将Azure VM事件日志获取到Eventhubs

Question

我们目前正在研究将安全日志数据从Azure VM移入SIEM进行分析的方法。

目前，我已经能够从VM中获取日志以进行日志分析工作空间，但是我不确定如何将它们从日志分析工作空间中获取到eventhub，然后提取事件。

在/您如何克服这一挑战之前，有人曾遇到过类似的挑战吗？

我目前正在将数据提取到Log Analytics工作区

Answer 1

欢迎来到Stackoverflow！

可以使用门户网站中的内置“导出到事件中心”选项，或通过在控制台中启用事件中心授权规则ID，将

Azure诊断日志几乎实时地流式传输到任何应用程序。通过Azure PowerShell Cmdlet或Azure CLI进行诊断设置。

如何使用诊断日志和事件中心：

以下是您可以使用流功能进行诊断日志的几种方法：

• 将日志流传输到第三方日志记录和遥测系统 –您可以将所有诊断日志流传输到单个事件中心，以将日志数据通过管道传输到第三方SIEM或日志分析工具。 li>
• 通过将“热路径”数据流传输到Power BI来查看服务的运行状况 –使用事件中心，流分析和Power BI，您可以轻松地将诊断数据转换为近实时的洞察您的Azure服务。
• 构建定制的遥测和日志记录平台 –如果您已经拥有定制的遥测平台或正在考虑构建一个平台，Event Hubs的高度可扩展的发布-订阅性质使您可以灵活地提取诊断日志。

在事件中心中显示数据之后，您可以通过两种方式访问​​和读取数据：

配置受支持的SIEM工具。若要从事件中心读取数据，大多数工具都需要事件中心连接字符串和对Azure订阅的某些权限。包括具有Azure Monitor集成的第三方工具。

有关更多详细信息，请参阅“ Stream Azure Diagnostic Logs to an event hub”和“ How to integrate Azure Monitor with SIEM tools”。

希望这会有所帮助。

Answer 2

您不能将VM数据从日志分析中拉到事件中心，可以使用Windows / Linux诊断扩展将数据路由到事件中心。

Stream Azure monitoring data to an event hub for consumption by an external tool