¶ Introdução
Este documento tem como objetivo fornecer um guia detalhado para a instalação, configuração e coleta de logs do Azure via Event Hub, além de orientar sobre o envio desses logs para um SIEM.
¶ Configuração
-
Entre no portal do Azure https://portal.azure.com/.
-
Na navegação à esquerda, selecione Grupos de recursos e, em seguida, selecione Criar.
- Para Assinatura, selecione o nome da assinatura do Azure na qual você deseja criar o
grupo de recursos. - Digite um nome exclusivo para o grupo de recursos. O sistema verifica imediatamente
se o nome está disponível na assinatura do Azure selecionada no momento. - Selecione uma região para o grupo de recursos.
- Selecione Revisar + Criar.
- Na página Revisar + Criar, selecione Criar.
- No portal do Azure, selecione Todos os Serviços no menu a esquerda e selecione estrela
(*) ao lado de Hubs de Eventos na categoria Analytics. Confirme se Hubs de Eventos
foi adicionado a FAVORITOS no menu de navegação esquerdo.
- Selecione Hubs de Eventos em FAVORITOS no menu de navegação à esquerda e
selecione Criar na barra de ferramentas.
- Na página Criar namespace, siga as etapas:
a. Selecione a assinatura na qual você deseja criar o namespace;
b. Selecione o grupo de recursos que você criou na etapa anterior;
c. Insira um nome para o namespace. O sistema verifica imediatamente se o nome está
disponível;
d. Selecione um local para o namespace;
e. Selecione Básico para o nível de preço. Se planeja usar o namespace de aplicativos Apache
Kafka, use o nível Padrão. O nível básico não oferece suporte a cargas de trabalho do
Apache Kafka. Para saber mais sobre as diferenças entre os níveis, consulte os artigos Cotas
e limites , Hubs de eventos Premium e Hubs de eventos dedicados ;
f. Deixe as configurações de unidades de throughput (para nível padrão) ou unidades de
processamento (para nível premium) como estão. Para saber mais sobre unidades de
throughput ou unidades de processamento: Escalabilidade do Event Hubs .
g. Selecione Revisar + Criar na parte inferior da página.
h. Na página Review + Create, revise as configurações e selecione Create. Aguarde a
conclusão da implantação.
- Na página Implantação, selecione Ir para recurso para navegar até a página do seu
namespace.
- Confirme se você vê a página Namespace do Event Hubs semelhante ao exemplo a
seguir:
- Entre no centro de administração do Microsoft Entra como pelo menos um
Administrador de Segurança. - Navegue até Identidade > Monitoramento e saúde > Configurações de diagnóstico.
Você também pode selecionar Exportar configurações na página Logs de auditoria ou
Logins.15. Selecione + Adicionar configuração de diagnóstico para criar uma nova integração ou
selecione Editar configuração para uma integração existente. - Insira um nome de configuração de diagnóstico. Se estiver editando uma integração
existente, não será possível alterar o nome. - Selecione as categorias de log que você deseja transmitir.
- Marque a caixa de seleção: Transmitir para um hub de eventos.
- Selecione a assinatura do Azure e o namespace dos Hubs de Eventos. O nome do hub
de eventos deixe a opção padrão para ser criado automaticamente.
- Os Hubs de eventos aparecerão na lista.
- Entre no portal do Azure https://portal.azure.com/.
- Selecione Todos os serviços no menu de navegação à esquerda.
- Selecione Hubs de eventos na seção Análise.
- Na lista de hubs de eventos, selecione seu hub de eventos.
- Na página Namespace dos Event Hubs, selecione Políticas de acesso compartilhado no
menu à esquerda. - Selecione uma política de acesso compartilhado na lista de políticas. A padrão é
chamada: RootManageSharedAccessPolicy. Você pode adicionar uma política com
permissões apropriadas (enviar, ouvir) e usar essa política.
- Selecione o botão copiar ao lado do campo Chave primária da string de conexão.
Para criar um contêiner no portal do Azure, siga estas etapas:
Todo o acesso ao Azure Storage ocorre por meio de uma conta de armazenamento. Para
este início rápido, crie uma conta de armazenamento usando o portal do Azure https://portal.azure.com/, o Azure
PowerShell ou o Azure CLI. Para obter ajuda na criação de uma conta de armazenamento,
consulte Criar uma conta de armazenamento https://learn.microsoft.com/en-us/azure/storage/common/storage-account-create.
28. Navegue até sua nova conta de armazenamento no portal do Azure.
29. No menu esquerdo da conta de armazenamento, role até a seção Armazenamento de
dados e selecione Contêineres.
30. Selecione o botão + Contêiner.
31. Digite um nome para seu novo contêiner. O nome do contêiner deve estar em letras
minúsculas, deve começar com uma letra ou número e pode incluir apenas letras,
números e o caractere de traço (-). Para obter mais informações sobre nomes de
contêineres e blobs, consulte Nomeando e referenciando contêineres, blobs e
metadados https://learn.microsoft.com/en-us/rest/api/storageservices/naming-and-referencing-containers--blobs--and-metadata.
32. Defina o nível de acesso anônimo ao contêiner. O nível padrão é Private (no anonymous
access).
33. Selecione Criar para criar o contêiner.
- Assim como no hub de eventos copie a chave de conexão na opção settings.
Referências:
https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-create
https://learn.microsoft.com/en-us/entra/identity/monitoring-health/howto-stream-logs-to-
event-hub?tabs=splunk
https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-get-connection-string
https://learn.microsoft.com/en-us/azure/storage/blobs/storage-quickstart-blobs-portal