Przesyłanie strumieniowe danych monitorowania platformy Azure do centrum zdarzeń lub partnera zewnętrznego
W większości przypadków najbardziej efektywną metodą przesyłania strumieniowego danych z usługi Azure Monitor do narzędzi zewnętrznych jest użycie usługi Azure Event Hubs. Ten artykuł zawiera krótki opis sposobu przesyłania strumieniowego danych, a następnie zawiera listę niektórych partnerów, w których można je wysłać. Niektórzy partnerzy mają specjalną integrację z usługą Azure Monitor i mogą być hostowane na platformie Azure.
Tworzenie przestrzeni nazw usługi Event Hubs
Przed skonfigurowaniem przesyłania strumieniowego dla dowolnego źródła danych należy utworzyć przestrzeń nazw usługi Event Hubs i centrum zdarzeń. Ta przestrzeń nazw i centrum zdarzeń to miejsce docelowe dla wszystkich danych monitorowania. Przestrzeń nazw usługi Event Hubs to logiczne grupowanie centrów zdarzeń, które współużytkujące te same zasady dostępu, podobnie jak konto magazynu ma pojedyncze obiekty blob w ramach tego konta magazynu. Rozważ następujące szczegóły dotyczące przestrzeni nazw usługi Event Hubs i centrów zdarzeń używanych do przesyłania strumieniowego danych monitorowania:
- Liczba jednostek przepływności umożliwia zwiększenie skali przepływności dla centrów zdarzeń. Zazwyczaj wymagana jest tylko jedna jednostka przepływności. Jeśli musisz skalować w górę w miarę wzrostu użycia dziennika, możesz ręcznie zwiększyć liczbę jednostek przepływności dla przestrzeni nazw lub włączyć automatyczną inflację.
- Liczba partycji umożliwia równoległe zrównanie zużycia w wielu użytkownikach. Pojedyncza partycja może obsługiwać maksymalnie 20 MB/s lub około 20 000 komunikatów na sekundę. W zależności od narzędzia korzystającego z danych może on lub nie obsługuje korzystania z wielu partycji. Cztery partycje są uzasadnione, aby rozpocząć od, jeśli nie masz pewności co do liczby partycji do ustawienia.
- Ustawienie przechowywania komunikatów w centrum zdarzeń na co najmniej siedem dni. Jeśli narzędzie zużywające spadnie przez więcej niż dzień, to przechowywanie gwarantuje, że narzędzie może odebrać miejsce, w którym zostało przerwane w przypadku zdarzeń do siedmiu dni.
- W centrum zdarzeń należy użyć domyślnej grupy odbiorców. Nie ma potrzeby tworzenia innych grup odbiorców ani używania oddzielnej grupy odbiorców, chyba że planujesz mieć dwa różne narzędzia zużywają te same dane z tego samego centrum zdarzeń.
- W dzienniku aktywności platformy Azure wybierasz przestrzeń nazw usługi Event Hubs, a usługa Azure Monitor tworzy centrum zdarzeń w tej przestrzeni nazw o nazwie insights-logs-operational-logs. W przypadku innych typów dzienników możesz wybrać istniejące centrum zdarzeń lub utworzyć centrum zdarzeń w usłudze Azure Monitor na kategorię dziennika.
- Port wychodzący 5671 i 5672 muszą być zwykle otwierane na komputerze lub w sieci wirtualnej zużywające dane z centrum zdarzeń.
Dostępne dane monitorowania
Źródła danych monitorowania usługi Azure Monitor i ich metody zbierania danych opisują różne rodzaje danych zebranych przez usługę Azure Monitor oraz metody używane do ich zbierania. Zobacz ten artykuł dotyczący tych danych, które można przesyłać strumieniowo do centrum zdarzeń i linki do szczegółów konfiguracji.
Przesyłanie strumieniowe danych diagnostycznych
Użyj ustawienia diagnostyki, aby przesyłać strumieniowo dzienniki i metryki do usługi Event Hubs. Aby uzyskać informacje na temat konfigurowania ustawień diagnostycznych, zobacz Tworzenie ustawień diagnostycznych
Poniższy kod JSON to przykład danych metryk wysyłanych do centrum zdarzeń:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Poniższy kod JSON to przykład danych dziennika wysyłanych do centrum zdarzeń:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
"appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "12345678-abcd-1234-abcd-1234567890ab",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Ręczne przesyłanie strumieniowe za pomocą aplikacji logiki
W przypadku danych, których nie można bezpośrednio przesyłać strumieniowo do centrum zdarzeń, możesz zapisać w usłudze Azure Storage, a następnie użyć aplikacji logiki wyzwalanej czasowo, która ściąga dane z usługi Azure Blob Storage i wypycha je jako komunikat do centrum zdarzeń.
Narzędzia partnerskie z integracją usługi Azure Monitor
Routing danych monitorowania do centrum zdarzeń za pomocą usługi Azure Monitor umożliwia łatwą integrację z zewnętrznymi narzędziami SIEM i monitorowania. W poniższej tabeli wymieniono przykłady narzędzi z integracją z usługą Azure Monitor.
| Narzędzie | Hostowane na platformie Azure | opis |
|---|---|---|
| IBM QRadar | Nie. | Microsoft Azure DSM i Microsoft Azure Event Hubs Protocol są dostępne do pobrania ze strony internetowej pomocy technicznej IBM. |
| Splunk | Nie. | Dodatek Splunk dla usług Microsoft Cloud Services to projekt open source dostępny w rozwiązaniu Splunkbase. Jeśli nie możesz zainstalować dodatku w wystąpieniu rozwiązania Splunk, a na przykład używasz serwera proxy lub działasz w chmurze Splunk, możesz przekazać te zdarzenia do modułu zbierającego zdarzenia HTTP splunk przy użyciu funkcji platformy Azure for Splunk. To narzędzie jest wyzwalane przez nowe komunikaty w centrum zdarzeń. |
| SumoLogic | Nie. | Instrukcje dotyczące konfigurowania narzędzia SumoLogic do korzystania z danych z centrum zdarzeń są dostępne na stronie Zbieranie dzienników dla aplikacji inspekcji platformy Azure z usługi Event Hubs. |
| ArcSight | Nie. | Inteligentny łącznik usługi Azure Event Hubs w usłudze ArcSight jest dostępny w ramach kolekcji łączników inteligentnych usługi ArcSight. |
| Serwer Syslog | Nie. | Jeśli chcesz przesyłać strumieniowo dane usługi Azure Monitor bezpośrednio do serwera Syslog, możesz użyć rozwiązania opartego na funkcji platformy Azure. |
| LogRhythm | Nie. | Instrukcje dotyczące konfigurowania logRhythm w celu zbierania dzienników z centrum zdarzeń są dostępne w tej witrynie internetowej LogRhythm. |
| Logz.io | Tak | Aby uzyskać więcej informacji, zobacz Wprowadzenie do monitorowania i rejestrowania przy użyciu Logz.io dla aplikacji Java działających na platformie Azure. |