Preguntas más frecuentes (FAQ) del protocolo Microsoft Azure Event Hubs

Utilice estas preguntas y respuestas frecuentes para ayudarle a comprender el protocolo de concentradores de sucesos de Microsoft Azure .

¿Por qué necesito una cuenta de almacenamiento para conectarse a un concentrador de sucesos?

Debe tener una cuenta de almacenamiento para el protocolo de concentradores de sucesos de Microsoft Azure para gestionar el arrendamiento y las particiones de un concentrador de sucesos. Para obtener más información, consulte la documentación del host del procesador de sucesos (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host).

¿Por qué el protocolo Event Hubs de Microsoft Azure utiliza la cuenta de almacenamiento?

El protocolo de concentradores de sucesos de Microsoft Azure utiliza la cuenta de almacenamiento para realizar un seguimiento de la propiedad de la partición. Este protocolo crea archivos blob en la cuenta de almacenamiento de Azure en el directorio <Event Hub Name> → <Consumer group Name> . Cada archivo blob está relacionado con una partición numerada gestionada por el concentrador de sucesos. Para obtener más información, consulte la documentación del host del procesador de sucesos (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host).

¿Cuántos datos necesita almacenar la cuenta de almacenamiento?

La cantidad de datos que se deben almacenar en una cuenta de almacenamiento es el número de particiones que se multiplican por ~ 150 bytes.

¿Mi cuenta de almacenamiento necesita contener sucesos?

Núm. El almacenamiento de los registros en el almacenamiento es una opción que proporciona Microsoft. Sin embargo, el protocolo no utiliza esta opción.

¿Qué aspecto tiene un archivo blob creado por el protocolo Event Hubs de Microsoft Azure ?

El ejemplo siguiente muestra lo que se almacena en un archivo blob creado por el protocolo:
{"offset":"@latest","sequenceNumber":0,"partitionId":"3","epoch":8,"owner":"","token":""}”

¿Puedo utilizar la misma cuenta de almacenamiento con otros concentradores de sucesos?

No hay restricciones sobre cuántos concentradores de sucesos pueden almacenar datos en una cuenta de almacenamiento. Puede utilizar la misma cuenta de almacenamiento para todos los orígenes de registro en el mismo entorno de QRadar . Esto crea una única ubicación para todos los archivos y carpetas de gestión de particiones del concentrador de sucesos.

¿Qué hago si el protocolo no está recopilando eventos?

Si el protocolo parece estar funcionando y las herramientas de prueba de protocolo pasan todas las pruebas, y no ve eventos, siga estos pasos para confirmar si los eventos se publican.
  1. Confirme que hay sucesos para que los recopile el concentrador de sucesos. Si la configuración del lado de Azure no es correcta, es posible que el concentrador de sucesos no recopile los sucesos.
  2. Si Utilizar como origen de registro de pasarela está habilitado, realice una búsqueda de carga útil de sucesos que recopila el origen de registro del concentrador de sucesos. Si no está seguro de cómo deben ser los eventos, vaya al paso 4.
  3. Si la opción Utilizar como origen de registro de pasarela está habilitada y el protocolo no está recopilando sucesos, pruebe el mismo origen de registro con la pasarela inhabilitada. Al establecer Utilizar como origen de registro de pasarela en inhabilitado, todos los sucesos recopilados se ven obligados a utilizar el origen de registro que está conectado al protocolo. Si los sucesos llegan cuando Utilizar como origen de registro de pasarela está inhabilitado, pero los sucesos no llegan cuando Utilizar como origen de registro de pasarela está habilitado, puede haber un problema con las opciones de identificador de origen de registro o el análisis de tráfico no puede hacer coincidir automáticamente los sucesos con un DSM.
  4. Si ha identificado en el Paso 2 o Paso 3 que los sucesos no entran bajo el origen de registro esperado, es posible que haya un problema con los orígenes de registro del concentrador de sucesos logsourceidentifierpattern. Para los problemas relacionados con el patrón de identificador de origen de registro del concentrador de sucesos, es posible que tenga que ponerse en contacto con el soporte.

¿Por qué tengo que abrir los puertos para dos IP diferentes que tienen puertos diferentes?

Necesita dos IP diferentes para tener puertos diferentes abiertos porque el protocolo de concentrador de sucesos de Microsoft Azure se comunica entre el host de concentrador de sucesos y el host de cuenta de almacenamiento.

La conexión de concentrador de sucesos utiliza el protocolo AMQP (Advanced Message Queuing Protocol) con los puertos 5671 y 5672. La cuenta de almacenamiento utiliza HTTPS con puertos 443. Puesto que la cuenta de almacenamiento y el concentrador de sucesos tienen IP diferentes, debe abrir dos puertos diferentes.

¿Puedo recopilar sucesos de < Service/Product> utilizando el protocolo Microsoft Event Hubs?

El protocolo de Microsoft Event Hubs recopila todos los sucesos que se envían al concentrador de sucesos, pero no todos los sucesos son analizados por un DSM soportado. Para obtener una lista de los DSM compatibles, consulte QRadar®.

¿Qué hace la opción Format Azure Linux Events To Syslog ?

Esta opción toma el suceso Azure Linux® , que se envuelve en un formato JSON con metadatos, y lo convierte a un formato syslog estándar. A menos que exista una razón específica por la que los metadatos de la carga útil sean necesarios, habilite esta opción. Cuando esta opción está inhabilitada, las cargas útiles no analizan con los DSM de Linux .

(Volver arriba)