Strömma Azure-övervakningsdata till en händelsehubb och en extern partner
En effektiv metod för att strömma data från Azure Monitor till externa verktyg är att använda Azure Event Hubs. Den här artikeln innehåller en beskrivning av hur du strömmar data till Event Hubs och listar några av de partner som kan använda dessa data från hubben. Vissa partner integreras med Azure Monitor och har Azure-värdbaserade tjänster.
Skapa ett Event Hubs-namnområde
Innan du konfigurerar direktuppspelning för en datakälla måste du skapa ett Event Hubs-namnområde och en händelsehubb. Det här namnområdet och händelsehubben är målet för alla dina övervakningsdata. Ett Event Hubs-namnområde är en logisk gruppering av händelsehubbar som delar samma åtkomstprincip, ungefär som ett lagringskonto har enskilda containrar för blobar i lagringskontot. Överväg följande information om Event Hubs-namnrymden och händelsehubbar som du använder för strömmande övervakningsdata:
- Med antalet dataflödesenheter kan du öka dataflödesskalan för dina händelsehubbar. Det krävs vanligtvis bara en dataflödesenhet. Om du behöver skala upp när logganvändningen ökar kan du manuellt öka antalet dataflödesenheter för namnområdet eller aktivera automatisk inflation.
- Med antalet partitioner kan du parallellisera förbrukningen mellan många konsumenter. En enskild partition har stöd för upp till 20 Mbit/s eller cirka 20 000 meddelanden per sekund. Beroende på vilket verktyg som använder data kanske det inte stöder användning från flera partitioner. Fyra partitioner är rimliga att börja med om du inte är säker på hur många partitioner som ska anges.
- Ange kvarhållning av meddelanden på händelsehubben till minst sju dagar. Om ditt förbrukande verktyg går ner i mer än en dag säkerställer den här kvarhållningen att verktyget kan fortsätta där det slutade för händelser upp till sju dagar gamla.
- Använd standardkonsumentgruppen för din händelsehubb. Du behöver inte skapa andra konsumentgrupper eller använda en separat konsumentgrupp om du inte planerar att ha två olika verktyg som använder samma data från samma händelsehubb.
- När du väljer ett Event Hubs-namnområde för Azure-aktivitetsloggen skapar Azure Monitor en händelsehubb inom namnområdet med namnet
insights-logs-operational-logs. För andra loggtyper kan du antingen välja en befintlig händelsehubb eller låta Azure Monitor skapa en händelsehubb per loggkategori. - Utgående port 5671 och 5672 måste öppnas på datorn eller det virtuella nätverket som förbrukar data från händelsehubben.
Strömningsmetoder
Data kan skickas till Event Hubs med hjälp av följande metoder i Azure Monitor:
Regler för datainsamling
Datainsamlingsregler används för att strömma loggar och mått till Event Hubs, Log Analytics-arbetsytor och Azure Storage. Information om hur du konfigurerar regler för datainsamling finns i Datainsamlingsregler i Azure Monitor och Skapa och redigera datainsamlingsregler.Diagnostikinställningar
Använd diagnostikinställningen för att strömma loggar och mått till Event Hubs. Information om hur du konfigurerar diagnostikinställningar finns i Skapa diagnostikinställningar.Strömma manuellt med Logic Apps
För data som du inte kan strömma direkt till en händelsehubb kan du skriva till Azure Storage och sedan använda en tidsutlöst logikapp som hämtar data från Azure Blob Storage och skickar dem som ett meddelande till händelsehubben. Mer information finns i Ansluta till en händelsehubb från arbetsflöden i Azure Logic Apps.
Dataformat
Följande JSON är ett exempel på måttdata som skickas till en händelsehubb:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Följande JSON är ett exempel på loggdata som skickas till en händelsehubb:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
"appid": "44445555-eeee-6666-ffff-7777aaaa8888"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Partnerverktyg med Azure Monitor-integrering
Genom att dirigera dina övervakningsdata till en händelsehubb med Azure Monitor kan du enkelt integrera med externa SIEM- och övervakningsverktyg. I följande tabell visas exempel på verktyg med Azure Monitor-integrering.
| Verktyg | Värdhanterad i Azure | beskrivning |
|---|---|---|
| IBM QRadar | Nej | Microsoft Azure DSM och Microsoft Azure Event Hubs Protocol är tillgängliga för nedladdning från IBM-supportwebbplatsen. |
| Splunk | Nej | Splunk-tillägg för Microsoft Cloud Services är ett projekt med öppen källkod som är tillgängligt i Splunkbase. Om du inte kan installera ett tillägg i din Splunk-instans och du använder en proxy eller körs i Splunk Cloud kan du vidarebefordra dessa händelser till Splunk HTTP-händelseinsamlaren med hjälp av Azure Function for Splunk. Det här verktyget utlöses av nya meddelanden i händelsehubben. |
| SumoLogic | Nej | Instruktioner för hur du konfigurerar SumoLogic för att använda data från en händelsehubb finns i Samla in loggar för Azure-granskningsappen från Event Hubs. |
| ArcSight | Nej | ArcSight Azure Event Hubs smarta anslutningsapp är tillgänglig som en del av arcsight-samlingen för smarta anslutningsappar. |
| Syslog-server | Nej | Om du vill strömma Azure Monitor-data direkt till en Syslog-server kan du använda en lösning baserat på en Azure-funktion. |
| LogRhythm | Nej | Instruktioner för att konfigurera LogRhythm för att samla in loggar från en händelsehubb finns på den här LogRhythm-webbplatsen. |
| Logz.io | Ja | Mer information finns i Kom igång med övervakning och loggning med hjälp av Logz.io för Java-appar som körs i Azure. |