将Log Analytics Workspace查询的结果输出到事件中心

Question

我正在执行查询以输出在Azure Log Analytics工作区中捕获的日志，例如： Invoke-AzOperationalInsightsQuery -WorkspaceId”-查询“ AzureDiagnostics |其中Category =='AzureFirewallApplicationRule'”

但是我需要将其结果发送到Event Hub进行进一步处理。

我正在尝试使用REST API（https://docs.microsoft.com/en-us/rest/api/eventhub/send-batch-events），但努力根据查询的输出字段动态生成请求正文以发送到事件中心。有什么建议可能不是最好的方法吗？

Answer 1

我建议您可以通过Send event api一次发送一个简单的json数据来使用它。因为如果使用发送批处理api，则应构建更复杂的源数据。

您可以使用以下Powershell代码通过send event API将数据发送到事件中心。

$queryResults = Invoke-AzOperationalInsightsQuery -WorkspaceId "xxx" -Query "your query"    

#generate sas token
$URI_1 = "event_hub_namespace.servicebus.windows.net/eventhub_path"
$Access_Policy_Name="RootManageSharedAccessKey"
$Access_Policy_Key="the key"

#Token expires now+3000
$Expires=([DateTimeOffset]::Now.ToUnixTimeSeconds())+3000
$SignatureString=[System.Web.HttpUtility]::UrlEncode($URI_1)+ "`n" + [string]$Expires
$HMAC = New-Object System.Security.Cryptography.HMACSHA256
$HMAC.key = [Text.Encoding]::ASCII.GetBytes($Access_Policy_Key)
$Signature = $HMAC.ComputeHash([Text.Encoding]::ASCII.GetBytes($SignatureString))
$Signature = [Convert]::ToBase64String($Signature)
$SASToken = "SharedAccessSignature sr=" + [System.Web.HttpUtility]::UrlEncode($URI_1) + "&sig=" + [System.Web.HttpUtility]::UrlEncode($Signature) + "&se=" + $Expires + "&skn=" + $Access_Policy_Name
$SASToken

$method = "POST"
$url = "https://event_hub_namespace.servicebus.windows.net/eventhub_path/messages"
$signature = $SASToken

# API headers
$headers = @{
            "Authorization"=$signature;
            "Content-Type"="application/atom+xml;type=entry;charset=utf-8";
            }

#use foreach to send data
foreach($s in $queryResults.Results){
    #Write-Output "hello"
    $json = $s | ConvertTo-Json
    #Write-Output $json

    Invoke-WebRequest -Method $method -Headers $headers -Body $json -uri $url
}

Write-Output "**completed**"

执行Powershell之后，我使用代码从事件中心接收数据，并且可以确认所有数据都已发送到事件中心。屏幕截图如下：