Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Protokoly prostředků Azure jsou protokoly platformy, které poskytují přehled o operacích prováděných v prostředku Azure. Obsah protokolů prostředků se pro každý typ prostředku liší. Protokoly prostředků se ve výchozím nastavení neshromažďují. Pokud chcete shromažďovat protokoly prostředků, musíte povolit a nakonfigurovat diagnostická nastavení nebo použít pravidla pro shromažďování dat. Další informace o pravidlech shromažďování dat najdete v tématu Pravidla shromažďování dat ve službě Azure Monitor. Tento článek popisuje nezbytné nastavení diagnostiky pro každý prostředek Azure k odesílání jeho protokolů do pracovních prostorů služby Log Analytics, služby Event Hubs nebo Azure Storage.
Odeslání do pracovního prostoru služby Log Analytics
Odešlete záznamy o prostředcích do pracovního prostoru Log Analytics, abyste povolili funkce Azure Monitor Logs, kde můžete:
- Provádějte korelaci dat protokolu prostředků s dalšími monitorovacími daty shromážděnými službou Azure Monitor.
- Sloučit položky protokolu z několika prostředků Azure, předplatných a tenantů na jedno místo pro účely společné analýzy.
- Pomocí dotazů protokolu můžete provádět komplexní analýzu a získávat podrobné přehledy o datech protokolů.
- Používejte upozornění při vyhledávání v protokolech se složitou logikou upozorňování.
Vytvořte nastavení diagnostiky pro odesílání protokolů prostředků do pracovního prostoru Log Analytics. Tato data jsou uložená v tabulkách, jak je popsáno ve struktuře protokolů služby Azure Monitor. Tabulky používané v protokolech prostředků závisí na typu prostředku a typu kolekce, kterou prostředek využívá. Existují dva typy režimů shromažďování pro protokoly o prostředcích:
- Diagnostika Azure: Všechna data se zapisuje do tabulky AzureDiagnostics .
- Specifické pro zdroj: Data se zapisují do jednotlivých tabulek pro každou kategorii zdroje.
Specifické pro zdroje
Pro protokoly používající režim specifický pro prostředky se jednotlivé tabulky ve vybraném pracovním prostoru vytvoří pro každou kategorii protokolu vybranou v nastavení diagnostiky. Protokoly specifické pro prostředky mají oproti diagnostickým protokolům Azure následující výhody:
- Usnadňuje práci s daty v dotazech protokolu.
- Poskytuje lepší zjistitelnost schémat a jejich struktury.
- Zlepšuje výkon napříč latencí příjmu dat a časy dotazů.
- Poskytuje možnost udělit oprávnění řízení přístupu na základě role v Azure pro konkrétní tabulku.
Popis protokolů a tabulek specifických pro prostředky najdete v tématu Podporované kategorie protokolů prostředků pro Azure Monitor.
Režim diagnostiky Azure
V režimu diagnostiky Azure se všechna data z libovolného nastavení diagnostiky shromažďují v tabulce AzureDiagnostics . Tuto starší metodu dnes používá menšina služeb Azure. Vzhledem k tomu, že více typů prostředků odesílá data do stejné tabulky, je jeho schéma nadmnožinou schémat všech různých datových typů, které se shromažďují. Podrobnosti o struktuře této tabulky a o tom, jak funguje s tímto potenciálně velkým počtem sloupců, najdete v referenčních informacích k AzureDiagnostics.
Tabulka AzureDiagnostics obsahuje ID prostředku, který vygeneroval protokol, kategorii protokolu a čas vygenerování protokolu a také vlastnosti specifické pro prostředek.
Výběr režimu kolekce
Většina prostředků Azure zapisuje data do pracovního prostoru buď v diagnostice Azure, nebo v režimu specifickém pro prostředky, aniž byste si museli vybrat. Další informace naleznete v běžných schemat a schématech specifických pro služby pro protokoly prostředků Azure.
Všechny služby Azure nakonec budou používat režim specifický pro prostředky. V rámci tohoto přechodu vám některé prostředky umožňují vybrat režim v nastavení diagnostiky. Zadejte režim specifický pro prostředky pro všechna nová nastavení diagnostiky, protože tento režim usnadňuje správu dat. Může vám také pomoct vyhnout se složitým migracím později.
Poznámka:
Příklad, který nastaví režim kolekce pomocí šablony Azure Resource Manageru, najdete v ukázkách šablon Resource Manageru pro nastavení diagnostiky ve službě Azure Monitor.
Existující nastavení diagnostiky můžete upravit na režim specifický pro prostředky. V tomto případě data, která už byla shromážděna, zůstanou v AzureDiagnostics tabulce, dokud nebudou odebrána podle nastavení uchovávání informací pro pracovní prostor. Nová data se shromažďují ve vyhrazené tabulce.
Operátor sjednocení slouží k dotazování dat v obou tabulkách.
Pokračujte v blogovém příspěvku o aktualizacích Azure, kde najdete oznámení o službách Azure, které podporují režim specifický pro prostředky.
Odeslání do služby Azure Event Hubs
Odešlete protokoly prostředků do centra událostí a odešlete je mimo Azure. Logy prostředků se například můžou posílat do SIEM řešení třetí strany nebo jiným řešením analytiky protokolů. Protokoly prostředků z center událostí jsou konzumovány ve formátu JSON s prvkem records, který obsahuje záznamy v každém datovém bloku. Schéma závisí na typu prostředku, jak je popsáno ve společném a specifickém schématu služeb pro protokoly prostředků Azure.
Následující ukázková výstupní data pochází z Azure Event Hubs pro záznamy o prostředcích:
{
"records": [
{
"time": "2019-07-15T18:00:22.6235064Z",
"workflowId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330013509921957/ACTIONS/SEND_EMAIL",
"category": "WorkflowRuntime",
"level": "Error",
"operationName": "Microsoft.Logic/workflows/workflowActionCompleted",
"properties": {
"$schema": "2016-04-01-preview",
"startTime": "2016-07-15T17:58:55.048482Z",
"endTime": "2016-07-15T18:00:22.4109204Z",
"status": "Failed",
"code": "BadGateway",
"resource": {
"subscriptionId": "AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E",
"resourceGroupName": "JohnKemTest",
"workflowId": "2222cccc-33dd-eeee-ff44-aaaaaa555555",
"workflowName": "JohnKemTestLA",
"runId": "08587330013509921957",
"location": "westus",
"actionName": "Send_email"
},
"correlation": {
"actionTrackingId": "3333dddd-44ee-ffff-aa55-bbbbbbbb6666",
"clientTrackingId": "08587330013509921958"
}
}
},
{
"time": "2019-07-15T18:01:15.7532989Z",
"workflowId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330012106702630/ACTIONS/SEND_EMAIL",
"category": "WorkflowRuntime",
"level": "Information",
"operationName": "Microsoft.Logic/workflows/workflowActionStarted",
"properties": {
"$schema": "2016-04-01-preview",
"startTime": "2016-07-15T18:01:15.5828115Z",
"status": "Running",
"resource": {
"subscriptionId": "AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E",
"resourceGroupName": "JohnKemTest",
"workflowId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"workflowName": "JohnKemTestLA",
"runId": "08587330012106702630",
"location": "westus",
"actionName": "Send_email"
},
"correlation": {
"actionTrackingId": "ffff5555-aa66-7777-88bb-999999cccccc",
"clientTrackingId": "08587330012106702632"
}
}
}
]
}
Odeslání do Azure Storage
Odešlete protokoly prostředků do Azure Storage, abyste je zachovali pro archivaci. Po vytvoření nastavení diagnostiky bude v účtu úložiště vytvořen kontejner, jakmile dojde k události v jedné z povolených kategorií protokolů.
Poznámka:
Alternativou k archivaci je odeslání protokolu prostředků do tabulky v pracovním prostoru služby Log Analytics s nízkými náklady a dlouhodobým uchováváním.
Objekty blob v kontejneru používají následující zásady vytváření názvů:
insights-logs-{log category name}/resourceId=/SUBSCRIPTIONS/{subscription ID}/RESOURCEGROUPS/{resource group name}/PROVIDERS/{resource provider name}/{resource type}/{resource name}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json
Objekt blob pro skupinu zabezpečení sítě může mít podobný název jako v tomto příkladu:
insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUP/TESTNSG/y=2016/m=08/d=22/h=18/m=00/PT1H.json
Každý soubor PT1H.json obsahuje JSON objekt s událostmi ze souborů protokolu, které byly přijaty během hodiny uvedené v URL adresě objektu blob. Během aktuální hodiny se události připojují k souboru PT1H.json při jejich přijetí bez ohledu na to, kdy byly vygenerovány. Minutová hodnota v adrese URL m=00 je vždy 00 protože objekty blob jsou vytvářeny hodinově.
V souboru PT1H.json je každá událost uložena v následujícím formátu. Používá běžné schéma nejvyšší úrovně, ale je jedinečné pro každou službu Azure, jak je popsáno ve Schématu protokolů prostředků.
Poznámka:
Protokoly se zapisují do objektů blob na základě času přijetí protokolu bez ohledu na čas, kdy byl vygenerován. To znamená, že daný objekt blob může obsahovat data protokolu, která jsou mimo hodinu zadanou v adrese URL objektu blob. Pokud zdroj dat, jako je Application Insights, podporuje nahrávání zastaralé telemetrie, může objekt blob obsahovat data z předchozích 48 hodin. Na začátku nové hodiny je možné, že se existující protokoly stále zapisují do objektu blob předchozí hodiny, zatímco nové protokoly se zapisují do objektu blob nové hodiny.
{"time": "2016-07-01T00:00:37.2040000Z","systemId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1","category": "NetworkSecurityGroupRuleCounter","resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/TESTNSG","operationName": "NetworkSecurityGroupCounters","properties": {"vnetResourceGuid": "{aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e}","subnetPrefix": "10.3.0.0/24","macAddress": "000123456789","ruleName": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/testresourcegroup/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/default-allow-rdp","direction": "In","type": "allow","matchedConnections": 1988}}
Integrace partnerů ve službě Azure Monitor
Protokoly prostředků je možné odesílat také do partnerských řešení, která jsou plně integrovaná do Azure. Seznam těchto řešení a podrobnosti o tom, jak je nakonfigurovat, najdete v tématu Integrace partnerů služby Azure Monitor.