Azure monitorozási adatok streamelése eseményközpontba vagy külső partnerhez
A legtöbb esetben az Azure Monitorból külső eszközökre streamelt adatok leghatékonyabb módja az Azure Event Hubs használata. Ez a cikk rövid leírást nyújt az adatok streameléséhez, majd felsorol néhány olyan partnert, ahol elküldheti azokat. Egyes partnerek speciális integrációval rendelkeznek az Azure Monitorral, és az Azure-ban üzemeltethetők.
Event Hubs-névtér létrehozása
Mielőtt bármilyen adatforráshoz konfigurálja a streamelést, létre kell hoznia egy Event Hubs-névteret és egy eseményközpontot. Ez a névtér és az eseményközpont az összes monitorozási adat célhelye. Az Event Hubs-névtér olyan eseményközpontok logikai csoportosítása, amelyek ugyanazt a hozzáférési szabályzatot használják, hasonlóan a tárfiókokhoz, amelyeken belül egyedi blobok találhatók. Vegye figyelembe a streamelési monitorozási adatokhoz használt Event Hubs-névtér és eseményközpontok alábbi adatait:
- Az átviteli egységek száma lehetővé teszi az eseményközpontok átviteli sebességének növelését. Általában csak egy átviteli egységre van szükség. Ha fel kell skáláznia a naplóhasználat növekedésével, manuálisan növelheti a névtér átviteli egységeinek számát, vagy engedélyezheti az automatikus inflációt.
- A partíciók száma lehetővé teszi a fogyasztás párhuzamossá alakítását számos fogyasztó között. Egyetlen partíció legfeljebb 20 MBps vagy körülbelül 20 000 üzenetet támogat másodpercenként. Az adatokat használó eszköztől függően előfordulhat, hogy több partícióból is támogatja a használatot. Négy partícióval érdemes kezdeni, ha nem biztos a beállított partíciók számában.
- Az üzenetmegőrzést az eseményközpontban legalább hét napra állítja be. Ha a fogyasztóeszköz egy napnál hosszabb ideig leáll, ez a megőrzés biztosítja, hogy az eszköz fel tudja venni a hét naposnál régebbi eseményeknél abbahagyott helyre.
- Az eseményközpont alapértelmezett fogyasztói csoportját kell használnia. Nincs szükség más fogyasztói csoportok létrehozására vagy külön fogyasztói csoport használatára, hacsak nem tervezi, hogy két különböző eszköz ugyanazokat az adatokat használja ugyanazon eseményközpontból.
- Az Azure-tevékenységnaplóhoz válasszon egy Event Hubs-névteret, és az Azure Monitor létrehoz egy eseményközpontot azon a névtéren belül, az insights-logs-operational-logs névtérben. Más naplótípusok esetén választhat egy meglévő eseményközpontot, vagy beállíthatja, hogy az Azure Monitor naplókategória szerint hozzon létre eseményközpontot.
- Az 5671-ben és az 5672-ben kimenő portot általában azon a számítógépen vagy virtuális hálózaton kell megnyitni, amely adatokat használ az eseményközpontból.
Rendelkezésre álló adatok monitorozása
Az Azure Monitor monitorozási adatainak forrásai az Azure-alkalmazások adatrétegeit és az egyes alkalmazásokhoz elérhető adattípusokat ismertetik. Az alábbi táblázat bemutatja, hogyan lehet különböző típusú adatokat streamelni egy eseményközpontba. Kövesse a további részletekért megadott hivatkozásokat.
| Szint | Adatok | Method |
|---|---|---|
| Azure-bérlő | Microsoft Entra auditnaplók | Konfiguráljon egy bérlődiagnosztikai beállítást a Microsoft Entra-bérlőn. További információ : Oktatóanyag: Microsoft Entra-naplók streamelése egy Azure-eseményközpontba. |
| Azure-előfizetés | Azure-tevékenységnapló | Hozzon létre egy diagnosztikai beállítást a tevékenységnapló-események eseményközpontokba való exportálásához. További információ: Azure-platformnaplók streamelése az Azure-eseményközpontokba. |
| Azure resources | Platformmetrikák Erőforrásnaplók |
Hozzon létre egy diagnosztikai beállítást az erőforrásnaplók és metrikák eseményközpontokba való exportálásához. További információ: Azure-platformnaplók streamelése az Azure-eseményközpontokba. |
| Operációs rendszer (vendég) | Azure-beli virtuális gépek | Telepítse az Azure Diagnostics bővítményt Windows és Linux rendszerű virtuális gépekre az Azure-ban. További információ: Azure Diagnostics-adatok streamelése a gyakori elérésű útvonalon az eseményközpontok használatával a Windows rendszerű virtuális gépek részleteiért. A Linux rendszerű virtuális gépeken a metrikák és naplók monitorozása a Linux diagnosztikai bővítmény használatával című témakörben olvashat. |
| Alkalmazáskód | Application Insights | Diagnosztikai beállítások használatával streamelhet az eseményközpontokba. Ez a szint csak munkaterület-alapú alkalmazás-Elemzések-erőforrások esetén érhető el. A munkaterületalapú alkalmazás-Elemzések-erőforrások beállításával kapcsolatos segítségért tekintse meg a munkaterület-alapú alkalmazás-Elemzések-erőforrásokat, valamint a munkaterület-alapú alkalmazás-Elemzések-erőforrásokra való migrálást. |
Diagnosztikai adatok streamelése
Diagnosztikai beállítással naplókat és metrikákat streamelhet az Event Hubsba. További információ a diagnosztikai beállítások beállításáról: Diagnosztikai beállítások létrehozása
Az alábbi JSON egy eseményközpontnak küldött metrikák adatainak példája:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Az alábbi JSON-példa egy eseményközpontnak küldött naplóadatokra mutat be példát:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
"appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "12345678-abcd-1234-abcd-1234567890ab",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Manuális streamelés logikai alkalmazással
Olyan adatok esetében, amelyeket nem tud közvetlenül eseményközpontba streamelni, írhat az Azure Storage-ba, majd használhat egy idővezérelt logikai alkalmazást, amely adatokat kér le az Azure Blob Storage-ból , és üzenetként küldi el az eseményközpontba.
Partnereszközök az Azure Monitor-integrációval
A monitorozási adatok egy eseményközpontba való átirányítása az Azure Monitorral lehetővé teszi a külső SIEM-eszközökkel és monitorozási eszközökkel való egyszerű integrálást. Az alábbi táblázat példákat sorol fel az Azure Monitor-integrációval rendelkező eszközökre.
| Eszköz | Az Azure-ban üzemeltetve | Leírás |
|---|---|---|
| IBM QRadar | Nem | A Microsoft Azure DSM és a Microsoft Azure Event Hubs Protocol letölthető az IBM támogatási webhelyéről. |
| Splunk | Nem | A Microsoft Cloud Services Splunk bővítménye egy nyílt forráskódú projekt, amely a Splunkbase-ben érhető el. Ha nem tud bővítményt telepíteni a Splunk-példányban, és például proxyt használ, vagy a Splunk Cloudon fut, ezeket az eseményeket továbbíthatja a Splunk HTTP-eseménygyűjtőnek az Azure Function for Splunk használatával. Ezt az eszközt az eseményközpont új üzenetei aktiválják. |
| SumoLogic | Nem | A SumoLogic eseményközpontból származó adatok felhasználására való beállítására vonatkozó utasítások az Azure Audit app naplóinak összegyűjtése az Event Hubsból című témakörben érhetők el. |
| ArcSight | Nem | Az ArcSight Azure Event Hubs intelligens összekötője az ArcSight intelligens összekötőgyűjtemény részeként érhető el. |
| Syslog-kiszolgáló | Nem | Ha közvetlenül egy Syslog-kiszolgálóra szeretné streamelni az Azure Monitor-adatokat, egy Azure-függvényen alapuló megoldást használhat. |
| LogRhythm | Nem | A LogRhythm eseményközpontból származó naplók gyűjtésére való beállítására vonatkozó utasítások ezen a LogRhythm webhelyen érhetők el. |
| Logz.io | Igen | További információt az Azure-ban futó Java-alkalmazások Logz.io használatával végzett monitorozás és naplózás első lépései című témakörben talál. |
Más partnerek is elérhetők lehetnek. Az Összes Azure Monitor-partner és képességeik teljesebb listáját az Azure Monitor-partnerintegrációkban találja.