警告
如果您使用診斷設定將 Azure 資源記錄或計量傳送至儲存帳戶, 或使用日誌概況將 活動記錄傳送至儲存帳戶, 儲存帳戶中的數據格式已於 2018 年 11 月 1 日變更為 JSON Lines。 下列指示說明影響,以及如何更新工具以處理新格式。
變更了什麼
Azure 監視器提供一項功能,可讓您將資源記錄和活動記錄傳送至 Azure 儲存器帳戶、事件中樞命名空間或 Azure 監視器中的 Log Analytics 工作區。 為了解決系統效能問題,2018 年 11 月 1 日午夜 12:00 UTC 傳送至 Blob 記憶體的記錄數據格式已變更。 如果您有從 Blob 記憶體讀取資料的工具,您需要更新工具以瞭解新的資料格式。
- 在 2018 年 11 月 1 日星期四,UTC 時間凌晨 12:00,blob 格式已變更為 JSON 行。 這表示每個記錄都會以換行符分隔,沒有外層的記錄陣列,也沒有在 JSON 記錄之間使用逗號。
- Blob 格式已同時變更,適用於所有訂用帳戶的所有診斷設定。 11 月 1 日發出的第一個 PT1H.json 檔案會使用此新格式。 Blob 和容器名稱維持不變。
- 在 11 月 1 日之前設定診斷設定會繼續以目前格式發出數據,直到 11 月 1 日為止。
- 此變更會在所有公用雲端區域中一次發生。 這項變更不會出現在由 21Vianet 運營的 Microsoft Azure、德國的 Azure 或政府雲端。
- 這項變更會影響下列資料類型:
- 這項變更不會影響:
- 網路流量記錄
- Azure 服務記錄尚未透過 Azure 監視器提供 (例如,Azure App Service 資源記錄、記憶體分析記錄)
- 將 Azure 資源記錄和活動記錄路由傳送至其他目的地(事件中樞、記錄分析)
如何查看您是否受到影響
只有在以下情況下,您才會受到此變更的影響:
- 使用診斷設定將日誌資料傳送至 Azure 儲存帳戶。
- 具有依賴於這些記錄在儲存中之 JSON 結構的工具。
若要識別您是否有將資料傳送至 Azure 儲存體帳戶的診斷設定,您可以瀏覽至入口網站的 [監視器] 區段,按一下 [診斷設定],並識別設定為 [已啟用] 的任何 [診斷狀態] 資源:
![[Azure 監視器診斷設定] 窗格](media/resource-logs-blob-format/portal-diag-settings.png)
如果 [診斷狀態] 設定為 [已啟用],您就會在該資源上具有作用中的診斷設定。 按兩下資源以查看是否有任何診斷設定將資料傳送至記憶體帳戶:
已啟用儲存帳戶 
如果您有使用這些資源診斷設定將數據傳送至記憶體帳戶的資源,該記憶體帳戶中的數據格式將會受到這項變更的影響。 除非您有從這些記憶體帳戶運作的自訂工具,否則格式變更不會影響您。
格式變更的詳細數據
Azure Blob 記憶體中 PT1H.json 檔案的目前格式會使用記錄的 JSON 陣列。 以下是 KeyVault 記錄檔的範例:
{
"records": [
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
"appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
}
},
"properties": {
"clientInfo": "azure-resource-manager/2.0",
"requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
"id": "https://contosokeyvault.vault.azure.net/",
"httpStatusCode": 200
}
},
{
"time": "2016-01-05T01:33:56.5264523Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "83",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
"appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
}
},
"properties": {
"clientInfo": "azure-resource-manager/2.0",
"requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
"id": "https://contosokeyvault.vault.azure.net/",
"httpStatusCode": 200
}
}
]
}
新的格式會使用 JSON 行,其中每個事件都是一行,而換行符則表示新的事件。 以下是變更之後,上述範例在 PT1H.json 檔案中看起來的樣子:
{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
這個新格式可讓 Azure 監視器使用 附加 blob來推送記錄檔,這更有效率地持續附加新的事件數據。
更新方式
如果您的自定義工具會內嵌這些記錄檔以進行進一步處理,您只需要進行更新。 如果您要使用外部記錄分析或 SIEM 工具,建議您 使用事件中樞來擷取此資料,而不是。 事件中樞的整合使處理來自多個服務的記錄檔以及在特定記錄檔中標記位置變得更容易。
應更新自定義工具,以處理上述的目前格式和 JSON 行格式。 這可確保當數據開始以新格式顯示時,您的工具不會中斷。
後續步驟
- 瞭解 將資源記錄封存至存儲帳戶
- 瞭解 如何將活動記錄數據歸檔至儲存帳戶