將 Azure 監視資料串流至事件中樞或外部合作夥伴
在大部分情況下,要將資料從 Azure 監視器串流至外部工具,最有效的方法是使用 Azure 事件中樞。 本文提供如何串流資料的簡短說明,然後列出您可以傳送資料的一些合作夥伴。 有些合作夥伴具有 Azure 監視器的特殊整合,且可能裝載於 Azure 上。
建立事件中樞命名空間
設定任何資料來源的串流之前,您必須建立事件中樞命名空間和事件中樞。 此命名空間和事件中樞是所有監視資料的目的地。 「事件中樞」命名空間是共用相同存取原則之事件中樞的邏輯群組,非常類似於儲存體帳戶在該儲存體帳戶內有個別的 Blob。 請考量下列您在串流監視資料時使用的事件中樞命名空間和事件中樞相關詳細資料:
- 輸送量單位數可讓您擴大事件中樞的輸送量規模。 通常只需要一個輸送量單位。 如果隨著記錄檔使用量的增加,您需要擴大規模,您可以手動增加命名空間的輸送量單位數,或是啟用自動擴增。
- 分割區數可讓您跨眾多客戶平行處理取用量。 單一分割區每秒最多可處理 20 MBps 或大約 20,000 則訊息。 視取用資料的工具而定,不一定支援從多個分割區取用。 如果您不確定要設定的分割區數目,四個分割區是合理的起點。
- 您應將事件中樞上的訊息保留期設定為至少 7 天。 如果您的取用工具停止運作的時間超過一天,此保留可確保該工具能夠在其停止的地方接著執行 (最長可達 7 天的事件)。
- 您應使用事件中樞的預設取用者群組。 您不需要建立其他取用者群組或使用個別的取用者群組,除非您打算讓兩個不同的工具從相同的事件中樞取用相同的資料。
- 就 Azure 活動記錄而言,您需挑選「事件中樞」命名空間,而「Azure 監視器」就會在該命名空間內建立一個名為 insights-logs-operational-logs 的事件中樞。 就其他記錄類型而言,您可以選擇現有的事件中樞,或讓「Azure 監視器」為每個記錄分類建立一個事件中樞。
- 通常必須在從事件中樞取用資料的電腦或虛擬網路上開啟輸出連接埠 5671 和 5672。
可用的監視資料
Azure 監視器的監視資料來源 說明 Azure 應用程式的資料層,以及每個應用程式可用的資料種類。 下表說明不同型表的資料如何串流至事件中樞。 請遵循提供的連結以取得進一步的詳細資料。
| 層 | 資料 | 方法 |
|---|---|---|
| Azure 租用戶 | Microsoft Entra 稽核記錄 | 在您的 Microsoft Entra 租用戶上設定租用戶診斷設定。 如需詳細資訊,請參閱教學課程:將 Microsoft Entra 記錄串流到 Azure 事件中樞。 |
| Azure 訂用帳戶 | Azure 活動記錄 | 建立診斷設定,將活動記錄事件匯出至事件中樞。 如需詳細資訊,請參閱將 Azure 平台記錄串流至 Azure 事件中樞。 |
| Azure 資源 | 平台計量 資源記錄 |
建立診斷設定,將資源記錄和計量匯出至事件中樞。 如需詳細資訊,請參閱將 Azure 平台記錄串流至 Azure 事件中樞。 |
| 作業系統 (客體) | Azure 虛擬機器 | 在 Azure 中的 Windows 和 Linux 虛擬機器上安裝 Azure 診斷延伸模組。 如需 Windows VM 的相關詳細資料,請參閱使用事件中樞最忙碌路徑中的 Azure 診斷資料。 如需 Linux VM 的相關詳細資料,請參閱使用 Linux 診斷延伸模組監視計量與記錄。 |
| 應用程式程式碼 | Application Insights | 使用診斷設定來串流至事件中樞。 這層僅適用於工作區型 Application Insights 資源。 如需設定工作區型 Application Insights 資源的說明,請參閱工作區型 Application Insights 資源和移轉至工作區型 Application Insights 資源。 |
串流診斷資料
使用診斷設定將記錄和計量串流至事件中樞。 如需如何設定診斷設定的相關資訊,請參閱建立診斷設定
下列 JSON 是傳送至事件中樞的計量資料範例:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
下列 JSON 是傳送至事件中樞的記錄資料範例:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
"appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "12345678-abcd-1234-abcd-1234567890ab",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
使用邏輯應用程式手動串流
對於您無法直接串流至事件中樞的資料,您可以寫入至 Azure 儲存體,然後使用時間觸發的邏輯應用程式,從 Azure Blob 儲存體提取資料,並將其視為訊息推送至事件中樞。
Azure 監視器整合的合作夥伴工具
使用 Azure 監視器將監視資料路由傳送到事件中樞,可讓您輕鬆地與外部 SIEM 和監視工具整合。 下表列出與 Azure 監視器整合的工具範例。
| 工具 | 裝載於 Azure 中 | 描述 |
|---|---|---|
| IBM QRadar | No | Microsoft Azure DSM 與 Microsoft Azure 事件中樞通訊協定均可從 IBM 支援網站下載。 |
| Splunk | No | Microsoft 雲端服務 的 Splunk 附加元件是 Splunkbase 中提供的開放原始碼專案。 如果您無法在 Splunk 執行個體中安裝附加元件 (比方說您使用 Proxy,或在 Splunk Cloud 上執行),您可以使用適用於 Splunk 的Azure Function 將這些事件轉送至 Splunk HTTP 事件收集器。 此工具會由事件中樞中的新訊息觸發。 |
| sumologic | No | 如需設定 SumoLogic 以從事件中樞取用資料的指示,請參閱從事件中樞收集 Azure 稽核應用程式的記錄 (英文)。 |
| ArcSight | No | 「ArcSight Azure 事件中樞」智慧型連接器隨附於 ArcSight 智慧型連接器集合。 |
| Syslog 伺服器 | No | 如果您想要將 Azure 監視器資料直接串流至 Syslog 伺服器,您可以使用以 Azure 函式為基礎的解決方案。 |
| LogRhythm | No | 如需設定 LogRhythm 以從事件中樞收集記錄的指示,請參閱這個 LogRhythm 網站。 |
| Logz.io | Yes | 如需詳細資訊,請參閱針對在 Azure 上執行的 Java 應用程式,使用 Logz.io 開始進行監視和記錄。 |
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應