View a markdown version of this page

配置Azure Monitor为 AppFabric - AWS AppFabric
AppFabric 支持 Azure Monitor正在 AppFabric 连接您的Azure Monitor账户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置Azure Monitor为 AppFabric

Azure Monitor是一款全面的监控解决方案,用于收集、分析和响应来自云端和本地环境的监控数据。您可以使用Azure Monitor来最大限度地提高应用程序和服务的可用性和性能。它可以帮助您了解应用程序的性能,并允许您手动和以编程方式响应系统事件。

Azure Monitor跨多个 Azure 和非 Azure 订阅和租户收集和聚合来自系统每个层和组件的数据。它将其存储在通用数据平台中,供一组常用工具使用,这些工具可以关联、分析、可视化和 and/or 响应数据。你也可以集成其他微软和非微软工具。Azure Monitor活动日志是一种平台日志,可提供对订阅级别事件的见解。活动日志包含诸如资源何时修改或虚拟机何时启动之类的信息。

AWS AppFabric 出于安全考虑,您可以使用来审核来自的日志和用户数据Azure Monitor,将数据标准化为开放网络安全架构框架 (OCSF) 格式,并将数据输出到亚马逊简单存储服务 (Amazon S3) 存储桶或亚马逊数据 Firehose 流。

AppFabric 支持 Azure Monitor

AppFabric 能够从以下Azure Monitor服务接收用户信息和审核日志:

  • Azure Monitor

  • API Management

  • Microsoft Sentinel

  • Security Center

先决条件

AppFabric 要使用将审核日志从支持的目标传输Azure Monitor到支持的目的地,您必须满足以下要求:

  • 您需要拥有一个可以免费试用或 pay-as-you-go订阅的Microsoft Azure帐户。

  • 至少需要一次订阅才能获取该订阅中的事件。

速率限制注意事项

Azure Monitor对提出请求的安全主体(用户或应用程序)以及订阅 ID 或租户 ID 施加速率限制。有关 Azure Monitor API 速率限制的更多信息,请参阅Azure Monitor开发者网站上的 “了解Azure Resource Manager如何限制请求”。

数据延迟注意事项

审计事件发送到目标位置的时间可能会延迟多达 30 分钟。这是应用程序提供的审核事件延迟或为减少数据丢失而采取的预防措施所致。不过,这可以在账户级别进行自定义。如需帮助,请联系 支持

正在 AppFabric 连接您的Azure Monitor账户

在 AppFabric 服务中创建应用程序包后,必须 AppFabric使用进行授权Azure Monitor。要查找授权所需的信息 Azure Monitor AppFabric,请使用以下步骤。

创建 OAuth 应用程序

AppFabric 与Azure Monitor使用集成 OAuth2。要在中创建 OAuth2 应用程序,请完成以下步骤Azure Monitor:

  1. 导航到Microsoft Azure门户网站并登录。

  2. 导航到 Microsoft EntraID

  3. 选择 “应用程序注册”。

  4. 选择 “新注册”。

  5. 输入客户机的名称,例如Azure Monitor OAuth客户端。这将是已注册应用程序的名称。

  6. 验证 “支持的账户类型” 是否设置为 “单租户”。

  7. 对于重定向 URI,选择 Web 作为平台并添加重定向 URI。使用以下格式作为重定向 URI:

    https://<region>.console.aws.amazon.com/appfabric/oauth2

    该地址中<region>是您在其中配置 AppFabric 应用程序包的代码。 AWS 区域 例如,美国东部(弗吉尼亚州北部)区域的代码为 us-east-1。对于该区域,重定向 URL 为 https://us-east-1.console.aws.amazon.com/appfabric/oauth2

    成功对用户进行身份验证后,身份验证响应将发送到提供的 URI。现在提供此值是可选的,以后可以更改,但是大多数身份验证方案都需要一个值。

  8. 选择注册

  9. 在已注册的应用程序中,选择 “证书和机密”,然后选择 “新建客户机密”。

  10. 为密钥添加描述。

  11. 选择密钥到期时间。您可以从下拉列表中选择任何预设持续时间或设置自定义持续时间。

  12. 选择添加。客户端密钥值只能在创建后立即查看。离开页面之前,请务必将密钥保存在安全的地方。

所需的权限

您必须向 OAuth 应用程序添加以下权限。要添加权限,请按照《Microsoft Entra开发者指南》的 “添加访问您的 Web API 的权限” 部分中的说明进行操作。

  • Microsoft Graph用户访问 API > User.Read.All(选择委托类型)

  • Microsoft Graph用户访问 API > offline_access(选择委托类型)

  • Azure服务管理审计日志 API > user_impersonation(选择委托类型)

添加权限后,要授予管理员对这些权限的同意,请按照《Microsoft Entra开发者指南》的 “管理员同意” 按钮部分中的说明进行操作。

应用程序授权

AppFabric 支持从您的Azure Monitor账户接收用户信息和审核日志。要同时接收来自的审核日志和用户数据Azure Monitor,您必须创建两个应用程序授权,一个在应用程序授权下拉列表Azure Monitor中命名,另一个在应用程序授权下拉列表中命名为 Azure Monitor Audit L ogs。您可以为两个应用程序授权使用相同的租户 ID、客户端 ID 和客户端密钥。要接收来自的审核日志,Azure Monitor您需要同时获得审核日志应用程序Azure Monitor和 Audi Azure Monitort Logs 应用程序的授权。要单独使用用户访问工具,只需要Azure Monitor应用程序授权。

租户编号

AppFabric 将请求您的租户 ID。完成以下步骤,在 Azure 监视器中查找你的客户端 ID:

  1. 导航到门Microsoft Azure户

  2. 导航到 Azure 活动目录

  3. 在 “应用程序注册” 部分,选择之前创建的应用程序。

  4. 在 “概述” 部分,从 “目录(租户)ID” 字段中复制租户 ID

租户名称

输入标识此唯一Azure Monitor订阅的名称。 AppFabric 使用租户名称来标记应用程序授权和通过应用程序授权创建的任何摄取。

注意

租户名称最多应为 2,048 个字符,由数字、 lower/upper 大小写字母和以下特殊字符组成:句点 (.)、下划线 (_)、破折号 (-) 和空格。

客户端 ID

AppFabric 将请求客户端 ID。完成以下步骤以在中查找您的客户端 IDAzure Monitor:

  1. 导航到门Microsoft Azure户

  2. 导航到 Azure 活动目录

  3. 在 “应用程序注册” 部分,选择之前创建的应用程序。

  4. 在 “概述” 部分,从 “应用程序(客户端)ID” 字段中复制客户端 ID

客户端密钥

AppFabric 将请求客户机密钥。注册 OAuth 应用程序的客户端密钥是您在 OAuth 应用程序创建部分的步骤 11 中生成的密钥。如果您放错了在应用程序创建期间生成的客户端密钥,请重复 OAuth OAuth 应用程序创建部分中的步骤 8-11 以重新生成一个新的密钥。

App 授权

在中创建应用程序授权后 AppFabric,您将收到一个Microsoft Azure用于批准授权的弹出窗口。从窗口登录您的帐户,然后选择 “允许” 以批准 AppFabric 授权。