Przekazywanie strumieni danych monitorowania platformy Azure do Event Hub oraz zewnętrznego partnera

Efektywną metodą przesyłania strumieniowego danych z usługi Azure Monitor do narzędzi zewnętrznych jest użycie usługi Azure Event Hubs. Ten artykuł zawiera opis sposobu przesyłania strumieniowego danych do usługi Event Hubs oraz listę niektórych partnerów, którzy mogą wykorzystywać te dane pochodzące z centrum. Niektórzy partnerzy integrują się z usługą Azure Monitor i mają usługi hostowane na platformie Azure.

Tworzenie przestrzeni nazw usługi Event Hubs

Przed skonfigurowaniem przesyłania strumieniowego dla źródła danych należy utworzyć przestrzeń nazw usługi Event Hubs i centrum zdarzeń. Ta przestrzeń nazw i centrum zdarzeń to miejsce docelowe dla wszystkich danych monitorowania. Przestrzeń nazw usługi Event Hubs to logiczne grupowanie centrów zdarzeń, które współużytkują te same zasady dostępu, podobnie jak konto magazynu ma kontenery dla blobów w ramach konta magazynu. Rozważ następujące szczegóły dotyczące przestrzeni nazw usługi Event Hubs i centrów zdarzeń używanych do przesyłania strumieniowego danych monitorowania:

• Liczba jednostek przepływności umożliwia zwiększenie skali przepływności dla centrów zdarzeń. Zazwyczaj wymagana jest tylko jedna jednostka przepływności. Jeśli musisz skalować w górę w miarę wzrostu użycia dziennika, możesz ręcznie zwiększyć liczbę jednostek przepływności dla przestrzeni nazw lub włączyć automatyczną inflację.
• Liczba partycji umożliwia równoległe zrównanie zużycia w wielu użytkownikach. Pojedyncza partycja może obsługiwać maksymalnie 20 MB/s lub około 20 000 komunikatów na sekundę. W zależności od narzędzia korzystającego z danych może on lub nie obsługuje korzystania z wielu partycji. Cztery partycje są uzasadnione, aby rozpocząć od, jeśli nie masz pewności co do liczby partycji do ustawienia.
• Ustaw przechowywanie komunikatów w centrum zdarzeń na co najmniej siedem dni. Jeśli narzędzie zużywające spadnie przez więcej niż dzień, to przechowywanie gwarantuje, że narzędzie może odebrać miejsce, w którym zostało przerwane w przypadku zdarzeń do siedmiu dni.
• Użyj domyślnej grupy odbiorców dla centrum zdarzeń. Nie ma potrzeby tworzenia innych grup odbiorców ani używania osobnej grupy odbiorców, chyba że planujesz korzystać z dwóch różnych narzędzi, aby odbierać te same dane z tego samego centrum zdarzeń.
• W dzienniku aktywności platformy Azure po wybraniu przestrzeni nazw usługi Event Hubs usługa Azure Monitor tworzy centrum zdarzeń w tej przestrzeni nazw o nazwie insights-logs-operational-logs. W przypadku innych typów dzienników możesz wybrać istniejące centrum zdarzeń lub utworzyć centrum zdarzeń w usłudze Azure Monitor na kategorię dziennika.
• Port wychodzący 5671 i 5672 musi być otwarty na maszynie lub w sieci wirtualnej korzystającej z danych z centrum zdarzeń.

Metody przesyłania strumieniowego

Dane można wysyłać do usługi Event Hubs przy użyciu następujących metod w usłudze Azure Monitor:

• Reguły zbierania danych

  Reguły zbierania danych służą do wysyłania dzienników i metryk do Event Hubs, obszarów roboczych Log Analytics i Azure Storage. Aby uzyskać informacje na temat konfigurowania reguł zbierania danych, zobacz Reguły zbierania danych w usłudze Azure Monitor i Tworzenie i edytowanie reguł zbierania danych.

• Ustawienia diagnostyczne

  Użyj ustawienia diagnostyki, aby przesyłać strumieniowo dzienniki i metryki do usługi Event Hubs. Aby uzyskać informacje na temat konfigurowania ustawień diagnostycznych, zobacz Tworzenie ustawień diagnostycznych.

• Ręczne przesyłanie strumieniowe przy użyciu usługi Logic Apps

  W przypadku danych, których nie można bezpośrednio przesyłać strumieniowo do centrum zdarzeń, możesz zapisać je w usłudze Azure Storage, a następnie użyć aplikacji logiki wyzwalanej czasowo, która pobiera dane z usługi Azure Blob Storage i przesyła je jako wiadomość do centrum zdarzeń. Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z centrum zdarzeń z przepływów pracy w usłudze Azure Logic Apps.

Formaty danych

Poniższy kod JSON to przykład danych metryk wysyłanych do centrum zdarzeń:

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

Poniższy kod JSON to przykład danych dziennika wysyłanych do centrum zdarzeń:

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
            "appid": "44445555-eeee-6666-ffff-7777aaaa8888"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

Narzędzia partnerskie z integracją usługi Azure Monitor

Przesyłanie danych monitorowania do centrum zdarzeń za pośrednictwem Azure Monitor pozwala na łatwą integrację z zewnętrznymi systemami SIEM oraz narzędziami monitorującymi. W poniższej tabeli wymieniono przykłady narzędzi z integracją z usługą Azure Monitor.

Narzędzie	Hostowane na platformie Azure	Opis
IBM QRadar	Nie.	Microsoft Azure DSM i Microsoft Azure Event Hubs Protocol są dostępne do pobrania ze strony internetowej pomocy technicznej IBM.
Splunk	Nie.	Dodatek Splunk dla usług Microsoft Cloud Services to projekt open source dostępny w rozwiązaniu Splunkbase. Jeśli nie możesz zainstalować dodatku w swoim wystąpieniu Splunk i używasz serwera proxy lub działasz w Splunk Cloud, możesz przesłać te zdarzenia do Splunk HTTP Event Collector przy użyciu Azure Function for Splunk. To narzędzie jest wyzwalane przez nowe komunikaty w centrum zdarzeń.
SumoLogic	Nie.	Instrukcje dotyczące konfigurowania narzędzia SumoLogic do korzystania z danych z centrum zdarzeń są dostępne na stronie Zbieranie dzienników dla aplikacji inspekcji platformy Azure z usługi Event Hubs.
ArcSight	Nie.	Inteligentny łącznik Azure Event Hubs dla ArcSight jest dostępny jako część kolekcji inteligentnych łączników ArcSight.
Serwer Syslog	Nie.	Jeśli chcesz przesyłać strumieniowo dane usługi Azure Monitor bezpośrednio do serwera Syslog, możesz użyć rozwiązania opartego na funkcji platformy Azure.
LogRhythm	Nie.	Instrukcje dotyczące konfigurowania logRhythm w celu zbierania dzienników z centrum zdarzeń są dostępne w tej witrynie internetowej LogRhythm.
Logz.io	Tak	Aby uzyskać więcej informacji, zobacz Wprowadzenie do monitorowania i rejestrowania przy użyciu Logz.io dla aplikacji Java działających na platformie Azure.

Dalsze kroki

• Źródła danych i metody zbierania danych w usłudze Azure Monitor
• Reguły zbierania danych usługi Azure Monitor
• Eksportowanie metryk przy użyciu reguł zbierania danych
• Ustawienia diagnostyczne usługi Azure Monitor
• Konfigurowanie alertu na podstawie zdarzenia dziennika aktywności