Azure-erőforrásnaplók
Az Azure-erőforrásnaplók platformnaplók , amelyek betekintést nyújtanak az Azure-erőforrásokon belül végrehajtott műveletekbe. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik. Az erőforrásnaplók alapértelmezés szerint nem gyűjthetők. Ez a cikk azt a diagnosztikai beállítást ismerteti, amely az egyes Azure-erőforrások erőforrásnaplóinak különböző célhelyekre való küldéséhez szükséges.
Küldés a Log Analytics-munkaterületre
Erőforrásnaplók küldése Log Analytics-munkaterületre az Azure Monitor-naplók funkcióinak engedélyezéséhez, ahol a következőket teheti:
- Az erőforrásnaplók adatainak korrelálása az Azure Monitor által gyűjtött egyéb monitorozási adatokkal.
- Naplóbejegyzések összevonása több Azure-erőforrásból, előfizetésből és bérlőből egy helyre elemzés céljából.
- Napló lekérdezések használatával összetett elemzéseket végezhet, és mély elemzéseket kaphat a naplóadatokról.
- Naplóriasztások használata összetett riasztási logikával.
Hozzon létre egy diagnosztikai beállítást , amellyel erőforrásnaplókat küldhet egy Log Analytics-munkaterületre. Ezeket az adatokat táblák tárolják az Azure Monitor-naplók struktúrája című szakaszban leírtak szerint. Az erőforrásnaplók által használt táblák attól függenek, hogy az erőforrás milyen típusú gyűjteményt használ:
- Azure-diagnosztika: Minden adat az AzureDiagnostics táblába van írva.
- Erőforrás-specifikus: Az adatok az erőforrás egyes kategóriáinak egyes tábláiba lesznek írva.
Erőforrás-specifikus
Ebben a módban a kijelölt munkaterület egyes táblái a diagnosztikai beállításban kiválasztott kategóriákhoz lesznek létrehozva. Ezt a metódust javasoljuk, mert:
- Megkönnyíti az adatokkal való munkát a napló lekérdezéseiben.
- A sémák és azok struktúrájának jobb felderíthetőségét biztosítja.
- Javítja a teljesítményt a betöltési késés és a lekérdezési idők között.
- Lehetővé teszi azure-beli szerepköralapú hozzáférés-vezérlési jogosultságok megadását egy adott táblán.
Az összes Azure-szolgáltatás végül az erőforrás-specifikus módba fog migrálni.
Az előző példa három táblát hoz létre:
Táblázat
Service1AuditLogsErőforrás-szolgáltató Kategória A B C 1. szolgáltatás AuditLogs x1 y1 Z1 1. szolgáltatás AuditLogs x5 y5 z5 ... Táblázat
Service1ErrorLogsErőforrás-szolgáltató Kategória T E F 1. szolgáltatás Hibanaplók Q1 w1 e1 1. szolgáltatás Hibanaplók q2 w2 e2 ... Táblázat
Service2AuditLogsErőforrás-szolgáltató Kategória G H I Service2 AuditLogs j1 k1 l1 Service2 AuditLogs j3 k3 l3 ...
Azure diagnosztikai mód
Ebben a módban a rendszer minden diagnosztikai beállítás adatait összegyűjti az AzureDiagnostics táblában. Ezt az örökölt módszert ma a legtöbb Azure-szolgáltatás használja. Mivel több erőforrástípus küld adatokat ugyanarra a táblára, a séma az összes összegyűjtött adattípus sémáinak szuperhalmaza. A tábla szerkezetéről és a lehetséges nagyszámú oszlop kezeléséről az AzureDiagnostics-referencia című témakörben olvashat bővebben.
Vegyünk egy példát, amikor a diagnosztikai beállításokat ugyanabban a munkaterületen gyűjti a rendszer a következő adattípusokhoz:
- Az 1. szolgáltatás auditnaplói olyan sémával rendelkeznek, amely az A, b és C oszlopból áll
- Az 1. szolgáltatás hibanaplói olyan sémával rendelkeznek, amely A, E és F oszlopból áll
- A 2. szolgáltatás naplóinak sémája G, H és I oszlopból áll
A AzureDiagnostics táblázat a következő példához hasonlóan néz ki:
| ResourceProvider | Kategória | A | B | C | T | E | F | G | H | I |
|---|---|---|---|---|---|---|---|---|---|---|
| Microsoft. 1. szolgáltatás | AuditLogs | x1 | y1 | Z1 | ||||||
| Microsoft. Service1 | ErrorLogs | Q1 | w1 | e1 | ||||||
| Microsoft. Service2 | AuditLogs | j1 | k1 | l1 | ||||||
| Microsoft. Service1 | ErrorLogs | q2 | w2 | e2 | ||||||
| Microsoft. Service2 | AuditLogs | j3 | k3 | l3 | ||||||
| Microsoft. Service1 | AuditLogs | x5 | y5 | z5 | ||||||
| ... |
A gyűjtési mód kiválasztása
A legtöbb Azure-erőforrás azure-beli diagnosztika vagy erőforrás-specifikus módban ír adatokat a munkaterületre anélkül, hogy választanak. További információ: Gyakori és szolgáltatásspecifikus sémák az Azure-erőforrásnaplókhoz.
Végül minden Azure-szolgáltatás az erőforrás-specifikus módot használja. Az áttűnés részeként egyes erőforrások lehetővé teszik egy mód kiválasztását a diagnosztikai beállításban. Adjon meg erőforrás-specifikus módot az új diagnosztikai beállításokhoz, mert ez a mód megkönnyíti az adatok kezelését. A későbbiekben az összetett migrálások elkerülésében is segíthet.
Megjegyzés
Ha egy Azure Resource Manager-sablon használatával állítja be a gyűjtési módot, tekintse meg Resource Manager sablonmintákat az Azure Monitor diagnosztikai beállításaihoz.
A meglévő diagnosztikai beállításokat erőforrás-specifikus módra módosíthatja. Ebben az esetben a már összegyűjtött adatok a AzureDiagnostics táblában maradnak, amíg el nem távolítják őket a munkaterület megőrzési beállítása alapján. A rendszer új adatokat gyűjt a dedikált táblában. Az egyesítő operátorral mindkét táblában lekérdezheti az adatokat.
Tekintse meg az Azure Frissítések blogot, amely az erőforrás-specifikus módot támogató Azure-szolgáltatásokkal kapcsolatos bejelentéseket tartalmaz.
Küldés Azure Event Hubs
Erőforrásnaplók küldése egy eseményközpontba, hogy azOkat az Azure-on kívül is elküldhesse. Előfordulhat például, hogy az erőforrásnaplók külső SIEM-nek vagy más log analytics-megoldásoknak lesznek elküldve. Az eseményközpontokból származó erőforrásnaplók JSON formátumban vannak felhasználva, records az egyes hasznos adatok rekordjait tartalmazó elemmel. A séma az Azure-erőforrásnaplók gyakori és szolgáltatásspecifikus sémáiban leírt erőforrástípustól függ.
A következő kimeneti mintaadatok egy erőforrásnapló Azure Event Hubs származnak:
{
"records": [
{
"time": "2019-07-15T18:00:22.6235064Z",
"workflowId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330013509921957/ACTIONS/SEND_EMAIL",
"category": "WorkflowRuntime",
"level": "Error",
"operationName": "Microsoft.Logic/workflows/workflowActionCompleted",
"properties": {
"$schema": "2016-04-01-preview",
"startTime": "2016-07-15T17:58:55.048482Z",
"endTime": "2016-07-15T18:00:22.4109204Z",
"status": "Failed",
"code": "BadGateway",
"resource": {
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"resourceGroupName": "JohnKemTest",
"workflowId": "243aac67fe904cf195d4a28297803785",
"workflowName": "JohnKemTestLA",
"runId": "08587330013509921957",
"location": "westus",
"actionName": "Send_email"
},
"correlation": {
"actionTrackingId": "29a9862f-969b-4c70-90c4-dfbdc814e413",
"clientTrackingId": "08587330013509921958"
}
}
},
{
"time": "2019-07-15T18:01:15.7532989Z",
"workflowId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330012106702630/ACTIONS/SEND_EMAIL",
"category": "WorkflowRuntime",
"level": "Information",
"operationName": "Microsoft.Logic/workflows/workflowActionStarted",
"properties": {
"$schema": "2016-04-01-preview",
"startTime": "2016-07-15T18:01:15.5828115Z",
"status": "Running",
"resource": {
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"resourceGroupName": "JohnKemTest",
"workflowId": "243aac67fe904cf195d4a28297803785",
"workflowName": "JohnKemTestLA",
"runId": "08587330012106702630",
"location": "westus",
"actionName": "Send_email"
},
"correlation": {
"actionTrackingId": "042fb72c-7bd4-439e-89eb-3cf4409d429e",
"clientTrackingId": "08587330012106702632"
}
}
}
]
}
Küldés az Azure Storage-be
Erőforrásnaplók elküldése az Azure Storage-ba archiválás céljából. A diagnosztikai beállítás létrehozása után a rendszer létrehoz egy tárolót a tárfiókban, amint esemény történik az engedélyezett naplókategóriák egyikében.
Megjegyzés
Az archiválás alternatív stratégiája az erőforrásnapló archiválási szabályzattal rendelkező Log Analytics-munkaterületre való küldése.
A tárolón belüli blobok a következő elnevezési konvencióval használhatók:
insights-logs-{log category name}/resourceId=/SUBSCRIPTIONS/{subscription ID}/RESOURCEGROUPS/{resource group name}/PROVIDERS/{resource provider name}/{resource type}/{resource name}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json
A hálózati biztonsági csoport blobjának neve az alábbi példához hasonló lehet:
insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUP/TESTNSG/y=2016/m=08/d=22/h=18/m=00/PT1H.json
Minden PT1H.json-blob tartalmaz egy JSON-objektumot, amely a blob URL-címében megadott órában fogadott naplófájlokból származó eseményeket tartalmazza. A jelen órában az eseményeket a rendszer a beérkezéskor hozzáfűzi a PT1H.json fájlhoz, függetlenül attól, hogy mikor lettek létrehozva. Az URL-cím m=00 percértéke mindig 00 a blobok óránkénti létrehozása.
A PT1H.json fájlban minden esemény a következő formátumban van tárolva. Általános legfelső szintű sémát használ, de minden Azure-szolgáltatáshoz egyedi, az Erőforrásnaplók sémában leírtak szerint.
Megjegyzés
A naplók a napló beérkezésének időpontja alapján lesznek blobokba írva, függetlenül a létrehozás időpontjától. Ez azt jelenti, hogy egy adott blob tartalmazhat olyan naplóadatokat, amelyek a blob URL-címében megadott órán kívül esnek. Ahol egy adatforrás, például az Application Insights támogatja az elavult telemetriai adatok feltöltését, a blobok az előző 48 órából származó adatokat tartalmazhatnak.
Egy új óra elején lehetséges, hogy a meglévő naplók még mindig az előző óra blobjába lesznek írva, míg az új naplók az új óra blobjába lesznek írva.
{"time": "2016-07-01T00:00:37.2040000Z","systemId": "46cdbb41-cb9c-4f3d-a5b4-1d458d827ff1","category": "NetworkSecurityGroupRuleCounter","resourceId": "/SUBSCRIPTIONS/s1id1234-5679-0123-4567-890123456789/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/TESTNSG","operationName": "NetworkSecurityGroupCounters","properties": {"vnetResourceGuid": "{12345678-9012-3456-7890-123456789012}","subnetPrefix": "10.3.0.0/24","macAddress": "000123456789","ruleName": "/subscriptions/ s1id1234-5679-0123-4567-890123456789/resourceGroups/testresourcegroup/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/default-allow-rdp","direction": "In","type": "allow","matchedConnections": 1988}}
Azure Monitor-partnerintegrációk
Az erőforrásnaplók olyan partnermegoldásoknak is elküldhetők, amelyek teljesen integrálva vannak az Azure-ba. A megoldások listájáért és a konfigurálásuk részleteiért lásd: Azure Monitor-partnerintegrációk.