Azure monitorozási adatok streamelése eseményközpontba vagy külső partnerhez
A legtöbb esetben az Azure Monitorból külső eszközökre streamelt adatok leghatékonyabb módja az Azure Event Hubs használata. Ez a cikk rövid leírást nyújt az adatok streameléséhez, majd felsorol néhány olyan partnert, ahol elküldheti azokat. Egyes partnerek speciális integrációval rendelkeznek az Azure Monitorral, és az Azure-ban üzemeltethetők.
Event Hubs-névtér létrehozása
Mielőtt bármilyen adatforráshoz konfigurálja a streamelést, létre kell hoznia egy Event Hubs-névteret és egy eseményközpontot. Ez a névtér és az eseményközpont az összes monitorozási adat célhelye. Az Event Hubs-névtér olyan eseményközpontok logikai csoportosítása, amelyek ugyanazt a hozzáférési szabályzatot használják, hasonlóan a tárfiókokhoz, amelyeken belül egyedi blobok találhatók. Vegye figyelembe a streamelési monitorozási adatokhoz használt Event Hubs-névtér és eseményközpontok alábbi adatait:
- Az átviteli egységek száma lehetővé teszi az eseményközpontok átviteli sebességének növelését. Általában csak egy átviteli egységre van szükség. Ha fel kell skáláznia a naplóhasználat növekedésével, manuálisan növelheti a névtér átviteli egységeinek számát, vagy engedélyezheti az automatikus inflációt.
- A partíciók száma lehetővé teszi a fogyasztás párhuzamossá alakítását számos fogyasztó között. Egyetlen partíció legfeljebb 20 MBps vagy körülbelül 20 000 üzenetet támogat másodpercenként. Az adatokat használó eszköztől függően előfordulhat, hogy több partícióból is támogatja a használatot. Négy partícióval érdemes kezdeni, ha nem biztos a beállított partíciók számában.
- Az üzenetmegőrzést az eseményközpontban legalább hét napra állítja be. Ha a fogyasztóeszköz egy napnál hosszabb ideig leáll, ez a megőrzés biztosítja, hogy az eszköz fel tudja venni a hét naposnál régebbi eseményeknél abbahagyott helyre.
- Az eseményközpont alapértelmezett fogyasztói csoportját kell használnia. Nincs szükség más fogyasztói csoportok létrehozására vagy külön fogyasztói csoport használatára, hacsak nem tervezi, hogy két különböző eszköz ugyanazokat az adatokat használja ugyanazon eseményközpontból.
- Az Azure-tevékenységnaplóhoz válasszon egy Event Hubs-névteret, és az Azure Monitor létrehoz egy eseményközpontot azon a névtéren belül, az insights-logs-operational-logs névtérben. Más naplótípusok esetén választhat egy meglévő eseményközpontot, vagy beállíthatja, hogy az Azure Monitor naplókategória szerint hozzon létre eseményközpontot.
- Az 5671-ben és az 5672-ben kimenő portot általában azon a számítógépen vagy virtuális hálózaton kell megnyitni, amely adatokat használ az eseményközpontból.
Rendelkezésre álló adatok monitorozása
Az Azure Monitor monitorozási adatainak forrásai és adatgyűjtési módszereik az Azure Monitor által gyűjtött különböző típusú adatokat és az adatgyűjtéshez használt módszereket ismertetik. Tekintse meg ezt a cikket az eseményközpontba streamelhető adatokról és a konfiguráció részleteire mutató hivatkozásokról.
Diagnosztikai adatok streamelése
Diagnosztikai beállítással naplókat és metrikákat streamelhet az Event Hubsba. További információ a diagnosztikai beállítások beállításáról: Diagnosztikai beállítások létrehozása
Az alábbi JSON egy eseményközpontnak küldött metrikák adatainak példája:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Az alábbi JSON-példa egy eseményközpontnak küldött naplóadatokra mutat be példát:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
"appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "12345678-abcd-1234-abcd-1234567890ab",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Manuális streamelés logikai alkalmazással
Olyan adatok esetében, amelyeket nem tud közvetlenül eseményközpontba streamelni, írhat az Azure Storage-ba, majd használhat egy idővezérelt logikai alkalmazást, amely adatokat kér le az Azure Blob Storage-ból , és üzenetként küldi el az eseményközpontba.
Partnereszközök az Azure Monitor-integrációval
A monitorozási adatok egy eseményközpontba való átirányítása az Azure Monitorral lehetővé teszi a külső SIEM-eszközökkel és monitorozási eszközökkel való egyszerű integrálást. Az alábbi táblázat példákat sorol fel az Azure Monitor-integrációval rendelkező eszközökre.
| Eszköz | Az Azure-ban üzemeltetve | Leírás |
|---|---|---|
| IBM QRadar | Nem | A Microsoft Azure DSM és a Microsoft Azure Event Hubs Protocol letölthető az IBM támogatási webhelyéről. |
| Splunk | Nem | A Microsoft Cloud Services Splunk bővítménye egy nyílt forráskódú projekt, amely a Splunkbase-ben érhető el. Ha nem tud bővítményt telepíteni a Splunk-példányban, és például proxyt használ, vagy a Splunk Cloudon fut, ezeket az eseményeket továbbíthatja a Splunk HTTP-eseménygyűjtőnek az Azure Function for Splunk használatával. Ezt az eszközt az eseményközpont új üzenetei aktiválják. |
| SumoLogic | Nem | A SumoLogic eseményközpontból származó adatok felhasználására való beállítására vonatkozó utasítások az Azure Audit app naplóinak összegyűjtése az Event Hubsból című témakörben érhetők el. |
| ArcSight | Nem | Az ArcSight Azure Event Hubs intelligens összekötője az ArcSight intelligens összekötőgyűjtemény részeként érhető el. |
| Syslog-kiszolgáló | Nem | Ha közvetlenül egy Syslog-kiszolgálóra szeretné streamelni az Azure Monitor-adatokat, egy Azure-függvényen alapuló megoldást használhat. |
| LogRhythm | Nem | A LogRhythm eseményközpontból származó naplók gyűjtésére való beállítására vonatkozó utasítások ezen a LogRhythm webhelyen érhetők el. |
| Logz.io | Igen | További információt az Azure-ban futó Java-alkalmazások Logz.io használatával végzett monitorozás és naplózás első lépései című témakörben talál. |