Mempersiapkan perubahan format ke log platform Azure Monitor yang diarsipkan ke akun penyimpanan

Peringatan

Jika Anda mengirim log atau metrik sumber daya Azure ke akun penyimpanan menggunakan setelan diagnostik atau log aktivitas ke akun penyimpanan menggunakan profil log, format data di akun penyimpanan diubah menjadi JSON Lines pada 1 November 2018. Petunjuk di bawah ini menjelaskan dampak dan cara memperbarui alat Anda untuk menangani format baru.

Apa yang berubah

Azure Monitor menawarkan kemampuan yang memungkinkan Anda mengirim log sumber daya dan log aktivitas ke akun penyimpanan Azure, namespace Event Hubs, atau ke ruang kerja Log Analytics di Azure Monitor. Untuk mengatasi masalah performa sistem, pada 1 November 2018 pukul 12:00 tengah malam UTC format data log yang dikirim ke penyimpanan blob diubah. Jika Anda memiliki alat yang membaca data dari penyimpanan blob, Anda perlu memperbarui alat Anda untuk memahami format data baru.

• Pada hari Kamis, 1 November 2018 pukul 12:00 tengah malam UTC, format blob diubah menjadi JSON Lines. Ini berarti setiap catatan akan dibatasi oleh baris baru, tanpa larik catatan luar dan tidak ada koma di antara catatan JSON.
• Format blob berubah untuk semua pengaturan diagnostik di semua langganan sekaligus. File PT1H.json pertama yang dikeluarkan untuk 1 November menggunakan format baru ini. Nama blob dan kontainer tetap sama.
• Menyetel pengaturan diagnostik antara sebelum 1 November selalu memancarkan data dalam format saat ini hingga 1 November.
• Perubahan ini terjadi sekaligus di semua wilayah cloud publik. Perubahan tidak akan terjadi di Microsoft Azure Dioperasikan oleh 21Vianet, Microsoft Azure Jerman, atau awan Azure Government.
• Perubahan ini berdampak pada jenis data berikut:
  • Log sumber daya Azure (lihat daftar sumber daya di sini)
  • Metrik sumber daya Azure diekspor oleh setelan diagnostik
  • Data log Aktivitas Azure sedang diekspor oleh profil log
• Perubahan ini tidak memengaruhi:
  • Log aliran jaringan
  • Log layanan Azure belum tersedia melalui Azure Monitor (misalnya, log sumber daya Azure App Service, log analitik penyimpanan)
  • Perutean log sumber daya Azure dan log aktivitas ke tujuan lain (Pusat Aktivitas, Log Analitik)

Bagaimana cara melihat apakah Anda terkena dampak

Anda hanya terpengaruh oleh perubahan ini jika Anda:

1. Mengirim data log ke akun penyimpanan Azure menggunakan pengaturan diagnostik, dan
2. Memiliki alat yang bergantung pada struktur JSON dari log ini di penyimpanan.

Untuk mengidentifikasi apakah Anda memiliki setelan diagnostik yang mengirim data ke akun penyimpanan Azure, Anda dapat menavigasi ke bagian Monitor portal, klik Pengaturan Diagnostik, dan mengidentifikasi sumber daya apa pun yang memiliki Status Diagnostik yang diatur ke Diaktifkan:

Jika Status Diagnostik diatur ke diaktifkan, Anda memiliki pengaturan diagnostik aktif pada sumber daya tersebut. Klik sumber daya untuk melihat apakah ada pengaturan diagnostik yang mengirim data ke akun penyimpanan:

Jika Anda memiliki sumber daya yang mengirim data ke akun penyimpanan menggunakan pengaturan diagnostik sumber daya ini, format data di akun penyimpanan tersebut akan terpengaruh oleh perubahan ini. Kecuali Anda memiliki alat khusus yang beroperasi di luar akun penyimpanan ini, perubahan format tidak akan memengaruhi Anda.

Detail perubahan format

Format file PT1H.json saat ini di penyimpanan blob Azure menggunakan larik rekaman JSON. Berikut adalah contoh file log KeyVault sekarang:

{
    "records": [
        {
            "time": "2016-01-05T01:32:01.2691226Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "78",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        },
        {
            "time": "2016-01-05T01:33:56.5264523Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "83",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        }
    ]
}

Format baru menggunakan baris JSON, di mana setiap peristiwa adalah garis dan karakter baris baru menunjukkan peristiwa baru. Berikut adalah tampilan contoh di atas pada file PT1H.json setelah perubahan:

{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}

Format baru ini memungkinkan Azure Monitor untuk mendorong file log menggunakan append blob, yang lebih efisien untuk terus menambahkan data peristiwa baru.

Bagaimana cara memperbarui

Anda hanya perlu melakukan pembaruan jika Anda memiliki alat khusus yang menyerap file log ini untuk diproses lebih lanjut. Jika Anda menggunakan analitik log eksternal atau alat SIEM, sebaiknya gunakan hub peristiwa untuk menyerap data ini. Integrasi hub acara lebih mudah dalam hal memproses log dari banyak layanan dan marka buku lokasi di log tertentu.

Alat khusus harus diperbarui untuk menangani format saat ini dan format Garis JSON yang dijelaskan di atas. Ini akan memastikan bahwa ketika data mulai muncul dalam format baru, alat Anda tidak putus.

Langkah berikutnya

• Pelajari tentang mengarsipkan log sumber daya ke akun penyimpanan
• Pelajari tentang pengarsipan data log aktivitas ke akun penyimpanan