› ›

Azure 模块

Azure 模块编辑

azure 模块从 Azure 检索不同类型的日志数据。在使用该模块之前，有一些要求，因为日志实际上将从 azure 事件中心读取。

日志必须先导出到事件中心 https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create-kafka-enabled
要将活动日志导出到事件中心，用户可以按照此处的步骤操作 https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-export
要将审核和登录日志导出到事件中心，用户可以按照此处的步骤操作 https://docs.microsoft.com/en-us/azure/active-directory/reports-monitoring/tutorial-azure-monitor-stream-logs-to-event-hub

该模块包含以下文件集

activitylogs: 将检索 azure 活动日志。 Azure 资源管理器资源上的控制平面事件。活动日志提供对订阅中资源上执行的操作的洞察力。要了解更多信息，请参阅Azure 活动日志文档。
platformlogs: 将检索 azure 平台日志。平台日志提供 Azure 资源及其所依赖的 Azure 平台的详细诊断和审核信息。要了解更多信息，请参阅Azure 平台日志文档。
signinlogs: 将检索 azure Active Directory 登录日志。登录报告提供有关托管应用程序的使用情况和用户登录活动的信息。要了解更多信息，请参阅Azure 登录日志文档。
auditlogs: 将检索 azure Active Directory 审核日志。审核日志通过日志提供对 Azure AD 内各种功能所做的所有更改的可追溯性。审核日志的示例包括对 Azure AD 内任何资源所做的更改，例如添加或删除用户、应用程序、组、角色和策略。要了解更多信息，请参阅Azure 审核日志文档。

模块配置编辑

- module: azure
  activitylogs:
    enabled: true
    var:
      eventhub: "insights-operational-logs"
      consumer_group: "$Default"
      connection_string: ""
      storage_account: ""
      storage_account_key: ""
      resource_manager_endpoint: ""

  platformlogs:
    enabled: false
    var:
      eventhub: ""
      consumer_group: "$Default"
      connection_string: ""
      storage_account: ""
      storage_account_key: ""
      resource_manager_endpoint: ""

  auditlogs:
    enabled: false
    var:
      eventhub: "insights-logs-auditlogs"
      consumer_group: "$Default"
      connection_string: ""
      storage_account: ""
      storage_account_key: ""
      resource_manager_endpoint: ""

  signinlogs:
    enabled: false
    var:
      eventhub: "insights-logs-signinlogs"
      consumer_group: "$Default"
      connection_string: ""
      storage_account: ""
      storage_account_key: ""
      resource_manager_endpoint: ""

eventhub: string 是完全托管的实时数据提取服务。 activitylogs 的默认值为 insights-operational-logs，auditlogs 的默认值为 insights-logs-auditlogs，signinlogs 的默认值为 insights-logs-signinlogs。建议为每种日志类型使用单独的 eventhub，因为每种日志类型的字段映射都不同。
consumer_group: string 事件中心的发布/订阅机制是通过消费者组启用的。消费者组是整个事件中心的视图（状态、位置或偏移量）。消费者组允许多个使用应用程序各自拥有事件流的单独视图，并以自己的速度和偏移量独立读取流。默认值：$Default
connection_string: string 与事件中心通信所需的连接字符串，步骤如下 https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-get-connection-string。

需要一个 Blob 存储帐户才能存储/检索/更新 eventhub 消息的偏移量或状态。这意味着在停止 filebeat azure 模块后，它可以在停止处理消息的位置重新启动。

storage_account: string 将存储和更新状态/偏移量的存储帐户的名称。
storage_account_key: string 存储帐户密钥，此密钥将用于授权访问存储帐户中的数据。
resource_manager_endpoint: string 可选，默认情况下我们使用 azure 公共环境，要覆盖，用户可以提供特定的资源管理器端点以使用不同的 azure 环境。例如：Azure 中国云使用 https://management.chinacloudapi.cn/，Azure 德国云使用 https://management.microsoftazure.de/，Azure 公共云使用 https://management.azure.com/，Azure 美国政府云使用 https://management.usgovcloudapi.net/。用户也可以在混合云模型的情况下使用它，其中可以定义自己的端点。

运行模块时，它会在后台执行一些任务

设置日志文件的默认路径（但别担心，您可以覆盖默认值）
确保每个多行日志事件都作为单个事件发送
使用 Elasticsearch 提取管道来解析和处理日志行，将数据整形为适合在 Kibana 中可视化的结构

阅读快速入门，了解如何配置和运行模块。

仪表板编辑

azure 模块附带了几个预定义的仪表板，用于常规云概述、用户活动和警报。例如

字段编辑

有关模块中每个字段的说明，请参阅导出字段部分。

« AWS Fargate 模块 CEF 模块 »