Azure 模块
编辑Azure 模块
编辑Azure 模块从 Azure 检索不同类型的日志数据。由于日志实际上是从 Azure 事件中心读取的,因此在使用该模块之前有一些要求。
- 首先必须将日志导出到事件中心 https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create-kafka-enabled
- 要将活动日志导出到事件中心,用户可以按照此处的步骤操作 https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-export
- 要将审核和登录日志导出到事件中心,用户可以按照此处的步骤操作 https://docs.microsoft.com/en-us/azure/active-directory/reports-monitoring/tutorial-azure-monitor-stream-logs-to-event-hub
该模块包含以下文件集:
-
activitylogs - 将检索 Azure 活动日志。Azure 资源管理器资源上的控制平面事件。活动日志提供了对在您的订阅中对资源执行的操作的洞察。要了解更多信息,请参考 Azure 活动日志 文档。
-
platformlogs - 将检索 Azure 平台日志。平台日志为 Azure 资源及其所依赖的 Azure 平台提供详细的诊断和审核信息。要了解更多信息,请参考 Azure 平台日志 文档。
-
signinlogs - 将检索 Azure Active Directory 登录日志。登录报告提供有关托管应用程序的使用情况和用户登录活动的信息。要了解更多信息,请参考 Azure 登录日志 文档。
-
auditlogs - 将检索 Azure Active Directory 审核日志。审核日志通过日志跟踪 Azure AD 内各种功能所做的所有更改。审核日志的示例包括对 Azure AD 内任何资源所做的更改,例如添加或删除用户、应用程序、组、角色和策略。要了解更多信息,请参考 Azure 审核日志 文档。
模块配置
编辑- module: azure
activitylogs:
enabled: true
var:
eventhub: "insights-operational-logs"
consumer_group: "$Default"
connection_string: ""
storage_account: ""
storage_account_key: ""
resource_manager_endpoint: ""
platformlogs:
enabled: false
var:
eventhub: ""
consumer_group: "$Default"
connection_string: ""
storage_account: ""
storage_account_key: ""
resource_manager_endpoint: ""
auditlogs:
enabled: false
var:
eventhub: "insights-logs-auditlogs"
consumer_group: "$Default"
connection_string: ""
storage_account: ""
storage_account_key: ""
resource_manager_endpoint: ""
signinlogs:
enabled: false
var:
eventhub: "insights-logs-signinlogs"
consumer_group: "$Default"
connection_string: ""
storage_account: ""
storage_account_key: ""
resource_manager_endpoint: ""
-
eventhub -
字符串 是完全托管的实时数据摄取服务。activitylogs 的默认值为
insights-operational-logs,auditlogs 的默认值为insights-logs-auditlogs,signinlogs 的默认值为insights-logs-signinlogs。建议为每种日志类型使用单独的事件中心,因为每种日志类型的字段映射不同。 -
consumer_group -
字符串 通过使用者组启用 Event Hubs 的发布/订阅机制。使用者组是整个事件中心的一个视图(状态、位置或偏移量)。使用者组使多个使用者应用程序各自拥有事件流的单独视图,并能够以自己的速度和自己的偏移量独立读取流。默认值:
$Default -
connection_string - 字符串 与 Event Hubs 通信所需的连接字符串,步骤请参考 https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-get-connection-string。
需要一个 Blob 存储帐户来存储/检索/更新事件中心消息的偏移量或状态。这意味着在停止 Filebeat Azure 模块后,它可以从停止处理消息的位置重新启动。
-
storage_account - 字符串 将存储和更新状态/偏移量的存储帐户名称。
-
storage_account_key - 字符串 存储帐户密钥,此密钥将用于授权访问您存储帐户中的数据。
-
resource_manager_endpoint - 字符串 可选,默认情况下我们使用 Azure 公共环境,要覆盖此设置,用户可以提供特定的资源管理器端点以使用不同的 Azure 环境。例如:https://management.chinacloudapi.cn/ 用于 Azure 中国云 https://management.microsoftazure.de/ 用于 Azure 德国云 https://management.azure.com/ 用于 Azure 公共云 https://management.usgovcloudapi.net/ 用于 Azure 美国政府云 用户也可以在混合云模型中使用此设置,在这种模型中,用户可以定义自己的端点。
运行该模块时,它会在后台执行一些任务:
- 设置日志文件的默认路径(但不用担心,您可以覆盖默认值)
- 确保每个多行日志事件都作为单个事件发送
- 使用 Elasticsearch Ingest Pipeline 解析和处理日志行,将数据整形为适合在 Kibana 中可视化的结构
阅读 快速入门,了解如何配置和运行模块。
仪表盘
编辑Azure 模块附带一些预定义的仪表盘,用于显示一般的云概述、用户活动和警报。例如:
字段
编辑有关模块中每个字段的说明,请参见 导出字段 部分。