Przesyłanie strumieniowe danych monitorowania platformy Azure do centrum zdarzeń lub partnera zewnętrznego

Usługa Azure Monitor zapewnia pełne monitorowanie stosu dla aplikacji i usług na platformie Azure, w innych chmurach i lokalnie. W większości przypadków najbardziej efektywną metodą przesyłania strumieniowego danych monitorowania do narzędzi zewnętrznych jest użycie Azure Event Hubs. Ten artykuł zawiera krótki opis sposobu przesyłania strumieniowego danych, a następnie zawiera listę niektórych partnerów, w których można je wysłać. Niektóre z nich mają specjalną integrację z usługą Azure Monitor i mogą być hostowane na platformie Azure.

Tworzenie przestrzeni nazw usługi Event Hubs

Przed skonfigurowaniem przesyłania strumieniowego dla dowolnego źródła danych należy utworzyć przestrzeń nazw i centrum zdarzeń usługi Event Hubs. Ta przestrzeń nazw i centrum zdarzeń to miejsce docelowe dla wszystkich danych monitorowania. Przestrzeń nazw usługi Event Hubs to logiczne grupowanie centrów zdarzeń, które współużytkujące te same zasady dostępu, podobnie jak konto magazynu ma pojedyncze obiekty blob w ramach tego konta magazynu. Rozważ następujące szczegóły dotyczące przestrzeni nazw usługi Event Hubs i centrów zdarzeń używanych do przesyłania strumieniowego danych monitorowania:

  • Liczba jednostek przepływności umożliwia zwiększenie skali przepływności dla centrów zdarzeń. Zwykle jest wymagana tylko jedna jednostka przepływności. Jeśli musisz skalować w górę w miarę wzrostu użycia dziennika, możesz ręcznie zwiększyć liczbę jednostek przepływności dla przestrzeni nazw lub włączyć automatyczną inflację.
  • Liczba partycji umożliwia równoległe zrównanie zużycia w wielu użytkownikach. Pojedyncza partycja może obsługiwać maksymalnie 20 MB/s lub około 20 000 komunikatów na sekundę. W zależności od narzędzia korzystającego z danych może on lub nie obsługuje używania z wielu partycji. Cztery partycje są uzasadnione, aby rozpocząć od, jeśli nie masz pewności co do liczby partycji do ustawienia.
  • Ustawienie przechowywania komunikatów w centrum zdarzeń na co najmniej siedem dni. Jeśli narzędzie zużywające nie działa dłużej niż dzień, to przechowywanie gwarantuje, że narzędzie może odebrać miejsce, w którym zostało przerwane w przypadku zdarzeń do siedmiu dni.
  • Dla centrum zdarzeń należy użyć domyślnej grupy odbiorców. Nie ma potrzeby tworzenia innych grup odbiorców ani używania oddzielnej grupy odbiorców, chyba że planujesz, aby dwa różne narzędzia używały tych samych danych z tego samego centrum zdarzeń.
  • W przypadku dziennika aktywności platformy Azure należy wybrać przestrzeń nazw usługi Event Hubs, a usługa Azure Monitor tworzy centrum zdarzeń w tej przestrzeni nazw o nazwie insights-logs-operational-logs. W przypadku innych typów dzienników możesz wybrać istniejące centrum zdarzeń lub utworzyć centrum zdarzeń dla kategorii dziennika w usłudze Azure Monitor.
  • Port wychodzący 5671 i 5672 musi być zwykle otwarty na komputerze lub w sieci wirtualnej korzystającej z danych z centrum zdarzeń.

Dostępne dane monitorowania

Źródła danych monitorowania dla usługi Azure Monitor opisują warstwy danych dla aplikacji platformy Azure i rodzaje danych dostępnych dla każdego z nich. W poniższej tabeli wymieniono każdą z tych warstw i opis sposobu przesyłania strumieniowego tych danych do centrum zdarzeń. Aby uzyskać więcej szczegółów, skorzystaj z linków.

Warstwa Dane Metoda
Dzierżawa platformy Azure Dzienniki inspekcji usługi Azure Active Directory Skonfiguruj ustawienie diagnostyczne dzierżawy w dzierżawie Azure AD. Aby uzyskać szczegółowe informacje, zobacz Samouczek: przesyłanie strumieniowe dzienników usługi Azure Active Directory do centrum zdarzeń platformy Azure .
Subskrypcja platformy Azure Dziennik aktywności platformy Azure Utwórz profil dziennika w celu wyeksportowania zdarzeń dziennika aktywności do usługi Event Hubs. Aby uzyskać szczegółowe informacje, zobacz Stream Azure platform logs to Azure Event Hubs (Przesyłanie strumieniowe dzienników platformy Azure do Azure Event Hubs).
Zasoby platformy Azure Metryki platformy
Dzienniki zasobów
Oba typy danych są wysyłane do centrum zdarzeń przy użyciu ustawienia diagnostycznego zasobów. Aby uzyskać szczegółowe informacje, zobacz Stream Azure resource logs to an event hub (Przesyłanie strumieniowe dzienników zasobów platformy Azure do centrum zdarzeń ).
System operacyjny (gość) Maszyny wirtualne platformy Azure Zainstaluj rozszerzenie Diagnostyka Azure na maszynach wirtualnych z systemami Windows i Linux na platformie Azure. Aby uzyskać szczegółowe informacje na temat maszyn wirtualnych z systemem Windows, zobacz Przesyłanie strumieniowe Diagnostyka Azure danych w ścieżce gorącej przy użyciu usługi Event Hubs i Monitorowanie metryk i dzienników przy użyciu rozszerzenia diagnostycznego systemu Linux, aby uzyskać szczegółowe informacje na temat maszyn wirtualnych z systemem Linux.
Kod aplikacji Application Insights Użyj ustawień diagnostycznych, aby przesyłać strumieniowo do centrów zdarzeń. Jest to dostępne tylko w przypadku zasobów usługi Application Insights opartych na obszarze roboczym. Aby uzyskać pomoc dotyczącą konfigurowania zasobów usługi Application Insights opartych na obszarze roboczym, zobacz Zasoby usługi Application Insights oparte naobszarze roboczym i Migrowanie do zasobów usługi Application Insights opartych na obszarze roboczym.

Ręczne przesyłanie strumieniowe za pomocą aplikacji logiki

W przypadku danych, których nie można bezpośrednio przesyłać strumieniowo do centrum zdarzeń, możesz zapisać w usłudze Azure Storage, a następnie użyć aplikacji logiki wyzwalanej czasowo, która pobiera dane z magazynu obiektów blob i wypycha je jako komunikat do centrum zdarzeń.

Narzędzia partnerskie z integracją usługi Azure Monitor

Routing danych monitorowania do centrum zdarzeń za pomocą usługi Azure Monitor umożliwia łatwą integrację z zewnętrznymi narzędziami SIEM i monitorowania. Przykłady narzędzi z integracją usługi Azure Monitor obejmują następujące elementy:

Narzędzie Hostowane na platformie Azure Opis
IBM QRadar Nie Microsoft Azure DSM i Microsoft Azure Event Hubs Protocol są dostępne do pobrania z witryny pomocy technicznej ibm.
Splunk Nie Dodatek Splunk dla Microsoft Cloud Services to projekt open source dostępny w programie Splunkbase.

Jeśli nie możesz zainstalować dodatku w wystąpieniu splunk, jeśli na przykład używasz serwera proxy lub działasz w chmurze Splunk, możesz przekazać te zdarzenia do modułu zbierającego zdarzeń HTTP splunk przy użyciu funkcji platformy Azure for Splunk, która jest wyzwalana przez nowe komunikaty w centrum zdarzeń.
SumoLogic Nie Instrukcje dotyczące konfigurowania narzędzia SumoLogic do korzystania z danych z centrum zdarzeń są dostępne w temacie Collect Logs for the Azure Audit App from Event Hubs (Zbieranie dzienników dla aplikacji inspekcji platformy Azure z usługi Event Hubs).
ArcSight Nie Łącznik inteligentny usługi ArcSight Azure Event Hubs jest dostępny w ramach kolekcji inteligentnych łączników usługi ArcSight.
Serwer Syslog Nie Jeśli chcesz przesyłać strumieniowo dane usługi Azure Monitor bezpośrednio do serwera dziennika systemowego, możesz użyć rozwiązania opartego na funkcji platformy Azure.
LogRhythm Nie Instrukcje dotyczące konfigurowania logRhythm w celu zbierania dzienników z centrum zdarzeń są dostępne tutaj.
Logz.io Tak Aby uzyskać więcej informacji, zobacz Getting started with monitoring and logging using Logz.io for Java apps running on Azure (Wprowadzenie do monitorowania i rejestrowania przy użyciu Logz.io dla aplikacji Java działających na platformie Azure)

Inni partnerzy mogą być również dostępni. Aby uzyskać bardziej pełną listę wszystkich partnerów usługi Azure Monitor i ich możliwości, zobacz Integracje partnerów usługi Azure Monitor.

Następne kroki