Azure 活动日志收集和导出的更新
Azure 活动日志是一种方便用户深入了解 Azure 中发生的订阅级别事件的平台日志。 将活动日志条目发送到事件中心或存储帐户或 Log Analytics 工作区的方法已更改为使用诊断设置。 本文介绍各方法之间的区别,以及如何在准备更改诊断设置时清除旧版设置。
各方法之间的区别
优点
与当前方法相比,使用诊断设置具有以下优势:
- 用于收集所有平台日志的一致方法。
- 跨多个订阅和租户收集活动日志。
- 筛选集合,以便仅收集特定类别的日志。
- 收集所有活动日志类别。 部分类别不是使用旧版方法收集的。
- 更短的日志引入延迟。 以前的方法的延迟大约为 15 分钟,而诊断设置仅会增加约 1 分钟的延迟。
注意事项
启用此功能之前,请考虑使用诊断设置的活动日志集合的以下详细信息。
- 已删除将活动日志收集到 Azure 存储的保留期设置,这意味着数据在删除之前将无限期存储。
- 目前只能使用 Azure 门户创建订阅级别的诊断设置。 若要使用 PowerShell 或 CLI 等其他方法,可以创建资源管理器模板。
数据区别
诊断设置收集的数据与之前收集活动日志的方法所收集的数据相同,但目前存在以下差异:
以下列已删除。 这些列的替换项采用不同的格式,因此可能需要修改使用它们的日志查询。 可能仍会在架构中看到删除的列,但系统不会用数据填充它们。
删除的列 | 替换列 |
---|---|
ActivityStatus | ActivityStatusValue |
ActivitySubstatus | ActivitySubstatusValue |
OperationName | OperationNameValue |
ResourceProvider | ResourceProviderValue |
已添加以下列:
- Authorization_d
- Claims_d
- Properties_d
使用旧版设置
如果未选择使用诊断设置替换旧版设置,则旧版设置将继续收集活动日志。 使用以下方法管理订阅的日志配置文件。
从 Azure 门户上的 Azure Monitor 菜单中,选择“活动日志” 。
单击“诊断设置”。
单击紫色横幅了解旧版体验。
有关使用旧版集合方法的详细信息,请参阅以下文章。
禁用现有设置
应禁用活动的现有集合,然后才能使用诊断设置。 同时启用两者可能会导致数据重复。
禁用到 Log Analytics 工作区的集合
- 打开 Azure 门户中的“Log Analytics 工作区”菜单,然后选择要收集活动日志的工作区。
- 在工作区的菜单的“工作区数据源”部分,选择“Azure 活动日志”。
- 单击要断开连接的订阅。
- 单击“断开连接”,然后在系统提示进行确认时单击“确定”。
禁用日志配置文件
- 按照使用旧版设置中所述流程打开旧版设置。
- 禁用所有当前到存储或事件中心的集合。
活动日志监视解决方案
Azure Log Analytics 监视解决方案包含多个日志查询和视图,用于分析 Log Analytics 工作区中的活动日志记录。 如果使用诊断设置收集活动日志,则此解决方案会使用 Log Analytics 工作区中收集的日志数据,并在不进行任何更改的情况下继续生效。 有关此解决方案的详细信息,请参阅活动日志分析监视解决方案。