Monitorowanie danych usługi Azure Cache for Redis przy użyciu ustawień diagnostycznych

Ustawienia diagnostyczne na platformie Azure umożliwiają zbieranie dzienników zasobów. Zasób platformy Azure emituje dzienniki zasobów i udostępnia bogate, częste dane dotyczące działania tego zasobu. Te dzienniki są przechwytywane na żądanie i są również określane jako "dzienniki płaszczyzny danych". Zobacz ustawienia diagnostyczne w usłudze Azure Monitor , aby zapoznać się z zalecanym omówieniem funkcji na platformie Azure. Zawartość tych dzienników różni się w zależności od typu zasobu. W usłudze Azure Cache for Redis dostępne są dwie opcje rejestrowania:

• Metryki pamięci podręcznej (czyli "AllMetrics") używane do rejestrowania metryk z usługi Azure Monitor
• dzienniki Połączenie ion rejestruje połączenia z pamięcią podręczną na potrzeby zabezpieczeń i diagnostyki.

Zakres dostępności

Warstwa	Basic, Standard i Premium	Enterprise and Enterprise Flash
Metryki pamięci podręcznej	Tak	Tak
Dzienniki Połączenie ion	Tak	Tak

Metryki pamięci podręcznej

Usługa Azure Cache for Redis emituje wiele metryk, takich jak ładowanie serwera i Połączenie ions na sekundę, które są przydatne do rejestrowania. Wybranie opcji AllMetrics umożliwia rejestrowanie tych i innych metryk pamięci podręcznej. Możesz skonfigurować czas przechowywania metryk. Zobacz tutaj, aby zapoznać się z przykładem eksportowania metryk pamięci podręcznej do konta magazynu.

Dzienniki Połączenie ion

Usługa Azure Cache for Redis używa ustawień diagnostycznych platformy Azure do rejestrowania informacji o połączeniach klientów z pamięcią podręczną. Rejestrowanie i analizowanie tego ustawienia diagnostycznego pomaga zrozumieć, kto łączy się z pamięciami podręcznymi i znacznikiem czasu tych połączeń. Dane dziennika mogą służyć do identyfikowania zakresu naruszenia zabezpieczeń i do celów inspekcji zabezpieczeń.

Różnice między warstwami usługi Azure Cache for Redis

Implementacja dzienników połączeń różni się nieco między warstwami:

• Pamięci podręczne w warstwie Podstawowa, Standardowa i Premium sonduje połączenia klientów według adresu IP, w tym liczbę połączeń pochodzących z każdego unikatowego adresu IP. Te dzienniki nie są skumulowane. Reprezentują migawki do punktu w czasie wykonywane w 10-sekundowych odstępach czasu. Zdarzenia uwierzytelniania (zakończone powodzeniem i niepowodzeniem) i zdarzenia rozłączenia nie są rejestrowane w tych warstwach.
• Pamięci podręczne w warstwie Flash w przedsiębiorstwie i przedsiębiorstwie korzystają z funkcji zdarzeń połączenia inspekcji wbudowanych w usługę Redis Enterprise. Zdarzenia inspekcji połączeń umożliwiają rejestrowanie każdego połączenia, rozłączenia i zdarzenia uwierzytelniania, w tym zdarzeń uwierzytelniania, które zakończyły się niepowodzeniem.

Dzienniki połączeń utworzone w warstwach wyglądają podobnie, ale mają pewne różnice. Dwa formaty są wyświetlane bardziej szczegółowo w dalszej części artykułu.

Ważne

Rejestrowanie połączenia w warstwach Podstawowa, Standardowa i Premium sonduje bieżące połączenia klienta w pamięci podręcznej. Te same adresy IP klienta pojawiają się ponownie. Rejestrowanie w warstwach Flash Enterprise i Enterprise koncentruje się na każdym zdarzeniu połączenia. Dzienniki występują tylko wtedy, gdy rzeczywiste zdarzenie wystąpiło po raz pierwszy.

Wymagania wstępne/ograniczenia rejestrowania Połączenie ion

Warstwy Podstawowa, Standardowa i Premium

• Ponieważ dzienniki połączeń w tych warstwach składają się z migawek punkt-w czasie wykonywanych co 10 sekund, połączenia, które są ustanawiane i usuwane między 10-sekundowymi interwałami, nie są rejestrowane.
• Zdarzenia uwierzytelniania nie są rejestrowane.
• Rozpoczęcie przepływu wszystkich ustawień diagnostycznych do wybranego miejsca docelowego może potrwać do 90 minut .
• Włączenie dzienników połączeń może spowodować niewielkie obniżenie wydajności wystąpienia pamięci podręcznej.
• Tylko plan cen dzienników analizy jest obsługiwany podczas przesyłania strumieniowego dzienników do usługi Azure Log Analytics. Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Monitor.

Warstwy Flash dla przedsiębiorstw i przedsiębiorstw

• W przypadku korzystania z zasad klastra systemu operacyjnego dzienniki są emitowane z każdego węzła danych. W przypadku korzystania z zasad klastra przedsiębiorstwa tylko węzeł używany jako serwer proxy emituje dzienniki. Obie wersje nadal obejmują wszystkie połączenia z pamięcią podręczną. Jest to tylko różnica architektoniczna.
• Utrata danych (czyli brak zdarzenia połączenia) jest rzadka, ale możliwa. Utrata danych jest zwykle spowodowana problemami z siecią.
• Dzienniki rozłączania nie są jeszcze w pełni stabilne, a zdarzenia mogą zostać pominięte.
• Ponieważ dzienniki połączeń w warstwach Enterprise są oparte na zdarzeniach, należy zachować ostrożność w zasadach przechowywania. Jeśli na przykład okres przechowywania jest ustawiony na 10 dni, a zdarzenie połączenia miało miejsce 15 dni temu, połączenie to może nadal istnieć, ale dziennik dla tego połączenia nie jest zachowywany.
• W przypadku korzystania z aktywnej replikacji geograficznej rejestrowanie musi być skonfigurowane dla każdego wystąpienia pamięci podręcznej w grupie replikacji geograficznej osobno.
• Rozpoczęcie przepływu wszystkich ustawień diagnostycznych do wybranego miejsca docelowego może potrwać do 90 minut .
• Włączenie dzienników połączeń może spowodować niewielkie obniżenie wydajności wystąpienia pamięci podręcznej.

Uwaga

Zawsze można użyć poleceń INFO lub CLIENT LIST , aby sprawdzić, kto jest połączony z wystąpieniem pamięci podręcznej na żądanie.

Ważne

Podczas wybierania dzienników można wybrać określoną kategorię lub grupy kategorii, które są wstępnie zdefiniowanymi grupami dzienników w usługach platformy Azure. W przypadku korzystania z grup kategorii nie można już skonfigurować ustawień przechowywania. Jeśli musisz określić czas przechowywania dzienników połączeń, wybierz element w sekcji Kategorie .

Miejsca docelowe dziennika

Możesz włączyć ustawienia diagnostyczne wystąpień usługi Azure Cache for Redis i wysłać dzienniki zasobów do następujących miejsc docelowych:

• Obszar roboczy usługi Log Analytics — nie musi znajdować się w tym samym regionie co monitorowany zasób.
• Konto magazynu — musi znajdować się w tym samym regionie co pamięć podręczna. Konta usługi Premium Storage nie są jednak obsługiwane jako miejsce docelowe.
• Centrum zdarzeń — ustawienia diagnostyczne nie mogą uzyskiwać dostępu do zasobów centrum zdarzeń po włączeniu sieci wirtualnych. Włącz ustawienie Zezwalaj na zaufane usługi firmy Microsoft obejście tej zapory? w centrach zdarzeń w celu udzielenia dostępu do zasobów centrum zdarzeń. Centrum zdarzeń musi znajdować się w tym samym regionie co pamięć podręczna.
• Rozwiązanie partnerskie — listę potencjalnych rozwiązań do rejestrowania partnerów można znaleźć tutaj

Aby uzyskać więcej informacji na temat wymagań diagnostycznych, zobacz ustawienia diagnostyczne.

Podczas wysyłania dzienników diagnostycznych do dowolnego miejsca docelowego są naliczane normalne stawki danych za użycie konta magazynu i centrum zdarzeń. Opłaty są naliczane w usłudze Azure Monitor, a nie w usłudze Azure Cache for Redis. Podczas wysyłania dzienników do usługi Log Analytics opłaty są naliczane tylko za pozyskiwanie danych usługi Log Analytics.

Aby uzyskać więcej informacji o cenach, cennik usługi Azure Monitor.

Włączanie rejestrowania połączeń przy użyciu witryny Azure Portal

Portal z warstwami Podstawowa, Standardowa i Premium

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do konta usługi Azure Cache for Redis. Otwórz okienko Ustawienia diagnostyczne w sekcji Monitorowanie po lewej stronie. Następnie wybierz pozycję Dodaj ustawienie diagnostyczne.

   

3. W okienku Ustawienia diagnostyczne wybierz pozycję Połączenie edClientList z kategorii.

   Aby uzyskać więcej informacji na temat zarejestrowanych danych, zobacz poniżej zawartość dzienników Połączenie ion.

4. Po wybraniu pozycji Połączenie edClientList wyślij dzienniki do preferowanego miejsca docelowego. Wybierz informacje w okienku roboczym.

   

Portal z warstwami Enterprise i Enterprise Flash

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do konta usługi Azure Cache for Redis. Otwórz okienko Diagnostyka Ustawienia — inspekcja w sekcji Monitorowanie po lewej stronie. Następnie wybierz pozycję Dodaj ustawienie diagnostyczne.

3. W okienku Ustawienia diagnostyczne — Inspekcja wybierz pozycję zdarzenia Połączenie ion z kategorii.

   Aby uzyskać więcej informacji na temat zarejestrowanych danych, zobacz poniżej zawartość dzienników Połączenie ion.

4. Po wybraniu zdarzeń Połączenie ion wyślij dzienniki do preferowanego miejsca docelowego. Wybierz informacje w okienku roboczym.

Włączanie rejestrowania połączeń przy użyciu interfejsu API REST

Interfejs API REST z warstwami Podstawowa, Standardowa i Premium

Użyj interfejsu API REST usługi Azure Monitor do utworzenia ustawienia diagnostycznego za pośrednictwem konsoli interaktywnej. Aby uzyskać więcej informacji, zobacz Tworzenie lub aktualizowanie.

Zażądaj

PUT https://management.azure.com/{resourceUri}/providers/Microsoft.Insights/diagnosticSettings/{name}?api-version=2017-05-01-preview

Nagłówki

Parametry/nagłówki	Wartość/opis
name	Nazwa ustawienia diagnostycznego.
resourceUri	subscriptions/{SUBSCRIPTION_ID}/resourceGroups/{RESOURCE_GROUP}/providers/Microsoft.Cache/Redis/{CACHE_NAME}
api-version	2017-05-01-preview
Content-Type	application/json

Treść

{
    "properties": {
      "storageAccountId": "/subscriptions/df602c9c-7aa0-407d-a6fb-eb20c8bd1192/resourceGroups/apptest/providers/Microsoft.Storage/storageAccounts/appteststorage1",
      "eventHubAuthorizationRuleId": "/subscriptions/1a66ce04-b633-4a0b-b2bc-a912ec8986a6/resourceGroups/montest/providers/microsoft.eventhub/namespaces/mynamespace/eventhubs/myeventhub/authorizationrules/myrule",
      "eventHubName": "myeventhub",
      "workspaceId": "/subscriptions/4b9e8510-67ab-4e9a-95a9-e2f1e570ea9c/resourceGroups/insights-integration/providers/Microsoft.OperationalInsights/workspaces/myworkspace",
      "logs": [
        {
          "category": "ConnectedClientList",
          "enabled": true,
          "retentionPolicy": {
            "enabled": false,
            "days": 0
          }
        }
      ]
    }
}

Interfejs API REST z warstwami Enterprise i Flash w przedsiębiorstwie

Użyj interfejsu API REST usługi Azure Monitor do utworzenia ustawienia diagnostycznego za pośrednictwem konsoli interaktywnej. Aby uzyskać więcej informacji, zobacz Tworzenie lub aktualizowanie.

Zażądaj

PUT https://management.azure.com/{resourceUri}/providers/Microsoft.Insights/diagnosticSettings/{name}?api-version=2017-05-01-preview

Nagłówki

Parametry/nagłówki	Wartość/opis
name	Nazwa ustawienia diagnostycznego.
resourceUri	subscriptions/{SUBSCRIPTION_ID}/resourceGroups/{RESOURCE_GROUP}/providers/Microsoft.Cache/RedisEnterprise/{CACHE_NAME}/databases/default
api-version	2017-05-01-preview
Content-Type	application/json

Treść

{ 
    "properties": {
      "storageAccountId": "/subscriptions/df602c9c-7aa0-407d-a6fb-eb20c8bd1192/resourceGroups/apptest/providers/Microsoft.Storage/storageAccounts/myteststorage",
      "eventHubAuthorizationRuleID": "/subscriptions/1a66ce04-b633-4a0b-b2bc-a912ec8986a6/resourceGroups/montest/providers/microsoft.eventhub/namespaces/mynamespace/authorizationrules/myrule", 
      "eventHubName": "myeventhub",
      "marketplacePartnerId": "/subscriptions/abcdeabc-1234-1234-ab12-123a1234567a/resourceGroups/test-rg/providers/Microsoft.Datadog/monitors/mydatadog",
      "workspaceId": "/subscriptions/4b9e8510-67ab-4e9a-95a9-e2f1e570ea9c/resourceGroups/insights integration/providers/Microsoft.OperationalInsights/workspaces/myworkspace",
      "logs": [
        {
          "category": "ConnectionEvents",
          "enabled": true,
          "retentionPolicy": {
            "enabled": false,
            "days": 0
          }
        }
      ]
    }
}

Włączanie rejestrowania Połączenie ion przy użyciu interfejsu wiersza polecenia platformy Azure

Interfejs wiersza polecenia platformy Azure z warstwami Podstawowa, Standardowa i Premium

Użyj polecenia , az monitor diagnostic-settings create aby utworzyć ustawienie diagnostyczne za pomocą interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji na temat opisów poleceń i parametrów, zobacz Create diagnostic settings to send platform logs and metrics to different destinations (Tworzenie ustawień diagnostycznych w celu wysyłania dzienników i metryk platformy do różnych miejsc docelowych). W tym przykładzie pokazano, jak za pomocą interfejsu wiersza polecenia platformy Azure przesyłać strumieniowo dane do czterech różnych punktów końcowych:

az monitor diagnostic-settings create 
    --resource /subscriptions/{subscriptionID}/resourceGroups/{resourceGroupname}/providers/Microsoft.Cache/Redis/{cacheName}
    --name {logName}
    --logs '[{"category": "ConnectedClientList","enabled": true,"retentionPolicy": {"enabled": false,"days": 0}}]'    
    --event-hub {eventHubName}
    --event-hub-rule /subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/microsoft.eventhub/namespaces/{eventHubNamespace}/authorizationrule/{ruleName}
    --storage-account /subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}
    --workspace /subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{logAnalyticsWorkspaceName}
    --marketplace-partner-id/subscriptions/{subscriptionID}/resourceGroups{resourceGroupname}/proviers/Microsoft.Datadog/monitors/mydatadog

Interfejs wiersza polecenia platformy Azure z warstwami Enterprise i Flash w przedsiębiorstwie

Użyj polecenia , az monitor diagnostic-settings create aby utworzyć ustawienie diagnostyczne za pomocą interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji na temat opisów poleceń i parametrów, zobacz Create diagnostic settings to send platform logs and metrics to different destinations (Tworzenie ustawień diagnostycznych w celu wysyłania dzienników i metryk platformy do różnych miejsc docelowych). W tym przykładzie pokazano, jak za pomocą interfejsu wiersza polecenia platformy Azure przesyłać strumieniowo dane do czterech różnych punktów końcowych:

az monitor diagnostic-settings create 
    --resource /subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/Microsoft.Cache/redisenterprise/{cacheName}/databases/default
    --name {logName}
    --logs '[{"category": "ConnectionEvents","enabled": true,"retentionPolicy": {"enabled": false,"days": 0}}]'
    --event-hub {eventHubName}
    --event-hub-rule /subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/microsoft.eventhub/namespaces/{eventHubNamespace}/authorizationrule/{ruleName}
    --storage-account /subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}
    --workspace /subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{logAnalyticsWorkspaceName}
    --marketplace-partner-id/subscriptions/{subscriptionID}/resourceGroups{resourceGroupname}/proviers/Microsoft.Datadog/monitors/mydatadog

Zawartość dzienników Połączenie ion

zawartość dziennika Połączenie ion dla warstw Podstawowa, Standardowa i Premium

Te pola i właściwości są wyświetlane w ConnectedClientList kategorii dziennika. W usłudze Azure Monitor dzienniki są zbierane w ACRConnectedClientList tabeli pod nazwą MICROSOFT.CACHEdostawcy zasobów .

Pole lub właściwość usługi Azure Storage	Właściwość Dzienniki usługi Azure Monitor	opis
time	TimeGenerated	Sygnatura czasowa generowania dziennika w formacie UTC.
location	Location	Lokalizacja (region) wystąpienia usługi Azure Cache for Redis była dostępna.
category	nie dotyczy	Dostępne kategorie dzienników: ConnectedClientList.
resourceId	_ResourceId	Zasób usługi Azure Cache for Redis, dla którego włączono dzienniki.
operationName	OperationName	Operacja redis skojarzona z rekordem dziennika.
properties	nie dotyczy	Zawartość tego pola jest opisana w kolejnych wierszach.
tenant	CacheName	Nazwa wystąpienia usługi Azure Cache for Redis.
roleInstance	RoleInstance	Wystąpienie roli, które zarejestrowało listę klientów.
connectedClients.ip	ClientIp	Adres IP klienta redis.
connectedClients.privateLinkIpv6	PrivateLinkIpv6	Adres IPv6 klienta Redis (jeśli ma to zastosowanie).
connectedClients.count	ClientCount	Liczba połączeń klienta usługi Redis ze skojarzonego adresu IP.

Przykładowy dziennik konta magazynu

Jeśli wyślesz dzienniki do konta magazynu, zawartość dzienników będzie wyglądać następująco.

{
    "time": "2021-08-05T21:04:58.0466086Z",
    "location": "canadacentral",
    "category": "ConnectedClientList",
    "properties": {
        "tenant": "mycache", 
        "connectedClients": [
            {
                "ip": "192.123.43.36", 
                "count": 86
            },
            {
                "ip": "10.1.1.4",
                "privateLinkIpv6": "fd40:8913:31:6810:6c31:200:a01:104", 
                "count": 1
            }
        ],
        "roleInstance": "1"
    },
    "resourceId": "/SUBSCRIPTIONS/E6761CE7-A7BC-442E-BBAE-950A121933B5/RESOURCEGROUPS/AZURE-CACHE/PROVIDERS/MICROSOFT.CACHE/REDIS/MYCACHE", 
    "Level": 4,
    "operationName": "Microsoft.Cache/ClientList"
}

zawartość dziennika Połączenie ion dla warstw Flash w przedsiębiorstwie i przedsiębiorstwie

Te pola i właściwości są wyświetlane w ConnectionEvents kategorii dziennika. W usłudze Azure Monitor dzienniki są zbierane w REDConnectionEvents tabeli pod nazwą MICROSOFT.CACHEdostawcy zasobów .

Pole lub właściwość usługi Azure Storage	Właściwość Dzienniki usługi Azure Monitor	opis
time	TimeGenerated	Sygnatura czasowa (UTC) przechwycona w dzienniku zdarzeń.
location	Location	Lokalizacja (region) wystąpienia usługi Azure Cache for Redis była dostępna.
category	nie dotyczy	Dostępne kategorie dzienników: ConnectionEvents.
resourceId	_ResourceId	Zasób usługi Azure Cache for Redis, dla którego włączono dzienniki.
operationName	OperationName	Operacja redis skojarzona z rekordem dziennika.
properties	nie dotyczy	Zawartość tego pola jest opisana w kolejnych wierszach.
eventEpochTime	EventEpochTime	Znacznik czasu system UNIX (liczba sekund od 1 stycznia 1970 r.), gdy zdarzenie miało miejsce w formacie UTC. Znacznik czasu można przekonwertować na format daty/godziny przy użyciu funkcji unixtime_seconds_todatetime w obszarze roboczym usługi Log Analytics.
clientIP	ClientIP	Adres IP klienta redis. W przypadku korzystania z usługi Azure Storage adres IP to format IPv4 lub IPv6 linku prywatnego na podstawie typu pamięci podręcznej. W przypadku korzystania z usługi Log Analytics wynik jest zawsze w wersji IPv4, ponieważ podano oddzielne pole IPv6.
nie dotyczy	PrivateLinkIPv6	Adres IPv6 łącza prywatnego klienta Redis (emitowany tylko w przypadku korzystania z usługi Private Link i analizy dzienników).
id	ConnectionId	Unikatowy identyfikator połączenia przypisany przez usługę Redis.
eventType	EventType	Typ zdarzenia połączenia (new_conn, uwierzytelnianie lub close_conn).
eventStatus	EventStatus	Wyniki żądania uwierzytelniania jako kod stanu (dotyczy tylko zdarzenia uwierzytelniania).

Uwaga

Jeśli jest używany link prywatny, tylko adres IPv6 zostanie zarejestrowany (chyba że przesyłasz strumieniowo dane do usługi Log Analytics). Adres IPv6 można przekonwertować na równoważny adres IPv4, sprawdzając ostatnie cztery bajty danych w adresie IPv6. Na przykład w adresie IPv6 łącza prywatnego "fd40:8913:31:6810:6c31:200:a01:104", ostatnie cztery bajty w szesnastkowym formacie to "0a", "01", "01" i "04". (Należy pamiętać, że zera wiodące są pomijane po każdym dwukropku). Odpowiadają one wartościom "10", "1", "1" i "4" w przecinku, dając nam adres IPv4 "10.1.1.4".

Przykładowy dziennik konta magazynu

Jeśli wysyłasz dzienniki do konta magazynu, dziennik zdarzenia połączenia wygląda następująco:

    {
        "time": "2023-01-24T10:00:02.3680050Z",
        "resourceId": "/SUBSCRIPTIONS/4A1C78C6-5CB1-422C-A34E-0DF7FCB9BD0B/RESOURCEGROUPS/TEST/PROVIDERS/MICROSOFT.CACHE/REDISENTERPRISE/AUDITING-SHOEBOX/DATABASES/DEFAULT",
        "category": "ConnectionEvents",
        "location": "westus",
        "operationName": "Microsoft.Cache/redisEnterprise/databases/ConnectionEvents/Read",
        "properties": {
            "eventEpochTime": 1674554402,
            "id": 6185063009002,
            "clientIP": "20.228.16.39",
            "eventType": "new_conn"
        }
    }

Dziennik zdarzenia uwierzytelniania wygląda następująco:

 {
        "time": "2023-01-24T10:00:02.3680050Z",
        "resourceId": "/SUBSCRIPTIONS/4A1C78C6-5CB1-422C-A34E-0DF7FCB9BD0B/RESOURCEGROUPS/TEST/PROVIDERS/MICROSOFT.CACHE/REDISENTERPRISE/AUDITING-SHOEBOX/DATABASES/DEFAULT",
        "category": "ConnectionEvents",
        "location": "westus",
        "operationName": "Microsoft.Cache/redisEnterprise/databases/ConnectionEvents/Read",
        "properties": {
            "eventEpochTime": 1674554402,
            "id": 6185063009002,
            "clientIP": "20.228.16.39",
            "eventType": "auth",
            "eventStatus": 8
        }
    }

Dziennik zdarzenia rozłączenia wygląda następująco:

    {
        "time": "2023-01-24T10:00:03.3680050Z",
        "resourceId": "/SUBSCRIPTIONS/4A1C78C6-5CB1-422C-A34E-0DF7FCB9BD0B/RESOURCEGROUPS/TEST/PROVIDERS/MICROSOFT.CACHE/REDISENTERPRISE/AUDITING-SHOEBOX/DATABASES/DEFAULT",
        "category": "ConnectionEvents",
        "location": "westus",
        "operationName": "Microsoft.Cache/redisEnterprise/databases/ConnectionEvents/Read",
        "properties": {
            "eventEpochTime": 1674554402,
            "id": 6185063009002,
            "clientIP": "20.228.16.39",
            "eventType": "close_conn"
        }
    }

Zapytania usługi Log Analytics

Uwaga

Aby zapoznać się z samouczkiem dotyczącym korzystania z usługi Azure Log Analytics, zobacz Omówienie usługi Log Analytics w usłudze Azure Monitor. Pamiętaj, że wyświetlenie dzienników w usłudze Log Analtyics może potrwać do 90 minut.

Poniżej przedstawiono kilka podstawowych zapytań, które mają być używane jako modele.

Zapytania dotyczące warstw Podstawowa, Standardowa i Premium

• Połączenia klienta usługi Azure Cache for Redis na godzinę w określonym zakresie adresów IP:

let IpRange = "10.1.1.0/24";
ACRConnectedClientList
// For particular datetime filtering, add '| where TimeGenerated between (StartTime .. EndTime)'
| where ipv4_is_in_range(ClientIp, IpRange)
| summarize ConnectionCount = sum(ClientCount) by TimeRange = bin(TimeGenerated, 1h)

• Unikatowe adresy IP klienta redis połączone z pamięcią podręczną:

ACRConnectedClientList
| summarize count() by ClientIp

Zapytania dotyczące warstw Flash w przedsiębiorstwie i przedsiębiorstwie

• Połączenia usługi Azure Cache for Redis na godzinę w określonym zakresie adresów IP:

REDConnectionEvents
// For particular datetime filtering, add '| where EventTime between (StartTime .. EndTime)'
// For particular IP range filtering, add '| where ipv4_is_in_range(ClientIp, IpRange)'
// IP range can be defined like this 'let IpRange = "10.1.1.0/24";' at the top of query.
| extend EventTime = unixtime_seconds_todatetime(EventEpochTime)
| where EventType == "new_conn"
| summarize ConnectionCount = count() by TimeRange = bin(EventTime, 1h)

• Żądania uwierzytelniania usługi Azure Cache for Redis na godzinę w określonym zakresie adresów IP:

REDConnectionEvents
| extend EventTime = unixtime_seconds_todatetime(EventEpochTime)
// For particular datetime filtering, add '| where EventTime between (StartTime .. EndTime)'
// For particular IP range filtering, add '| where ipv4_is_in_range(ClientIp, IpRange)'
// IP range can be defined like this 'let IpRange = "10.1.1.0/24";' at the top of query.
| where EventType == "auth"
| summarize AuthencationRequestsCount = count() by TimeRange = bin(EventTime, 1h)

• Unikatowe adresy IP klienta redis połączone z pamięcią podręczną:

REDConnectionEvents
// https://docs.redis.com/latest/rs/security/audit-events/#status-result-codes
// EventStatus :
// 0    AUTHENTICATION_FAILED    -    Invalid username and/or password.
// 1    AUTHENTICATION_FAILED_TOO_LONG    -    Username or password are too long.
// 2    AUTHENTICATION_NOT_REQUIRED    -    Client tried to authenticate, but authentication isn’t necessary.
// 3    AUTHENTICATION_DIRECTORY_PENDING    -    Attempting to receive authentication info from the directory in async mode.
// 4    AUTHENTICATION_DIRECTORY_ERROR    -    Authentication attempt failed because there was a directory connection error.
// 5    AUTHENTICATION_SYNCER_IN_PROGRESS    -    Syncer SASL handshake. Return SASL response and wait for the next request.
// 6    AUTHENTICATION_SYNCER_FAILED    -    Syncer SASL handshake. Returned SASL response and closed the connection.
// 7    AUTHENTICATION_SYNCER_OK    -    Syncer authenticated. Returned SASL response.
// 8    AUTHENTICATION_OK    -    Client successfully authenticated.
| where EventType == "auth" and EventStatus == 2 or EventStatus == 8 or EventStatus == 7
| summarize count() by ClientIp

• Nieudane próby uwierzytelnienia w pamięci podręcznej

REDConnectionEvents
// https://docs.redis.com/latest/rs/security/audit-events/#status-result-codes
// EventStatus : 
// 0    AUTHENTICATION_FAILED    -    Invalid username and/or password.
// 1    AUTHENTICATION_FAILED_TOO_LONG    -    Username or password are too long.
// 2    AUTHENTICATION_NOT_REQUIRED    -    Client tried to authenticate, but authentication isn’t necessary.
// 3    AUTHENTICATION_DIRECTORY_PENDING    -    Attempting to receive authentication info from the directory in async mode.
// 4    AUTHENTICATION_DIRECTORY_ERROR    -    Authentication attempt failed because there was a directory connection error.
// 5    AUTHENTICATION_SYNCER_IN_PROGRESS    -    Syncer SASL handshake. Return SASL response and wait for the next request.
// 6    AUTHENTICATION_SYNCER_FAILED    -    Syncer SASL handshake. Returned SASL response and closed the connection.
// 7    AUTHENTICATION_SYNCER_OK    -    Syncer authenticated. Returned SASL response.
// 8    AUTHENTICATION_OK    -    Client successfully authenticated.
| where EventType == "auth" and EventStatus != 2 and EventStatus != 8 and EventStatus != 7
| project ClientIp, EventStatus, ConnectionId

Następne kroki

Aby uzyskać szczegółowe informacje na temat tworzenia ustawienia diagnostycznego przy użyciu witryny Azure Portal, interfejsu wiersza polecenia lub programu PowerShell, zobacz tworzenie ustawienia diagnostycznego w celu zbierania dzienników platformy i metryk na platformie Azure .