Preparare la modifica del formato ai log della piattaforma di Monitoraggio di Azure archiviati in un account di archiviazione
Avviso
Se si inviano log o metriche di risorse di Azure a un account di archiviazione usando le impostazioni di diagnostica o i log attività in un account di archiviazione usando i profili di log, il formato dei dati nell'account di archiviazione è stato modificato in Righe JSON nel novembre 2018. Le impostazioni di seguito descrivono l'impatto della modifica e come aggiornare gli strumenti per gestire il nuovo formato.
Cosa è cambiato
Monitoraggio di Azure offre una funzionalità che consente di inviare log risorse e log attività in un account di archiviazione di Azure, uno spazio dei nomi hub eventi o in un'area di lavoro Log Analytics in Monitoraggio di Azure. Per risolvere un problema di prestazioni del sistema, il 1° novembre 2018 alle 12:00 UTC il formato dei dati di log inviati all'archiviazione BLOB è cambiato. Se si dispone di strumenti che leggono dati dalla archiviazione blob, è necessario aggiornarli per il riconoscimento del nuovo formato dati.
- Giovedì 1 novembre 2018 alle 12:00 UTC, il formato BLOB è cambiato in righe JSON. Ciò significa che ogni record sarà delimitato da una nuova riga, senza matrice di record esterna e senza virgola tra i record JSON.
- Il formato BLOB è cambiato per tutte le impostazioni di diagnostica in tutte le sottoscrizioni contemporaneamente. Il primo file PT1H.json generato per il 1 novembre ha usato questo nuovo formato. I nomi di blob e contenitore rimangono invariati.
- L'impostazione di un'impostazione di diagnostica tra il 1 novembre ha continuato a generare dati nel formato corrente fino al 1 novembre.
- Questa modifica si è verificata una volta in tutte le aree cloud pubbliche. La modifica non si verificherà in Microsoft Azure gestita da 21Vianet, Azure Germania o Azure per enti pubblici cloud ancora.
- Questa modifica interessa i tipi di dati seguenti:
- Questa modifica non interessa:
- Log dei flussi di rete
- I log dei servizi di Azure non sono ancora disponibili tramite Monitoraggio di Azure(ad esempio, Servizio app di Azure log delle risorse, log di analisi dell'archiviazione)
- Routing dei log delle risorse di Azure e dei log attività ad altre destinazioni (Hub eventi, Log Analytics)
Come verificare se si è coinvolti dalla modifica
Questa modifica interessa l'utente solo se:
- Inviare dati di log a un account di archiviazione di Azure usando un'impostazione di diagnostica e
- Dispone di strumenti che dipendono dalla struttura JSON di questi log nell'archiviazione.
Per identificare se sono presenti impostazioni di diagnostica che inviano dati a un account di archiviazione di Azure, è possibile passare alla sezione Monitoraggio del portale, fare clic su Impostazioni di diagnostica e identificare le risorse impostate su Stato di diagnostica impostate su Abilitato:
Se lo Stato di diagnostica è impostato su abilitato, è presente un'impostazione di diagnostica attiva sulla stessa risorsa. Fare clic sulla risorsa per vedere se tutte le impostazioni di diagnostica inviano dati a un account di archiviazione:
Se si dispone di risorse che inviano dati a un account di archiviazione con queste impostazioni di diagnostica di risorsa, il formato dei dati nell'account di archiviazione sarà interessato da questa modifica. A meno che non si disponga di strumenti personalizzati che operano al di fuori di questi account di archiviazione, la modifica del formato non interesserà l'utente.
Dettagli della modifica del formato
Il formato corrente del file PT1H.json nell'archivio blob di Azure usa una matrice JSON dei record. Ecco come appare adesso un file di log di Key Vault:
{
"records": [
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
"appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
}
},
"properties": {
"clientInfo": "azure-resource-manager/2.0",
"requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
"id": "https://contosokeyvault.vault.azure.net/",
"httpStatusCode": 200
}
},
{
"time": "2016-01-05T01:33:56.5264523Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "83",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
"appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
}
},
"properties": {
"clientInfo": "azure-resource-manager/2.0",
"requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
"id": "https://contosokeyvault.vault.azure.net/",
"httpStatusCode": 200
}
}
]
}
Il nuovo formato usa righe JSON, dove ogni evento è una riga e il carattere di nuova riga indica un nuovo evento. Ecco come l'esempio riportato in alto apparirà nel file PT1H.json dopo la modifica:
{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
Questo nuovo formato abilita il Monitoraggio di Azure per eseguire il push di file di log mediante blob di accodamento, che risultano più efficienti per l'aggiunta continua di nuovi dati di eventi.
Come eseguire l'aggiornamento
È necessario eseguire gli aggiornamenti se si dispone di strumenti personalizzati che inseriscono questi file di log per un'ulteriore elaborazione. Se si usa un'analisi dei log esterna o uno strumento SIEM, è consigliabile usare invece hub eventi per inserire i dati. L'integrazione di hub eventi è più semplice in termini di log di elaborazione da molti servizi e posizioni segnalibro in un log specifico.
Gli strumenti personalizzati devono essere aggiornati per gestire il formato corrente e il formato righe JSON descritto in precedenza. Ciò impedirà agli strumenti di interrompere l'esecuzione quando i dati saranno visualizzati nel nuovo formato.