Bewakingsgegevens van Azure streamen naar een Event Hub of externe partner
In de meeste gevallen is het gebruik van Azure Event Hubs de meest effectieve methode voor het streamen van gegevens van Azure Monitor naar externe hulpprogramma's. In dit artikel vindt u een korte beschrijving van het streamen van gegevens en vervolgens een lijst met enkele partners waar u deze kunt verzenden. Sommige partners hebben speciale integratie met Azure Monitor en worden mogelijk gehost in Azure.
Een Event Hubs-naamruimte maken
Voordat u streaming configureert voor een gegevensbron, moet u een Event Hubs-naamruimte en Event Hub maken. Deze naamruimte en Event Hub zijn de bestemming voor al uw bewakingsgegevens. Een Event Hubs-naamruimte is een logische groepering van Event Hubs die hetzelfde toegangsbeleid delen, net zoals een opslagaccount afzonderlijke blobs in dat opslagaccount heeft. Bekijk de volgende details over de Event Hubs-naamruimte en Event Hubs die u gebruikt voor het streamen van bewakingsgegevens:
- Met het aantal doorvoereenheden kunt u de doorvoerschaal voor uw Event Hubs verhogen. Er is doorgaans slechts één doorvoereenheid nodig. Als u omhoog moet schalen naarmate uw logboekgebruik toeneemt, kunt u het aantal doorvoereenheden voor de naamruimte handmatig verhogen of automatische inflatie inschakelen.
- Met het aantal partities kunt u het verbruik parallelliseren voor veel consumenten. Eén partitie kan maximaal 20 MBps of ongeveer 20.000 berichten per seconde ondersteunen. Afhankelijk van het hulpprogramma dat de gegevens verbruikt, kan het al dan niet ondersteuning bieden voor het verbruik van meerdere partities. Vier partities zijn redelijk om mee te beginnen als u niet zeker weet hoeveel partities u wilt instellen.
- U stelt de bewaarperiode van berichten op uw Event Hub in op ten minste zeven dagen. Als uw verbruikende hulpprogramma langer dan een dag uitvalt, zorgt deze retentie ervoor dat het hulpprogramma kan ophalen waar het was gebleven voor gebeurtenissen tot zeven dagen oud.
- U moet de standaardconsumentgroep voor uw Event Hub gebruiken. U hoeft geen andere consumentengroepen te maken of een afzonderlijke consumentengroep te gebruiken, tenzij u van plan bent om twee verschillende hulpprogramma's dezelfde gegevens uit dezelfde Event Hub te gebruiken.
- Voor het Azure-activiteitenlogboek kiest u een Event Hubs-naamruimte en Maakt Azure Monitor een Event Hub in die naamruimte met de naam insights-logs-operational-logs. Voor andere logboektypen kunt u een bestaande Event Hub kiezen of Azure Monitor een Event Hub per logboekcategorie laten maken.
- Uitgaande poort 5671 en 5672 moeten doorgaans worden geopend op de computer of het virtuele netwerk dat gegevens van de Event Hub verbruikt.
Beschikbare bewakingsgegevens
Bronnen van bewakingsgegevens voor Azure Monitor en hun methoden voor gegevensverzameling beschrijven de verschillende soorten gegevens die worden verzameld door Azure Monitor en de methoden die worden gebruikt om ze te verzamelen. Zie dat artikel voor die gegevens die kunnen worden gestreamd naar een Event Hub en koppelingen naar configuratiedetails.
Diagnostische gegevens streamen
Gebruik de diagnostische instelling om logboeken en metrische gegevens te streamen naar Event Hubs. Zie Diagnostische instellingen maken voor meer informatie over het instellen van diagnostische instellingen
De volgende JSON is een voorbeeld van metrische gegevens die naar een Event Hub worden verzonden:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
De volgende JSON is een voorbeeld van logboekgegevens die naar een Event Hub worden verzonden:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
"appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "12345678-abcd-1234-abcd-1234567890ab",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Handmatig streamen met een logische app
Voor gegevens die u niet rechtstreeks naar een Event Hub kunt streamen, kunt u naar Azure Storage schrijven en vervolgens een door tijd geactiveerde logische app gebruiken waarmee gegevens uit Azure Blob Storage worden opgehaald en gepusht als een bericht naar de Event Hub.
Partnerhulpprogramma's met Azure Monitor-integratie
Door uw bewakingsgegevens te routeren naar een Event Hub met Azure Monitor, kunt u eenvoudig integreren met externe SIEM- en bewakingshulpprogramma's. De volgende tabel bevat voorbeelden van hulpprogramma's met Azure Monitor-integratie.
| Hulpprogramma | Gehost in Azure | Beschrijving |
|---|---|---|
| IBM QRadar | Nee | Microsoft Azure DSM en Microsoft Azure Event Hubs Protocol zijn beschikbaar om te downloaden via de ondersteuningswebsite van IBM. |
| Splunk | Nee | Splunk-invoegtoepassing voor Microsoft Cloud Services is een opensource-project dat beschikbaar is in Splunkbase. Als u een invoegtoepassing niet kunt installeren in uw Splunk-exemplaar en u bijvoorbeeld een proxy gebruikt of op Splunk Cloud uitvoert, kunt u deze gebeurtenissen doorsturen naar de Splunk HTTP-gebeurtenisverzamelaar met behulp van De Azure-functie voor Splunk. Dit hulpprogramma wordt geactiveerd door nieuwe berichten in de Event Hub. |
| SumoLogic | Nee | Instructies voor het instellen van SumoLogic om gegevens van een Event Hub te gebruiken, zijn beschikbaar via Logboeken verzamelen voor de Azure Audit-app van Event Hubs. |
| ArcSight | Nee | De slimme connector van ArcSight Azure Event Hubs is beschikbaar als onderdeel van de verzameling slimme ArcSight-connectors. |
| Syslog-server | Nee | Als u Azure Monitor-gegevens rechtstreeks naar een Syslog-server wilt streamen, kunt u een oplossing gebruiken op basis van een Azure-functie. |
| LogRhythm | Nee | Instructies voor het instellen van LogRhythm voor het verzamelen van logboeken van een Event Hub zijn beschikbaar op deze LogRhythm-website. |
| Logz.io | Ja | Zie Aan de slag met bewaking en logboekregistratie met behulp van Logz.io voor Java-apps die worden uitgevoerd in Azure voor meer informatie. |