Strömma Azure-övervakningsdata till en händelsehubb eller extern partner
I de flesta fall är den mest effektiva metoden för att strömma data från Azure Monitor till externa verktyg med hjälp av Azure Event Hubs. Den här artikeln innehåller en kort beskrivning av hur du strömmar data och listar sedan några av de partner där du kan skicka dem. Vissa partner har särskild integrering med Azure Monitor och kan finnas i Azure.
Skapa ett Event Hubs-namnområde
Innan du konfigurerar direktuppspelning för en datakälla måste du skapa ett Event Hubs-namnområde och en händelsehubb. Det här namnområdet och händelsehubben är målet för alla dina övervakningsdata. Ett Event Hubs-namnområde är en logisk gruppering av händelsehubbar som delar samma åtkomstprincip, ungefär som ett lagringskonto har enskilda blobar i lagringskontot. Överväg följande information om Event Hubs-namnrymden och händelsehubbar som du använder för strömmande övervakningsdata:
- Med antalet dataflödesenheter kan du öka dataflödesskalan för dina händelsehubbar. Det krävs vanligtvis bara en dataflödesenhet. Om du behöver skala upp när logganvändningen ökar kan du manuellt öka antalet dataflödesenheter för namnområdet eller aktivera automatisk inflation.
- Med antalet partitioner kan du parallellisera förbrukningen mellan många konsumenter. En enskild partition har stöd för upp till 20 Mbit/s eller cirka 20 000 meddelanden per sekund. Beroende på vilket verktyg som använder data kanske det inte stöder användning från flera partitioner. Fyra partitioner är rimliga att börja med om du inte är säker på hur många partitioner som ska anges.
- Du anger kvarhållning av meddelanden på händelsehubben till minst sju dagar. Om ditt förbrukande verktyg går ner i mer än en dag säkerställer den här kvarhållningen att verktyget kan fortsätta där det slutade för händelser upp till sju dagar gamla.
- Du bör använda standardkonsumentgruppen för din händelsehubb. Du behöver inte skapa andra konsumentgrupper eller använda en separat konsumentgrupp om du inte planerar att ha två olika verktyg som använder samma data från samma händelsehubb.
- För Azure-aktivitetsloggen väljer du ett Event Hubs-namnområde och Azure Monitor skapar en händelsehubb i namnområdet som kallas insights-logs-operational-logs. För andra loggtyper kan du antingen välja en befintlig händelsehubb eller låta Azure Monitor skapa en händelsehubb per loggkategori.
- Utgående port 5671 och 5672 måste vanligtvis öppnas på datorn eller det virtuella nätverket som förbrukar data från händelsehubben.
Tillgängliga övervakningsdata
Källor för övervakningsdata för Azure Monitor och deras datainsamlingsmetoder beskriver de olika typer av data som samlas in av Azure Monitor och de metoder som används för att samla in dem. Se den artikeln för dessa data som kan strömmas till en händelsehubb och länkar till konfigurationsinformation.
Strömma diagnostikdata
Använd diagnostikinställningen för att strömma loggar och mått till Event Hubs. Information om hur du konfigurerar diagnostikinställningar finns i Skapa diagnostikinställningar
Följande JSON är ett exempel på måttdata som skickas till en händelsehubb:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Följande JSON är ett exempel på loggdata som skickas till en händelsehubb:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
"appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "12345678-abcd-1234-abcd-1234567890ab",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Manuell direktuppspelning med en logikapp
För data som du inte kan strömma direkt till en händelsehubb kan du skriva till Azure Storage och sedan använda en tidsutlöst logikapp som hämtar data från Azure Blob Storage och skickar dem som ett meddelande till händelsehubben.
Partnerverktyg med Azure Monitor-integrering
Genom att dirigera dina övervakningsdata till en händelsehubb med Azure Monitor kan du enkelt integrera med externa SIEM- och övervakningsverktyg. I följande tabell visas exempel på verktyg med Azure Monitor-integrering.
| Verktyg | Värdhanterad i Azure | beskrivning |
|---|---|---|
| IBM QRadar | Nej | Microsoft Azure DSM och Microsoft Azure Event Hubs Protocol är tillgängliga för nedladdning från IBM-supportwebbplatsen. |
| Splunk | Nej | Splunk-tillägg för Microsoft Cloud Services är ett projekt med öppen källkod som är tillgängligt i Splunkbase. Om du inte kan installera ett tillägg i din Splunk-instans och du till exempel använder en proxy eller körs i Splunk Cloud kan du vidarebefordra dessa händelser till Splunk HTTP-händelseinsamlaren med hjälp av Azure Function for Splunk. Det här verktyget utlöses av nya meddelanden i händelsehubben. |
| SumoLogic | Nej | Instruktioner för hur du konfigurerar SumoLogic för att använda data från en händelsehubb finns i Samla in loggar för Azure-granskningsappen från Event Hubs. |
| ArcSight | Nej | ArcSight Azure Event Hubs smarta anslutningsapp är tillgänglig som en del av arcsight-samlingen för smarta anslutningsappar. |
| Syslog-server | Nej | Om du vill strömma Azure Monitor-data direkt till en Syslog-server kan du använda en lösning baserat på en Azure-funktion. |
| LogRhythm | Nej | Instruktioner för att konfigurera LogRhythm för att samla in loggar från en händelsehubb finns på den här LogRhythm-webbplatsen. |
| Logz.io | Ja | Mer information finns i Kom igång med övervakning och loggning med hjälp av Logz.io för Java-appar som körs i Azure. |