注入 Azure 活动日志

概览

本文档介绍了将 Azure 活动日志注入到 Chronicle 中所需的步骤。

配置存储帐号

完成以下步骤以配置存储帐号:

  1. 在 Azure 控制台中,搜索存储帐号
  2. 点击创建
  3. 选择帐号所需的订阅、资源组、区域、性能(建议使用“标准”)和冗余(建议使用 GRS 或 LRS),输入新存储帐号的名称。
  4. 点击审核 + 创建,查看帐号概览,然后点击创建
  5. 存储帐号概览页面上,从窗口左侧导航栏中选择访问密钥
  6. 点击显示密钥,然后记下存储帐号的共享密钥。
  7. 从窗口的左侧导航栏中选择端点
  8. 记下 Blob 服务端点。(https://<storageaccountname>.blob.core.windows.net/)

配置 Azure 活动日志记录

完成以下步骤以配置 Azure 活动日志记录:

  1. 在 Azure 控制台中,搜索监控
  2. 点击页面左侧导航中的活动日志链接。
  3. 点击窗口顶部的导出活动日志
  4. 点击添加诊断设置
  5. 选择要导出到 Chronicle 的所有类别。
  6. 目标位置详细信息下,选择归档到存储帐号
  7. 选择您在上一步中创建的订阅和存储帐号。
  8. 点击保存

在 Chronicle 中配置 Feed 以提取 Azure 日志

完成以下步骤,在 Chronicle 中配置 Feed 以提取 Azure 日志:

  1. 转到 Chronicle 设置,然后点击 Feed
  2. 点击新增
  3. 选择 Microsoft Azure Blob 存储作为来源类型
  4. 对于日志类型,选择 Microsoft Azure 活动
  5. 点击下一步
  6. Azure URI 下,输入您之前记录的 Blob Service 端点值,后缀为 insights-activity-log(例如 https://acme-azure-chronicle.blob.core.windows.net/insights-activity-log)
  7. URI 来源类型下,选择目录(包括子目录)
  8. 共享密钥下,输入您之前捕获的共享密钥值。
  9. 点击下一步,然后点击完成