Azure 模块
编辑Azure 模块
编辑azure 模块从 Azure 检索不同类型的日志数据。使用该模块前有一些要求,因为日志实际上将从 Azure 事件中心读取。
- 日志必须首先导出到事件中心 https://docs.microsoft.com/zh-cn/azure/event-hubs/event-hubs-create-kafka-enabled
- 要将活动日志导出到事件中心,用户可以按照此处的步骤操作 https://docs.microsoft.com/zh-cn/azure/azure-monitor/platform/activity-log-export
- 要将审核和登录日志导出到事件中心,用户可以按照此处的步骤操作 https://docs.microsoft.com/zh-cn/azure/active-directory/reports-monitoring/tutorial-azure-monitor-stream-logs-to-event-hub
该模块包含以下文件集
-
activitylogs - 将检索 Azure 活动日志。Azure 资源管理器资源上的控制平面事件。活动日志提供了对订阅中资源上执行的操作的见解。要了解更多信息,请参阅 Azure 活动日志 文档。
-
platformlogs - 将检索 Azure 平台日志。平台日志提供了有关 Azure 资源及其所依赖的 Azure 平台的详细诊断和审核信息。要了解更多信息,请参阅 Azure 平台日志 文档。
-
signinlogs - 将检索 Azure Active Directory 登录日志。登录报告提供了有关托管应用程序的使用情况和用户登录活动的信息。要了解更多信息,请参阅 Azure 登录日志 文档。
-
auditlogs - 将检索 Azure Active Directory 审核日志。审核日志通过日志提供对 Azure AD 中各种功能所做的所有更改的可追溯性。审核日志的示例包括对 Azure AD 中的任何资源所做的更改,例如添加或删除用户、应用程序、组、角色和策略。要了解更多信息,请参阅 Azure 审核日志 文档。
模块配置
编辑- module: azure
activitylogs:
enabled: true
var:
eventhub: "insights-operational-logs"
consumer_group: "$Default"
connection_string: ""
storage_account: ""
storage_account_key: ""
resource_manager_endpoint: ""
platformlogs:
enabled: false
var:
eventhub: ""
consumer_group: "$Default"
connection_string: ""
storage_account: ""
storage_account_key: ""
resource_manager_endpoint: ""
auditlogs:
enabled: false
var:
eventhub: "insights-logs-auditlogs"
consumer_group: "$Default"
connection_string: ""
storage_account: ""
storage_account_key: ""
resource_manager_endpoint: ""
signinlogs:
enabled: false
var:
eventhub: "insights-logs-signinlogs"
consumer_group: "$Default"
connection_string: ""
storage_account: ""
storage_account_key: ""
resource_manager_endpoint: ""
-
eventhub -
string 是完全托管的实时数据引入服务。activitylogs 的默认值为
insights-operational-logs,auditlogs 的默认值为insights-logs-auditlogs,signinlogs 的默认值为insights-logs-signinlogs。建议为每种日志类型使用单独的事件中心,因为每种日志类型的字段映射都不同。 -
consumer_group -
string 通过消费者组启用事件中心的发布/订阅机制。消费者组是整个事件中心的视图(状态、位置或偏移量)。消费者组使多个消费应用程序各自拥有事件流的单独视图,并能够以自己的速度和自己的偏移量独立读取流。默认值:
$Default -
connection_string - string 与事件中心通信所需的连接字符串,步骤在此处 https://docs.microsoft.com/zh-cn/azure/event-hubs/event-hubs-get-connection-string。
为了存储/检索/更新事件中心消息的偏移量或状态,需要一个 Blob 存储帐户。这意味着在停止 filebeat azure 模块后,它可以从它停止处理消息的位置重新启动。
-
storage_account - string 将存储和更新状态/偏移量的存储帐户的名称。
-
storage_account_key - string 存储帐户密钥,此密钥将用于授权访问您的存储帐户中的数据。
-
resource_manager_endpoint - string 可选,默认情况下我们使用 Azure 公共环境,要覆盖此设置,用户可以提供特定的资源管理器端点,以便使用不同的 Azure 环境。示例:https://management.chinacloudapi.cn/ 用于 Azure 中国云,https://management.microsoftazure.de/ 用于 Azure 德国云,https://management.azure.com/ 用于 Azure 公共云,https://management.usgovcloudapi.net/ 用于 Azure 美国政府云。用户也可以在混合云模型中使用此功能,在这种模型中,用户可以定义自己的端点。
运行模块时,它会在后台执行一些任务
- 设置日志文件的默认路径(但不用担心,您可以覆盖默认值)
- 确保每个多行日志事件都作为单个事件发送
- 使用 Elasticsearch 摄取管道来解析和处理日志行,将数据塑造成适合在 Kibana 中可视化的结构
阅读快速入门,了解如何配置和运行模块。
仪表板
编辑azure 模块附带几个用于常规云概述、用户活动和警报的预定义仪表板。例如
字段
编辑有关模块中每个字段的描述,请参阅导出的字段部分。