Streamování dat monitorování Azure do centra událostí a externího partnera
Efektivní metodou streamování dat ze služby Azure Monitor do externích nástrojů je použití služby Azure Event Hubs. Tento článek obsahuje popis, jak streamovat data do služby Event Hubs a uvádí některé z partnerů, kteří můžou tato data využívat z centra. Někteří partneři se integrují se službou Azure Monitor a mají hostované služby Azure.
Vytvoření oboru názvů služby Event Hubs
Než nakonfigurujete streamování pro zdroj dat, musíte vytvořit obor názvů služby Event Hubs a centrum událostí. Tento obor názvů a centrum událostí je cílem pro všechna data monitorování. Obor názvů služby Event Hubs je logické seskupení center událostí, které sdílejí stejné zásady přístupu, podobně jako účet úložiště má jednotlivé kontejnery pro objekty blob v rámci účtu úložiště. Zvažte následující podrobnosti o oboru názvů služby Event Hubs a centrech událostí, které používáte pro streamování dat monitorování:
- Počet jednotek propustnosti umožňuje zvýšit škálování propustnosti pro vaše centra událostí. Obvykle je potřeba jenom jedna jednotka propustnosti. Pokud potřebujete vertikálně navýšit kapacitu při nárůstu využití protokolů, můžete počet jednotek propustnosti pro obor názvů ručně zvýšit nebo povolit automatickou inflace.
- Počet oddílů umožňuje paralelizovat spotřebu napříč mnoha uživateli. Jeden oddíl může podporovat až 20 MB/s nebo přibližně 20 000 zpráv za sekundu. V závislosti na nástroji, který data využívá, může nebo nemusí podporovat využívání z více oddílů. Pokud si nejste jistí, kolik oddílů se má nastavit, je vhodné začít se čtyřmi oddíly.
- Nastavte uchovávání zpráv v centru událostí na nejméně sedm dní. Pokud váš spotřebující nástroj klesne déle než den, toto uchovávání zajišťuje, že nástroj může vyzvednout místo, kde skončil u událostí až sedm dnů starých.
- Použijte výchozí skupinu příjemců pro vaše centrum událostí. Není nutné vytvářet jiné skupiny příjemců nebo používat samostatnou skupinu příjemců, pokud neplánujete, že byste měli mít dva různé nástroje, které spotřebovávají stejná data ze stejného centra událostí.
- Pokud pro protokol aktivit Azure vyberete obor názvů služby Event Hubs, Azure Monitor vytvoří centrum událostí v rámci daného oboru názvů.
insights-logs-operational-logs
U jiných typů protokolů můžete zvolit existující centrum událostí nebo vytvořit centrum událostí pro každou kategorii protokolu. - Odchozí port 5671 a 5672 musí být otevřen na počítači nebo virtuální síti, která využívá data z centra událostí.
Metody streamování
Data je možné odesílat do služby Event Hubs pomocí následujících metod ve službě Azure Monitor:
Pravidla shromažďování dat
Pravidla shromažďování dat se používají ke streamování protokolů a metrik do služby Event Hubs, pracovních prostorů služby Log Analytics a Azure Storage. Informace o tom, jak nastavit pravidla shromažďování dat, najdete v tématu Pravidla shromažďování dat ve službě Azure Monitor a Vytvoření a úprava pravidel shromažďování dat.Nastavení diagnostiky
Pomocí nastavení diagnostiky můžete streamovat protokoly a metriky do služby Event Hubs. Informace o nastavení diagnostiky najdete v tématu Vytvoření nastavení diagnostiky.Ruční streamování pomocí Logic Apps
U dat, která nemůžete přímo streamovat do centra událostí, můžete zapisovat do Služby Azure Storage a pak můžete použít aplikaci logiky aktivovanou časem, která načítá data ze služby Azure Blob Storage a odešle je jako zprávu do centra událostí. Další informace najdete v tématu Připojení k centru událostí z pracovních postupů v Azure Logic Apps.
Formáty dat
Následující JSON je příkladem dat metrik odesílaných do centra událostí:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Následující JSON je příkladem dat protokolu odesílaných do centra událostí:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
"appid": "44445555-eeee-6666-ffff-7777aaaa8888"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Partnerské nástroje s integrací služby Azure Monitor
Směrování dat monitorování do centra událostí pomocí služby Azure Monitor umožňuje snadnou integraci s externími nástroji SIEM a monitorovacími nástroji. Následující tabulka uvádí příklady nástrojů s integrací služby Azure Monitor.
Nástroj | Hostované v Azure | Popis |
---|---|---|
IBM QRadar | No | Microsoft Azure DSM a protokol Microsoft Azure Event Hubs jsou k dispozici ke stažení z webu podpory IBM. |
Splunk | No | Doplněk Splunk pro Microsoft Cloud Services je opensourcový projekt dostupný v splunkbase. Pokud v instanci Splunk nemůžete nainstalovat doplněk a používáte proxy server nebo běží v Splunk Cloudu, můžete tyto události předávat do kolektoru událostí Splunk HTTP pomocí funkce Azure Functions for Splunk. Tento nástroj se aktivuje novými zprávami v centru událostí. |
SumoLogic | No | Pokyny k nastavení sumoLogic pro využívání dat z centra událostí jsou k dispozici v části Shromažďování protokolů pro aplikaci Audit Azure ze služby Event Hubs. |
ArcSight | No | Inteligentní konektor ArcSight Azure Event Hubs je k dispozici jako součást kolekce inteligentních konektorů ArcSight. |
Server syslogu | No | Pokud chcete streamovat data služby Azure Monitor přímo na server Syslog, můžete použít řešení založené na funkci Azure. |
LogRhythm | No | Pokyny k nastavení LogRhythm pro shromažďování protokolů z centra událostí jsou k dispozici na tomto webu LogRhythm. |
Logz.io | Ano | Další informace najdete v tématu Začínáme s monitorováním a protokolováním pomocí Logz.io pro aplikace Java běžící v Azure. |