Мой клиент планирует использовать концентратор событий и планирует отправить данные диагностики c для Azure Журналы платформы в концентратор событий, а концентратор событий будет подключен к Splunk в качестве получателя события
Таким образом, в приведенном ниже URI указано, как настроить концентратор событий, рабочую область Log Analytics или учетную запись хранения Azure, чтобы сделать это
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostic-settings
Кроме для этого мой клиент также должен отправить журналы перформона Windows IaaS виртуальных машин и различные журналы событий, такие как приложения, безопасность и система, относящиеся к виртуальной машине, или, скажем, Cra sh дамп-журналы конкретной виртуальной машины в те же концентраторы событий, где находится Splunk. затем будет собирать данные оттуда.
Чтобы отправить все эти данные виртуальной машины в концентратор событий, необходимо сначала установить расширение Diagnosti c на виртуальной машине, а затем настроить Sink
It. Кажется, только Diagnosti c Extension может отправлять данные в концентратор событий, а не в агент зависимостей или агент аналитики журналов согласно URI ниже
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/agents-overview
Кроме того, невозможно сконфигурировать Event Hub в качестве SINK с использованием портала, а упомянутый Microsoft способ для настройки Event Hub Sink для отправки этой Диагностики c Данные расширения довольно запутанный и не очень понятный согласно приведенному ниже URI
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/stream-monitoring-data-event-hubs
Так что я хотел бы знать:
1) Если Центр безопасности использует рабочую область Log Analytics в качестве хранилища данных, а агент Log Analytics или MMA (агент управления Microsoft) отвечают за отправку данных Azure Platform и Azure VM в рабочую область Log Analytics, поэтому мне нужно настроить отдельно это расширение Azure Diagnosti c и отправка данных в концентратор событий, а затем в Splunk или подключение Splunk к центру безопасности и сбор данных из центра безопасности, включая все, как журналы платформы, так и журналы и метрики Azure VM, как упомянуто выше
2) Являются ли MMA (агент управления Microsoft) и агент мониторинга Microsoft одинаковыми? В документации агента Log Analytics ниже указано, что Microsoft Management Agent
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/agents-overview#log -analytics-agent
Когда я пытаюсь проверить расширения в конкретной виртуальной машине, он показывает агент мониторинга Microsoft как прикрепленный на скриншоте, поэтому я немного запутался, почему Middle M отличается в обоих местах
агент Microsoft MMA