Azure izleme verilerini bir olay hub'ına veya dış iş ortağına akışla aktarma
Çoğu durumda, Azure İzleyici'den dış araçlara veri akışı yapmak için en etkili yöntem Azure Event Hubs kullanmaktır. Bu makalede, veri akışının nasıl yapılacağı hakkında kısa bir açıklama sağlanır ve ardından gönderebileceğiniz bazı iş ortakları listelenir. Bazı iş ortaklarının Azure İzleyici ile özel tümleştirmesi vardır ve Azure'da barındırılabilir.
Event Hubs ad alanı oluşturma
Herhangi bir veri kaynağı için akışı yapılandırmadan önce bir Event Hubs ad alanı ve olay hub'ı oluşturmanız gerekir. Bu ad alanı ve olay hub'ı tüm izleme verilerinizin hedefidir. Event Hubs ad alanı, aynı erişim ilkesini paylaşan olay hub'larının mantıksal bir gruplandırılmasıdır. Depolama hesabının söz konusu depolama hesabında tek tek blobları olması gibi. Akış izleme verileri için kullandığınız Event Hubs ad alanı ve olay hub'ları hakkında aşağıdaki ayrıntıları göz önünde bulundurun:
- Aktarım hızı birimi sayısı, olay hub'larınız için aktarım hızı ölçeğini artırmanıza olanak tanır. Genellikle yalnızca bir aktarım hızı birimi gereklidir. Günlük kullanımınız arttıkça ölçeği artırmanız gerekiyorsa, ad alanı için işleme birimi sayısını el ile artırabilir veya otomatik enflasyonu etkinleştirebilirsiniz.
- Bölüm sayısı, tüketimi birçok tüketici arasında paralelleştirmenize olanak tanır. Tek bir bölüm 20 MB/sn'ye kadar veya saniyede yaklaşık 20.000 iletiyi destekleyebilir. Verileri kullanan ara çubuğuna bağlı olarak, birden çok bölümden tüketilmesi desteklenebilir veya desteklenmeyebilir. Ayarlanacağı bölüm sayısından emin değilseniz, dört bölümle başlamak mantıklıdır.
- Olay hub'ınızda ileti saklamayı en az yedi gün olarak ayarlarsınız. Tüketen aracınız bir günden daha uzun süre kapalı kalırsa, bu saklama, aracın yedi güne kadar olan olaylar için kaldığı yerden devam etmesini sağlar.
- Olay hub'ınız için varsayılan tüketici grubunu kullanmanız gerekir. Aynı olay hub'ından aynı verileri kullanan iki farklı araç olmasını planlamadığınız sürece başka tüketici grupları oluşturmanıza veya ayrı bir tüketici grubu kullanmanıza gerek yoktur.
- Azure etkinlik günlüğü için bir Event Hubs ad alanı seçersiniz ve Azure İzleyici bu ad alanında insights-logs-operational-logs adlı bir olay hub'ı oluşturur. Diğer günlük türleri için mevcut bir olay hub'ı seçebilir veya Azure İzleyici'nin günlük kategorisi başına bir olay hub'ı oluşturmasını sağlayabilirsiniz.
- Giden bağlantı noktası 5671 ve 5672 genellikle olay hub'ından veri kullanan bilgisayarda veya sanal ağda açılmalıdır.
Kullanılabilir izleme verileri
Azure İzleyici için izleme verileri kaynakları ve bunların veri toplama yöntemleri , Azure İzleyici tarafından toplanan farklı veri türlerini ve bunları toplamak için kullanılan yöntemleri açıklar. Olay hub'ına akışla aktarılabilir veriler ve yapılandırma ayrıntılarına bağlantılar için bu makaleye bakın.
Tanılama verilerini akışla aktarma
Günlükleri ve ölçümleri Event Hubs'a akışla aktarmak için tanılama ayarını kullanın. Tanılama ayarlarını ayarlama hakkında bilgi için bkz . Tanılama ayarları oluşturma
Aşağıdaki JSON, bir olay hub'ına gönderilen ölçüm verilerine bir örnektir:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Aşağıdaki JSON, bir olay hub'ına gönderilen günlük verilerinin bir örneğidir:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "12345678-abc-4bc5-9f31-950eaf3bfcb4",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc12-abcd-9876-cdef-123abc456def",
"appid": "12345678-a1a1-b2b2-c3c3-9876543210ab"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/ABCDEF12-3456-78AB-CD12-34567890ABCD/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "12345678-abcd-1234-abcd-1234567890ab",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/ABCDEF12-3456-78AB-CD12-34567890ABCD/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Mantıksal uygulamayla el ile akış
Bir olay hub'ına doğrudan akışla aktarabildiğiniz veriler için Azure Depolama'a yazabilir ve ardından Azure Blob Depolama verileri alıp olay hub'ına ileti olarak göndererek zaman tetikleyen bir mantıksal uygulama kullanabilirsiniz.
Azure İzleyici tümleştirmesi ile iş ortağı araçları
Azure İzleyici ile izleme verilerinizi bir olay hub'ına yönlendirmek, dış SIEM ve izleme araçlarıyla kolayca tümleştirmenizi sağlar. Aşağıdaki tabloda Azure İzleyici tümleştirmesine sahip araç örnekleri listelenmektedir.
| Araç | Azure'da barındırılan | Açıklama |
|---|---|---|
| IBM QRadar | Hayır | Microsoft Azure DSM ve Microsoft Azure Event Hubs Protokolü IBM destek web sitesinden indirilebilir. |
| Splunk | Hayır | Microsoft Cloud Services için Splunk Eklentisi, Splunkbase'de kullanılabilen açık kaynaklı bir projedir. Splunk örneğinize bir eklenti yükleyemiyorsanız ve örneğin, bir ara sunucu kullanıyorsanız veya Splunk Cloud'da çalıştırıyorsanız, Splunk için Azure İşlevi'ni kullanarak bu olayları Splunk HTTP Olay Toplayıcısı'na iletebilirsiniz. Bu araç, olay hub'ında yeni iletiler tarafından tetikleniyor. |
| SumoLogic | Hayır | SumoLogic'i bir olay hub'ından veri kullanacak şekilde ayarlama yönergeleri event hub'larından Azure Denetim Uygulaması için Günlükleri Toplama makalesinde bulunabilir. |
| ArcSight | Hayır | ArcSight Azure Event Hubs akıllı bağlayıcısı, ArcSight akıllı bağlayıcı koleksiyonunun bir parçası olarak kullanılabilir. |
| Syslog sunucusu | Hayır | Azure İzleyici verilerini doğrudan bir Syslog sunucusuna akışla aktarmayı istiyorsanız, Azure işlevini temel alan bir çözüm kullanabilirsiniz. |
| LogRhythm | Hayır | LogRhythm'yi bir olay hub'ından günlükleri toplayacak şekilde ayarlama yönergelerine bu LogRhythm web sitesinden ulaşabilirsiniz. |
| Logz.io | Yes | Daha fazla bilgi için bkz . Azure'da çalışan Java uygulamaları için Logz.io kullanarak izleme ve günlüğe kaydetmeye başlama. |