Megosztás a következőn keresztül:


Azure monitorozási adatok streamelése eseményközpontba és külső partnerhez

Az Azure Monitorból külső eszközökre streamelt adatok hatékony módszere az Azure Event Hubs használata. Ez a cikk bemutatja, hogyan streamelhet adatokat az Event Hubsba, és felsorolja azokat a partnereket, akik felhasználhatják ezeket az adatokat a központból. Néhány partner integrál az Azure Monitorral, és az Azure-on üzemeltetett szolgáltatásokat használ.

Event Hubs-névtér létrehozása

Mielőtt konfigurálja a streamelést egy adatforráshoz, létre kell hoznia egy Event Hubs-névteret és egy eseményközpontot. Ez a névtér és az eseményközpont az összes monitorozási adat célhelye. Az Event Hubs-névtér olyan eseményközpontok logikai csoportosítása, amelyek ugyanazt a hozzáférési szabályzatot használják, hasonlóan a tárfiókokhoz, amelyek a tárfiókban lévő blobok számára külön tárolókkal vannak elosztva. Vegye figyelembe a streamelési monitorozási adatokhoz használt Event Hubs-névtér és eseményközpontok alábbi adatait:

  • Az átviteli egységek száma lehetővé teszi az eseményközpontok átviteli sebességének növelését. Általában csak egy átviteli egységre van szükség. Ha a naplóhasználat növekedésével fel kell skáláznia, manuálisan növelheti a névtér átviteli egységeinek számát, vagy engedélyezheti az automatikus felskálázást.
  • A partíciók száma lehetővé teszi a fogyasztás párhuzamossá alakítását számos fogyasztó között. Egyetlen partíció legfeljebb 20 MBps vagy körülbelül 20 000 üzenetet támogat másodpercenként. Az adatokat használó eszköztől függően előfordulhat, hogy támogatott a több partícióból való adatfogyasztás, vagy előfordulhat, hogy nem. Négy partícióval érdemes kezdeni, ha nem biztos a beállított partíciók számában.
  • Állítsa be az üzenetmegőrzést az eseményközpontban legalább hét napra. Ha a fogyasztóeszköz egy napnál hosszabb ideig leáll, ez a megőrzés biztosítja, hogy az eszköz folytatni tudja az események feldolgozását legfeljebb hét napos események esetén ott, ahol abbahagyta.
  • Használja az eseményközpont alapértelmezett fogyasztói csoportját. Nincs szükség más fogyasztói csoportok létrehozására vagy külön fogyasztói csoport használatára, hacsak nem tervezi, hogy két különböző eszköz ugyanazokat az adatokat használja ugyanazon eseményközpontból.
  • Az Azure-tevékenységnaplóban, amikor kiválaszt egy Event Hubs-névteret, az Azure Monitor létrehoz egy eseményközpontot a névtéren belül.insights-logs-operational-logs Más naplótípusok esetén választhat egy meglévő eseményközpontot, vagy beállíthatja, hogy az Azure Monitor naplókategória szerint hozzon létre eseményközpontot.
  • Az 5671-et és az 5672-et kimenő portot az eseményközpontból adatokat használó gépen vagy virtuális hálózaton kell megnyitni.

Streamelési módszerek

Az adatok az Alábbi módszerekkel küldhetők el az Event Hubsnak az Azure Monitorban:

  • adatgyűjtési szabályok

    Az adatgyűjtési szabályok segítségével naplókat és metrikákat streamelhet az Event Hubsba, a Log Analytics-munkaterületekre és az Azure Storage-ba. Az adatgyűjtési szabályok beállításáról további információt az Adatgyűjtési szabályok az Azure Monitorban , valamint adatgyűjtési szabályok létrehozása és szerkesztése című témakörben talál.

  • Diagnosztikai beállítások

    Diagnosztikai beállítással naplókat és metrikákat streamelhet az Event Hubsba. A diagnosztikai beállítások beállításáról további információt a diagnosztikai beállítások létrehozása című témakörben talál.

  • Manuális streamelés a Logic Apps használatával

    Olyan adatok esetében, amelyeket nem tud közvetlenül eseményközpontba streamelni, írhat az Azure Storage-ba, majd használhat egy idővezérelt logikai alkalmazást, amely adatokat kér le az Azure Blob Storage-ból, és üzenetként küldi el az eseményközpontba. További információ: Csatlakozás eseményközponthoz az Azure Logic Apps munkafolyamataiból.

Adatformátumok

Az alábbi JSON egy eseményközpontnak küldött metrikák adatainak példája:

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

Az alábbi JSON-példa egy eseményközpontnak küldött naplóadatokra mutat be példát:

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
            "appid": "44445555-eeee-6666-ffff-7777aaaa8888"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

Partnereszközök az Azure Monitor-integrációval

A monitorozási adatok egy eseményközpontba való átirányítása az Azure Monitorral lehetővé teszi a külső SIEM-eszközökkel és monitorozási eszközökkel való egyszerű integrálást. Az alábbi táblázat példákat sorol fel az Azure Monitor-integrációval rendelkező eszközökre.

Eszköz Az Azure-ban üzemeltetve Leírás
IBM QRadar Nem A Microsoft Azure DSM és a Microsoft Azure Event Hubs Protocol letölthető az IBM támogatási webhelyéről.
Splunk Nem A Microsoft Cloud Services Splunk bővítménye egy nyílt forráskódú projekt, amely a Splunkbase-ben érhető el.

Ha nem tud bővítményt telepíteni a Splunk-példányban, és proxyt használ, vagy a Splunk Cloudon fut, ezeket az eseményeket a Splunkhoz készült Azure-függvény használatával továbbíthatja a Splunk HTTP-eseménygyűjtőnek. Ezt az eszközt az eseményközpont új üzenetei aktiválják.
SumoLogic Nem A SumoLogic eseményközpontból származó adatok felhasználására való beállítására vonatkozó utasítások az Azure Audit app naplóinak összegyűjtése az Event Hubsból című témakörben érhetők el.
ArcSight Nem Az ArcSight Azure Event Hubs intelligens összekötője az ArcSight intelligens összekötőgyűjtemény részeként érhető el.
Syslog-kiszolgáló Nem Ha közvetlenül egy Syslog-kiszolgálóra szeretné streamelni az Azure Monitor-adatokat, egy Azure-függvényen alapuló megoldást használhat.
LogRhythm Nem A LogRhythm eseményközpontból származó naplók gyűjtésére való beállítására vonatkozó utasítások ezen a LogRhythm webhelyen érhetők el.
Logz.io Igen További információt az Azure-ban futó Java-alkalmazások Logz.io használatával végzett monitorozás és naplózás első lépései című témakörben talál.

Következő lépések