Megosztás a következőn keresztül:


Azure monitorozási adatok streamelése eseményközpontba és külső partnerhez

Az Azure Monitorból külső eszközökre streamelt adatok hatékony módszere az Azure Event Hubs használata. Ez a cikk bemutatja, hogyan streamelhet adatokat az Event Hubsba, és felsorolja azokat a partnereket, akik felhasználhatják ezeket az adatokat a központból. Egyes partnerek integrálhatók az Azure Monitorral, és azure-beli üzemeltetett szolgáltatásokkal rendelkeznek.

Event Hubs-névtér létrehozása

Mielőtt konfigurálja a streamelést egy adatforráshoz, létre kell hoznia egy Event Hubs-névteret és egy eseményközpontot. Ez a névtér és az eseményközpont az összes monitorozási adat célhelye. Az Event Hubs-névtér olyan eseményközpontok logikai csoportosítása, amelyek ugyanazt a hozzáférési szabályzatot használják, hasonlóan a tárfiókokhoz, amelyek a tárfiókban lévő blobok számára külön tárolókkal vannak elosztva. Vegye figyelembe a streamelési monitorozási adatokhoz használt Event Hubs-névtér és eseményközpontok alábbi adatait:

  • Az átviteli egységek száma lehetővé teszi az eseményközpontok átviteli sebességének növelését. Általában csak egy átviteli egységre van szükség. Ha fel kell skáláznia a naplóhasználat növekedésével, manuálisan növelheti a névtér átviteli egységeinek számát, vagy engedélyezheti az automatikus inflációt.
  • A partíciók száma lehetővé teszi a fogyasztás párhuzamossá alakítását számos fogyasztó között. Egyetlen partíció legfeljebb 20 MBps vagy körülbelül 20 000 üzenetet támogat másodpercenként. Az adatokat használó eszköztől függően előfordulhat, hogy több partícióból is támogatja a használatot. Négy partícióval érdemes kezdeni, ha nem biztos a beállított partíciók számában.
  • Állítsa be az üzenetmegőrzést az eseményközpontban legalább hét napra. Ha a fogyasztóeszköz egy napnál hosszabb ideig leáll, ez a megőrzés biztosítja, hogy az eszköz fel tudja venni a hét naposnál régebbi eseményeknél abbahagyott helyre.
  • Használja az eseményközpont alapértelmezett fogyasztói csoportját. Nincs szükség más fogyasztói csoportok létrehozására vagy külön fogyasztói csoport használatára, hacsak nem tervezi, hogy két különböző eszköz ugyanazokat az adatokat használja ugyanazon eseményközpontból.
  • Az Azure-tevékenységnaplóban, amikor kiválaszt egy Event Hubs-névteret, az Azure Monitor létrehoz egy eseményközpontot a névtéren belül.insights-logs-operational-logs Más naplótípusok esetén választhat egy meglévő eseményközpontot, vagy beállíthatja, hogy az Azure Monitor naplókategória szerint hozzon létre eseményközpontot.
  • Az 5671-et és az 5672-et kimenő portot az eseményközpontból adatokat használó gépen vagy virtuális hálózaton kell megnyitni.

Streamelési módszerek

Az adatok az Alábbi módszerekkel küldhetők el az Event Hubsnak az Azure Monitorban:

  • Adatgyűjtési szabályok
    Az adatgyűjtési szabályok segítségével naplókat és metrikákat streamelhet az Event Hubsba, a Log Analytics-munkaterületekre és az Azure Storage-ba. Az adatgyűjtési szabályok beállításáról további információt az Adatgyűjtési szabályok az Azure Monitorban, valamint adatgyűjtési szabályok létrehozása és szerkesztése című témakörben talál.

  • Diagnosztikai beállítások
    Diagnosztikai beállítással naplókat és metrikákat streamelhet az Event Hubsba. A diagnosztikai beállítások beállításáról további információt a diagnosztikai beállítások létrehozása című témakörben talál.

  • Manuális streamelés a Logic Apps használatával
    Olyan adatok esetében, amelyeket nem tud közvetlenül eseményközpontba streamelni, írhat az Azure Storage-ba, majd használhat egy idővezérelt logikai alkalmazást, amely adatokat kér le az Azure Blob Storage-ból, és üzenetként küldi el az eseményközpontba. További információ: Csatlakozás eseményközponthoz az Azure Logic Apps munkafolyamataiból.

Adatformátumok

Az alábbi JSON egy eseményközpontnak küldött metrikák adatainak példája:

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

Az alábbi JSON-példa egy eseményközpontnak küldött naplóadatokra mutat be példát:

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
            "appid": "44445555-eeee-6666-ffff-7777aaaa8888"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

Partnereszközök az Azure Monitor-integrációval

A monitorozási adatok egy eseményközpontba való átirányítása az Azure Monitorral lehetővé teszi a külső SIEM-eszközökkel és monitorozási eszközökkel való egyszerű integrálást. Az alábbi táblázat példákat sorol fel az Azure Monitor-integrációval rendelkező eszközökre.

Eszköz Az Azure-ban üzemeltetve Leírás
IBM QRadar Nem A Microsoft Azure DSM és a Microsoft Azure Event Hubs Protocol letölthető az IBM támogatási webhelyéről.
Splunk Nem A Microsoft Cloud Services Splunk bővítménye egy nyílt forráskódú projekt, amely a Splunkbase-ben érhető el.

Ha nem tud bővítményt telepíteni a Splunk-példányban, és proxyt használ, vagy a Splunk Cloudon fut, ezeket az eseményeket a Splunkhoz készült Azure-függvény használatával továbbíthatja a Splunk HTTP-eseménygyűjtőnek. Ezt az eszközt az eseményközpont új üzenetei aktiválják.
SumoLogic Nem A SumoLogic eseményközpontból származó adatok felhasználására való beállítására vonatkozó utasítások az Azure Audit app naplóinak összegyűjtése az Event Hubsból című témakörben érhetők el.
ArcSight Nem Az ArcSight Azure Event Hubs intelligens összekötője az ArcSight intelligens összekötőgyűjtemény részeként érhető el.
Syslog-kiszolgáló Nem Ha közvetlenül egy Syslog-kiszolgálóra szeretné streamelni az Azure Monitor-adatokat, egy Azure-függvényen alapuló megoldást használhat.
LogRhythm Nem A LogRhythm eseményközpontból származó naplók gyűjtésére való beállítására vonatkozó utasítások ezen a LogRhythm webhelyen érhetők el.
Logz.io Igen További információt az Azure-ban futó Java-alkalmazások Logz.io használatával végzett monitorozás és naplózás első lépései című témakörben talál.

Következő lépések