Příprava na změnu formátu protokolů platformy Služby Azure Monitor archivovaných do účtu úložiště

Výstraha

Pokud do účtu úložiště odesíláte protokoly prostředků Azure nebo metriky pomocí nastavení diagnostiky nebo odesíláte protokoly aktivit pomocí profilů protokolů do účtu úložiště, formát dat v účtu úložiště se od 1. listopadu 2018 změnil na formát JSON Lines. Následující pokyny popisují dopad a postup aktualizace nástrojů pro zpracování nového formátu.

Co se změnilo

Azure Monitor nabízí možnost, která umožňuje odesílat protokoly prostředků a protokoly aktivit do účtu úložiště Azure, oboru názvů služby Event Hubs nebo do pracovního prostoru služby Log Analytics ve službě Azure Monitor. Aby se vyřešil problém s výkonem systému, došlo 1. listopadu 2018 ve 12:00 UTC ke změně formátu odesílaného protokolového záznamu do úložiště typu blob. Pokud máte nástroje, které čtou data z úložiště objektů blob, je potřeba aktualizovat nástroje, abyste porozuměli novému formátu dat.

• Ve čtvrtek 1. listopadu 2018 v 12:00 utc se změnil formát objektu blob na řádky JSON. To znamená, že každý záznam bude oddělený novým řádkem bez pole vnějších záznamů a bez čárk mezi záznamy JSON.
• Formát blobu se změnil pro všechna nastavení diagnostiky ve všech předplatných najednou. První PT1H.json soubor vygenerovaný pro listopad 1 použil tento nový formát. Názvy blobů a kontejnerů zůstanou stejné.
• Nastavení diagnostiky před 1. listopadem pokračovalo ve vysílání dat v aktuálním formátu až do 1. listopadu.
• K této změně došlo najednou ve všech oblastech veřejného cloudu. Ke změně nedojde v cloudech Microsoft Azure provozovaných společností 21Vianet, Azure Germany nebo Azure Government.
• Tato změna má vliv na následující datové typy:
  • Protokoly prostředků Azure (seznam prostředků najdete tady)
  • Metriky prostředků Azure exportované nastavením diagnostiky
  • Data protokolu aktivit Azure exportovaná prostřednictvím profilů protokolů
• Tato změna nemá vliv na:
  • Protokoly toku sítě
  • Protokoly služeb Azure ještě nejsou dostupné prostřednictvím služby Azure Monitor (například protokoly prostředků služby Azure App Service, protokoly analýzy úložiště)
  • Směrování protokolů prostředků Azure a protokolů aktivit do jiných cílů (Event Hubs, Log Analytics)

Jak zjistit, jestli se vás to týká

Tato změna vás ovlivní jenom v těchto případech:

1. Odesílání dat protokolu do účtu úložiště Azure pomocí nastavení diagnostiky a
2. Mít nástroje, které závisí na struktuře JSON těchto protokolů v úložišti.

Pokud chcete zjistit, jestli máte nastavení diagnostiky, která odesílají data do účtu úložiště Azure, můžete přejít do části Monitorování na portálu, kliknout na Nastavení diagnostiky a identifikovat všechny prostředky s nastaveným stavem diagnostiky na povolenou:

Pokud je stav diagnostiky nastavený na povolenou, máte pro tento prostředek aktivní nastavení diagnostiky. Kliknutím na prostředek zjistíte, jestli některá nastavení diagnostiky odesílají data do účtu úložiště:

Pokud máte prostředky odesílající data do účtu úložiště pomocí těchto nastavení diagnostiky prostředků, bude mít tato změna vliv na formát dat v tomto účtu úložiště. Pokud nemáte vlastní nástroje, které pracují s těmito účty úložiště, změna formátu vás neovlivní.

Podrobnosti o změně formátu

Aktuální formát souboru PT1H.json ve službě Azure Blob Storage používá pole záznamů JSON. Tady je ukázka souboru protokolu služby KeyVault:

{
    "records": [
        {
            "time": "2016-01-05T01:32:01.2691226Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "78",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        },
        {
            "time": "2016-01-05T01:33:56.5264523Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "83",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        }
    ]
}

Nový formát používá řádky JSON, kde každá událost je řádek a znak nového řádku označuje novou událost. Výše uvedená ukázka bude po změně vypadat v souboru PT1H.json:

{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}

Tento nový formát umožňuje službě Azure Monitor odesílat soubory protokolů pomocí doplňovacího objektu blob, což je efektivnější pro průběžné přidávání nových dat událostí.

Postup aktualizace

Aktualizace je potřeba provést pouze v případě, že máte vlastní nástroje, které tyto soubory protokolu ingestuje pro další zpracování. Pokud používáte externí log analytics nebo nástroj SIEM, doporučujeme místo toho používat centra událostí k ingestování těchto dat. Integrace služby Event Hubs je jednodušší z hlediska zpracování protokolů z mnoha služeb a umístění záložek v konkrétním protokolu.

Vlastní nástroje by se měly aktualizovat tak, aby zpracovávaly aktuální formát i formát ŘÁDKŮ JSON popsaný výše. Tím zajistíte, že když se data začnou zobrazovat v novém formátu, vaše nástroje se nezalomí.

Další kroky

• Zjistěte více o archivaci protokolů prostředků do účtu úložiště
• Informace o archivaci dat protokolu aktivit do účtu úložiště