Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Waarschuwing
Als u Azure-resourcelogboeken of metrische gegevens naar een opslagaccount verzendt met behulp van diagnostische instellingen of activiteitenlogboeken naar een opslagaccount met behulp van logboekprofielen, is de indeling van de gegevens in het opslagaccount gewijzigd in JSON Lines op 1 november 2018. In de onderstaande instructies worden de gevolgen beschreven en hoe u uw hulpprogramma's bijwerkt om de nieuwe indeling te verwerken.
Wat is er veranderd
Azure Monitor biedt een mogelijkheid waarmee u resourcelogboeken en activiteitenlogboeken kunt verzenden naar een Azure-opslagaccount, Event Hubs-naamruimte of naar een Log Analytics-werkruimte in Azure Monitor. Om een probleem met systeemprestaties op te lossen, is op 1 november 2018 om 12:00 utc de indeling van logboekgegevens die naar blobopslag worden verzonden, gewijzigd. Als u hulpprogramma's hebt die gegevens uit blobopslag lezen, moet u uw hulpprogramma's bijwerken om inzicht te krijgen in de nieuwe gegevensindeling.
- Op donderdag 1 november 2018 om 12:00 uur UTC is de blob-indeling gewijzigd in JSON-lijnen. Dit betekent dat elke record wordt gescheiden door een nieuwe regel, zonder buitenste recordsmatrix en geen komma's tussen JSON-records.
- De blob-indeling is gewijzigd voor alle diagnostische instellingen voor alle abonnementen tegelijk. Het eerste PT1H.json-bestand dat is verzonden voor 1 november, heeft deze nieuwe indeling gebruikt. De blob- en containernamen blijven hetzelfde.
- Het instellen van een diagnostische instelling vóór 1 november zorgde ervoor dat gegevens in de huidige indeling werden verzonden tot 1 november.
- Deze wijziging is in één keer opgetreden in alle openbare cloudregio's. De wijziging vindt nog niet plaats in clouds van Microsoft Azure beheerd door 21Vianet, Azure Duitsland of Azure Government.
- Deze wijziging is van invloed op de volgende gegevenstypen:
- Deze wijziging heeft geen invloed op:
- Netwerkstroomlogboeken
- Azure-servicelogboeken die nog niet beschikbaar zijn gemaakt via Azure Monitor (bijvoorbeeld Azure App Service-resourcelogboeken, logboeken voor opslaganalyse)
- Routering van Azure-resourcelogboeken en activiteitenlogboeken naar andere bestemmingen (Event Hubs, Log Analytics)
Controleren of u hier door beïnvloed wordt
U wordt alleen beïnvloed door deze wijziging als u:
- Logboekgegevens verzenden naar een Azure-opslagaccount met behulp van een diagnostische instelling en
- Beschik over tools die afhankelijk zijn van de JSON-structuur van deze logboeken in de opslag.
Als u wilt bepalen of u diagnostische instellingen hebt die gegevens naar een Azure-opslagaccount verzenden, gaat u naar de sectie Monitor van de portal, klikt u op Diagnostische instellingen en identificeert u alle resources waarvoor de diagnostische status is ingesteld op Ingeschakeld:
Als diagnostische status is ingesteld op ingeschakeld, hebt u een actieve diagnostische instelling voor die resource. Klik op de resource om te zien of er diagnostische instellingen gegevens naar een opslagaccount verzenden:
Als u resources hebt die gegevens naar een opslagaccount verzenden met behulp van deze diagnostische instellingen voor resources, wordt de indeling van de gegevens in dat opslagaccount beïnvloed door deze wijziging. Tenzij u aangepaste hulpprogramma's hebt die van deze opslagaccounts werken, heeft de wijziging van de indeling geen invloed op u.
Details van de opmaakwijziging
De huidige indeling van het PT1H.json-bestand in Azure Blob Storage maakt gebruik van een JSON-matrix met records. Hier volgt nu een voorbeeld van een KeyVault-logboekbestand:
{
"records": [
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
"appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
}
},
"properties": {
"clientInfo": "azure-resource-manager/2.0",
"requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
"id": "https://contosokeyvault.vault.azure.net/",
"httpStatusCode": 200
}
},
{
"time": "2016-01-05T01:33:56.5264523Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "83",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {
"claim": {
"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com",
"appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"
}
},
"properties": {
"clientInfo": "azure-resource-manager/2.0",
"requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01",
"id": "https://contosokeyvault.vault.azure.net/",
"httpStatusCode": 200
}
}
]
}
De nieuwe indeling maakt gebruik van JSON-regels, waarbij elke gebeurtenis een regel is en het teken newline een nieuwe gebeurtenis aangeeft. Dit is hoe het bovenstaande voorbeeld eruitziet in het PT1H.json bestand na de wijziging:
{"time": "2016-01-05T01:32:01.2691226Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "78","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
{"time": "2016-01-05T01:33:56.5264523Z","resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT","operationName": "VaultGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK","resultDescription": "","durationMs": "83","callerIpAddress": "104.40.82.76","correlationId": "","identity": {"claim": {"http://schemas.microsoft.com/identity/claims/objectidentifier": "d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "live.com#username@outlook.com","appid": "1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},"properties": {"clientInfo": "azure-resource-manager/2.0","requestUri": "https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id": "https://contosokeyvault.vault.azure.net/","httpStatusCode": 200}}
Met deze nieuwe indeling kan Azure Monitor logboekbestanden pushen met behulp van toevoeg-blobs, die efficiënter zijn voor het continu toevoegen van nieuwe gebeurtenisgegevens.
Hoe bij te werken
U hoeft alleen updates te maken als u aangepaste hulpprogramma's hebt waarmee deze logboekbestanden worden opgenomen voor verdere verwerking. Als u gebruikmaakt van een extern log analytics- of SIEM-hulpprogramma, raden we u aan event hubs te gebruiken om deze gegevens op te nemen. Integratie van Event Hubs is eenvoudiger bij het verwerken van logbestanden van veel services en het markeren van specifieke logboeken.
Aangepaste hulpprogramma's moeten worden bijgewerkt om zowel de huidige indeling als de JSON Lines-indeling te verwerken die hierboven worden beschreven. Dit zorgt ervoor dat wanneer gegevens in de nieuwe indeling worden weergegeven, uw hulpmiddelen niet kapotgaan.
Volgende stappen
- Meer informatie over het archiveren van resourcelogboeken naar een opslagaccount
- Meer informatie over het archiveren van activiteitenlogboekgegevens naar een opslagaccount