Trasmettere i dati di monitoraggio di Azure a un hub eventi e a un partner esterno

Un metodo efficace per trasmettere i dati da Monitoraggio di Azure a strumenti esterni consiste nell'usare Hub eventi di Azure. Questo articolo fornisce una descrizione di come trasmettere i dati a Hub eventi ed elenca alcuni dei partner che possono utilizzare tali dati dall'hub. Alcuni partner si integrano con Monitoraggio di Azure e hanno servizi ospitati in Azure.

Creare un namespace per Event Hubs

Prima di configurare lo streaming per un’origine dati, è necessario creare uno spazio dei nomi di Hub eventi e un hub eventi. Questo spazio dei nomi e l'hub eventi sono la destinazione per tutti i dati di monitoraggio. Uno spazio dei nomi di Hub eventi è un raggruppamento logico di hub eventi che condividono gli stessi criteri di accesso, così come un account di archiviazione contiene al suo interno singoli contenitori per file BLOB. Considerare i dettagli seguenti sul namespace di Event Hubs e sugli Event Hubs usati per lo streaming dei dati di monitoraggio.

• Il numero di unità elaborate consente di aumentare la scala della velocità effettiva per gli hub eventi. In genere è necessaria solo un'unità di throughput. Se è necessario scalare con l'aumento dell'utilizzo dei log, è possibile aumentare manualmente il numero di unità di throughput per lo spazio dei nomi o abilitare l'inflazione automatica.
• Il numero di partizioni consente di parallelizzare il consumo tra molti consumer. Una singola partizione può supportare fino a 20 MBps o circa 20.000 messaggi al secondo. A seconda dello strumento che utilizza i dati, potrebbe o meno supportare l'utilizzo da più partizioni. Quattro partizioni sono ragionevoli per iniziare se non si è certi del numero di partizioni da impostare.
• Impostare la conservazione dei messaggi nell'hub eventi su almeno sette giorni. Se lo strumento di utilizzo scende per più di un giorno, questa conservazione garantisce che lo strumento possa riprendere la posizione in cui è stato interrotto per gli eventi fino a sette giorni prima.
• Usare il gruppo di consumatori predefinito per l'hub eventi. Non è necessario creare altri gruppi di consumer o usare un gruppo di consumer separato, a meno che non si prevede di disporre di due strumenti diversi che utilizzano gli stessi dati dallo stesso hub eventi.
• Per il log attività di Azure, quando si seleziona uno spazio dei nomi di Hub eventi, Monitoraggio di Azure crea un hub eventi all'interno di questo spazio dei nomi, denominato insights-logs-operational-logs. Per altri tipi di log, è possibile scegliere un hub eventi esistente o fare in modo che Monitoraggio di Azure crei un hub eventi per categoria di log.
• Le porte in uscita 5671 e 5672 devono essere aperte sulla macchina o sulla rete virtuale che utilizza i dati dall'event hub.

Metodi di streaming

I dati possono essere inviati a Hub eventi usando i metodi seguenti in Monitoraggio di Azure:

• Regole di raccolta dati

  Le regole di raccolta dati vengono usate per trasmettere log e metriche a Event Hubs, aree di lavoro di Log Analytics e archiviazione Azure. Per informazioni su come configurare le regole di raccolta dati, vedere Regole di raccolta dati in Monitoraggio di Azure e Creare e modificare le regole di raccolta dati.

• Impostazioni di diagnostica

  Usare le impostazioni diagnostiche per trasmettere log e metriche agli Hub eventi. Per informazioni su come configurare le impostazioni di diagnostica, vedere Creare impostazioni di diagnostica.

• Trasmettere manualmente utilizzando Logic Apps

  Per i dati che non è possibile trasmettere direttamente a un hub eventi, è possibile scriverli su Azure Storage e quindi utilizzare un'app logica attivata dal tempo che estrae i dati da Azure Blob Storage e li invia come messaggi all'hub eventi. Per ulteriori informazioni, vedere Connettersi a un hub eventi dai flussi di lavoro in Azure Logic Apps.

Formati di dati

Il codice JSON seguente è un esempio di dati delle metriche inviati a un hub eventi:

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

Il codice JSON seguente è un esempio di dati di log inviati a un hub eventi:

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
            "appid": "44445555-eeee-6666-ffff-7777aaaa8888"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

Strumenti per i partner con integrazione Azure Monitor

Il routing dei dati di monitoraggio a un hub di eventi con Azure Monitor consente di integrare facilmente con strumenti di monitoraggio e SIEM esterni. La tabella seguente elenca esempi di strumenti con l'integrazione di Monitoraggio di Azure.

Strumento	Ospitato su Azure	Descrizione
IBM QRadar	NO	Microsoft Azure DSM e il protocollo di Hub eventi di Microsoft Azure sono scaricabili dal sito Web dell'assistenza IBM.
Splunk	NO	Il componente aggiuntivo Splunk per Servizi cloud Microsoft è un progetto open source disponibile in Splunkbase. Se non è possibile installare un componente aggiuntivo nell'istanza di Splunk e si usa un proxy o si esegue in Splunk Cloud, è possibile inoltrare questi eventi all'agente di raccolta eventi HTTP splunk usando la funzione di Azure per Splunk. Questo strumento viene attivato da nuovi messaggi nell'hub eventi.
sumologic	NO	Le istruzioni per configurare SumoLogic per il consumo dei dati di un hub eventi sono disponibili alla pagina Raccogliere log per l'app di audit da hub eventi.
ArcSight	NO	Il connettore intelligente dell'Hub eventi di Azure è disponibile nella raccolta di connettori intelligenti ArcSight.
Server Syslog	NO	Per trasmettere i dati di Monitoraggio di Azure direttamente a un server Syslog, è possibile usare una soluzione basata su una funzione di Azure.
LogRhythm	NO	Le istruzioni per configurare LogRhythm per raccogliere i log da un hub eventi sono disponibili in questo sito Web LogRhythm.
Logz.io	Sì	Per altre informazioni, vedere Introduzione al monitoraggio e alla registrazione usando Logz.io per le app Java in esecuzione in Azure.

Passaggi successivi

• Origini dati e metodi di raccolta dati di Azure Monitor
• Regole di raccolta dati di Monitoraggio di Azure
• Esportazione delle metriche con regole di raccolta dati
• Impostazioni di diagnostica di Azure Monitor
• Configurare un avviso in base a un evento del log delle attività