微软允许您通过 Azure 事件中心将 Azure AD DS 事件日志流式传输到外部审计和监控工具。在您配置流式传输之前,您需要创建一个事件中心命名空间和一个事件中心。
创建事件中心命名空间
创建事件中心命名空间:
- 使用您的 Microsoft 账户登录 Azure 门户。
- 在顶部菜单的搜索栏中搜索 事件中心。
- 选择 事件中心 并点击工具栏上的 + 创建 进入 创建命名空间 页面。
- 选择您想要创建命名空间的 订阅。
- 从下拉列表中选择一个现有的 资源组,或点击 创建新资源组 并输入新资源组的名称。
- 指定 命名空间名称 并选择命名空间的 位置。
注意:事件中心命名空间的资源组和位置应与 Azure AD DS 域相同。
- 根据您的需求选择一个 定价层。
- 保持 吞吐量单位(针对标准层)或 处理单位(针对高级层)设置不变。
- 点击 审核 + 创建。
- 审核设置,选择 创建,并等待部署完成。
- 在部署页面上选择 转到资源 以导航到您刚刚创建的 事件中心命名空间。
创建事件中心
在命名空间内创建事件中心:
- 在事件中心命名空间页面的左侧菜单中选择 事件中心。
- 从工具栏选择 + 事件中心 进入 创建事件中心 页面。
- 为您的事件中心输入一个 名称,并根据您的层和需求设置 分区数量 和 消息保留 的值。
- 如有必要,从 捕获 标签中启用 捕获详细信息。
- 点击 审核 + 创建。
- 审核设置,选择 创建 并等待部署完成。完成后,您将在事件中心命名空间中找到您的 事件中心实例。
- 点击您创建的事件中心,在左侧菜单中选择 共享访问策略,然后从工具栏点击 + 添加。
- 在 添加 SAS 策略 面板中,输入合适的 策略名称,勾选 监听 并点击 创建。
- 选择您刚刚创建的策略,将 连接字符串–主密钥 复制到剪贴板。添加 Azure AD DS 域到 ADAudit Plus 时需要此密钥。
配置 Azure AD DS 以将事件流式传输到 EventHub
- 在 Azure 门户,转到 Azure AD 域服务 并选择您的域。
- 在左侧菜单中点击 诊断设置 下的 监控。
- 点击
+ 添加诊断设置以进入诊断设置页面,并为该设置指定一个合适的名称。
- 选中审计以选择日志下的所有类别。
- 在目标详情中勾选流式传输到事件中心,并验证您的订阅、事件中心命名空间和事件中心名称的信息。
- 确保从事件中心策略名称下拉菜单中选择RootManageSharedAccessKey。
- 单击工具栏上的保存。
