Questions/réponses sur le protocole Microsoft Azure Event Hubs

Utilisez ces questions et réponses fréquemment posées pour vous aider à comprendre le protocole Microsoft Azure Event Hubs.

Pourquoi ai-je besoin d'un compte de stockage pour me connecter à un concentrateur d'événements ?

Vous devez disposer d'un compte de stockage pour le protocole Microsoft Azure Event Hubs pour gérer le bail et les partitions d'un concentrateur d'événements. Pour plus d'informations, voir la documentation de l'hôte du processeur d'événements (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host).

Pourquoi le protocole Microsoft Azure Event Hubs utilise-t-il le compte de stockage?

Le protocole Microsoft Azure Event Hubs utilise le compte de stockage pour suivre la propriété des partitions. Ce protocole crée des fichiers blob dans le compte de stockage Azure dans le répertoire <Event Hub Name> → <Consumer group Name> . Chaque fichier blob se rapporte à une partition numérotée gérée par le concentrateur d'événements. Pour plus d'informations, voir la documentation sur l'hôte du processeur d'événements (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host).

Quelle quantité de données le compte de stockage doit-il stocker ?

La quantité de données qui doit être stockée dans un compte de stockage correspond au nombre de partitions multipliées par ~150 octets.

Mon compte de stockage doit-il contenir des événements ?

Non. Le stockage des journaux dans le stockage est une option fournie par Microsoft. Toutefois, cette option n'est pas utilisée par le protocole.

A quoi ressemble un fichier blob créé par le protocole Microsoft Azure Event Hubs?

L'exemple suivant montre ce qui est stocké dans un fichier blob créé par le protocole :
{"offset":"@latest","sequenceNumber":0,"partitionId":"3","epoch":8,"owner":"","token":""}”

Puis-je utiliser le même compte de stockage avec d'autres concentrateurs d'événements ?

Il n'y a aucune restriction sur le nombre de concentrateurs d'événements pouvant stocker des données dans un compte de stockage. Vous pouvez utiliser le même compte de stockage pour toutes les sources de journal dans le même environnement QRadar. Cela crée un emplacement unique pour tous les dossiers et fichiers de gestion des partitions du concentrateur d'événements.

Que dois-je faire si le protocole ne collecte pas les événements ?

Si le protocole semble fonctionner, que les outils de test de protocole réussissent tous les tests, et que vous ne voyez pas d'événements, procédez comme suit pour confirmer que les événements sont publiés.
  1. Confirmez qu'il existe des événements à collecter par le concentrateur d'événements. Si la configuration côté Azure n'est pas correcte, il est possible que le concentrateur d'événements ne puisse pas collecter les événements.
  2. Si l'option Utiliser comme source de journal de passerelle est activée, recherchez les événements collectés par la source de journal du concentrateur d'événements dans le contenu. Si vous ne savez pas à quoi les événements doivent ressembler, passez à l'étape 4.
  3. Si l'option Utiliser comme source de journal de passerelle est activée et que le protocole ne collecte pas d'événements, testez la même source de journal avec la passerelle désactivée. Si l'option Utiliser comme source de journal de passerelle est désactivée, tous les événements collectés sont forcés d'utiliser la source de journal connectée au protocole. Si des événements arrivent lorsque l'option Utiliser comme source de journal de passerelle est désactivée, mais qu'ils n'arrivent pas lorsque l'option Utiliser comme source de journal de passerelle est activée, il se peut qu'il y ait un problème avec les options de l'identificateur de source de journal ou que l'analyse du trafic ne puisse pas faire correspondre automatiquement les événements à un DSM.
  4. Si vous avez identifié à l'étape 2 ou à l'étape 3 que les événements n'arrivent pas sous la source de journal attendue, il peut y avoir un problème avec les sources de journal du concentrateur d'événements logsourceidentifierpattern. Pour les problèmes liés au modèle d'identificateur de source de journal du concentrateur d'événements, vous devrez peut-être contacter le support.

Pourquoi dois-je ouvrir les ports pour deux adresses IP différentes qui ont des ports différents ?

Vous avez besoin de deux adresses IP différentes pour que des ports différents soient ouverts car le protocole Microsoft Azure Event Hub communique entre l'hôte du concentrateur d'événements et l'hôte du compte de stockage.

La connexion au concentrateur d'événements utilise le protocole AMQP (Advanced Message Queuing Protocol) avec les ports 5671 et 5672. Le compte de stockage utilise HTTPS avec le port 443. Le compte de stockage et le concentrateur d'événements ayant des adresses IP différentes, vous devez ouvrir deux ports différents.

Puis-je collecter des événements < Service / Product> à l'aide du protocole Microsoft Event Hubs?

Le protocole Microsoft Event Hubs collecte tous les événements qui sont envoyés au concentrateur d'événements, mais tous les événements ne sont pas analysés par un DSM pris en charge. Pour une liste des DSM pris en charge, voir QRadar® DSM pris en charge.

Que fait l'option Format Azure Linux Events To Syslog ?

Cette option prend l'événement Azure Linux® , qui est encapsulé dans un format JSON avec des métadonnées, et le convertit dans un format syslog standard. A moins qu'il n'y ait une raison spécifique pour que les métadonnées du contenu soient requises, activez cette option. Lorsque cette option est désactivée, les contenus ne sont pas analysés avec les DSM Linux .

(Haut de la page)