Megosztás a következőn keresztül:

Azure-erőforrásnaplók küldése Log Analytics-munkaterületekre, Event Hubsba vagy Azure Storage-ba

  • Cikk

Az Azure-erőforrásnaplók platformnaplók, amelyek betekintést nyújtanak az Azure-erőforrásokban végrehajtott műveletekbe. Az erőforrásnaplók tartalma minden erőforrástípus esetében eltérő. Az erőforrásnaplók alapértelmezés szerint nem lesznek összegyűjtve. Az erőforrásnaplók gyűjtéséhez engedélyeznie és konfigurálnia kell a diagnosztikai beállításokat, vagy adatgyűjtési szabályokat kell használnia. További információ az adatgyűjtési szabályokról: Adatgyűjtési szabályok az Azure Monitorban. Ez a cikk azt a diagnosztikai beállítást ismerteti, amely szükséges ahhoz, hogy az egyes Azure-erőforrások elküldjék az erőforrásnaplókat a Log Analytics-munkaterületekre, az Event Hubsba vagy az Azure Storage-ba.

Küldés Log Analytics-munkaterületre

Erőforrásnaplók küldése Log Analytics-munkaterületre az Azure Monitor-naplók funkcióinak engedélyezéséhez, ahol a következőket teheti:

  • Az erőforrásnapló adatainak korrelálása az Azure Monitor által gyűjtött egyéb monitorozási adatokkal.
  • Több Azure-erőforrásból, előfizetésből és bérlőből származó naplóbejegyzések összevonása egy helyre elemzés céljából.
  • Napló lekérdezésekkel összetett elemzéseket végezhet, és mély elemzéseket végezhet a naplóadatokról.
  • Naplókeresési riasztások használata összetett riasztási logikával.

Hozzon létre egy diagnosztikai beállítást , amellyel erőforrásnaplókat küldhet egy Log Analytics-munkaterületre. Ezeket az adatokat táblák tárolják az Azure Monitor-naplók szerkezetében leírtak szerint. Az erőforrásnaplók által használt táblák attól függenek, hogy milyen erőforrástípust és gyűjteménytípust használ az erőforrás. Az erőforrásnaplókhoz kétféle gyűjtési mód használható:

  • Azure-diagnosztika: A rendszer minden adatot az AzureDiagnostics táblába ír.
  • Erőforrás-specifikus: Az adatok az erőforrás egyes kategóriáinak egyes tábláiba lesznek írva.

Erőforrás-specifikus

Erőforrás-specifikus módot használó naplók esetén a rendszer a diagnosztikai beállításban kiválasztott naplókategóriákhoz külön táblákat hoz létre a kijelölt munkaterületen. Az erőforrás-specifikus naplók az alábbi előnyökkel rendelkeznek az Azure diagnosztikai naplókkal szemben:

  • Megkönnyíti az adatok kezelését a napló lekérdezéseiben.
  • Jobb felderíthetőséget biztosít a sémák és azok struktúrája számára.
  • Javítja a teljesítményt a betöltési késés és a lekérdezési idők között.
  • Lehetővé teszi az Azure szerepköralapú hozzáférés-vezérlési jogosultságainak biztosítását egy adott táblán.

Az erőforrás-specifikus naplók és táblák leírásáért tekintse meg az Azure Monitor támogatott erőforrásnapló-kategóriáit

Azure diagnosztikai mód

Az Azure diagnosztikai módban a rendszer minden diagnosztikai beállítás adatait összegyűjti az AzureDiagnostics táblában. Ezt az örökölt módszert ma az Azure-szolgáltatások egy kisebbsége használja. Mivel több erőforrástípus küld adatokat ugyanarra a táblára, a séma az összes összegyűjtött adattípus sémáinak szuperhalmaza. A táblázat szerkezetéről és a lehetségesen nagy számú oszlop használatáról az AzureDiagnostics-referenciában olvashat.

Az AzureDiagnostics tábla tartalmazza a naplót létrehozó erőforrás resourceId azonosítóját, a napló kategóriáját és a napló létrehozásának idejét, valamint az erőforrás-specifikus tulajdonságokat.

Képernyőkép az AzureDiagnostics tábláról egy Log Analytics-munkaterületen.

A gyűjtemény mód kiválasztása

A legtöbb Azure-erőforrás azure-diagnosztika vagy erőforrás-specifikus módban ír adatokat a munkaterületre anélkül, hogy választást adnának. További információ: Az Azure-erőforrásnaplók általános és szolgáltatásspecifikus sémái.

Az összes Azure-szolgáltatás végül az erőforrás-specifikus módot fogja használni. Az áttűnés részeként egyes erőforrások lehetővé teszik egy mód kiválasztását a diagnosztikai beállításban. Adjon meg erőforrás-specifikus módot az új diagnosztikai beállításokhoz, mert ez a mód megkönnyíti az adatok kezelését. Segíthet az összetett migrálások későbbi elkerülésében is.

Képernyőkép a Diagnosztikai beállítások mód választóról.

Feljegyzés

Ha egy Azure Resource Manager-sablon használatával állítja be a gyűjtési módot, tekintse meg a Resource Manager-sablonmintákat az Azure Monitor diagnosztikai beállításaihoz.

A meglévő diagnosztikai beállításokat erőforrás-specifikus módra módosíthatja. Ebben az esetben a már összegyűjtött adatok a AzureDiagnostics táblában maradnak, amíg el nem távolítják őket a munkaterület megőrzési beállításainak megfelelően. A rendszer új adatokat gyűjt a dedikált táblában. Az egyesítő operátor használatával mindkét táblában lekérdezheti az adatokat.

Tekintse meg az Azure Updates blogot az erőforrás-specifikus módot támogató Azure-szolgáltatásokkal kapcsolatos bejelentésekért.

Küldés az Azure Event Hubsba

Erőforrásnaplók küldése egy eseményközpontba, hogy azOkat az Azure-on kívül küldje el. Előfordulhat például, hogy az erőforrásnaplók egy külső SIEM-nek vagy más log analytics-megoldásnak lesznek elküldve. Az eseményközpontokból származó erőforrásnaplók JSON formátumban vannak felhasználva, és az records egyes hasznos adatok rekordjait tartalmazó elemet tartalmaznak. A séma az Azure-erőforrásnaplók általános és szolgáltatásspecifikus sémájában leírt erőforrástípustól függ.

A következő kimeneti mintaadatok az Azure Event Hubsból származnak egy erőforrásnaplóhoz:

{
    "records": [
        {
            "time": "2019-07-15T18:00:22.6235064Z",
            "workflowId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
            "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330013509921957/ACTIONS/SEND_EMAIL",
            "category": "WorkflowRuntime",
            "level": "Error",
            "operationName": "Microsoft.Logic/workflows/workflowActionCompleted",
            "properties": {
                "$schema": "2016-04-01-preview",
                "startTime": "2016-07-15T17:58:55.048482Z",
                "endTime": "2016-07-15T18:00:22.4109204Z",
                "status": "Failed",
                "code": "BadGateway",
                "resource": {
                    "subscriptionId": "AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E",
                    "resourceGroupName": "JohnKemTest",
                    "workflowId": "2222cccc-33dd-eeee-ff44-aaaaaa555555",
                    "workflowName": "JohnKemTestLA",
                    "runId": "08587330013509921957",
                    "location": "westus",
                    "actionName": "Send_email"
                },
                "correlation": {
                    "actionTrackingId": "3333dddd-44ee-ffff-aa55-bbbbbbbb6666",
                    "clientTrackingId": "08587330013509921958"
                }
            }
        },
        {
            "time": "2019-07-15T18:01:15.7532989Z",
            "workflowId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
            "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330012106702630/ACTIONS/SEND_EMAIL",
            "category": "WorkflowRuntime",
            "level": "Information",
            "operationName": "Microsoft.Logic/workflows/workflowActionStarted",
            "properties": {
                "$schema": "2016-04-01-preview",
                "startTime": "2016-07-15T18:01:15.5828115Z",
                "status": "Running",
                "resource": {
                    "subscriptionId": "AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E",
                    "resourceGroupName": "JohnKemTest",
                    "workflowId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
                    "workflowName": "JohnKemTestLA",
                    "runId": "08587330012106702630",
                    "location": "westus",
                    "actionName": "Send_email"
                },
                "correlation": {
                    "actionTrackingId": "ffff5555-aa66-7777-88bb-999999cccccc",
                    "clientTrackingId": "08587330012106702632"
                }
            }
        }
    ]
}

Küldés az Azure Storage-be

Erőforrásnaplók küldése az Azure Storage-ba archiválás céljából. A diagnosztikai beállítás létrehozása után a rendszer azonnal létrehoz egy tárolót a tárfiókban, amint esemény történik az engedélyezett naplókategóriák egyikében.

Feljegyzés

Az archiválás másik alternatíva, ha az erőforrásnaplót a Log Analytics-munkaterület egy táblájába küldi alacsony költségű, hosszú távú megőrzéssel.

A tárolón belüli blobok a következő elnevezési konvencióval használhatók:

insights-logs-{log category name}/resourceId=/SUBSCRIPTIONS/{subscription ID}/RESOURCEGROUPS/{resource group name}/PROVIDERS/{resource provider name}/{resource type}/{resource name}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Egy hálózati biztonsági csoport blobjának neve az alábbi példához hasonló lehet:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUP/TESTNSG/y=2016/m=08/d=22/h=18/m=00/PT1H.json

Minden PT1H.json blob tartalmaz egy JSON-objektumot, amely a blob URL-címében megadott órában fogadott naplófájlokból származó eseményeket tartalmazza. A jelen órában az eseményeket a rendszer hozzáfűzi a PT1H.json fájlhoz, függetlenül attól, hogy mikor lettek létrehozva. Az URL-cím m=00 percértéke mindig 00 a blobok óránkénti létrehozása.

A PT1H.json fájlban minden esemény a következő formátumban lesz tárolva. Általános legfelső szintű sémát használ, de minden Azure-szolgáltatás esetében egyedi, az Erőforrásnaplók sémában leírtak szerint.

Feljegyzés

A naplók a napló beérkezésének időpontjától függően blobokra lesznek írva, függetlenül a létrehozás időpontjától. Ez azt jelenti, hogy egy adott blob a blob URL-címében megadott órán kívül eső naplóadatokat tartalmazhat. Ahol egy adatforrás, például az Application Insights támogatja az elavult telemetriai adatok feltöltését, a blobok az előző 48 órából származó adatokat tartalmazhatnak.
Egy új óra kezdetén lehetséges, hogy a meglévő naplók még mindig az előző óra blobjába vannak írva, míg az új naplók az új óra blobjába lesznek írva.

{"time": "2016-07-01T00:00:37.2040000Z","systemId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1","category": "NetworkSecurityGroupRuleCounter","resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/TESTNSG","operationName": "NetworkSecurityGroupCounters","properties": {"vnetResourceGuid": "{aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e}","subnetPrefix": "10.3.0.0/24","macAddress": "000123456789","ruleName": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/testresourcegroup/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/default-allow-rdp","direction": "In","type": "allow","matchedConnections": 1988}}

Azure Monitor-partnerintegrációk

Az erőforrásnaplók olyan partnermegoldásoknak is elküldhetők, amelyek teljesen integrálva vannak az Azure-ba. A megoldások listáját és a konfigurálásuk részleteit az Azure Monitor partnerintegrációi című témakörben találja.

Következő lépések