Поделиться через

Передача данных мониторинга Azure в концентратор событий и внешнему партнеру

  • Статья

Эффективный способ потоковой передачи данных из Azure Monitor во внешние средства — использование Центров событий Azure. В этой статье описано, как передавать данные в Центры событий и перечислять некоторые партнеры, которые могут использовать эти данные из концентратора. Некоторые партнеры интегрируются с Azure Monitor и имеют размещенные в Azure службы.

Создание пространства имен Центров событий

Перед настройкой потоковой передачи для источника данных необходимо создать пространство имен Центров событий и концентратор событий. Это пространство имен и концентратор событий являются конечным пунктом назначения для всех ваших данных мониторинга. Пространство имен Event Hubs — это логическая группировка концентраторов событий, которые используют ту же политику доступа, что и учетная запись для хранения данных, имеющая отдельные контейнеры для объектов. Рассмотрим следующие сведения о пространстве имен Центров событий и центрах событий, используемых для потокового мониторинга данных:

  • Количество единиц пропускной способности позволяет увеличить масштаб пропускной способности для центров событий. Обычно требуется только одна единица пропускной способности. Если необходимо увеличить масштаб по мере увеличения использования журнала, можно вручную увеличить количество единиц пропускной способности для пространства имен или включить автоматическую инфляцию.
  • Количество секций позволяет параллелизировать потребление для многих потребителей. Одна секция может поддерживать до 20 МБИТ/с или примерно 20 000 сообщений в секунду. В зависимости от средств, использующих данные, они могут поддерживать или не поддерживать использование данных из нескольких партиций. Четыре раздела - это разумное количество для начала, если вы не уверены, сколько разделов устанавливать.
  • Задайте для концентратора событий по крайней мере семь дней хранения сообщений. Если ваше средство потребления выходит из строя более чем на день, этот механизм хранения гарантирует, что средство может возобновить работу с данными за последние семь дней.
  • Используйте группу потребителей по умолчанию для концентратора событий. Нет необходимости создавать другие группы потребителей или использовать отдельную группу потребителей, если вы не планируете, чтобы два разных инструмента использовали одни и те же данные из одного концентратора событий.
  • Для журнала действий Azure, при выборе пространства имен Event Hubs, Azure Monitor создает концентратор событий в этом пространстве, называемый insights-logs-operational-logs. Для других типов журналов можно выбрать существующий концентратор событий или создать концентратор событий Azure Monitor для каждой категории журналов.
  • Исходящий порт 5671 и 5672 должен быть открыт на компьютере или виртуальной сети, использующей данные из концентратора событий.

Методы потоковой передачи

Данные можно отправлять в Центры событий с помощью следующих методов в Azure Monitor:

Форматы данных

Ниже приведен пример данных метрик, отправленных в концентратор событий:

[
  {
    "records": [
      {
        "count": 2,
        "total": 0.217,
        "minimum": 0.042,
        "maximum": 0.175,
        "average": 0.1085,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 2,
        "total": 0.284,
        "minimum": 0.053,
        "maximum": 0.231,
        "average": 0.142,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:04:00.0000000Z",
        "metricName": "CpuTime",
        "timeGrain": "PT1M"
      },
      {
        "count": 1,
        "total": 1,
        "minimum": 1,
        "maximum": 1,
        "average": 1,
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
        "time": "2023-04-18T09:03:00.0000000Z",
        "metricName": "Requests",
        "timeGrain": "PT1M"
      },
    ...
    ]
  }
]

Ниже приведен пример данных журнала, отправленных в концентратор событий:

[
  {
    "records": [
      {
        "time": "2023-04-18T09:39:56.5027358Z",
        "category": "AuditEvent",
        "operationName": "VaultGet",
        "resultType": "Success",
        "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
        "callerIpAddress": "10.0.0.10",
        "identity": {
          "claim": {
            "http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
            "appid": "44445555-eeee-6666-ffff-7777aaaa8888"
          }
        },
        "properties": {
          "id": "https://mykeyvault.vault.azure.net/",
          "clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
          "requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
          "httpStatusCode": 200,
          "properties": {
            "sku": {
              "Family": "A",
              "Name": "Standard",
              "Capacity": null
            },
            "tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
            "networkAcls": null,
            "enabledForDeployment": 0,
            "enabledForDiskEncryption": 0,
            "enabledForTemplateDeployment": 0,
            "enableSoftDelete": 1,
            "softDeleteRetentionInDays": 90,
            "enableRbacAuthorization": 0,
            "enablePurgeProtection": null
          }
        },
        "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
        "operationVersion": "2023-02-01",
        "resultSignature": "OK",
        "durationMs": "16"
      }
    ],
    "EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
    "PartitionId": 1,
    "EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
  },
...

Партнерские инструменты с интеграцией Azure Monitor

Маршрутизация данных мониторинга в концентратор событий с помощью Azure Monitor позволяет легко интегрироваться с внешними средствами SIEM и мониторинга. В следующей таблице перечислены примеры инструментов с интеграцией Azure Monitor.

Инструмент Размещено в Azure Описание
IBM QRadar нет Microsoft Azure DSM и протокол Центров событий Microsoft Azure доступны для загрузки на веб-сайте поддержки IBM.
Splunk нет Надстройка Splunk для облачных служб Майкрософт — это проект с открытым кодом, доступный в Splunkbase.

Если вы не можете установить надстройку в экземпляре Splunk и используете прокси-сервер или работаете в Splunk Cloud, вы можете перенаправить эти события в сборщик событий Splunk HTTP с помощью функции Azure для Splunk. Это средство активируется новыми сообщениями в концентраторе событий.
sumologic нет Инструкции по настройке SumoLogic для использования данных из концентратора событий доступны в статье Сбор журналов для приложения аудита Azure из Центров событий.
ArcSight нет Интеллектуальный соединитель ArcSight для Центров событий Azure доступен в составе коллекции интеллектуальных соединителей ArcSight.
Сервер системного журнала нет Если вы хотите передавать данные Azure Monitor непосредственно на сервер системного журнала, можно использовать решение на основе функции Azure.
LogRhythm нет Инструкции по настройке LogRhythm для сбора журналов из концентратора событий доступны на этом веб-сайте LogRhythm.
Logz.io Да Дополнительные сведения см. в статье "Начало работы с мониторингом и ведением журнала" с помощью Logz.io для приложений Java, работающих в Azure.

Дальнейшие действия