將 Azure 監視數據串流至事件中樞和外部合作夥伴

將數據從 Azure 監視器串流至外部工具的有效方法是使用 Azure 事件中樞。 本文說明如何將數據串流至事件中樞，並列出可從中樞取用該數據的一些合作夥伴。 某些合作夥伴會與 Azure 監視器整合，並擁有 Azure 託管服務。

建立事件中樞命名空間

設定數據源的串流之前，您必須 建立事件中樞命名空間和事件中樞。 此命名空間和事件中樞是所有監視數據的目的地。 事件中樞命名空間是共用相同存取原則之事件中樞的邏輯群組，就像儲存帳戶內有各自的 Blob 容器一樣。 請考量用於串流監視資料的事件中樞命名空間和事件中樞的下列詳細資料：

• 輸送量單位數目可讓您增加事件中樞的輸送量規模。 通常只需要一個輸送量單位。 如果您需要隨著日誌使用量增加而擴展，您可以手動增加命名空間的吞吐量單位數目或啟用自動擴展。
• 分割區數可讓您跨眾多客戶平行處理取用量。 單一分割區最多可支援 20 MBps 或大約每秒 20,000 則訊息。 視取用數據的工具而定，它可能或可能不支援從多個分割區取用。 如果您不確定要設定的分割區數目，四個分割區是合理的起點。
• 將事件中樞上的訊息保留設定為至少七天。 如果您的取用工具停止運作的時間超過一天，此保留可確保該工具能夠在其停止的地方接著執行 (最長可達 7 天的事件)。
• 使用事件中樞的預設取用者群組。 除非您打算讓兩個不同的工具從相同的事件中樞取用相同的數據，否則不需要建立其他取用者群組或使用個別取用者群組。
• 針對 Azure 活動記錄檔，當您選取事件中樞命名空間時，Azure 監視器會在該命名空間內建立名為 insights-logs-operational-logs的事件中樞。 針對其他記錄類型，您可以選擇現有的事件中樞，或讓 Azure 監視器為每個記錄類別建立事件中樞。
• 輸出埠 5671 和 5672 必須在從事件中樞取用數據的機器或虛擬網路上開啟。

串流方法

您可以使用 Azure 監視器中的下列方法，將資料傳送至事件中樞：

• 資料收集規則

  數據收集規則可用來將記錄和計量串流至事件中樞、Log Analytics 工作區和 Azure 記憶體。 如需如何設定數據收集規則的資訊，請參閱 Azure 監視器中的數據收集規則 和 建立和編輯數據收集規則。

• 診斷設定

  使用診斷設定將記錄和計量串流至事件中樞。 如需如何設定診斷設定的資訊，請參閱 建立診斷設定。

• 使用 Logic Apps 手動串流

  對於您無法直接串流到事件中樞的資料，您可以先將其寫入 Azure 儲存體，然後使用時間觸發邏輯應用程式，從 Azure Blob 儲存體提取資料，並將其作為訊息推送至事件中樞。 如需詳細資訊，請參閱 從 Azure Logic Apps 中的工作流程連線到事件中樞。

資料格式

下列 JSON 是傳送至事件中樞的計量數據範例：

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

下列 JSON 是傳送至事件中樞的記錄資料範例：

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
            "appid": "44445555-eeee-6666-ffff-7777aaaa8888"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

Azure 監視器整合的合作夥伴工具

使用 Azure 監視器將監視資料路由至事件中樞，可讓您輕鬆地與外部 SIEM 和監視工具整合。 下表列出使用 Azure 監視器整合的工具範例。

工具	裝載於 Azure 中	說明
IBM QRadar	否	Microsoft Azure DSM 與 Microsoft Azure 事件中樞通訊協定均可從 IBM 支援網站下載。
Splunk	否	Microsoft雲端服務的 Splunk 附加元件是 Splunkbase 中提供的開放原始碼專案。 如果您無法在 Splunk 實例中安裝附加元件，而且您使用 Proxy 或在 Splunk Cloud 上執行，您可以使用 Azure Function for Splunk 將這些事件轉送至 Splunk HTTP 事件收集器。 此工具是由事件中樞的新訊息所觸發。
SumoLogic	否	如需設定 SumoLogic 以從事件中樞取用資料的指示，請參閱從事件中樞收集 Azure 稽核應用程式的記錄 (英文)。
ArcSight	否	「ArcSight Azure 事件中樞」智慧型連接器隨附於 ArcSight 智慧型連接器集合。
Syslog 伺服器	否	如果您想要將 Azure 監視器數據直接串流至 Syslog 伺服器，您可以使用 以 Azure 函式為基礎的解決方案。
LogRhythm	否	如需設定 LogRhythm 以從事件中樞收集記錄的指示，請參閱 此 LogRhythm 網站。
Logz.io	是的	如需詳細資訊，請參閱 針對在 Azure 上執行的 Java 應用程式使用 Logz.io 開始使用監視和記錄。

後續步驟

• Azure 監視器資料來源和資料收集方法
• Azure 監視器數據收集規則
• 使用數據收集規則匯出計量
• Azure 監視器診斷設定
• 根據活動記錄事件設定警示