Przesyłanie strumieniowe danych monitorowania platformy Azure do centrum zdarzeń i partnera zewnętrznego
Efektywną metodą przesyłania strumieniowego danych z usługi Azure Monitor do narzędzi zewnętrznych jest użycie usługi Azure Event Hubs. Ten artykuł zawiera opis sposobu przesyłania strumieniowego danych do usługi Event Hubs i zawiera listę niektórych partnerów, którzy mogą korzystać z tych danych z centrum. Niektórzy partnerzy integrują się z usługą Azure Monitor i mają usługi hostowane na platformie Azure.
Tworzenie przestrzeni nazw usługi Event Hubs
Przed skonfigurowaniem przesyłania strumieniowego dla źródła danych należy utworzyć przestrzeń nazw usługi Event Hubs i centrum zdarzeń. Ta przestrzeń nazw i centrum zdarzeń to miejsce docelowe dla wszystkich danych monitorowania. Przestrzeń nazw usługi Event Hubs to logiczne grupowanie centrów zdarzeń, które współużytkujące te same zasady dostępu, podobnie jak konto magazynu ma pojedyncze kontenery dla obiektów blob na koncie magazynu. Rozważ następujące szczegóły dotyczące przestrzeni nazw usługi Event Hubs i centrów zdarzeń używanych do przesyłania strumieniowego danych monitorowania:
- Liczba jednostek przepływności umożliwia zwiększenie skali przepływności dla centrów zdarzeń. Zazwyczaj wymagana jest tylko jedna jednostka przepływności. Jeśli musisz skalować w górę w miarę wzrostu użycia dziennika, możesz ręcznie zwiększyć liczbę jednostek przepływności dla przestrzeni nazw lub włączyć automatyczną inflację.
- Liczba partycji umożliwia równoległe zrównanie zużycia w wielu użytkownikach. Pojedyncza partycja może obsługiwać maksymalnie 20 MB/s lub około 20 000 komunikatów na sekundę. W zależności od narzędzia korzystającego z danych może on lub nie obsługuje korzystania z wielu partycji. Cztery partycje są uzasadnione, aby rozpocząć od, jeśli nie masz pewności co do liczby partycji do ustawienia.
- Ustaw przechowywanie komunikatów w centrum zdarzeń na co najmniej siedem dni. Jeśli narzędzie zużywające spadnie przez więcej niż dzień, to przechowywanie gwarantuje, że narzędzie może odebrać miejsce, w którym zostało przerwane w przypadku zdarzeń do siedmiu dni.
- Użyj domyślnej grupy odbiorców dla centrum zdarzeń. Nie ma potrzeby tworzenia innych grup odbiorców ani używania oddzielnej grupy odbiorców, chyba że planujesz mieć dwa różne narzędzia zużywają te same dane z tego samego centrum zdarzeń.
- W dzienniku aktywności platformy Azure po wybraniu przestrzeni nazw usługi Event Hubs usługa Azure Monitor tworzy centrum zdarzeń w tej przestrzeni nazw o nazwie
insights-logs-operational-logs. W przypadku innych typów dzienników możesz wybrać istniejące centrum zdarzeń lub utworzyć centrum zdarzeń w usłudze Azure Monitor na kategorię dziennika. - Port wychodzący 5671 i 5672 musi być otwarty na maszynie lub w sieci wirtualnej korzystającej z danych z centrum zdarzeń.
Metody przesyłania strumieniowego
Dane można wysyłać do usługi Event Hubs przy użyciu następujących metod w usłudze Azure Monitor:
Reguły zbierania danych
Reguły zbierania danych służą do przesyłania strumieniowego dzienników i metryk do usług Event Hubs, obszarów roboczych usługi Log Analytics i usługi Azure Storage. Aby uzyskać informacje na temat konfigurowania reguł zbierania danych, zobacz Reguły zbierania danych w usłudze Azure Monitor i Tworzenie i edytowanie reguł zbierania danych.Ustawienia diagnostyczne
Użyj ustawienia diagnostyki, aby przesyłać strumieniowo dzienniki i metryki do usługi Event Hubs. Aby uzyskać informacje na temat konfigurowania ustawień diagnostycznych, zobacz Tworzenie ustawień diagnostycznych.Ręczne przesyłanie strumieniowe przy użyciu usługi Logic Apps
W przypadku danych, których nie można bezpośrednio przesyłać strumieniowo do centrum zdarzeń, możesz zapisać w usłudze Azure Storage, a następnie użyć aplikacji logiki wyzwalanej czasowo, która ściąga dane z usługi Azure Blob Storage i wypycha je jako komunikat do centrum zdarzeń. Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z centrum zdarzeń z przepływów pracy w usłudze Azure Logic Apps.
Formaty danych
Poniższy kod JSON to przykład danych metryk wysyłanych do centrum zdarzeń:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Poniższy kod JSON to przykład danych dziennika wysyłanych do centrum zdarzeń:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
"appid": "44445555-eeee-6666-ffff-7777aaaa8888"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Narzędzia partnerskie z integracją usługi Azure Monitor
Routing danych monitorowania do centrum zdarzeń za pomocą usługi Azure Monitor umożliwia łatwą integrację z zewnętrznymi narzędziami SIEM i monitorowania. W poniższej tabeli wymieniono przykłady narzędzi z integracją z usługą Azure Monitor.
| Narzędzie | Hostowane na platformie Azure | opis |
|---|---|---|
| IBM QRadar | Nie. | Microsoft Azure DSM i Microsoft Azure Event Hubs Protocol są dostępne do pobrania ze strony internetowej pomocy technicznej IBM. |
| Splunk | Nie. | Dodatek Splunk dla usług Microsoft Cloud Services to projekt open source dostępny w rozwiązaniu Splunkbase. Jeśli nie możesz zainstalować dodatku w wystąpieniu rozwiązania Splunk i używasz serwera proxy lub uruchomionego w chmurze Splunk, możesz przekazać te zdarzenia do modułu zbierającego zdarzenia HTTP splunk przy użyciu funkcji platformy Azure for Splunk. To narzędzie jest wyzwalane przez nowe komunikaty w centrum zdarzeń. |
| SumoLogic | Nie. | Instrukcje dotyczące konfigurowania narzędzia SumoLogic do korzystania z danych z centrum zdarzeń są dostępne na stronie Zbieranie dzienników dla aplikacji inspekcji platformy Azure z usługi Event Hubs. |
| ArcSight | Nie. | Inteligentny łącznik usługi Azure Event Hubs w usłudze ArcSight jest dostępny w ramach kolekcji łączników inteligentnych usługi ArcSight. |
| Serwer Syslog | Nie. | Jeśli chcesz przesyłać strumieniowo dane usługi Azure Monitor bezpośrednio do serwera Syslog, możesz użyć rozwiązania opartego na funkcji platformy Azure. |
| LogRhythm | Nie. | Instrukcje dotyczące konfigurowania logRhythm w celu zbierania dzienników z centrum zdarzeń są dostępne w tej witrynie internetowej LogRhythm. |
| Logz.io | Tak | Aby uzyskać więcej informacji, zobacz Wprowadzenie do monitorowania i rejestrowania przy użyciu Logz.io dla aplikacji Java działających na platformie Azure. |