將 Azure 監視數據串流至事件中樞和外部合作夥伴
將 Azure 監視器的數據串流至外部工具的有效方法是使用 Azure 事件中樞。 本文說明如何將數據串流至事件中樞,並列出可從中樞取用該數據的一些合作夥伴。 某些合作夥伴會與 Azure 監視器整合,並擁有 Azure 託管服務。
建立事件中樞命名空間
設定數據源的串流之前,您必須 建立事件中樞命名空間和事件中樞。 此命名空間和事件中樞是所有監視資料的目的地。 事件中樞命名空間是共用相同存取原則之事件中樞的邏輯群組,就像記憶體帳戶在記憶體帳戶內具有 Blob 的個別容器一樣。 請考量下列您在串流監視資料時使用的事件中樞命名空間和事件中樞相關詳細資料:
- 輸送量單位數可讓您擴大事件中樞的輸送量規模。 通常只需要一個輸送量單位。 如果隨著記錄檔使用量的增加,您需要擴大規模,您可以手動增加命名空間的輸送量單位數,或是啟用自動擴增。
- 分割區數可讓您跨眾多客戶平行處理取用量。 單一分割區每秒最多可處理 20 MBps 或大約 20,000 則訊息。 視取用資料的工具而定,不一定支援從多個分割區取用。 如果您不確定要設定的分割區數目,四個分割區是合理的起點。
- 將事件中樞上的訊息保留設定為至少七天。 如果您的取用工具停止運作的時間超過一天,此保留可確保該工具能夠在其停止的地方接著執行 (最長可達 7 天的事件)。
- 使用事件中樞的預設取用者群組。 您不需要建立其他取用者群組或使用個別的取用者群組,除非您打算讓兩個不同的工具從相同的事件中樞取用相同的資料。
- 針對 Azure 活動記錄檔,當您選取事件中樞命名空間時,Azure 監視器會在該命名空間內建立名為
insights-logs-operational-logs的事件中樞。 就其他記錄類型而言,您可以選擇現有的事件中樞,或讓「Azure 監視器」為每個記錄分類建立一個事件中樞。 - 輸出埠 5671 和 5672 必須在從事件中樞取用數據的機器或虛擬網路上開啟。
串流方法
您可以使用 Azure 監視器中的下列方法,將資料傳送至事件中樞:
資料收集規則
數據收集規則可用來將記錄和計量串流至事件中樞、Log Analytics 工作區和 Azure 儲存體。 如需如何設定數據收集規則的資訊,請參閱 Azure 監視器 中的數據收集規則和 建立和編輯數據收集規則。診斷設定
使用診斷設定將記錄和計量串流至事件中樞。 如需如何設定診斷設定的資訊,請參閱 建立診斷設定。使用 Logic Apps 手動串流
對於您無法直接串流至事件中樞的資料,您可以寫入至 Azure 儲存體,然後使用時間觸發的邏輯應用程式,從 Azure Blob 儲存體提取資料,並將其視為訊息推送至事件中樞。 如需詳細資訊,請參閱 從 Azure Logic Apps 中的工作流程連線到事件中樞。
資料格式
下列 JSON 是傳送至事件中樞的計量資料範例:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
下列 JSON 是傳送至事件中樞的記錄資料範例:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
"appid": "44445555-eeee-6666-ffff-7777aaaa8888"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Azure 監視器整合的合作夥伴工具
使用 Azure 監視器將監視資料路由傳送到事件中樞,可讓您輕鬆地與外部 SIEM 和監視工具整合。 下表列出與 Azure 監視器整合的工具範例。
| 工具 | 裝載於 Azure 中 | 描述 |
|---|---|---|
| IBM QRadar | No | Microsoft Azure DSM 與 Microsoft Azure 事件中樞通訊協定均可從 IBM 支援網站下載。 |
| Splunk | No | Microsoft 雲端服務 的 Splunk 附加元件是 Splunkbase 中提供的開放原始碼專案。 如果您無法在 Splunk 實例中安裝附加元件,而且您使用 Proxy 或在 Splunk Cloud 上執行,您可以使用 Azure Function for Splunk 將這些事件轉送至 Splunk HTTP 事件收集器。 此工具會由事件中樞中的新訊息觸發。 |
| sumologic | No | 如需設定 SumoLogic 以從事件中樞取用資料的指示,請參閱從事件中樞收集 Azure 稽核應用程式的記錄 (英文)。 |
| ArcSight | No | 「ArcSight Azure 事件中樞」智慧型連接器隨附於 ArcSight 智慧型連接器集合。 |
| Syslog 伺服器 | No | 如果您想要將 Azure 監視器資料直接串流至 Syslog 伺服器,您可以使用以 Azure 函式為基礎的解決方案。 |
| LogRhythm | No | 如需設定 LogRhythm 以從事件中樞收集記錄的指示,請參閱這個 LogRhythm 網站。 |
| Logz.io | Yes | 如需詳細資訊,請參閱針對在 Azure 上執行的 Java 應用程式,使用 Logz.io 開始進行監視和記錄。 |