Azure Monitor から外部ツールにデータをストリーミングする効果的な方法は、 Azure Event Hubs を使用することです。 この記事では、Event Hubs にデータをストリーミングする方法について説明し、ハブからそのデータを使用できる一部のパートナーを一覧表示します。 一部のパートナーは Azure Monitor と統合され、Azure でホストされるサービスを持っています。
Event Hubs 名前空間を作成する
データ ソースのストリーミングを構成する前に、 Event Hubs 名前空間とイベント ハブを作成する必要があります。 この名前空間とイベント ハブは、すべての監視データの宛先です。 Event Hubs 名前空間は、ストレージ アカウントにストレージ アカウント内の BLOB 用の個別のコンテナーがあるのと同様に、同じアクセス ポリシーを共有するイベント ハブの論理グループです。 監視データのストリーミングに使用する Event Hubs 名前空間とイベント ハブについて、次の詳細を考慮してください。
- スループット ユニットの数を使用すると、イベント ハブのスループット スケールを増やすことができます。 通常、必要なスループットユニットは 1 つだけです。 ログ使用量の増加に合わせてスケールアップする必要がある場合は、名前空間のスループット ユニットの数を手動で増やすか、自動インフレを有効にすることができます。
- パーティションの数を使用すると、多くのコンシューマー間で消費を並列化できます。 1 つのパーティションで、最大 20 MBps または 1 秒あたり約 20,000 メッセージをサポートできます。 データを使用するツールによっては、複数のパーティションからの使用をサポートしている場合とサポートされていない場合があります。 設定するパーティションの数がわからない場合は、4 つのパーティションから始めるのが妥当です。
- イベント ハブのメッセージリテンション期間を少なくとも 7 日間に設定します。 使用ツールが 1 日以上停止した場合、この保持機能により、ツールは最大で 7 日前のイベントから作業を再開することができます。
- イベント ハブの既定のコンシューマー グループを使用します。 2 つの異なるツールで同じイベント ハブから同じデータを使用する予定がない限り、他のコンシューマー グループを作成したり、別のコンシューマー グループを使用したりする必要はありません。
- Azure アクティビティ ログでは、Event Hubs 名前空間を選択すると、その名前空間内に
insights-logs-operational-logsという名前のイベント ハブが作成されます。 その他のログの種類については、既存のイベント ハブを選択するか、Azure Monitor でログ カテゴリごとにイベント ハブを作成することができます。 - 送信ポート 5671 と 5672 は、イベント ハブからのデータを使用するマシンまたは仮想ネットワークで開く必要があります。
ストリーミング メソッド
データは、Azure Monitor で次の方法を使用して Event Hubs に送信できます。
データ収集ルール
データ収集ルールは、ログとメトリックを Event Hubs、Log Analytics ワークスペース、Azure Storage にストリーミングするために使用されます。 データ収集規則を設定する方法については、「Azure Monitor のデータ収集規則」および「データ収集規則の作成と編集」を参照してください。
診断設定
診断設定を使用して、ログとメトリックを Event Hubs にストリーミングします。 診断設定を設定する方法については、「診断設定の 作成」を参照してください。
Logic Apps を使用して手動でストリーミングする
イベント ハブに直接ストリーミングできないデータの場合は、Azure Storage に書き込むことができます。その後、Azure Blob Storage からデータをプルしてイベント ハブにメッセージとしてプッシュする、時間トリガーロジック アプリを使用できます。 詳細については、「 Azure Logic Apps のワークフローからイベント ハブに接続する」を参照してください。
データ形式
次の JSON は、イベント ハブに送信されるメトリック データの例です。
[
{
"records": [
{
"count": 2,
"total": 0.217,
"minimum": 0.042,
"maximum": 0.175,
"average": 0.1085,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 2,
"total": 0.284,
"minimum": 0.053,
"maximum": 0.231,
"average": 0.142,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:04:00.0000000Z",
"metricName": "CpuTime",
"timeGrain": "PT1M"
},
{
"count": 1,
"total": 1,
"minimum": 1,
"maximum": 1,
"average": 1,
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.WEB/SITES/SCALEABLEWEBAPP1",
"time": "2023-04-18T09:03:00.0000000Z",
"metricName": "Requests",
"timeGrain": "PT1M"
},
...
]
}
]
次の JSON は、イベント ハブに送信されるログ データの例です。
[
{
"records": [
{
"time": "2023-04-18T09:39:56.5027358Z",
"category": "AuditEvent",
"operationName": "VaultGet",
"resultType": "Success",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"callerIpAddress": "10.0.0.10",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
"appid": "44445555-eeee-6666-ffff-7777aaaa8888"
}
},
"properties": {
"id": "https://mykeyvault.vault.azure.net/",
"clientInfo": "AzureResourceGraph.IngestionWorkerService.global/1.23.1.224",
"requestUri": "https://northeurope.management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001/providers/Microsoft.KeyVault/vaults/mykeyvault?api-version=2023-02-01&MaskCMKEnabledProperties=true",
"httpStatusCode": 200,
"properties": {
"sku": {
"Family": "A",
"Name": "Standard",
"Capacity": null
},
"tenantId": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
"networkAcls": null,
"enabledForDeployment": 0,
"enabledForDiskEncryption": 0,
"enabledForTemplateDeployment": 0,
"enableSoftDelete": 1,
"softDeleteRetentionInDays": 90,
"enableRbacAuthorization": 0,
"enablePurgeProtection": null
}
},
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/RG-001/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/mykeyvault",
"operationVersion": "2023-02-01",
"resultSignature": "OK",
"durationMs": "16"
}
],
"EventProcessedUtcTime": "2023-04-18T09:42:07.0944007Z",
"PartitionId": 1,
"EventEnqueuedUtcTime": "2023-04-18T09:41:14.9410000Z"
},
...
Azure Monitor 統合を使用したパートナー ツール
Azure Monitor を使用して監視データをイベント ハブにルーティングすると、外部 SIEM および監視ツールと簡単に統合できます。 次の表に、Azure Monitor 統合を使用したツールの例を示します。
| ツール | Azure 上でホストされています | 説明 |
|---|---|---|
| IBM QRadar | いいえ | Microsoft Azure DSM および Microsoft Azure Event Hub プロトコルは、IBM サポート Web サイトからダウンロードすることができます。 |
| Splunk | いいえ | Microsoft Cloud Services 用 Splunk アドオン は、Splunkbase で利用できるオープンソース プロジェクトです。 Splunk インスタンスにアドオンをインストールできない場合、プロキシを使用している場合、または Splunk Cloud で実行している場合は、 Azure Function for Splunk を使用して Splunk HTTP イベント コレクターにこれらのイベントを転送できます。 このツールは、イベント ハブ内の新しいメッセージによってトリガーされます。 |
| スモロジック | いいえ | 「イベント ハブから Azure 監査アプリのログを収集する」で、イベント ハブのデータを使用するように SumoLogic を設定する手順が説明されています。 |
| ArcSight | いいえ | ArcSight スマート コネクタ コレクションの一部として、ArcSight Azure イベント ハブ スマート コネクタが提供されています。 |
| Syslog サーバー | いいえ | Azure Monitor データを Syslog サーバーに直接ストリーミングする場合は、 Azure 関数に基づくソリューションを使用できます。 |
| LogRhythm | いいえ | イベント ハブからログを収集するように LogRhythm を設定する手順については、 この LogRhythm Web サイトを参照してください。 |
| Logz.io | イエス | 詳細については、「 Azure で実行されている Java アプリの Logz.io を使用した監視とログ記録の概要」を参照してください。 |