Transmisión de datos de supervisión de Azure a un centro de eventosStream Azure monitoring data to an event hub

Azure Monitor proporciona una solución completa de supervisión de pila para aplicaciones y servicios en Azure, en otras nubes y locales.Azure Monitor provides a complete full stack monitoring solution for applications and services in Azure, in other clouds, and on-premises. Asimismo, se puede usar Azure Monitor para analizar esos datos y aprovecharlos en diferentes escenarios de supervisión, aunque es posible que deba enviarlos a otras herramientas de supervisión de su entorno.In addition to using Azure Monitor for analyzing that data and leveraging it for different monitoring scenarios, you may need to send it to other monitoring tools in your environment. El método más efectivo en la mayoría de los casos para transmitir datos de supervisión a herramientas externas, es usar Azure Event Hubs.The most effective method to stream monitoring data to external tools in most cases is using Azure Event Hubs. En este artículo se proporciona una breve descripción de cómo puede transmitir datos de supervisión desde diferentes orígenes a un centro de eventos y vínculos a instrucciones detalladas.This article provides a brief description for how you can stream monitoring data from different sources to an event hub and links to detailed guidance.

Creación de un espacio de nombres de Event HubsCreate an Event Hubs namespace

Antes de configurar la transmisión de cualquier origen de datos, debe crear un espacio de nombres de Event Hubs y un centro de eventos.Before you configure streaming for any data source, you need to create an Event Hubs namespace and event hub. Estos centro de eventos y espacio de nombres son el destino de todos los datos de supervisión.This namespace and event hub is the destination for all of your monitoring data. Un espacio de nombres de Event Hubs es una agrupación lógica de centros de eventos que comparten la misma directiva de acceso, al igual que una cuenta de almacenamiento tiene blobs individuales dentro de esa cuenta de almacenamiento.An Event Hubs namespace is a logical grouping of event hubs that share the same access policy, much like a storage account has individual blobs within that storage account. Tenga en cuenta los siguientes detalles sobre el espacio de nombres de los centros de eventos y aquellos centros de eventos que use para transmitir los datos de supervisión:Consider the following details about the event hubs namespace and event hubs that you use for streaming monitoring data:

  • El número de unidades de rendimiento permite aumentar la escala de rendimiento para los centros de eventos.The number of throughput units allows you to increase throughput scale for your event hubs. Solo se necesita una unidad de procesamiento normalmente.Only one throughput unit is typically necessary. Si necesita escalar verticalmente a medida que el uso del registro aumenta, siempre puede aumentar manualmente el número de unidades de procesamiento del espacio de nombres o habilitar la inflación automática.If you need to scale up as your log usage increases, you can manually increase the number of throughput units for the namespace or enable auto inflation.
  • El número de particiones permite paralelizar el consumo entre muchos consumidores.The number of partitions allows you to parallelize consumption across many consumers. Una sola partición puede admitir hasta 20 MBps o, aproximadamente, 20 000 mensajes por segundo.A single partition can support up to 20MBps or approximately 20,000 messages per second. Dependiendo de la herramienta que consume los datos, puede o no puede admitir el consumo de varias particiones.Depending on the tool consuming the data, it may or may not support consuming from multiple partitions. Es razonable comenzar con cuatro particiones si no está seguro acerca de la cantidad de particiones que debe configurar.Four partitions is reasonable to start if you're unsure about if you're not sure about the number of partitions to set.
  • Igualmente, debe establecer la retención de mensajes en el centro de eventos durante al menos 7 días.You set message retention on your event hub to at least 7 days. Si la herramienta de consumo deja de funcionar durante más de un día, esta opción garantiza que dicha herramienta pueda continuar desde donde se quedó (en cuanto a los eventos de hasta 7 días de antigüedad).If your consuming tool goes down for more than a day, this ensures that the tool can pick up where it left off for events up to 7 days old.
  • Debe usar el grupo de consumidores predeterminado en el centro de eventos.You should use the default consumer group for your event hub. No es necesario para crear otros grupos de consumidores o usar un grupo de consumidores independientes a menos que piense disponer de dos herramientas diferentes que consuman los mismos datos del mismo centro de eventos.There is no need to create other consumer groups or use a separate consumer group unless you plan to have two different tools consume the same data from the same event hub.
  • En cuanto al registro de actividad de Azure, se elige un espacio de nombres de Event Hubs, y Azure Monitor crea un centro de eventos dentro de ese espacio de nombres llamado insights-logs-operational-logs.For the Azure Activity log, you pick an Event Hubs namespace, and Azure Monitor creates an event hub within that namespace called insights-logs-operational-logs. Para otros tipos de registro, puede elegir un centro de eventos existente o hacer que Azure Monitor cree un centro de eventos en función de la categoría de registro.For other log types, you can either choose an existing event hub or have Azure Monitor create an event hub per log category.
  • Los puertos de salida 5671 y 5672 deben estar abiertos en el equipo o red virtual que consume datos del centro de eventos.Outbound port 5671 and 5672 must typically be opened on the computer or VNET consuming data from the event hub.

Datos de supervisión disponiblesMonitoring data available

En Orígenes de datos de supervisión de Azure Monitor se describen los diferentes niveles de datos de las aplicaciones de Azure y los tipos de datos de supervisión disponibles para cada uno.Sources of monitoring data for Azure Monitor describes the different tiers of data for Azure applications and the kinds of monitoring data available for each. En la siguiente tabla se enumera cada uno de esos niveles y se proporciona una descripción de cómo esos datos pueden transmitirse a un centro de eventos.The following table lists each of these tiers and a description of how that data can be streamed to an event hub. Siga los vínculos proporcionados para obtener más detalles.Follow the links provided for further detail.

NivelTier DatosData MétodoMethod
Inquilino de AzureAzure tenant Registros de auditoría de Azure Active DirectoryAzure Active Directory audit logs Configure un valor de diagnóstico de inquilino en el inquilino de AAD.Configure a tenant diagnostic setting on your AAD tenant. Consulte Tutorial: Streaming de los registros de Azure Active Directory a Azure Event Hubs para obtener más detalles.See Tutorial: Stream Azure Active Directory logs to an Azure event hub for details.
Suscripción de AzureAzure subscription Azure Activity LogAzure Activity Log Cree un perfil de registro para exportar eventos del registro de actividades a Event Hubs.Create a log profile to export Activity Log events to Event Hubs. Consulte Exportación del registro de actividad de Azure al almacenamiento o a Azure Event Hubs para obtener más detalles.See Export Azure Activity log to storage or Azure Event Hubs for details.
Recursos de AzureAzure resources Métricas de la plataformaPlatform metrics
Registros de diagnósticoDiagnostic logs
Ambos tipos de datos se envían a un centro de eventos mediante la configuración de diagnóstico de recursos.Both types of data are sent to an event hub using a resource diagnostic setting. Consulte Transmisión de registros de diagnóstico de Azure a un centro de eventos para obtener más detalles.See Stream Azure Diagnostic logs to an event hub for details.
Sistema operativo (invitado)Operating system (guest) Máquinas virtuales de AzureAzure virtual machines Instale la extensión de Azure Diagnostics en máquinas virtuales de Windows y Linux en Azure.Install the Azure Diagnostics Extension on Windows and Linux virtual machines in Azure. Consulte Streaming de datos de Azure Diagnostics en la ruta de acceso activa mediante Event Hubs para obtener detalles sobre las VM de Windows y Usar la extensión de diagnósticos de Linux para supervisar métricas y registros para obtener detalles sobre las VM de Linux.See Streaming Azure Diagnostics data in the hot path by using Event Hubs for details on Windows VMs and Use Linux Diagnostic Extension to monitor metrics and logs for details on Linux VMs.
Código de aplicaciónApplication code Application InsightsApplication Insights Application Insights no proporciona un método directo para transmitir datos a LOS centros de eventos.Application Insights doesn't provide a direct method to stream data to event hubs. Puede configurar la exportación continua de los datos de Application Insights a una cuenta de almacenamiento y luego usar una aplicación lógica para enviar esos datos a un centro de eventos, tal como se describe en Streaming manual con la aplicación lógica.You can set up continuous export of the Application Insights data to a storage account and then use a Logic App to send the data to an event hub as described in Manual streaming with Logic App.

Streaming manual con la aplicación lógicaManual streaming with Logic App

Para los datos que no puede transmitir directamente a un centro de eventos, puede escribir en Azure Storage y luego usar una aplicación lógica que se desencadene según tiempo y que extraiga datos de Blob Storage y los envíe como mensaje al centro de eventos.For data that you can't directly stream to an event hub, you can write to Azure storage and then use a time-triggered Logic App that pulls data from blob storage and pushes it as a message to the event hub.

Herramientas con integración de Azure MonitorTools with Azure Monitor integration

El enrutamiento de los datos de supervisión a un centro de eventos con Azure Monitor facilita la integración con las herramientas externas de SIEM y de supervisión.Routing your monitoring data to an event hub with Azure Monitor enables you to easily integrate with external SIEM and monitoring tools. Se incluyen los siguientes ejemplos de herramientas con la integración de Azure Monitor :Examples of tools with Azure Monitor integration include the following:

HerramientaTool DESCRIPCIÓNDescription
IBM QRadarIBM QRadar Los protocolos Microsoft Azure DSM y Microsoft Azure Even Hub se pueden descargar en el sitio web de el sitio web de soporte técnico de IBM.The Microsoft Azure DSM and Microsoft Azure Event Hub Protocol are available for download from the IBM support website. Encontrará más información acerca de la integración con Azure en Configuración de QRadar DSM.You can learn more about the integration with Azure at QRadar DSM configuration.
SplunkSplunk El complemento Azure Monitor para Splunk está disponible en Splunkbase y es un proyecto de código abierto.The Azure Monitor Add-On for Splunk is an open source project available in Splunkbase. La documentación está disponible en Complemento de Azure Monitor para Splunk.The documentation is available at Azure Monitor Addon For Splunk.

Si no puede instalar un complemento en la instancia de Splunk (por ejemplo, si usa un proxy o si se ejecuta en Splunk Cloud), puede reenviar estos eventos al recopilador de eventos de HTTP de Splunk mediante esta función de Azure para Splunk que desencadenan los nuevos mensajes del centro de eventos.If you cannot install an add-on in your Splunk instance, if for example you're using a proxy or running on Splunk Cloud, you can forward these events to the Splunk HTTP Event Collector using Azure Function For Splunk, which is triggered by new messages in the event hub.
sumologicSumoLogic Las instrucciones para configurar SumoLogic para consumir datos de un centro de eventos están disponibles en Recopilar registros para la aplicación Azure Audit desde el centro de eventos.Instructions for setting up SumoLogic to consume data from an event hub are available at Collect Logs for the Azure Audit App from Event Hub.
ArcSightArcSight El conector inteligente ArcSight de Azure Event Hubs está disponible como parte de esta colección de conectores inteligentes de ArcSight.The ArcSight Azure Event Hub smart connector is available as part of the ArcSight smart connector collection.
Servidor de SyslogSyslog server Si quiere transmitir datos de Azure Monitor directamente a un servidor syslog, puede usar una solución basada en una función de Azure.If you want to stream Azure Monitor data directly to a syslog server, you can use a solution based on an Azure function.
LogRhythmLogRhythm Las instrucciones necesarias para configurar LogRhythm con el fin de recopilar registros de un centro de eventos están disponibles aquí.Instructions to set up LogRhythm to collect logs from an event hub are available here.

Pasos siguientesNext Steps