Felkészülés a tárfiókba archivált Azure Monitor-platformnaplók formátumváltozására

Figyelmeztetés

Ha diagnosztikai beállítások vagy tevékenységnaplók használatával küld Azure-erőforrásnaplókat vagy metrikákat egy tárfiókbanaplóprofilokat használó tárfiókba, a tárfiók adatainak formátuma 2018. nov. 1-jén JSON-sorokra módosult. Az alábbi utasítások ismertetik az új formátum hatását, és hogyan frissítheti az eszközeit annak kezelésére.

Mi változott?

Az Azure Monitor egy olyan képességet kínál, amellyel erőforrásnaplókat és tevékenységnaplókat küldhet egy Azure Storage-fiókba, az Event Hubs-névtérbe vagy egy Log Analytics-munkaterületre az Azure Monitorban. A rendszer teljesítményével kapcsolatos probléma megoldása érdekében 2018. november 1-jén éjfélkor (UTC) módosult a blobtárolóba küldött naplóadatok formátuma. Ha olyan eszközkészlete van, amely adatokat olvas ki a blobtárolóból, frissítenie kell az eszközkészletet az új adatformátum megértéséhez.

• 2018. november 1-jén, csütörtökön 12:00 (UTC) a blob formátuma JSON-vonalakra változott. Ez azt jelenti, hogy minden rekordot egy új vonal fog elválasztani, külső rekordtömb és vessző nélkül a JSON-rekordok között.
• A blobformátum az összes előfizetés összes diagnosztikai beállításához egyszerre módosult. A november 1-hez kibocsátott első PT1H.json fájl ezt az új formátumot használta. A blob- és tárolónevek változatlanok maradnak.
• A diagnosztikai beállítás november 1. előtt a jelenlegi formátumban bocsátott ki adatokat egészen november 1-ig.
• Ez a változás egyszerre történt az összes nyilvános felhőrégióban. A változás a 21Vianet, az Azure Germany vagy az Azure Government felhők által üzemeltetett Microsoft Azure-ban még nem történik meg.
• Ez a változás a következő adattípusokat érinti:
  • Azure-erőforrásnaplók (az erőforrások listáját itt találja)
  • Diagnosztikai beállításokkal exportált Azure-erőforrásmetrikák
  • Naplóprofilok által exportált Azure-tevékenységnapló-adatok
• Ez a változás nem érinti a következőt:
  • Hálózati folyamatnaplók
  • Az Azure-szolgáltatásnaplók még nem érhetők el az Azure Monitoron keresztül (például Azure App Service-erőforrásnaplók, tárolási elemzési naplók)
  • Azure-erőforrásnaplók és tevékenységnaplók átirányítása más célhelyekre (Event Hubs, Log Analytics)

Hogyan állapítható meg, hogy érintett-e

Ez a változás csak akkor érinti Önt, ha:

1. Diagnosztikai beállítással küld naplóadatokat egy Azure Storage-fióknak, és
2. Rendelkezzen olyan eszközökkel, amelyek a tárolóban lévő naplók JSON-struktúrájától függenek.

Annak megállapításához, hogy vannak-e olyan diagnosztikai beállításai, amelyek adatokat küldenek egy Azure-tárfiókba, keresse meg a portál Figyelés szakaszát, kattintson a Diagnosztikai beállítások elemre, és azonosítsa azokat az erőforrásokat, amelyek diagnosztikai állapotaengedélyezve van:

Ha a diagnosztikai állapot engedélyezve van, aktív diagnosztikai beállítással rendelkezik az erőforráson. Kattintson az erőforrásra annak megtekintéséhez, hogy a diagnosztikai beállítások adatokat küldenek-e egy tárfiókba:

Ha rendelkezik olyan erőforrásokkal, amelyek adatokat küldenek egy tárfiókba ezekkel az erőforrás-diagnosztikai beállításokkal, a módosítás hatással lesz a tárfiókban lévő adatok formátumára. Ha nem rendelkezik olyan egyéni eszközkészletekkel, amelyek ezekről a tárfiókokról működnek, a formátumváltozás nem lesz hatással Önre.

A formátumváltozás részletei

Az Azure Blob Storage-ban található PT1H.json fájl jelenlegi formátuma rekordokat tartalmazó JSON-tömböt használ. Íme egy keyVault-naplófájl mintája:

{
    "records": [
        {
            "time": "2016-01-05T01:32:01.2691226Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "78",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        },
        {
            "time": "2016-01-05T01:33:56.5264523Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "83",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        }
    ]
}

Az új formátum JSON-sorokat használ, ahol minden esemény egy vonal, az új vonal karakter pedig egy új eseményt jelez. Így fog kinézni a fenti minta a PT1H.json fájlban a módosítás után:

{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}

Ez az új formátum lehetővé teszi az Azure Monitor számára, hogy naplófájlokat küldjön hozzáfűző blobok használatával, amelyek hatékonyabbak az új eseményadatok folyamatos hozzáfűzéséhez.

Frissítés

Csak akkor kell frissítenie, ha olyan egyéni eszközkészlete van, amely további feldolgozás céljából betölti ezeket a naplófájlokat. Ha külső naplóelemzési vagy SIEM-eszközt használ, azt javasoljuk, hogy az eseményközpontok használatával használja ezeket az adatokat. Az Event Hubs integrációja egyszerűbb a naplók számos szolgáltatásból való feldolgozása és egy adott napló könyvjelzőinek helye szempontjából.

Az egyéni eszközöket frissíteni kell az aktuális formátum és a fent leírt JSON-sorok formátumának kezeléséhez. Ez biztosítja, hogy amikor az adatok megjelennek az új formátumban, az eszközök ne szakadjanak meg.

Következő lépések

• Tudnivalók az erőforrás-erőforrásnaplók tárfiókba történő archiválásáról
• Tudnivalók a tevékenységnapló-adatok tárfiókba történő archiválásáról