Häufig gestellte Fragen zum Microsoft Azure Event Hubs-Protokoll
Verwenden Sie diese häufig gestellten Fragen und Antworten, um das Microsoft Azure Event Hubs-Protokoll besser zu verstehen.
- Warum brauche ich ein Speicherkonto, um eine Verbindung zu einem Event Hub herzustellen?
- Warum verwendet das Microsoft Azure Event Hubs-Protokoll das Speicherkonto?
- Wie viele Daten muss das Speicherkonto speichern?
- Muss mein Speicherkonto Ereignisse enthalten?
- Wie sieht eine BLOB-Datei aus, die vom Microsoft Azure Event Hubs-Protokoll erstellt wird?
- Kann ich dasselbe Speicherkonto mit anderen Event Hubs verwenden?
- Was mache ich, wenn das Protokoll keine Ereignisse erfasst?
- Warum muss ich die Ports für zwei verschiedene IPs öffnen, die unterschiedliche Ports haben?
- Kann ich < Service/Product> -Ereignisse mithilfe des Microsoft Event Hubs-Protokolls erfassen?
- Was bewirkt die Option zum Formatieren von Azure Linux -Ereignissen in Syslog?
Warum benötige ich ein Speicherkonto, um eine Verbindung zu einem Event Hub herzustellen?
Sie müssen über ein Speicherkonto für das Microsoft Azure Event Hubs-Protokoll verfügen, um die Zugangsberechtigung und Partitionen eines Event Hub zu verwalten. Weitere Informationen finden Sie in der Hostdokumentation zum Ereignisprozessor (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host).
Warum verwendet das Microsoft Azure Event Hubs-Protokoll das Speicherkonto?
Das Microsoft Azure Event Hubs-Protokoll verwendet das Speicherkonto, um das Eigentumsrecht an Partitionen zu verfolgen. Dieses Protokoll erstellt BLOB-Dateien im Azure -Speicherkonto im Verzeichnis <Event Hub Name> → <Consumer group Name> . Jede BLOB-Datei bezieht sich auf eine nummerierte Partition, die vom Event Hub verwaltet wird. Weitere Informationen finden Sie in der Hostdokumentation zum Ereignisprozessor (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host).
Wie viele Daten muss das Speicherkonto speichern?
Das Datenvolumen, das in einem Speicherkonto gespeichert werden muss, ist die Anzahl der Partitionen, die mit ~ 150 Byte multipliziert werden.
Muss mein Speicherkonto Ereignisse enthalten?
Anzahl Das Speichern der Protokolle im Speicher ist eine Option, die von Microsoft bereitgestellt wird. Diese Option wird jedoch nicht vom Protokoll verwendet.
Wie sieht eine BLOB-Datei aus, die vom Microsoft Azure Event Hubs-Protokoll erstellt wird?
{"offset":"@latest","sequenceNumber":0,"partitionId":"3","epoch":8,"owner":"","token":""}”Kann ich dasselbe Speicherkonto mit anderen Event Hubs verwenden?
Es gibt keine Einschränkungen, wie viele Event Hubs Daten in einem Speicherkonto speichern können. Sie können dasselbe Speicherkonto für alle Protokollquellen in derselben QRadar -Umgebung verwenden. Dadurch wird eine einzige Position für alle Partitionsverwaltungsordner und Dateien von Event Hub erstellt.
Was mache ich, wenn das Protokoll keine Ereignisse erfasst?
- Vergewissern Sie sich, dass Ereignisse für den Event Hub erfasst werden. Wenn die Azure -Seitenkonfiguration nicht korrekt ist, erfasst der Event Hub die Ereignisse möglicherweise nicht.
- Wenn die Option Als Gateway-Protokollquelle verwenden aktiviert ist, führen Sie eine Nutzdatensuche nach Ereignissen durch, die von der Event Hub-Protokollquelle erfasst werden. Wenn Sie nicht sicher sind, wie die Ereignisse aussehen sollen, fahren Sie mit Schritt 4 fort.
- Wenn die Option Als Gateway-Protokollquelle verwenden aktiviert ist und das Protokoll keine Ereignisse erfasst, testen Sie dieselbe Protokollquelle mit inaktiviertem Gateway. Wenn Als Gateway-Protokollquelle verwenden inaktiviert ist, werden alle erfassten Ereignisse gezwungen, die Protokollquelle zu verwenden, die mit dem Protokoll verbunden ist. Wenn Ereignisse ankommen, wenn die Option Als Gateway-Protokollquelle verwenden inaktiviert ist, aber Ereignisse nicht ankommen, wenn die Option Als Gateway-Protokollquelle verwenden aktiviert ist, liegt möglicherweise ein Problem mit den Optionen für die Protokollquellen-ID vor oder die Datenverkehrsanalyse kann die Ereignisse nicht automatisch einem DSM zuordnen.
- Wenn Sie in Schritt 2 oder Schritt 3 festgestellt haben, dass die Ereignisse nicht unter der erwarteten Protokollquelle eingehen, liegt möglicherweise ein Problem mit den Protokollquellen von Event Hub logsourceidentifierpatternvor. Bei Problemen im Zusammenhang mit dem Protokollquellen-ID-Muster für Event Hub müssen Sie sich möglicherweise an den Support wenden.
Warum muss ich die Ports für zwei unterschiedliche IPs öffnen, die unterschiedliche Ports haben?
Sie benötigen zwei unterschiedliche IPs, um unterschiedliche Ports geöffnet zu haben, weil das Microsoft Azure Event Hub-Protokoll zwischen dem Event Hub-Host und dem Speicherkontohost kommuniziert.
Die Event Hub-Verbindung verwendet das Advanced Message Queuing Protocol (AMQP) mit den Ports 5671 und 5672. Das Speicherkonto verwendet HTTPS mit Port 443. Da das Speicherkonto und der Event Hub unterschiedliche IP-Adressen haben, müssen zwei verschiedene Ports geöffnet werden.
Kann ich < Service/Product> -Ereignisse mithilfe des Microsoft Event Hubs-Protokolls erfassen?
Das Microsoft Event Hubs-Protokoll erfasst alle Ereignisse, die an den Event Hub gesendet werden, aber nicht alle Ereignisse werden von einem unterstützten DSM analysiert. Eine Liste der unterstützten DSMs finden Sie unter QRadar® unterstützte DSMs.
Was bewirkt die Option Format Azure Linux Ereignisse in Syslog ?
Diese Option verwendet das Ereignis Azure Linux® , das in ein JSON-Format mit Metadaten eingeschlossen ist, und konvertiert es in ein syslog-Standardformat. Aktivieren Sie diese Option, es sei denn, es gibt einen bestimmten Grund, warum die Metadaten für die Nutzdaten erforderlich sind. Wenn diese Option inaktiviert ist, werden die Nutzdaten nicht mit Linux -DSMs analysiert.