak munkaterület-alapú alkalmazás-Elemzések-erőforrások esetén érhető el. A munkaterületalapú alkalmazás-Elemzések-erőforrások beállításával kapcsolatos segítségért tekintse meg a munkaterület-alapú alkalmazás-Elemzések-erőforrásokat, valamint a munkaterület-alapú alkalmazás-Elemzések-erőforrásokra való migrálást.

Diagnosztikai adatok streamelése

Diagnosztikai beállítással naplókat és metrikákat streamelhet az Event Hubsba. További információ a diagnosztikai beállítások beállításáról: Diagnosztikai beállítások létrehozása

Az alábbi JSON egy eseményközpontnak küldött metrikák adatainak példája:

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

Az alábbi JSON-példa egy eseményközpontnak küldött naplóadatokra mutat be példát:

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
            "appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "12345678-abcd-1234-abcd-1234567890ab",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

Manuális streamelés logikai alkalmazással

Olyan adatok esetében, amelyeket nem tud közvetlenül eseményközpontba streamelni, írhat az Azure Storage-ba, majd használhat egy idővezérelt logikai alkalmazást, amely adatokat kér le az Azure Blob Storage-ból , és üzenetként küldi el az eseményközpontba.

Partnereszközök az Azure Monitor-integrációval

A monitorozási adatok egy eseményközpontba való átirányítása az Azure Monitorral lehetővé teszi a külső SIEM-eszközökkel és monitorozási eszközökkel való egyszerű integrálást. Az alábbi táblázat példákat sorol fel az Azure Monitor-integrációval rendelkező eszközökre.

Eszköz Az Azure-ban üzemeltetve Leírás
IBM QRadar Nem A Microsoft Azure DSM és a Microsoft Azure Event Hubs Protocol letölthető az IBM támogatási webhelyéről.
Splunk Nem A Microsoft Cloud Services Splunk bővítménye egy nyílt forráskódú projekt, amely a Splunkbase-ben érhető el.

Ha nem tud bővítményt telepíteni a Splunk-példányban, és például proxyt használ, vagy a Splunk Cloudon fut, ezeket az eseményeket továbbíthatja a Splunk HTTP-eseménygyűjtőnek az Azure Function for Splunk használatával. Ezt az eszközt az eseményközpont új üzenetei aktiválják.
SumoLogic Nem A SumoLogic eseményközpontból származó adatok felhasználására való beállítására vonatkozó utasítások az Azure Audit app naplóinak összegyűjtése az Event Hubsból című témakörben érhetők el.
ArcSight Nem Az ArcSight Azure Event Hubs intelligens összekötője az ArcSight intelligens összekötőgyűjtemény részeként érhető el.
Syslog-kiszolgáló Nem Ha közvetlenül egy Syslog-kiszolgálóra szeretné streamelni az Azure Monitor-adatokat, egy Azure-függvényen alapuló megoldást használhat.
LogRhythm Nem A LogRhythm eseményközpontból származó naplók gyűjtésére való beállítására vonatkozó utasítások ezen a LogRhythm webhelyen érhetők el.
Logz.io Igen További információt az Azure-ban futó Java-alkalmazások Logz.io használatával végzett monitorozás és naplózás első lépései című témakörben talál.

Más partnerek is elérhetők lehetnek. Az Összes Azure Monitor-partner és képességeik teljesebb listáját az Azure Monitor-partnerintegrációkban találja.

Következő lépések