Microsoft允许使用 Azure 事件中心将 Azure AD DS事件日志流式传输到外部审核和监视工具。在配置流式处理之前,需要创建事件中心命名空间和事件中心。
创建事件中心命名空间
若要创建事件中心命名空间,请执行以下操作:
- 使用 Microsoft 帐户登录到 Azure 门户。
- 使用顶部菜单上的搜索栏搜索事件中心。
- 选择“事件中心”,单击工具栏上的“+ 创建”,转到“创建命名空间”页。
- 选择要在其中创建命名空间的订阅。
- 从下拉列表中选择现有资源组,或单击“新建”,然后输入新资源组的名称。
- 指定命名空间名称,然后为命名空间选择位置。
注意:事件中心命名空间的资源组和位置应与 Azure AD DS 域的资源组和位置相同。
- 根据你的要求选择定价层。
- 保持“吞吐量单位”(对于标准层)或“处理单位(对于高级层)”设置不变。
- 单击“查看 + 创建”。
- 查看设置,选择“创建”,然后等待部署完成。
- 在部署页上选择“转到资源”,导航到刚刚创建的事件中心命名空间。
创建事件中心
若要在命名空间中创建事件中心,请执行以下操作:
- 从“事件中心命名空间”页的左侧菜单中选择“事件中心”。
- 从工具栏中选择“+ 事件中心”,转到“创建事件中心”页。
- 输入事件中心的“名称”,并根据层和要求设置“分区计数”和“消息保留”的值。
- 如果需要,请从“捕获”选项卡中启用“捕获详细信息”。
- 单击“查看 + 创建”。
- 查看设置,选择“创建”并等待部署完成。完成后,你将在事件中心命名空间中找到事件中心实例。
- 单击创建的事件中心,选择左侧菜单中的“共享访问策略”,然后单击工具栏中的“+添加”。
- 在“添加 SAS 策略”面板中,输入合适的策略名称,选中“侦听”,然后单击“创建”。
- 选择刚创建的策略,并将“连接字符串 - 主键”复制到剪贴板。在ADAudit Plus中添加Azure AD DS域时,将需要此密钥。
配置 Azure AD DS 以将事件流式传输到 EventHub
- 在 Azure 门户中,转到“Azure AD 域服务”,然后选择你的域。
- 单击左侧菜单中“监视”下的“诊断设置”。
- 单击“+ 添加诊断设置”,进入“诊断设置”页面,为设置指定合适的名称。
- 选中审核以选择“日志”下的所有类别。
- 选中“目标详细信息”下的“流式传输到事件中心”,并验证有关订阅、事件中心命名空间和事件中心名称的信息。
- 确保从“事件中心策略名称”下拉列表中选择“RootManageSharedAccessKey”。
- 单击工具栏上的“保存”。
