Microsoft Azure 이벤트 허브 프로토콜 FAQ

이벤트 허브에 연결하려면 스토리지 계정이 필요한 이유는 무엇입니까?

이벤트 허브의 임대 및 파티션을 관리하려면 Microsoft Azure Event Hubs 프로토콜에 대한 스토리지 계정이 있어야 합니다. 자세한 정보는 이벤트 프로세서 호스트 문서 (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host) 를 참조하십시오.

Microsoft Azure 이벤트 허브 프로토콜이 스토리지 계정을 사용하는 이유는 무엇입니까?

Microsoft Azure Event Hubs 프로토콜은 스토리지 계정을 사용하여 파티션 소유권을 추적합니다. 이 프로토콜은 <Event Hub Name> → <Consumer group Name> 디렉토리의 Azure 스토리지 계정에 BLOB 파일을 작성합니다. 각 BLOB 파일은 이벤트 허브에서 관리되는 번호가 매겨진 파티션과 관련되어 있습니다. 자세한 정보는 이벤트 프로세서 호스트 문서 (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host) 를 참조하십시오.

스토리지 계정에 얼마나 많은 데이터를 저장해야 합니까?

스토리지 계정에 저장되어야 하는 데이터의 양은 파티션 수에 ~150바이트를 곱한 값입니다.

내 스토리지 계정에 이벤트가 포함되어야 합니까?

아니오. 로그를 스토리지에 저장하는 것은 Microsoft에서 제공하는 옵션입니다. 그러나 이 프로토콜에서는 이 옵션이 사용되지 않습니다.

Microsoft Azure Event Hubs 프로토콜에 의해 작성되는 Blob 파일은 어떻게 표시됩니까?

{"offset":"@latest","sequenceNumber":0,"partitionId":"3","epoch":8,"owner":"","token":""}”

다른 이벤트 허브와 동일한 스토리지 계정을 사용할 수 있습니까?

스토리지 계정에 데이터를 저장할 수 있는 이벤트 허브의 수에는 제한이 없습니다. 동일한 QRadar 환경의 모든 로그 소스에 대해 동일한 스토리지 계정을 사용할 수 있습니다. 그러면 모든 이벤트 허브 파티션 관리 폴더 및 파일에 대한 단일 위치가 작성됩니다.

프로토콜이 이벤트를 수집하지 않으면 어떻게 해야 합니까?

서로 다른 포트가 있는 두 개의 다른 IP에 대한 포트를 열어야 하는 이유는 무엇입니까?

Microsoft Azure 이벤트 허브 프로토콜이 이벤트 허브 호스트와 스토리지 계정 호스트 간에 통신하므로 서로 다른 포트를 열려면 두 개의 서로 다른 IP가 필요합니다.

이벤트 허브 연결은 포트 5671 및 5672로 고급 메시지 큐 프로토콜(AMQP)을 사용합니다. 스토리지 계정은 포트 443으로 HTTPS를 사용합니다. 스토리지 계정 및 이벤트 허브의 IP는 서로 다르기 때문에 두 개의 다른 포트를 열어야 합니다.

Microsoft Event Hubs 프로토콜을 사용하여 < Service/Product> 이벤트를 수집할 수 있습니까?

Microsoft Event Hubs 프로토콜은 이벤트 허브로 전송되는 모든 이벤트를 수집하지만 모든 이벤트가 지원되는 DSM에 의해 구문 분석되지는 않습니다. 지원되는 DSM 목록은 QRadar® 지원 DSM에서 확인할 수 있습니다.

Azure Linux 이벤트를 Syslog로 형식화 옵션이 수행하는 작업은 무엇입니까?

이 옵션은 메타데이터가 있는 JSON 형식으로 랩핑된 Azure Linux® 이벤트를 가져와서 표준 syslog 형식으로 변환합니다. 페이로드의 메타데이터가 필요한 특별한 이유가 없으면 이 옵션을 사용으로 설정하십시오. 이 옵션을 사용 안함으로 설정하면 페이로드가 Linux DSM을 사용하여 구문 분석되지 않습니다.