Azure monitorozási adatok streamelése eseményközpontba és külső partnerhez
Az Azure Monitorból külső eszközökre streamelt adatok hatékony módszere az Azure Event Hubs használata. Ez a cikk bemutatja, hogyan streamelhet adatokat az Event Hubsba, és felsorolja azokat a partnereket, akik felhasználhatják ezeket az adatokat a központból. Egyes partnerek integrálhatók az Azure Monitorral, és azure-beli üzemeltetett szolgáltatásokkal rendelkeznek.
Event Hubs-névtér létrehozása
Mielőtt konfigurálja a streamelést egy adatforráshoz, létre kell hoznia egy Event Hubs-névteret és egy eseményközpontot. Ez a névtér és az eseményközpont az összes monitorozási adat célhelye. Az Event Hubs-névtér olyan eseményközpontok logikai csoportosítása, amelyek ugyanazt a hozzáférési szabályzatot használják, hasonlóan a tárfiókokhoz, amelyek a tárfiókban lévő blobok számára külön tárolókkal vannak elosztva. Vegye figyelembe a streamelési monitorozási adatokhoz használt Event Hubs-névtér és eseményközpontok alábbi adatait:
- Az átviteli egységek száma lehetővé teszi az eseményközpontok átviteli sebességének növelését. Általában csak egy átviteli egységre van szükség. Ha fel kell skáláznia a naplóhasználat növekedésével, manuálisan növelheti a névtér átviteli egységeinek számát, vagy engedélyezheti az automatikus inflációt.
- A partíciók száma lehetővé teszi a fogyasztás párhuzamossá alakítását számos fogyasztó között. Egyetlen partíció legfeljebb 20 MBps vagy körülbelül 20 000 üzenetet támogat másodpercenként. Az adatokat használó eszköztől függően előfordulhat, hogy több partícióból is támogatja a használatot. Négy partícióval érdemes kezdeni, ha nem biztos a beállított partíciók számában.
- Állítsa be az üzenetmegőrzést az eseményközpontban legalább hét napra. Ha a fogyasztóeszköz egy napnál hosszabb ideig leáll, ez a megőrzés biztosítja, hogy az eszköz fel tudja venni a hét naposnál régebbi eseményeknél abbahagyott helyre.
- Használja az eseményközpont alapértelmezett fogyasztói csoportját. Nincs szükség más fogyasztói csoportok létrehozására vagy külön fogyasztói csoport használatára, hacsak nem tervezi, hogy két különböző eszköz ugyanazokat az adatokat használja ugyanazon eseményközpontból.
- Az Azure-tevékenységnaplóban, amikor kiválaszt egy Event Hubs-névteret, az Azure Monitor létrehoz egy eseményközpontot a névtéren belül.
insights-logs-operational-logs
Más naplótípusok esetén választhat egy meglévő eseményközpontot, vagy beállíthatja, hogy az Azure Monitor naplókategória szerint hozzon létre eseményközpontot. - Az 5671-et és az 5672-et kimenő portot az eseményközpontból adatokat használó gépen vagy virtuális hálózaton kell megnyitni.
Streamelési módszerek
Az adatok az Alábbi módszerekkel küldhetők el az Event Hubsnak az Azure Monitorban:
Adatgyűjtési szabályok
Az adatgyűjtési szabályok segítségével naplókat és metrikákat streamelhet az Event Hubsba, a Log Analytics-munkaterületekre és az Azure Storage-ba. Az adatgyűjtési szabályok beállításáról további információt az Adatgyűjtési szabályok az Azure Monitorban, valamint adatgyűjtési szabályok létrehozása és szerkesztése című témakörben talál.Diagnosztikai beállítások
Diagnosztikai beállítással naplókat és metrikákat streamelhet az Event Hubsba. A diagnosztikai beállítások beállításáról további információt a diagnosztikai beállítások létrehozása című témakörben talál.Manuális streamelés a Logic Apps használatával
Olyan adatok esetében, amelyeket nem tud közvetlenül eseményközpontba streamelni, írhat az Azure Storage-ba, majd használhat egy idővezérelt logikai alkalmazást, amely adatokat kér le az Azure Blob Storage-ból, és üzenetként küldi el az eseményközpontba. További információ: Csatlakozás eseményközponthoz az Azure Logic Apps munkafolyamataiból.
Adatformátumok
Az alábbi JSON egy eseményközpontnak küldött metrikák adatainak példája:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Az alábbi JSON-példa egy eseményközpontnak küldött naplóadatokra mutat be példát:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
"appid": "44445555-eeee-6666-ffff-7777aaaa8888"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Partnereszközök az Azure Monitor-integrációval
A monitorozási adatok egy eseményközpontba való átirányítása az Azure Monitorral lehetővé teszi a külső SIEM-eszközökkel és monitorozási eszközökkel való egyszerű integrálást. Az alábbi táblázat példákat sorol fel az Azure Monitor-integrációval rendelkező eszközökre.
Eszköz | Az Azure-ban üzemeltetve | Leírás |
---|---|---|
IBM QRadar | Nem | A Microsoft Azure DSM és a Microsoft Azure Event Hubs Protocol letölthető az IBM támogatási webhelyéről. |
Splunk | Nem | A Microsoft Cloud Services Splunk bővítménye egy nyílt forráskódú projekt, amely a Splunkbase-ben érhető el. Ha nem tud bővítményt telepíteni a Splunk-példányban, és proxyt használ, vagy a Splunk Cloudon fut, ezeket az eseményeket a Splunkhoz készült Azure-függvény használatával továbbíthatja a Splunk HTTP-eseménygyűjtőnek. Ezt az eszközt az eseményközpont új üzenetei aktiválják. |
SumoLogic | Nem | A SumoLogic eseményközpontból származó adatok felhasználására való beállítására vonatkozó utasítások az Azure Audit app naplóinak összegyűjtése az Event Hubsból című témakörben érhetők el. |
ArcSight | Nem | Az ArcSight Azure Event Hubs intelligens összekötője az ArcSight intelligens összekötőgyűjtemény részeként érhető el. |
Syslog-kiszolgáló | Nem | Ha közvetlenül egy Syslog-kiszolgálóra szeretné streamelni az Azure Monitor-adatokat, egy Azure-függvényen alapuló megoldást használhat. |
LogRhythm | Nem | A LogRhythm eseményközpontból származó naplók gyűjtésére való beállítására vonatkozó utasítások ezen a LogRhythm webhelyen érhetők el. |
Logz.io | Igen | További információt az Azure-ban futó Java-alkalmazások Logz.io használatával végzett monitorozás és naplózás első lépései című témakörben talál. |