Felkészülés a tárfiókba archivált Azure Monitor-platformnaplók formátummódosítására

Figyelmeztetés

Ha diagnosztikai beállítások vagy tevékenységnaplók használatával küld Azure-erőforrásnaplókat vagy -metrikákat egy tárfiókbanaplóprofilok használatával, a tárfiók adatainak formátuma JSON-sorokra változott 2018. nov. 1-jén. Az alábbi utasítások ismertetik a hatást, és azt, hogyan frissítheti az eszközkészletet az új formátum kezelésére.

Mi változott?

Az Azure Monitor olyan képességet kínál, amellyel erőforrásnaplókat és tevékenységnaplókat küldhet egy Azure Storage-fiókba, az Event Hubs-névtérbe vagy egy Log Analytics-munkaterületre az Azure Monitorban. A rendszer teljesítményével kapcsolatos probléma megoldása érdekében 2018. november 1-jén 12:00 (UTC) éjfélkor módosult a blobtárolóba küldött naplóadatok formátuma. Ha olyan eszközkészlete van, amely adatokat olvas ki a blobtárolóból, frissítenie kell az eszközkészletet az új adatformátum megértéséhez.

• 2018. november 1-jén, csütörtökön 12:00 -kor (UTC) a blobformátum JSON-vonalakra változott. Ez azt jelenti, hogy minden rekordot egy új vonal fog elválasztani, külső rekordtömb nélkül és vessző nélkül a JSON-rekordok között.
• A blobformátum az összes előfizetés összes diagnosztikai beállításához egyszerre módosult. A november 1-ére kibocsátott első PT1H.json fájl ezt az új formátumot használta. A blob- és tárolónevek változatlanok maradnak.
• A diagnosztikai beállítás november 1.előtti beállítása november 1-ig továbbra is az aktuális formátumban bocsát ki adatokat.
• Ez a változás egyszerre történt az összes nyilvános felhőrégióban. A változás a 21Vianet, az Azure Germany vagy Azure Government felhők által üzemeltetett Microsoft Azure-ban még nem történik meg.
• Ez a változás a következő adattípusokat érinti:
  • Azure-erőforrásnaplók (lásd az erőforrások listáját itt)
  • Diagnosztikai beállításokkal exportált Azure-erőforrásmetrikák
  • Naplóprofilok által exportált Azure-tevékenységnapló-adatok
• Ez a változás nem érinti a következőt:
  • Hálózati folyamatnaplók
  • Az Azure-szolgáltatásnaplók még nem érhetők el az Azure Monitoron keresztül (például Azure App Service erőforrásnaplók, tárelemzési naplók)
  • Azure-erőforrásnaplók és tevékenységnaplók átirányítása más célhelyekre (Event Hubs, Log Analytics)

Annak megtekintése, hogy érintett-e

Ez a változás csak akkor érinti Önt, ha:

1. Diagnosztikai beállítással küld naplóadatokat egy Azure Storage-fiókba, és
2. A tárolóban lévő naplók JSON-struktúrájától függő eszközkészlettel rendelkezik.

Annak megállapításához, hogy vannak-e olyan diagnosztikai beállításai, amelyek adatokat küldenek egy Azure-tárfiókba, lépjen a portál Monitorozás szakaszára, kattintson a Diagnosztikai beállítások elemre, és azonosítsa azokat az erőforrásokat, amelyek diagnosztikai állapotaengedélyezve van:

Ha a Diagnosztikai állapot engedélyezve van, aktív diagnosztikai beállítás van az erőforráson. Kattintson az erőforrásra annak megtekintéséhez, hogy vannak-e diagnosztikai beállítások, amelyek adatokat küldenek egy tárfiókba:

Ha rendelkezik olyan erőforrásokkal, amelyek ezen erőforrás-diagnosztikai beállítások használatával küldenek adatokat egy tárfiókba, a változás hatással lesz a tárfiókban lévő adatok formátumára. Hacsak nem rendelkezik egyéni eszközkészletekkel, amelyek ezekből a tárfiókokból működnek, a formátum módosítása nem lesz hatással Önre.

A formátumváltozás részletei

Az Azure Blob Storage PT1H.json fájljának jelenlegi formátuma egy JSON rekordtömböt használ. Íme egy keyVault-naplófájl mintája:

{
    "records": [
        {
            "time": "2016-01-05T01:32:01.2691226Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "78",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        },
        {
            "time": "2016-01-05T01:33:56.5264523Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "83",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        }
    ]
}

Az új formátum JSON-sorokat használ, ahol minden esemény egy vonal, az új vonal karakter pedig egy új eseményt jelez. A fenti minta így fog kinézni a PT1H.json fájlban a módosítás után:

{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}

Ez az új formátum lehetővé teszi, hogy az Azure Monitor a hozzáfűző blobok használatával küldje le a naplófájlokat, amelyek hatékonyabbak az új eseményadatok folyamatos hozzáfűzéséhez.

Frissítés

Csak akkor kell frissítenie, ha egyéni eszközkészlete van, amely további feldolgozás céljából betölti ezeket a naplófájlokat. Ha külső naplóelemzést vagy SIEM-eszközt használ, javasoljuk, hogy az eseményközpontok használatával használja ezeket az adatokat. Az eseményközpontok integrációja egyszerűbb a naplók számos szolgáltatásból történő feldolgozása és az adott naplók könyvjelzőinek helye szempontjából.

Az egyéni eszközöket frissíteni kell, hogy az aktuális formátumot és a fent leírt JSON-vonalak formátumot is kezelni tudják. Ez biztosítja, hogy amikor az adatok új formátumban jelennek meg, az eszközök ne szakadjanak meg.

Következő lépések

• Tudnivalók az erőforrás-erőforrásnaplók tárfiókba történő archiválásáról
• Tudnivalók a tevékenységnapló-adatok tárfiókba történő archiválásáról