Azure izleme verilerini bir olay hub'ına ve dış iş ortağına akışla aktarma
Azure İzleyici'den dış araçlara veri akışı yapmak için etkili bir yöntem, Azure Event Hubs kullanmaktır. Bu makalede Event Hubs'a veri akışının nasıl yapılacağının bir açıklaması sağlanır ve bu verileri hub'dan tüketebilecek bazı iş ortakları listelenir. Bazı iş ortakları Azure İzleyici ile tümleştirilir ve Azure'da barındırılan hizmetlere sahiptir.
Event Hubs ad alanı oluşturma
Bir veri kaynağı için akışı yapılandırmadan önce bir Event Hubs ad alanı ve olay hub'ı oluşturmanız gerekir. Bu ad alanı ve olay hub'ı tüm izleme verilerinizin hedefidir. Event Hubs ad alanı, depolama hesabının depolama hesabı içindeki bloblar için ayrı kapsayıcılara sahip olması gibi aynı erişim ilkesini paylaşan olay hub'larının mantıksal bir gruplandırmadır. Akış izleme verileri için kullandığınız Event Hubs ad alanı ve olay hub'ları hakkında aşağıdaki ayrıntıları göz önünde bulundurun:
- Aktarım hızı birimi sayısı, olay hub'larınız için aktarım hızı ölçeğini artırmanıza olanak tanır. Genellikle yalnızca bir aktarım hızı birimi gereklidir. Günlük kullanımınız arttıkça ölçeği artırmanız gerekiyorsa, ad alanı için işleme birimi sayısını el ile artırabilir veya otomatik enflasyonu etkinleştirebilirsiniz.
- Bölüm sayısı, tüketimi birçok tüketici arasında paralelleştirmenize olanak tanır. Tek bir bölüm 20 MB/sn'ye kadar veya saniyede yaklaşık 20.000 iletiyi destekleyebilir. Verileri kullanan ara çubuğuna bağlı olarak, birden çok bölümden tüketilmesi desteklenebilir veya desteklenmeyebilir. Ayarlanacağı bölüm sayısından emin değilseniz, dört bölümle başlamak mantıklıdır.
- Olay hub'ınızda ileti saklamayı en az yedi gün olarak ayarlayın. Tüketen aracınız bir günden daha uzun süre kapalı kalırsa, bu saklama, aracın yedi güne kadar olan olaylar için kaldığı yerden devam etmesini sağlar.
- Olay hub'ınız için varsayılan tüketici grubunu kullanın. Aynı olay hub'ından aynı verileri kullanan iki farklı araç olmasını planlamadığınız sürece başka tüketici grupları oluşturmanıza veya ayrı bir tüketici grubu kullanmanıza gerek yoktur.
- Azure etkinlik günlüğü için bir Event Hubs ad alanını seçtiğinizde, Azure İzleyici bu ad alanında adlı
insights-logs-operational-logsbir olay hub'ı oluşturur. Diğer günlük türleri için mevcut bir olay hub'ı seçebilir veya Azure İzleyici'nin günlük kategorisi başına bir olay hub'ı oluşturmasını sağlayabilirsiniz. - Olay hub'ından veri tüketen makinede veya sanal ağda giden bağlantı noktası 5671 ve 5672 açılmalıdır.
Akış yöntemleri
Veriler, Azure İzleyici'de aşağıdaki yöntemler kullanılarak Event Hubs'a gönderilebilir:
Veri toplama kuralları
Veri toplama kuralları Event Hubs, Log Analytics çalışma alanları ve Azure Depolama'ya günlük ve ölçüm akışı yapmak için kullanılır. Veri toplama kurallarını ayarlama hakkında bilgi için bkz . Azure İzleyici'de veri toplama kuralları ve Veri toplama kuralları oluşturma ve düzenleme.Tanılama ayarları
Günlükleri ve ölçümleri Event Hubs'a akışla aktarmak için tanılama ayarını kullanın. Tanılama ayarlarını ayarlama hakkında bilgi için bkz . Tanılama ayarları oluşturma.Logic Apps kullanarak el ile akış
Bir olay hub'ına doğrudan akışla aktarabildiğiniz veriler için Azure Depolama'ya yazabilir ve ardından Azure Blob Depolama verileri alıp olay hub'ına ileti olarak göndererek zaman tetikleyen bir mantıksal uygulama kullanabilirsiniz. Daha fazla bilgi için bkz . Azure Logic Apps'teki iş akışlarından bir olay hub'ına bağlanma.
Veri biçimleri
Aşağıdaki JSON, bir olay hub'ına gönderilen ölçüm verilerine bir örnektir:
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
Aşağıdaki JSON, bir olay hub'ına gönderilen günlük verilerinin bir örneğidir:
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
"appid": "44445555-eeee-6666-ffff-7777aaaa8888"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Azure İzleyici tümleştirmesi ile iş ortağı araçları
Azure İzleyici ile izleme verilerinizi bir olay hub'ına yönlendirmek, dış SIEM ve izleme araçlarıyla kolayca tümleştirmenizi sağlar. Aşağıdaki tabloda Azure İzleyici tümleştirmesine sahip araç örnekleri listelenmektedir.
| Araç | Azure'da barındırılan | Açıklama |
|---|---|---|
| IBM QRadar | Hayır | Microsoft Azure DSM ve Microsoft Azure Event Hubs Protokolü IBM destek web sitesinden indirilebilir. |
| Splunk | Hayır | Microsoft Cloud Services için Splunk Eklentisi, Splunkbase'de kullanılabilen açık kaynaklı bir projedir. Splunk örneğinize eklenti yükleyemiyorsanız ve ara sunucu kullanıyorsanız veya Splunk Cloud'da çalıştırıyorsanız, Splunk için Azure İşlevi'ni kullanarak bu olayları Splunk HTTP Olay Toplayıcısı'na iletebilirsiniz. Bu araç, olay hub'ında yeni iletiler tarafından tetikleniyor. |
| SumoLogic | Hayır | SumoLogic'i bir olay hub'ından veri kullanacak şekilde ayarlama yönergeleri event hub'larından Azure Denetim Uygulaması için Günlükleri Toplama makalesinde bulunabilir. |
| ArcSight | Hayır | ArcSight Azure Event Hubs akıllı bağlayıcısı, ArcSight akıllı bağlayıcı koleksiyonunun bir parçası olarak kullanılabilir. |
| Syslog sunucusu | Hayır | Azure İzleyici verilerini doğrudan bir Syslog sunucusuna akışla aktarmayı istiyorsanız, Azure işlevini temel alan bir çözüm kullanabilirsiniz. |
| LogRhythm | Hayır | LogRhythm'yi bir olay hub'ından günlükleri toplayacak şekilde ayarlama yönergelerine bu LogRhythm web sitesinden ulaşabilirsiniz. |
| Logz.io | Yes | Daha fazla bilgi için bkz . Azure'da çalışan Java uygulamaları için Logz.io kullanarak izleme ve günlüğe kaydetmeye başlama. |