Protokół Microsoft Azure Event Hubs-często zadawane pytania
Te często zadawane pytania i odpowiedzi pomagają zrozumieć protokół Microsoft Azure Event Hubs.
- Dlaczego potrzebne jest konto pamięci masowej, aby połączyć się z serwerem koncentrującym zdarzeń?
- Dlaczego protokół Microsoft Azure Event Hubs jest używany do korzystania z konta pamięci masowej?
- Ile danych ma być przechowywane przez konto pamięci masowej?
- Czy moje konto pamięci masowej musi zawierać zdarzenia?
- Co wygląda jak plik blob utworzony przez protokół Microsoft Azure Event Hubs?
- Czy można korzystać z tego samego konta pamięci masowej z innymi koncenttami zdarzeń?
- Co zrobić, jeśli protokół nie gromadzi zdarzeń?
- Dlaczego konieczne jest otwarcie portów dla dwóch różnych adresów IP, które mają różne porty?
- Czy można gromadzić zdarzenia < Service/Product> przy użyciu protokołu Microsoft Event Hubs?
- Co ma zrobić opcja Format Azure Linux Events To Syslog?
Dlaczego potrzebne jest konto pamięci masowej, aby połączyć się z koncentratem zdarzeń?
Aby zarządzać dzierżawą i partycjami koncentratora zdarzeń, należy mieć konto pamięci masowej dla protokołu Microsoft Azure Event Hubs. Więcej informacji na ten temat zawiera sekcja Dokumentacja hosta procesora zdarzeń (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host).
Dlaczego protokół Microsoft Azure Event Hubs korzysta z konta pamięci masowej?
Protokół Microsoft Azure Event Hubs korzysta z konta pamięci masowej do śledzenia własności partycji. Ten protokół tworzy pliki blob na koncie pamięci masowej Azure w katalogu <Event Hub Name> → <Consumer group Name> . Każdy plik blob odnosi się do partycji numerowanej, która jest zarządzana przez koncentrator zdarzeń. Więcej informacji na ten temat zawiera sekcja Dokumentacja hosta procesora zdarzeń (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-event-processor-host).
Ile danych ma być przechowywane przez konto pamięci masowej?
Ilość danych, które należy zapisać na koncie pamięci masowej, jest równa liczbie partycji pomnożonej przez ~ 150 bajtów.
Czy moje konto pamięci masowej musi zawierać zdarzenia?
Nie. Przechowywanie dzienników w pamięci masowej jest opcją udostępnianej przez firmę Microsoft. Ta opcja nie jest jednak używana przez protokół.
Jak wygląda plik blob utworzony za pomocą protokołu zdarzeń Microsoft Azure Event Hubs?
{"offset":"@latest","sequenceNumber":0,"partitionId":"3","epoch":8,"owner":"","token":""}”Czy można używać tego samego konta pamięci masowej z innymi koncenttami zdarzeń?
Nie istnieją żadne ograniczenia dotyczące liczby serwerów koncentrujących zdarzeń, które mogą przechowywać dane na koncie pamięci masowej. Tego samego konta pamięci masowej można użyć dla wszystkich źródeł dziennika w tym samym środowisku QRadar® . Spowoduje to utworzenie jednej lokalizacji dla wszystkich folderów i plików zarządzania partycjami koncentratora zdarzeń.
Co zrobić, jeśli protokół nie zbiera zdarzeń?
- Sprawdź, czy istnieją zdarzenia dla koncentratora zdarzeń, które ma być gromadzone. Jeśli konfiguracja po stronie Azure nie jest poprawna, koncentrator zdarzeń może nie gromadzić zdarzeń.
- Jeśli opcja Użyj jako źródła dziennika bramy jest włączona, należy wykonać wyszukiwanie ładunku dla zdarzeń, które są gromadzone przez źródło dziennika produktu Event Hub. Jeśli nie masz pewności co do tego, jak wyglądają zdarzenia, przejdź do kroku 4.
- Jeśli opcja Użyj jako źródła dziennika bramy jest włączona, a protokół nie gromadzi zdarzeń, przetestuj to samo źródło dziennika z wyłączoną bramą. Ustawienie opcji Użyj jako źródła dziennika bramy na wyłączenie powoduje, że wszystkie zebrane zdarzenia są zmuszane do korzystania ze źródła dziennika połączonego z protokołem. Jeśli zdarzenia są przylatujące, gdy opcja Użyj jako źródła dziennika bramy jest wyłączona, ale zdarzenia nie docierają, gdy opcja Użyj jako źródła dziennika bramy jest włączona, może to być problem z opcjami identyfikatora źródła dziennika lub analiza ruchu nie może automatycznie dopasować zdarzeń do DSM.
- Jeśli w kroku 2 lub kroku 3 zidentyfikowano, że zdarzenia nie będą znajdować się w oczekiwanym źródle dziennika, może wystąpić problem ze źródłami dzienników koncentratora zdarzeń logsourceidentifierpattern. W przypadku problemów związanych z wzorcem identyfikatora źródła dziennika koncentratora zdarzeń może być konieczne skontaktowanie się z działem wsparcia.
Dlaczego muszę otworzyć porty dla dwóch różnych adresów IP, które mają różne porty?
Dla dwóch różnych adresów IP należy otworzyć różne porty, ponieważ protokół Microsoft Azure Event Hub komunikuje się między hostem serwera koncentrującego zdarzenia i hostem konta pamięci masowej.
Połączenie koncentratora zdarzeń korzysta z protokołu Advanced Message Queuing Protocol (AMQP) z portami 5671 i 5672. Konto pamięci masowej używa protokołu HTTPS z portami 443. Ponieważ konto pamięci masowej i koncentrator zdarzeń mają różne adresy IP, należy otworzyć dwa różne porty.
Czy można gromadzić zdarzenia < Service/Product> przy użyciu protokołu Microsoft Event Hubs?
Protokół Microsoft Event Hubs gromadzi wszystkie zdarzenia, które są wysyłane do koncentratora zdarzeń, ale nie wszystkie zdarzenia są analizowane przez obsługiwane DSM. Listę obsługiwanych wersji DSM można znaleźć w sekcji QRadar supported DSMs.
Co zrobić z opcją Format Azure Linux Events To Syslog ?
Ta opcja przyjmuje zdarzenie Azure Linux® , które jest opakowane w format JSON z metadanymi, i przekształca je w standardowy format dziennika syslog. Tę opcję należy włączyć, chyba że istnieje konkretny powód, dla którego metadane dotyczące ładunku są wymagane. Jeśli ta opcja jest wyłączona, ładunki nie są analizowane przy użyciu DSM systemu Linux .