Transmisión de datos de supervisión de Azure a un centro de eventos o asociado externo

Azure Monitor proporciona una solución completa de supervisión de pila para aplicaciones y servicios en Azure, en otras nubes y locales. Asimismo, se puede usar Azure Monitor para analizar esos datos y aprovecharlos en diferentes escenarios de supervisión, aunque es posible que deba enviarlos a otras herramientas de supervisión de su entorno. En la mayoría de los casos, el método más efectivo para transmitir datos de supervisión a herramientas externas, es usar Azure Event Hubs. En este artículo se proporciona una breve descripción de cómo hacerlo y luego se enumeran algunos de los asociados en los que puede enviar datos. Algunos tienen una integración especial con Azure Monitor y se pueden hospedar en Azure.

Creación de un espacio de nombres de Event Hubs

Antes de configurar la transmisión de cualquier origen de datos, debe crear un espacio de nombres de Event Hubs y un centro de eventos. Estos centro de eventos y espacio de nombres son el destino de todos los datos de supervisión. Un espacio de nombres de Event Hubs es una agrupación lógica de centros de eventos que comparten la misma directiva de acceso, al igual que una cuenta de almacenamiento tiene blobs individuales dentro de esa cuenta de almacenamiento. Tenga en cuenta los siguientes detalles sobre el espacio de nombres de los centros de eventos y aquellos centros de eventos que use para transmitir los datos de supervisión:

  • El número de unidades de rendimiento permite aumentar la escala de rendimiento para los centros de eventos. Solo se necesita una unidad de procesamiento normalmente. Si necesita escalar verticalmente a medida que el uso del registro aumenta, siempre puede aumentar manualmente el número de unidades de procesamiento del espacio de nombres o habilitar la inflación automática.
  • El número de particiones permite paralelizar el consumo entre muchos consumidores. Una sola partición puede admitir hasta 20 MBps o, aproximadamente, 20 000 mensajes por segundo. Dependiendo de la herramienta que consume los datos, puede o no puede admitir el consumo de varias particiones. Es razonable comenzar con cuatro particiones si no está seguro acerca de la cantidad de particiones que debe configurar.
  • Igualmente, debe establecer la retención de mensajes en el centro de eventos durante al menos 7 días. Si la herramienta de consumo deja de funcionar durante más de un día, esta opción garantiza que dicha herramienta pueda continuar desde donde se quedó (en cuanto a los eventos de hasta 7 días de antigüedad).
  • Debe usar el grupo de consumidores predeterminado en el centro de eventos. No es necesario para crear otros grupos de consumidores o usar un grupo de consumidores independientes a menos que piense disponer de dos herramientas diferentes que consuman los mismos datos del mismo centro de eventos.
  • En cuanto al registro de actividad de Azure, se elige un espacio de nombres de Event Hubs, y Azure Monitor crea un centro de eventos dentro de ese espacio de nombres llamado insights-logs-operational-logs. Para otros tipos de registro, puede elegir un centro de eventos existente o hacer que Azure Monitor cree un centro de eventos en función de la categoría de registro.
  • Los puertos de salida 5671 y 5672 deben estar abiertos en el equipo o red virtual que consume datos del centro de eventos.

Datos de supervisión disponibles

En Orígenes de datos de supervisión de Azure Monitor se describen los diferentes niveles de datos de las aplicaciones de Azure y los tipos de datos de supervisión disponibles para cada uno. En la siguiente tabla se enumera cada uno de esos niveles y se proporciona una descripción de cómo esos datos pueden transmitirse a un centro de eventos. Siga los vínculos proporcionados para obtener más detalles.

Nivel data Método
Inquilino de Azure Registros de auditoría de Azure Active Directory Configure un valor de diagnóstico de inquilino en el inquilino de AAD. Consulte Tutorial: Transmisión de registros de Azure Active Directory a un centro de eventos de Azure para obtener más detalles.
Suscripción de Azure Azure Activity Log Cree un perfil de registro para exportar eventos del registro de actividades a Event Hubs. Consulte Transmisión de registros de plataforma de Azure a Azure Event Hubs para más información.
Recursos de Azure Métricas de la plataforma
Registros del recurso
Ambos tipos de datos se envían a un centro de eventos mediante la configuración de diagnóstico de recursos. Consulte Transmisión de registros de recursos de Azure a un centro de eventos para más detalles.
Sistema operativo (invitado) Azure Virtual Machines Instale la extensión de Azure Diagnostics en máquinas virtuales de Windows y Linux en Azure. Consulte Streaming de datos de Azure Diagnostics en la ruta de acceso activa mediante Event Hubs para obtener detalles sobre las VM de Windows y Usar la extensión de diagnósticos de Linux para supervisar métricas y registros para obtener detalles sobre las VM de Linux.
Código de aplicación Application Insights Application Insights no proporciona un método directo para transmitir datos a LOS centros de eventos. Puede configurar la exportación continua de los datos de Application Insights a una cuenta de almacenamiento y luego usar una aplicación lógica para enviar esos datos a un centro de eventos, tal como se describe en Streaming manual con la aplicación lógica.

Streaming manual con la aplicación lógica

Para los datos que no puede transmitir directamente a un centro de eventos, puede escribir en Azure Storage y luego usar una aplicación lógica que se desencadene según tiempo y que extraiga datos de Blob Storage y los envíe como mensaje al centro de eventos.

Herramientas de asociados con la integración de Azure Monitor

El enrutamiento de los datos de supervisión a un centro de eventos con Azure Monitor facilita la integración con las herramientas externas de SIEM y de supervisión. Se incluyen los siguientes ejemplos de herramientas con la integración de Azure Monitor :

Herramienta Hospedado en Azure Descripción
IBM QRadar No Los protocolos Microsoft Azure DSM y Microsoft Azure Even Hub se pueden descargar en el sitio web de el sitio web de soporte técnico de IBM.
Splunk No El complemento Splunk para Microsoft Cloud Services es un proyecto de código abierto disponible en Splunkbase.

Si no puede instalar un complemento en la instancia de Splunk (por ejemplo, si usa un proxy o si se ejecuta en Splunk Cloud), puede reenviar estos eventos al recopilador de eventos de HTTP de Splunk mediante esta función de Azure para Splunk que desencadenan los nuevos mensajes del centro de eventos.
sumologic No Las instrucciones para configurar SumoLogic para consumir datos de un centro de eventos están disponibles en Recopilar registros para la aplicación Azure Audit desde el centro de eventos.
ArcSight No El conector inteligente ArcSight de Azure Event Hubs está disponible como parte de esta colección de conectores inteligentes de ArcSight.
Servidor de Syslog No Si quiere transmitir datos de Azure Monitor directamente a un servidor syslog, puede usar una solución basada en una función de Azure.
LogRhythm No Las instrucciones necesarias para configurar LogRhythm con el fin de recopilar registros de un centro de eventos están disponibles aquí.
Logz.io Para más información, consulte Introducción a la supervisión y el registro con Logz.io para aplicaciones Java que se ejecutan en Azure.

También pueden estar disponibles otros asociados. Para obtener una lista completa de todos los asociados de Azure Monitor y sus funcionalidades, consulte Integraciones de asociados de Azure Monitor.

Pasos siguientes