将Azure VM事件日志获取到Eventhubs

时间:2019-08-01 20:46:09

标签: azure azure-virtual-machine azure-eventhub

我们目前正在研究将安全日志数据从Azure VM移入SIEM进行分析的方法。

目前,我已经能够从VM中获取日志以进行日志分析工作空间,但是我不确定如何将它们从日志分析工作空间中获取到eventhub,然后提取事件。

在/您如何克服这一挑战之前,有人曾遇到过类似的挑战吗?

我目前正在将数据提取到Log Analytics工作区

2 个答案:

答案 0 :(得分:0)

欢迎来到Stackoverflow!

可以使用门户网站中的内置“导出到事件中心”选项,或通过在控制台中启用事件中心授权规则ID,将

Azure诊断日志几乎实时地流式传输到任何应用程序。通过Azure PowerShell Cmdlet或Azure CLI进行诊断设置。

如何使用诊断日志和事件中心:

以下是您可以使用流功能进行诊断日志的几种方法:

  • 将日志流传输到第三方日志记录和遥测系统 –您可以将所有诊断日志流传输到单个事件中心,以将日志数据通过管道传输到第三方SIEM或日志分析工具。 li>
  • 通过将“热路径”数据流传输到Power BI来查看服务的运行状况 –使用事件中心,流分析和Power BI,您可以轻松地将诊断数据转换为近实时的洞察您的Azure服务。
  • 构建定制的遥测和日志记录平台 –如果您已经拥有定制的遥测平台或正在考虑构建一个平台,Event Hubs的高度可扩展的发布-订阅性质使您可以灵活地提取诊断日志。

在事件中心中显示数据之后,您可以通过两种方式访问​​和读取数据:

配置受支持的SIEM工具。若要从事件中心读取数据,大多数工具都需要事件中心连接字符串和对Azure订阅的某些权限。包括具有Azure Monitor集成的第三方工具。

有关更多详细信息,请参阅“ Stream Azure Diagnostic Logs to an event hub”和“ How to integrate Azure Monitor with SIEM tools”。

希望这会有所帮助。

答案 1 :(得分:0)

您不能将VM数据从日志分析中拉到事件中心,可以使用Windows / Linux诊断扩展将数据路由到事件中心。

Stream Azure monitoring data to an event hub for consumption by an external tool

相关问题
最新问题