Azure-erőforrásnapló-adatok küldése
Az Azure-erőforrásnaplók platformnaplók, amelyek betekintést nyújtanak az Azure-erőforráson belül végrehajtott műveletekbe. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik. Az erőforrásnaplók alapértelmezés szerint nem lesznek összegyűjtve. Ez a cikk azt a diagnosztikai beállítást ismerteti, amely szükséges ahhoz, hogy az egyes Azure-erőforrások különböző célhelyekre küldjék az erőforrásnaplókat.
Küldés Log Analytics-munkaterületre
Erőforrásnaplók küldése Log Analytics-munkaterületre az Azure Monitor-naplók funkcióinak engedélyezéséhez, ahol a következőket teheti:
- Az erőforrásnapló adatainak korrelálása az Azure Monitor által gyűjtött egyéb monitorozási adatokkal.
- Több Azure-erőforrásból, előfizetésből és bérlőből származó naplóbejegyzések összevonása egy helyre elemzés céljából.
- Napló lekérdezésekkel összetett elemzéseket végezhet, és mély elemzéseket végezhet a naplóadatokról.
- Naplókeresési riasztások használata összetett riasztási logikával.
Hozzon létre egy diagnosztikai beállítást , amellyel erőforrásnaplókat küldhet egy Log Analytics-munkaterületre. Ezeket az adatokat táblák tárolják az Azure Monitor-naplók szerkezetében leírtak szerint. Az erőforrásnaplók által használt táblák attól függenek, hogy milyen típusú gyűjteményt használ az erőforrás:
- Azure-diagnosztika: A rendszer minden adatot az AzureDiagnostics táblába ír.
- Erőforrás-specifikus: Az adatok az erőforrás egyes kategóriáinak egyes tábláiba lesznek írva.
Erőforrás-specifikus
Ebben a módban a rendszer a diagnosztikai beállításban kiválasztott kategóriákhoz külön táblákat hoz létre a kijelölt munkaterületen. Ezt a metódust a következő módon javasoljuk:
- Megkönnyíti az adatok kezelését a napló lekérdezéseiben.
- Jobb felderíthetőséget biztosít a sémák és azok struktúrája számára.
- Javítja a teljesítményt a betöltési késés és a lekérdezési idők között.
- Lehetővé teszi az Azure szerepköralapú hozzáférés-vezérlési jogosultságainak biztosítását egy adott táblán.
Az összes Azure-szolgáltatás végül az erőforrás-specifikus módba fog migrálni.
Az alábbi példa három táblát hoz létre:
Táblázat
Service1AuditLogs
Erőforrás-szolgáltató Kategória A h C 1. szolgáltatás AuditLogs x1 y1 Z1 1. szolgáltatás AuditLogs x5 y5 z5 ... Táblázat
Service1ErrorLogs
Erőforrás-szolgáltató Kategória T E F 1. szolgáltatás Hibanaplók 1. kérdés w1 e1 1. szolgáltatás Hibanaplók 2. kérdés w2 e2 ... Táblázat
Service2AuditLogs
Erőforrás-szolgáltató Kategória G H d 2. szolgáltatás AuditLogs j1 k1 l1 2. szolgáltatás AuditLogs j3 k3 l3 ...
Azure diagnosztikai mód
Ebben a módban a rendszer minden diagnosztikai beállítás adatait összegyűjti az AzureDiagnostics táblában. Ezt az örökölt módszert használja ma a legtöbb Azure-szolgáltatás. Mivel több erőforrástípus küld adatokat ugyanarra a táblára, a séma az összes összegyűjtött adattípus sémáinak szuperhalmaza. A táblázat szerkezetéről és a lehetségesen nagy számú oszlop használatáról az AzureDiagnostics-referenciában olvashat.
Vegyünk egy példát, ahol a diagnosztikai beállításokat ugyanabban a munkaterületen gyűjtik a következő adattípusokhoz:
- Az 1. szolgáltatás naplói olyan sémával rendelkeznek, amely A, B és C oszlopból áll
- Az 1. szolgáltatás hibanaplói A D, E és F oszlopból álló sémával rendelkeznek
- A 2. szolgáltatás naplóinak sémája G, H és I oszlopból áll
A AzureDiagnostics
táblázat a következő példához hasonlóan néz ki:
ResourceProvider | Kategória | A | h | C | T | E | F | G | H | d |
---|---|---|---|---|---|---|---|---|---|---|
Microsoft.Service1 | AuditLogs | x1 | y1 | Z1 | ||||||
Microsoft.Service1 | Hibanaplók | 1. kérdés | w1 | e1 | ||||||
Microsoft.Service2 | AuditLogs | j1 | k1 | l1 | ||||||
Microsoft.Service1 | Hibanaplók | 2. kérdés | w2 | e2 | ||||||
Microsoft.Service2 | AuditLogs | j3 | k3 | l3 | ||||||
Microsoft.Service1 | AuditLogs | x5 | y5 | z5 | ||||||
... |
A gyűjtemény mód kiválasztása
A legtöbb Azure-erőforrás azure-diagnosztika vagy erőforrás-specifikus módban ír adatokat a munkaterületre anélkül, hogy választást adnának. További információ: Az Azure-erőforrásnaplók általános és szolgáltatásspecifikus sémái.
Az összes Azure-szolgáltatás végül az erőforrás-specifikus módot fogja használni. Az áttűnés részeként egyes erőforrások lehetővé teszik egy mód kiválasztását a diagnosztikai beállításban. Adjon meg erőforrás-specifikus módot az új diagnosztikai beállításokhoz, mert ez a mód megkönnyíti az adatok kezelését. Segíthet az összetett migrálások későbbi elkerülésében is.
Feljegyzés
Ha egy Azure Resource Manager-sablon használatával állítja be a gyűjtési módot, tekintse meg a Resource Manager-sablonmintákat az Azure Monitor diagnosztikai beállításaihoz.
A meglévő diagnosztikai beállításokat erőforrás-specifikus módra módosíthatja. Ebben az esetben a már összegyűjtött adatok a AzureDiagnostics
táblában maradnak, amíg el nem távolítják őket a munkaterület megőrzési beállításainak megfelelően. A rendszer új adatokat gyűjt a dedikált táblában. Az egyesítő operátor használatával mindkét táblában lekérdezheti az adatokat.
Tekintse meg az Azure Frissítések blogot, amely az erőforrás-specifikus módot támogató Azure-szolgáltatásokkal kapcsolatos bejelentéseket tartalmaz.
Küldés az Azure Event Hubsba
Erőforrásnaplók küldése egy eseményközpontba, hogy azOkat az Azure-on kívül küldje el. Előfordulhat például, hogy az erőforrásnaplók egy külső SIEM-nek vagy más log analytics-megoldásnak lesznek elküldve. Az eseményközpontokból származó erőforrásnaplók JSON formátumban vannak felhasználva, és az records
egyes hasznos adatok rekordjait tartalmazó elemet tartalmaznak. A séma az Azure-erőforrásnaplók általános és szolgáltatásspecifikus sémájában leírt erőforrástípustól függ.
A következő kimeneti mintaadatok az Azure Event Hubsból származnak egy erőforrásnaplóhoz:
{
"records": [
{
"time": "2019-07-15T18:00:22.6235064Z",
"workflowId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330013509921957/ACTIONS/SEND_EMAIL",
"category": "WorkflowRuntime",
"level": "Error",
"operationName": "Microsoft.Logic/workflows/workflowActionCompleted",
"properties": {
"$schema": "2016-04-01-preview",
"startTime": "2016-07-15T17:58:55.048482Z",
"endTime": "2016-07-15T18:00:22.4109204Z",
"status": "Failed",
"code": "BadGateway",
"resource": {
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"resourceGroupName": "JohnKemTest",
"workflowId": "243aac67fe904cf195d4a28297803785",
"workflowName": "JohnKemTestLA",
"runId": "08587330013509921957",
"location": "westus",
"actionName": "Send_email"
},
"correlation": {
"actionTrackingId": "29a9862f-969b-4c70-90c4-dfbdc814e413",
"clientTrackingId": "08587330013509921958"
}
}
},
{
"time": "2019-07-15T18:01:15.7532989Z",
"workflowId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330012106702630/ACTIONS/SEND_EMAIL",
"category": "WorkflowRuntime",
"level": "Information",
"operationName": "Microsoft.Logic/workflows/workflowActionStarted",
"properties": {
"$schema": "2016-04-01-preview",
"startTime": "2016-07-15T18:01:15.5828115Z",
"status": "Running",
"resource": {
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"resourceGroupName": "JohnKemTest",
"workflowId": "243aac67fe904cf195d4a28297803785",
"workflowName": "JohnKemTestLA",
"runId": "08587330012106702630",
"location": "westus",
"actionName": "Send_email"
},
"correlation": {
"actionTrackingId": "042fb72c-7bd4-439e-89eb-3cf4409d429e",
"clientTrackingId": "08587330012106702632"
}
}
}
]
}
Küldés az Azure Storage-be
Erőforrásnaplók küldése az Azure Storage-ba archiválás céljából. A diagnosztikai beállítás létrehozása után a rendszer azonnal létrehoz egy tárolót a tárfiókban, amint esemény történik az engedélyezett naplókategóriák egyikében.
Feljegyzés
Az archiválás másik stratégiája, hogy az erőforrásnaplót archiválási szabályzattal rendelkező Log Analytics-munkaterületre küldi.
A tárolón belüli blobok a következő elnevezési konvencióval használhatók:
insights-logs-{log category name}/resourceId=/SUBSCRIPTIONS/{subscription ID}/RESOURCEGROUPS/{resource group name}/PROVIDERS/{resource provider name}/{resource type}/{resource name}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json
Egy hálózati biztonsági csoport blobjának neve az alábbi példához hasonló lehet:
insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUP/TESTNSG/y=2016/m=08/d=22/h=18/m=00/PT1H.json
Minden PT1H.json blob tartalmaz egy JSON-objektumot, amely a blob URL-címében megadott órában fogadott naplófájlokból származó eseményeket tartalmazza. A jelen órában az eseményeket a rendszer hozzáfűzi a PT1H.json fájlhoz, függetlenül attól, hogy mikor lettek létrehozva. Az URL-cím m=00
percértéke mindig 00
a blobok óránkénti létrehozása.
A PT1H.json fájlban minden esemény a következő formátumban lesz tárolva. Általános legfelső szintű sémát használ, de minden Azure-szolgáltatás esetében egyedi, az Erőforrásnaplók sémában leírtak szerint.
Feljegyzés
A naplók a napló beérkezésének időpontjától függően blobokra lesznek írva, függetlenül a létrehozás időpontjától. Ez azt jelenti, hogy egy adott blob a blob URL-címében megadott órán kívül eső naplóadatokat tartalmazhat. Ahol egy adatforrás, például az Application Insights támogatja az elavult telemetriai adatok feltöltését, a blobok az előző 48 órából származó adatokat tartalmazhatnak.
Egy új óra kezdetén lehetséges, hogy a meglévő naplók még mindig az előző óra blobjába vannak írva, míg az új naplók az új óra blobjába lesznek írva.
{"time": "2016-07-01T00:00:37.2040000Z","systemId": "46cdbb41-cb9c-4f3d-a5b4-1d458d827ff1","category": "NetworkSecurityGroupRuleCounter","resourceId": "/SUBSCRIPTIONS/s1id1234-5679-0123-4567-890123456789/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/TESTNSG","operationName": "NetworkSecurityGroupCounters","properties": {"vnetResourceGuid": "{12345678-9012-3456-7890-123456789012}","subnetPrefix": "10.3.0.0/24","macAddress": "000123456789","ruleName": "/subscriptions/ s1id1234-5679-0123-4567-890123456789/resourceGroups/testresourcegroup/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/default-allow-rdp","direction": "In","type": "allow","matchedConnections": 1988}}
Azure Monitor-partnerintegrációk
Az erőforrásnaplók olyan partnermegoldásoknak is elküldhetők, amelyek teljesen integrálva vannak az Azure-ba. A megoldások listáját és a konfigurálásuk részleteit az Azure Monitor partnerintegrációi című témakörben találja.