الاستعداد لتغيير التنسيق إلى سجلات النظام الأساسي للمراقبة من Azure المؤرشفة إلى حساب تخزين
تحذير
إذا كنت ترسل سجلات موارد Azure أو قياسات إلى حساب تخزين باستخدام إعدادات تشخيصية أو سجلات النشاط إلى حساب تخزين باستخدام ملفات تعريف السجل، فإن تنسيق البيانات في حساب التخزين تم تغييره إلى أسطر JSON في 1 نوفمبر 2018. تصف الإرشادات أدناه التأثير وكيفية تحديث أدواتك للتعامل مع التنسيق الجديد.
ما الذي تغير
توفر المراقبة من Azure إمكانية تمكنك من إرسال سجلات الموارد وسجلات الأنشطة إلى حساب تخزين Azure أو مساحة اسم مراكز الأحداث أو إلى مساحة عمل تحليلات السجل في المراقبة من Azure. لمعالجة مشكلة في أداء النظام، في 1 نوفمبر 2018 في الساعة 12:00 من منتصف الليل بتوقيت غرينيتش تغير تنسيق بيانات السجل التي يتم إرسالها إلى تخزين الفقاعة. إذا كان لديك الأدوات التي تقرأ البيانات من تخزين الفقاعة، تحتاج إلى تحديث أدواتك لفهم تنسيق البيانات الجديدة.
- في يوم الخميس، 1 نوفمبر 2018 في الساعة 12:00 من منتصف الليل بتوقيت غرينيتش، تغير تنسيق الفقاعة ليكون أسطر JSON. وهذا يعني أن كل سجل سيتم تحديده بواسطة خط جديد، مع عدم وجود صفيف سجلات خارجية ولا توجد فواصل بين سجلات JSON.
- تم تغيير تنسيق الفقاعة لكل الإعدادات التشخيصية عبر كل الاشتراكات في وقت واحد. استخدم الملف PT1H.json الأول المرسل في 1 نوفمبر هذا التنسيق الجديد. تظل أسماء الفقاعة والحاويات كما هي.
- إعداد الإعداد التشخيصي بين قبل 1 نوفمبر في إرسال البيانات بالتنسيق الحالي حتى 1 نوفمبر.
- حدث هذا التغيير في آن واحد عبر جميع مناطق السحابة العامة. لن يحدث التغيير في Microsoft Azure التي تشغلها 21Vianet أو Azure ألمانيا أو سحابات حكومة Azure حتى الآن.
- يؤثر هذا التغيير على أنواع البيانات التالية:
- لا يؤثر هذا التغيير على:
- سجلات تدفق الشبكة
- سجلات خدمة Azure لم يتم توفيرها من خلال المراقبة من Azure بعد (على سبيل المثال، سجلات موارد خدمة تطبيق Azure وسجلات تحليلات التخزين)
- توجيه سجلات موارد Azure وسجلات الأنشطة إلى وجهات أخرى (مراكز الأحداث، تحليلات السجل)
كيفية معرفة ما إذا كنت تتأثر
تتأثر بهذا التغيير فقط إذا:
- يتم إرسال بيانات السجل إلى حساب تخزين Azure باستخدام إعداد تشخيصي، و
- لديك الأدوات التي تعتمد على هيكل JSON من هذه السجلات في التخزين.
لتحديد ما إذا كانت لديك إعدادات تشخيصية ترسل البيانات إلى حساب تخزين Azure، يمكنك الانتقال إلى قسم Monitor بالمدخل، والنقر على Diagnostic Settings، وتحديد أي موارد تم عندها ضبط Diagnostic Status على Enabled:
إذا تم تعيين الحالة التشخيصية إلى ممكن، فلديك إعداد تشخيصي نشط على هذا المورد. انقر على المورد لمعرفة ما إذا كانت أية إعدادات تشخيصية ترسل البيانات إلى حساب تخزين:
إذا كان لديك موارد تُرسل البيانات إلى حساب تخزين باستخدام إعدادات تشخيصية للموارد هذه، سيتأثر تنسيق البيانات في حساب التخزين هذا بهذا التغيير. ما لم يكن لديك أدوات مخصصة تعمل خارج حسابات التخزين هذه، لن يؤثر تغيير التنسيق عليك.
تفاصيل تغيير التنسيق
يستخدم التنسيق الحالي لملف PT1H.js في تخزين الفقاعة Azure صفيف JSON من السجلات. هنا عينة من ملف سجل KeyVault الآن:
{
"records": [
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
"appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
}
},
"properties": {
"clientInfo": "azure-resource-manager/2.0",
"requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
"id": "https://contosokeyvault.vault.azure.net/",
"httpStatusCode": 200
}
},
{
"time": "2016-01-05T01:33:56.5264523Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "83",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
"appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
}
},
"properties": {
"clientInfo": "azure-resource-manager/2.0",
"requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
"id": "https://contosokeyvault.vault.azure.net/",
"httpStatusCode": 200
}
}
]
}
يستخدم التنسيق الجديد أسطر JSON، حيث يكون كل حدث سطرا ويشير الحرف السطر الجديد إلى حدث جديد. فيما يلي ما ستبدو عليه العينة أعلاه في ملف PT1H.json بعد التغيير:
{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
هذا التنسيق الجديد يتيح المراقبة من Azure لدفع ملفات السجل باستخدام الفقاعات الملحقة، والتي هي أكثر كفاءة لإلحاق بيانات الحدث الجديد باستمرار.
كيفية عمل التحديث
تحتاج فقط إلى إجراء تحديثات إذا كان لديك أدوات مخصصة تستوعب ملفات السجل هذه لمزيد من المعالجة. إذا كنت تستخدم تحليلات سجل خارجية أو أداة SIEM، نوصي باستخدام مراكز الأحداث لاستيعاب هذه البيانات بدلًا من ذلك. تكامل مراكز الأحداث أسهل من حيث معالجة سجلات العديد من الخدمات وموقع وضع الإشارات المرجعية في سجل معين.
ينبغي تحديث الأدوات المخصصة للتعامل مع التنسيق الحالي وتنسيق أسطر JSON الموضح أعلاه. سيضمن ذلك عدم توقف الأدوات عند بدء ظهور البيانات بالتنسيق الجديد.
الخطوات التالية
- التعرف على أرشفة سجلات الموارد إلى حساب تخزين
- التعرف على أرشفة بيانات سجل النشاط إلى حساب تخزين