Depolama hesabında arşivlenen Azure İzleyici platform günlüklerine biçim değişikliği için hazırlanma

Uyarı

Eğer tanılama ayarlarını kullanarak Azure kaynak günlüklerini veya ölçümlerini bir depolama hesabına veya günlük profillerini kullanarak etkinlik günlüklerini bir depolama hesabına gönderiyorsanız, depolama hesabındaki verilerin formatı 1 Kasım 2018'de JSON Satırları olarak değiştirildi. Aşağıdaki yönergeler, yeni biçimin etkisini ve bu biçimi işlemeyi sağlamak için araçlarınızı nasıl güncelleyebileceğinizi açıklar.

Ne değişti?

Azure İzleyici, kaynak günlüklerini ve etkinlik günlüklerini bir Azure depolama hesabına, Event Hubs ad alanına veya Azure İzleyici'deki Log Analytics çalışma alanına göndermenizi sağlayan bir özellik sunar. Sistem performansı sorununu gidermek için 1 Kasım 2018 saat 12:00 UTC'de blob depolamaya gönderme günlük verilerinin biçimi değişti. Blob depolamadan veri okuyan araçlarınız varsa, yeni veri biçimini anlamak için araçlarınızı güncelleştirmeniz gerekir.

• 1 Kasım 2018 Perşembe günü saat 12:00 UTC'de blob biçimi JSON Çizgileri olarak değiştirildi. Bu, her kaydın dış kayıt dizisi olmadan ve JSON kayıtları arasında virgül olmadan yeni bir satırla sınırlandırılacağı anlamına gelir.
• Blob biçimi, tüm aboneliklerdeki tüm tanılama ayarları için aynı anda değiştirildi. 1 Kasım için yayılan ilk PT1H.json dosyası bu yeni biçimi kullandı. Blob ve kapsayıcı adları aynı kalır.
• 1 Kasım öncesinde bir tanılama ayarının belirlenmesi, verileri geçerli formatta 1 Kasım'a kadar iletmeye devam etti.
• Bu değişiklik tüm genel bulut bölgelerinde aynı anda oluştu. Değişiklik henüz 21Vianet, Azure Almanya veya Azure Kamu bulutları tarafından sağlanan Microsoft Azure'da gerçekleşmeyecektir.
• Bu değişiklik aşağıdaki veri türlerini etkiler:
  • Azure kaynak günlükleri (buradaki kaynakların listesine bakın)
  • Tanılama ayarları tarafından dışarı aktarılan Azure kaynak ölçümleri
  • Günlük profilleri tarafından dışarı aktarılan Azure Etkinlik günlüğü verileri
• Bu değişiklik aşağıdakileri etkilemez:
  • Ağ akışı günlükleri
  • Azure hizmet günlükleri henüz Azure İzleyici aracılığıyla kullanıma sunulmadı (örneğin, Azure App Service kaynak günlükleri, depolama analizi günlükleri)
  • Azure kaynak günlüklerini ve etkinlik günlüklerini diğer hedeflere yönlendirme (Event Hubs, Log Analytics)

Etkilenip etkilenmediğini görme

Bu değişiklik yalnızca aşağıdakiler durumunda etkilenir:

1. Tanılama ayarı kullanarak günlük verilerini bir Azure depolama hesabına gönderiyor ve
2. Depolamadaki bu günlüklerin JSON yapısını kullanan araçlar setine sahip olun.

Azure depolama hesabına veri gönderen tanılama ayarlarınız olup olmadığını belirlemek için portalın İzleyici bölümüne gidebilir, Tanılama Ayarları'na tıklayabilir ve Tanılama DurumuEtkin olarak ayarlanmış tüm kaynakları tanımlayabilirsiniz:

Tanılama Durumu etkin olarak ayarlandıysa, bu kaynakta etkin bir tanılama ayarınız vardır. Depolama hesabına veri gönderen tanılama ayarları olup olmadığını görmek için kaynağa tıklayın:

Bu kaynak tanılama ayarlarını kullanarak depolama hesabına veri gönderen kaynaklarınız varsa, söz konusu depolama hesabındaki verilerin biçimi bu değişiklikden etkilenir. Bu depolama hesaplarının dışında çalışan özel araçlarınız yoksa, biçim değişikliği sizi etkilemez.

Biçim değişikliğinin ayrıntıları

Azure blob depolamadaki PT1H.json dosyasının geçerli biçimi bir JSON kayıt dizisi kullanır. KeyVault günlük dosyasının bir örneği aşağıda verilmiştir:

{
    "records": [
        {
            "time": "2016-01-05T01:32:01.2691226Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "78",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        },
        {
            "time": "2016-01-05T01:33:56.5264523Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "83",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        }
    ]
}

Yeni biçim JSON çizgilerini kullanır; burada her olay bir çizgidir ve yeni satır karakteri yeni bir olayı gösterir. Değişiklik sonrasında yukarıdaki örneğin PT1H.json dosyasında nasıl görüneceği aşağıda verilmiştir:

{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}

Bu yeni biçim, Azure İzleyici'nin günlük dosyalarını ekleme bloblarını kullanarak göndermesine olanak tanır ve bu da yeni olay verilerinin sürekli eklenmesi için daha verimlidir.

Nasıl güncelleştirilir?

Yalnızca daha fazla işlem için bu günlük dosyalarını alan özel araçlarınız varsa güncelleştirmeler yapmanız gerekir. Bir dış log analytics veya SIEM aracı kullanıyorsanız , bunun yerine bu verileri almak için olay hub'larını kullanmanızı öneririz. Etkinlik hub'ları entegrasyonu, birçok hizmetten gelen günlükleri işleme ve belirli bir günlükteki konumu yer işaretleme açısından daha kolaydır.

Özel araçlar hem geçerli biçimi hem de yukarıda açıklanan JSON Çizgileri biçimini işleyecek şekilde güncelleştirilmelidir. Bu, veriler yeni biçimde görünmeye başladığında araçlarınızın bozulmamasını sağlar.

Sonraki Adımlar

• Kaynak kaynak günlüklerini depolama hesabına arşivleme hakkında bilgi edinin
• Etkinlik günlüğü verilerini depolama hesabına arşivleme hakkında bilgi edinin