Vorbereitung auf die Formatänderung der Azure Monitor-Plattformprotokolle, die in einem Speicherkonto archiviert werden

Warnung

Wenn Sie Azure-Ressourcenprotokolle oder -Metriken mithilfe von Diagnoseeinstellungen oder Aktivitätsprotokolle mit Protokollprofilenan ein Speicherkonto senden, wurde das Format der Daten im Speicherkonto am 1. November 2018 in JSON Lines geändert. In den folgenden Anweisungen werden die Auswirkungen und das Aktualisieren der Tools zum Behandeln des neuen Formats beschrieben.

Was sich geändert hat

Azure Monitor bietet eine Funktion, mit der Sie Ressourcenprotokolle und Aktivitätsprotokolle an ein Azure-Speicherkonto, einen Event Hubs-Namespace oder in einen Log Analytics-Arbeitsbereich in Azure Monitor senden können. Um ein Systemleistungsproblem zu beheben, änderte sich am 1. November 2018 um 12:00 mitternacht UTC das Format der Protokolldaten, die an das Blob Storage gesendet werden. Wenn Sie Über Tools zum Lesen von Daten aus blob-Speicher verfügen, müssen Sie die Tools aktualisieren, um das neue Datenformat zu verstehen.

• Am Donnerstag, dem 1. November 2018 um Mitternacht UTC, wurde das Blob-Format zu JSON-Zeilengeändert. Dies bedeutet, dass jeder Datensatz durch einen Zeilenumbruch getrennt wird, ohne äußeres Record-Array und ohne Kommas zwischen JSON-Datensätzen.
• Das BLOB-Format wurde für alle Diagnoseeinstellungen in allen Abonnements gleichzeitig geändert. Die erste PT1H.json Datei, die für den 1. November ausgegeben wurde, verwendet dieses neue Format. Die Blob- und Containernamen bleiben unverändert.
• Das Festlegen einer Diagnoseeinstellung vor dem 1. November führte dazu, dass die Daten bis zum 1. November weiterhin im aktuellen Format ausgegeben wurden.
• Diese Änderung erfolgte auf einmal in allen öffentlichen Cloudregionen. Die Änderung erfolgt noch nicht in Microsoft Azure Operated by 21Vianet, Azure Germany oder Azure Government Clouds.
• Diese Änderung wirkt sich auf die folgenden Datentypen aus:
  • Azure-Ressourcenprotokolle (siehe Ressourcenliste hier)
  • Azure-Ressourcenmetriken, die durch die Diagnoseeinstellungen exportiert werden,
  • Azure Activity-Protokolldaten, die von Protokollprofilen exportiert werden
• Diese Änderung hat keine Auswirkungen:
  • Netzwerkflussprotokolle
  • Azure-Dienstprotokolle wurden noch nicht über Azure Monitor verfügbar gemacht (z. B. Azure App Service-Ressourcenprotokolle, Speicheranalyseprotokolle)
  • Routing von Azure-Ressourcenprotokollen und -Aktivitätsprotokollen an andere Ziele (Event Hubs, Log Analytics)

Wie Sie sehen, ob Sie betroffen sind

Sie haben nur Auswirkungen auf diese Änderung, wenn Sie:

1. Senden von Protokolldaten an ein Azure-Speicherkonto mithilfe einer Diagnoseeinstellung und
2. Verfügen Sie über Tools, die von der JSON-Struktur dieser Protokolle im Speicher abhängig sind.

Um festzustellen, ob Sie Diagnoseeinstellungen haben, die Daten an ein Azure-Speicherkonto senden, können Sie zum Abschnitt Überwachen des Portals navigieren, auf Diagnoseeinstellungenklicken und alle Ressourcen identifizieren, die Diagnosestatus auf Aktiviertefestgelegt haben:

Wenn der Diagnosestatus auf "Aktiviert" festgelegt ist, verfügen Sie über eine aktive Diagnoseeinstellung für diese Ressource. Klicken Sie auf die Ressource, um festzustellen, ob Diagnoseeinstellungen Daten an ein Speicherkonto senden:

aktiviert

Wenn Sie Ressourcen haben, die Daten mithilfe dieser Ressourcendiagnoseeinstellungen an ein Speicherkonto senden, wird das Format der Daten in diesem Speicherkonto durch diese Änderung beeinflusst. Wenn Sie keine benutzerdefinierten Tools haben, die von diesen Speicherkonten ausgeführt werden, wirkt sich die Formatänderung nicht auf Sie aus.

Details der Formatänderung

Das aktuelle Format der PT1H.json-Datei im Azure Blob Storage verwendet ein JSON-Array von Datensätzen. Hier ist ein Beispiel für eine KeyVault-Protokolldatei:

{
    "records": [
        {
            "time": "2016-01-05T01:32:01.2691226Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "78",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        },
        {
            "time": "2016-01-05T01:33:56.5264523Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "83",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {
                "claim": {
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
                    "appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
                }
            },
            "properties": {
                "clientInfo": "azure-resource-manager/2.0",
                "requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
                "id": "https://contosokeyvault.vault.azure.net/",
                "httpStatusCode": 200
            }
        }
    ]
}

Das neue Format verwendet JSON-Zeilen, wobei jedes Ereignis eine Zeile ist und das Zeilenumbruchzeichen ein neues Ereignis angibt. Hier sehen Sie, wie das obige Beispiel in der datei PT1H.json nach der Änderung aussieht:

{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}

Mit diesem neuen Format kann Azure Monitor Protokolldateien mithilfe von Anfügeb-Blobspushen, die effizienter sind, um neue Ereignisdaten kontinuierlich anzufügen.

So aktualisieren Sie

Sie müssen nur Aktualisierungen vornehmen, wenn Sie über benutzerdefinierte Tools verfügen, die diese Protokolldateien zur weiteren Verarbeitung aufnehmen. Wenn Sie ein externes Protokollanalyse- oder SIEM-Tool verwenden, empfiehlt es sich, stattdessen Event Hubs zu nutzen, um diese Daten aufzunehmen. Die Integration von Event Hubs ist bezüglich der Verarbeitung von Protokollen vieler Dienste und der Lesezeichenpositionen in einem bestimmten Protokoll einfacher.

Benutzerdefinierte Tools sollten aktualisiert werden, um sowohl das aktuelle Format als auch das oben beschriebene JSON Lines-Format zu verarbeiten. Dadurch wird sichergestellt, dass Ihre Tools weiterhin funktionieren, wenn Daten im neuen Format erscheinen.

Nächste Schritte

• Erfahren Sie mehr über die Archivierung von Ressourcenprotokollen in einem Speicherkonto
• Erfahren Sie mehr über Archivierungsaktivitätsprotokolldaten in einem Speicherkonto