Azure kaynak günlüklerini Log Analytics çalışma alanlarına, Event Hubs'a veya Azure Depolama'ya gönderme
Azure kaynak günlükleri, bir Azure kaynağında gerçekleştirilen işlemler hakkında içgörü sağlayan platform günlükleridir . Kaynak günlüklerinin içeriği her kaynak türü için farklıdır. Kaynak günlükleri varsayılan olarak toplanmaz. Kaynak günlüklerini toplamak için Tanılama Ayarlarını etkinleştirmeniz ve yapılandırmanız veya veri toplama kurallarını kullanmanız gerekir. Veri toplama kuralları hakkında daha fazla bilgi için bkz . Azure İzleyici'de veri toplama kuralları. Bu makalede, her Azure kaynağının kaynak günlüklerini Log Analytics çalışma alanlarına, Event Hubs'a veya Azure Depolama'ya göndermesi için gereken tanılama ayarı açıklanmaktadır.
Log Analytics çalışma alanına gönderme
Kaynak günlüklerini Log Analytics çalışma alanına göndererek Azure İzleyici Günlüklerinin özelliklerini etkinleştirebilir ve şunları yapabilirsiniz:
- Kaynak günlüğü verilerini Azure İzleyici tarafından toplanan diğer izleme verileriyle ilişkilendirin.
- Birden çok Azure kaynağından, abonelikten ve kiracıdan günlük girdilerini birlikte analiz için tek bir konumda birleştirin.
- Karmaşık analiz gerçekleştirmek ve günlük verileri hakkında derin içgörüler elde etmek için günlük sorgularını kullanın.
- Günlük araması uyarılarını karmaşık uyarı mantığıyla kullanın.
Log Analytics çalışma alanına kaynak günlükleri göndermek için bir tanılama ayarı oluşturun. Bu veriler, Azure İzleyici Günlüklerinin Yapısı bölümünde açıklandığı gibi tablolarda depolanır. Kaynak günlükleri tarafından kullanılan tablolar, kaynağın kullandığı kaynak türüne ve koleksiyon türüne bağlıdır. Kaynak günlükleri için iki tür koleksiyon modu vardır:
- Azure tanılama: Tüm veriler AzureDiagnostics tablosuna yazılır.
- Kaynağa özgü: Veriler, kaynağın her kategorisi için tek tek tablolara yazılır.
Kaynağa özgü
Kaynağa özgü modu kullanan günlükler için, tanılama ayarında seçilen her günlük kategorisi için seçili çalışma alanında tek tek tablolar oluşturulur. Kaynağa özgü günlükler, Azure tanılama günlüklerine göre aşağıdaki avantajlara sahiptir:
- Günlük sorgularındaki verilerle çalışmayı kolaylaştırır.
- Şemaların ve yapılarının daha iyi bulunabilirliğini sağlar.
- Alma gecikme süresi ve sorgu süreleri arasında performansı artırır.
- Belirli bir tabloda Azure rol tabanlı erişim denetimi hakları verme olanağı sağlar.
Kaynağa özgü günlüklerin ve tabloların açıklaması için bkz . Azure İzleyici için Desteklenen Kaynak günlüğü kategorileri
Azure tanılama modu
Azure tanılama modunda, herhangi bir tanılama ayarındaki tüm veriler AzureDiagnostics tablosunda toplanır. Bu eski yöntem bugün Azure hizmetlerinin azınlığı tarafından kullanılmaktadır. Birden çok kaynak türü aynı tabloya veri gönderdiğinden, şeması toplanan tüm farklı veri türlerinin şemalarının üst kümesidir. Bu tablonun yapısı ve bu çok sayıda sütunla nasıl çalıştığı hakkında ayrıntılı bilgi için bkz . AzureDiagnostics başvurusu.
AzureDiagnostics tablosu, günlüğü oluşturan kaynağın resourceId değerini, günlüğün kategorisini ve günlüğün oluşturulduğu zamanı ve kaynağa özgü özellikleri içerir.
Koleksiyon modunu seçin
Çoğu Azure kaynağı, size seçenek vermeden Azure tanılama veya kaynağa özgü modda çalışma alanına veri yazar. Daha fazla bilgi için bkz . Azure kaynak günlükleri için ortak ve hizmete özgü şemalar.
Tüm Azure hizmetleri sonunda kaynağa özgü modu kullanacaktır. Bu geçişin bir parçası olarak, bazı kaynaklar tanılama ayarında bir mod seçmenize olanak sağlar. Yeni tanılama ayarları için kaynağa özgü modu belirtin çünkü bu mod verilerin yönetilmesini kolaylaştırır. Ayrıca daha sonra karmaşık geçişleri önlemenize de yardımcı olabilir.
Not
Azure Resource Manager şablonu kullanarak koleksiyon modunu ayarlayan bir örnek için bkz . Azure İzleyici'de tanılama ayarları için Resource Manager şablon örnekleri.
Var olan bir tanılama ayarını kaynağa özgü moda değiştirebilirsiniz. Bu durumda, zaten toplanan veriler çalışma alanı için bekletme ayarınıza göre kaldırılana kadar tabloda kalır AzureDiagnostics
. Yeni veriler ayrılmış tabloda toplanır. Her iki tablodaki verileri sorgulamak için birleşim işlecini kullanın.
Kaynağa özgü modu destekleyen Azure hizmetleri hakkındaki duyurular için Azure Güncelleştirmeleri blogunu izlemeye devam edin.
Azure Event Hubs’a gönderme
Kaynak günlüklerini Azure dışında göndermek için bir olay hub'ına gönderin. Örneğin, kaynak günlükleri üçüncü taraf SIEM'ye veya diğer log analytics çözümlerine gönderilebilir. Olay hub'larından kaynak günlükleri, her yükteki kayıtları içeren bir records
öğeyle JSON biçiminde kullanılır. Şema, Azure kaynak günlükleri için ortak ve hizmete özgü şemada açıklandığı gibi kaynak türüne bağlıdır.
Aşağıdaki örnek çıktı verileri, kaynak günlüğü için Azure Event Hubs'dan alınmaktadır:
{
"records": [
{
"time": "2019-07-15T18:00:22.6235064Z",
"workflowId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330013509921957/ACTIONS/SEND_EMAIL",
"category": "WorkflowRuntime",
"level": "Error",
"operationName": "Microsoft.Logic/workflows/workflowActionCompleted",
"properties": {
"$schema": "2016-04-01-preview",
"startTime": "2016-07-15T17:58:55.048482Z",
"endTime": "2016-07-15T18:00:22.4109204Z",
"status": "Failed",
"code": "BadGateway",
"resource": {
"subscriptionId": "AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E",
"resourceGroupName": "JohnKemTest",
"workflowId": "2222cccc-33dd-eeee-ff44-aaaaaa555555",
"workflowName": "JohnKemTestLA",
"runId": "08587330013509921957",
"location": "westus",
"actionName": "Send_email"
},
"correlation": {
"actionTrackingId": "3333dddd-44ee-ffff-aa55-bbbbbbbb6666",
"clientTrackingId": "08587330013509921958"
}
}
},
{
"time": "2019-07-15T18:01:15.7532989Z",
"workflowId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
"resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330012106702630/ACTIONS/SEND_EMAIL",
"category": "WorkflowRuntime",
"level": "Information",
"operationName": "Microsoft.Logic/workflows/workflowActionStarted",
"properties": {
"$schema": "2016-04-01-preview",
"startTime": "2016-07-15T18:01:15.5828115Z",
"status": "Running",
"resource": {
"subscriptionId": "AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E",
"resourceGroupName": "JohnKemTest",
"workflowId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"workflowName": "JohnKemTestLA",
"runId": "08587330012106702630",
"location": "westus",
"actionName": "Send_email"
},
"correlation": {
"actionTrackingId": "ffff5555-aa66-7777-88bb-999999cccccc",
"clientTrackingId": "08587330012106702632"
}
}
}
]
}
Azure Depolama’ya gönderme
Kaynak günlüklerini arşivleme amacıyla saklamak üzere Azure Depolama'ya gönderin. Tanılama ayarını oluşturduktan sonra, etkin günlük kategorilerinden birinde bir olay meydana gelir gelmez depolama hesabında bir depolama kapsayıcısı oluşturulur.
Not
Arşivlemenin alternatifi, kaynak günlüğünü Log Analytics çalışma alanınızdaki bir tabloya düşük maliyetli, uzun süreli saklama ile göndermektir.
Kapsayıcı içindeki bloblar aşağıdaki adlandırma kuralını kullanır:
insights-logs-{log category name}/resourceId=/SUBSCRIPTIONS/{subscription ID}/RESOURCEGROUPS/{resource group name}/PROVIDERS/{resource provider name}/{resource type}/{resource name}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json
Ağ güvenlik grubunun blobu şu örneğe benzer bir ada sahip olabilir:
insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUP/TESTNSG/y=2016/m=08/d=22/h=18/m=00/PT1H.json
Her PT1H.json blobu, blob URL'sinde belirtilen saat içinde alınan günlük dosyalarından olaylar içeren bir JSON nesnesi içerir. Şu anda olaylar, ne zaman oluşturulduklarından bağımsız olarak alındıklarında PT1H.json dosyasına eklenir. URL'deki dakika değeri her m=00
zaman 00
blobların saatte bir oluşturulduğu şekildedir.
PT1H.json dosyasında her olay aşağıdaki biçimde depolanır. Ortak bir üst düzey şema kullanır ancak Kaynak günlükleri şemasında açıklandığı gibi her Azure hizmeti için benzersizdir.
Not
Günlükler, günlük oluşturulduğundan bağımsız olarak günlük alındığı zamana göre bloblara yazılır. Bu, belirli bir blob'un blob URL'sinde belirtilen saatin dışında olan günlük verilerini içerebileceği anlamına gelir. Application Insights gibi bir veri kaynağının eski telemetri verilerini karşıya yüklemeyi desteklediği durumlarda blob, önceki 48 saatlik verileri içerebilir.
Yeni bir saatin başlangıcında, yeni günlükler yeni saatin blob'una yazılırken mevcut günlükler bir önceki saatin blob'una yazılmaya devam ediyor olabilir.
{"time": "2016-07-01T00:00:37.2040000Z","systemId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1","category": "NetworkSecurityGroupRuleCounter","resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/TESTNSG","operationName": "NetworkSecurityGroupCounters","properties": {"vnetResourceGuid": "{12345678-9012-3456-7890-123456789012}","subnetPrefix": "10.3.0.0/24","macAddress": "000123456789","ruleName": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/testresourcegroup/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/default-allow-rdp","direction": "In","type": "allow","matchedConnections": 1988}}
Azure İzleyici iş ortağı tümleştirmeleri
Kaynak günlükleri, Azure ile tamamen tümleştirilmiş iş ortağı çözümlerine de gönderilebilir. Bu çözümlerin listesi ve bunların nasıl yapılandırıldığından ayrıntılı bilgi için bkz . Azure İzleyici iş ortağı tümleştirmeleri.
Sonraki adımlar
- Kaynak günlükleri hakkında daha fazla bilgi edinin.
- Platform günlüklerini ve ölçümlerini farklı hedeflere göndermek için tanılama ayarları oluşturun.