Przygotowanie do zmiany formatu na Azure Monitor platformy zarchiwizowane na koncie magazynu

Ostrzeżenie

Jeśli wysyłasz dzienniki zasobów lub metryki platformy Azure do konta magazynu przy użyciu ustawień diagnostycznych lub dzienników aktywności na konto magazynu przy użyciu profilów dzienników ,format danych na koncie magazynu został zmieniony na Wiersze JSON w dniu 1 listopada 2018 r. W poniższych instrukcjach opisano wpływ i sposób aktualizowania narzędzi w celu obsługi nowego formatu.

Co się zmieniło

Azure Monitor udostępnia funkcję, która umożliwia wysyłanie dzienników zasobów i dzienników aktywności na konto usługi Azure Storage, Event Hubs nazw lub do obszaru roboczego usługi Log Analytics w usłudze Azure Monitor. Aby rozwiązać problem z wydajnością systemu, 1 listopada 2018 r. o godzinie 12:00 czasu UTC zmieniono format danych dziennika przesyłanych do magazynu obiektów blob. Jeśli masz narzędzia odczytujące dane z magazynu obiektów blob, musisz zaktualizować narzędzia, aby zrozumieć nowy format danych.

  • W czwartek, 1 listopada 2018 r. o godzinie 12:00 czasu UTC format obiektu blob został zmieniony na Wiersze JSON. Oznacza to, że każdy rekord będzie rozdzielany znakiem nowego linii, bez tablicy rekordów zewnętrznych i bez przecinków między rekordami JSON.
  • Format obiektu blob został zmieniony dla wszystkich ustawień diagnostycznych jednocześnie we wszystkich subskrypcjach. Pierwszy plik PT1H.json emitowany dla 1 listopada użył tego nowego formatu. Nazwy obiektów blob i kontenerów pozostają takie same.
  • Ustawienie ustawienia diagnostycznego przed 1 listopada kontynuowało emitowanie danych w bieżącym formacie do 1 listopada.
  • Ta zmiana nastąpiła jednocześnie we wszystkich regionach chmury publicznej. Ta zmiana nie nastąpi w przypadku Microsoft Azure obsługiwanych przez firmę 21Vianet, Azure Germany ani Azure Government chmurach.
  • Ta zmiana ma wpływ na następujące typy danych:
  • Ta zmiana nie ma wpływu na:
    • Dzienniki przepływu sieci
    • Dzienniki usług platformy Azure nie są jeszcze dostępne za pośrednictwem Azure Monitor (na przykład dzienniki Azure App Service zasobów, dzienniki analizy magazynu)
    • Routing dzienników zasobów i dzienników aktywności platformy Azure do innych miejsc docelowych (Event Hubs, Log Analytics)

Jak sprawdzić, czy masz wpływ na Ciebie

Ta zmiana ma wpływ tylko w przypadku, gdy:

  1. Wysyłają dane dziennika na konto usługi Azure Storage przy użyciu ustawienia diagnostycznego i
  2. Mieć narzędzia, które zależą od struktury JSON tych dzienników w magazynie.

Aby ustalić, czy masz ustawienia diagnostyczne, które wysyłają dane do konta usługi Azure Storage, możesz przejść do sekcji Monitorowanie portalu, kliknąć pozycję Diagnostyka Ustawieniai zidentyfikować wszystkie zasoby, które mają stan diagnostyki ustawiony na Włączone:

Azure Monitor Diagnostic Settings blade

Jeśli stan diagnostyki jest ustawiony na wartość Włączone, masz aktywne ustawienie diagnostyczne dla tego zasobu. Kliknij zasób, aby sprawdzić, czy jakiekolwiek ustawienia diagnostyczne wysyłają dane do konta magazynu:

Storage account enabled

Jeśli masz zasoby wysyłające dane do konta magazynu przy użyciu tych ustawień diagnostycznych zasobów, ta zmiana będzie mieć wpływ na format danych na tym koncie magazynu. Jeśli nie masz niestandardowych narzędzi, które działają poza tymi kontami magazynu, zmiana formatu nie wpłynie na Ciebie.

Szczegóły zmiany formatu

Bieżący format pliku PT1H.json w usłudze Azure Blob Storage używa tablicy rekordów JSON. Oto przykładowy plik dziennika usługi KeyVault:

{
    "records": [
        {
            "time": "2016-01-05T01:32:01.2691226Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "78",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        },
        {
            "time": "2016-01-05T01:33:56.5264523Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "83",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        }
    ]
}

Nowy format używa wierszy JSON,gdzie każde zdarzenie jest wierszem, a znak nowego wiersza wskazuje nowe zdarzenie. Oto jak będzie wyglądać powyższy przykład w pliku PT1H.json po zmianie:

{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}

Ten nowy format umożliwia Azure Monitor plików dziennika przy użyciu uzupełniających obiektów blob,które są bardziej wydajne w przypadku ciągłego dołączania nowych danych zdarzeń.

Jak zaktualizować

Aktualizacje należy wprowadzić tylko wtedy, gdy masz niestandardowe narzędzia, które pozysują te pliki dziennika do dalszego przetwarzania. Jeśli korzystasz z zewnętrznej analizy dzienników lub narzędzia SIEM, zalecamy pozysowanie tych danych za pomocą usługi Event Hubs. Integracja z usługą Event Hubs jest łatwiejsza pod względem przetwarzania dzienników z wielu usług i lokalizacji zakładek w określonym dzienniku.

Narzędzia niestandardowe powinny zostać zaktualizowane w celu obsługi zarówno bieżącego formatu, jak i formatu wierszy JSON opisanego powyżej. Dzięki temu, gdy dane zaczną pojawiać się w nowym formacie, narzędzia nie zostaną złamane.

Następne kroki