将 Azure VM 事件日志获取到 Eventhubs

Question

我们目前正在研究如何将我们的安全日志数据从 Azure 虚拟机中取出并输入到我们的 SIEM 中进行分析。

目前我已经能够将日志从 VM 获取到日志分析工作区，但我不知道如何将它们从日志分析工作区获取到 eventthub，然后拉下事件。

之前有没有人遇到过类似的挑战/您是如何克服这个挑战的？

我目前正在将数据提取到 Log Analytics 工作区

Answer 1

欢迎来到 Stackoverflow！

Azure 诊断日志可以使用门户中的内置“导出到事件中心”选项，或通过在通过 Azure PowerShell Cmdlet 或 Azure CLI 进行诊断设置。

您可以使用诊断日志和事件中心做什么：

您可以通过以下几种方式使用诊断日志的流式传输功能：

• 将日志流式传输到第 3 方日志记录和遥测系统 - 您可以将所有诊断日志流式传输到单个事件中心，以将日志数据传输到第三方 SIEM 或日志分析工具。
• 通过将“热路径”数据流式传输到 Power BI 来查看服务运行状况 - 使用事件中心、流分析和 Power BI，您可以轻松地将诊断数据转换为对 Azure 服务的近乎实时的洞察.
• 构建自定义遥测和日志记录平台 – 如果您已经拥有一个自定义遥测平台或正在考虑构建一个，事件中心的高度可扩展的发布-订阅特性允许您灵活地获取诊断日志.

数据显示在事件中心后，您可以通过两种方式访问​​和读取数据：

配置支持的 SIEM 工具。要从事件中心读取数据，大多数工具都需要事件中心连接字符串和对 Azure 订阅的某些权限。包含与 Azure Monitor 集成的第三方工具。

更多详情请参考“Stream Azure Diagnostic Logs to an event hub”和“How to integrate Azure Monitor with SIEM tools”。

希望这会有所帮助。

Answer 2

您无法将 VM 数据从日志分析中提取到事件中心，您可以使用 Windows/Linux 诊断扩展将数据路由到事件中心。

Stream Azure monitoring data to an event hub for consumption by an external tool