Protokol aktivit ve službě Azure Monitor

Protokol aktivit služby Azure Monitor je protokol platformy pro události řízení z prostředků Azure. Obsahuje informace, jako je změna prostředku nebo chyba nasazení. Protokol aktivit můžete použít ke kontrole nebo auditování těchto informací u prostředků, které monitorujete, nebo můžete vytvořit výstrahu, abyste byli proaktivně informováni při vytvoření události.

Návod

Pokud jste byli přesměrováni na tento článek z chyby operace nasazení, přečtěte si téma Řešení běžných chyb nasazení Azure.

Položky protokolu aktivit

Položky v protokolu aktivit se ve výchozím nastavení shromažďují bez požadované konfigurace. Jsou systémově vygenerované a nelze je změnit ani odstranit. Položky jsou obvykle výsledkem změn (vytvoření, aktualizace, operace odstranění) nebo inicializační akce. Operace zaměřené na čtení detailů o prostředku nejsou obvykle zaznamenány. Popis kategorií protokolu aktivit najdete ve schématu událostí protokolu aktivit Azure.

Poznámka:

Operace v řídicí rovině se protokolují v Azure Resource Logs. Tyto hodnoty se ve výchozím nastavení neshromažďují a k jejich shromažďování je třeba diagnostické nastavení.

Doba uchovávání

Události protokolu aktivit se uchovávají v Azure po dobu 90 dnů a pak se odstraní. Během této doby se za položky neúčtují žádné poplatky bez ohledu na jejich objem. Pokud potřebujete další funkce, jako je delší uchovávání, vytvořte nastavení diagnostiky a nasměrujte položky do jiného umístění podle vašich potřeb.

Zobrazení a načtení protokolu aktivit

K protokolu aktivit se dostanete z většiny nabídek na webu Azure Portal. Nabídka, ze které ji otevřete, určuje počáteční filtr. Pokud ho otevřete v nabídce Monitorování , jediným filtrem je předplatné. Pokud ho otevřete z nabídky prostředku, filtr se nastaví na tento prostředek. Filtr můžete kdykoli změnit, aby se zobrazily všechny ostatní položky. Pokud chcete do filtru přidat další vlastnosti, vyberte Přidat filtr.

K událostem protokolu aktivit můžete přistupovat také pomocí následujících metod:

K načtení protokolu aktivit z PowerShellu použijte rutinu Get-AzLog. Viz Azure Monitor – ukázky v PowerShellu.
K načtení protokolu aktivit z rozhraní příkazového řádku použijte az monitor activity-log. Viz Azure Monitor – ukázky v CLI.

K načtení protokolu aktivit z klienta REST použijte rozhraní REST API služby Azure Monitor.

Zobrazení historie změn

U některých událostí můžete zobrazit historii změn, která ukazuje, k jakým změnám v čase dané události došlo. V protokolu aktivit vyberte událost, na kterou se chcete podívat hlouběji. Výběrem karty Historie změn zobrazíte všechny změny prostředku až 30 minut před a po provedení operace.

Pokud jsou k události přidružené nějaké změny, zobrazí se seznam změn, které můžete vybrat. Výběrem změny se otevře stránka Historie změn. Na této stránce se zobrazí změny zdrojů. V následujícím příkladu vidíte, že se velikost virtuálního počítače změnila. Na stránce se zobrazí velikost virtuálního počítače před změnou a po změně. Další informace o historii změn najdete v části Získání změn prostředků.

Přehledy protokolu aktivit

Přehledy protokolu aktivit je nástroj, který poskytuje sadu řídicích panelů pro sledování změn v prostředcích a skupinách prostředků v rámci předplatného. Řídicí panely také zobrazují data o tom, kteří uživatelé nebo služby prováděli aktivity v předplatném a o stavu aktivit.

Pokud chcete povolit přehledy protokolu aktivit, exportujte protokol aktivit do pracovního prostoru Log Analytics, jak je popsáno v Export protokolu aktivit. Tím se události odesílají do AzureActivity tabulky, která se používá v přehledech protokolu aktivit.

Přehledy statistik protokolu aktivit můžete otevřít na úrovni předplatného či jednotlivého zdroje. V části Sešity v nabídce Monitorování vyberte Přehledy protokolů aktivit.

Pro jednotlivý prostředek vyberte Přehledy protokolů aktivit v části Sešity v nabídce prostředku.

Export protokolu aktivit

Vytvořte nastavení diagnostiky pro odesílání položek protokolu aktivit do jiných cílů pro další dobu uchovávání a funkčnost.

Na webu Azure Portal vyberte v nabídce Azure Monitorprotokol aktivit a pak vyberte Exportovat protokoly aktivit. Další podrobnosti a další metody pro vytváření nastavení diagnostiky najdete v tématu Nastavení diagnostiky ve službě Azure Monitor . Ujistěte se, že pro protokol aktivit zakážete jakoukoli starší konfiguraci.

Níže uvedené informace obsahují další podrobnosti o různých cílech, do kterých je možné odesílat záznamy prostředků.

Poznámka:

Starší metoda exportu protokolu aktivit je profily protokolů. Viz metody starší verze kolekce.

Odešlete protokol aktivit do pracovního prostoru služby Log Analytics pro následující funkce:

Korelujte protokoly aktivit s jinými daty protokolů pomocí dotazů protokolu.
Vytvořte upozornění protokolu , která můžou používat složitější logiku než upozornění protokolu aktivit.
Přístup k datům protokolu aktivit pomocí Power BI
Uchovávejte data protokolu aktivit po dobu delší než 90 dnů.

Za protokoly aktivit se neúčtují žádné poplatky za příjem dat. Poplatky za uchovávání informací za protokoly aktivit se použijí jenom na období prodloužené po dobu výchozího uchovávání 90 dnů. Dobu uchovávání můžete prodloužit až na 12 let.

Data protokolu aktivit v pracovním prostoru služby Log Analytics jsou uložená v tabulce s názvem AzureActivity. Struktura této tabulky se liší v závislosti na kategorii položky protokolu.

Pokud chcete například zobrazit počet záznamů protokolu aktivit pro každou kategorii, použijte následující dotaz:

AzureActivity
| summarize count() by CategoryValue

Pokud chcete načíst všechny záznamy v kategorii správy, použijte následující dotaz:

AzureActivity
| where CategoryValue == "Administrative"

Důležité

Ve některých scénářích je možné, že hodnoty v polích AzureActivity mohou mít jinou formu velkých a malých písmen než jinak ekvivalentní hodnoty. Při dotazování na data v AzureActivity použijte operátory nerozlišující malá a velká písmena pro porovnání řetězců nebo pomocí skalární funkce vynutit pole na jednotnou velikost písmen před jakýmkoli porovnáním. Například pomocí funkce tolower() u pole vynutíte, aby byla při porovnávání řetězců vždy malá písmena nebo operátor =~.

Odešle protokol aktivit do služby Azure Event Hubs, aby odesílal položky mimo Azure, například do řešení SIEM třetí strany nebo do jiných řešení pro analýzu protokolů. Události protokolu aktivit z center událostí se využívají ve formátu JSON s elementem records , který obsahuje záznamy v každé datové části. Schéma závisí na kategorii a je popsáno ve schématu událostí protokolu aktivit Azure.

Následující ukázková výstupní data pocházejí z center událostí pro protokol aktivit:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Pokud chcete uchovávat data protokolů déle než 90 dnů pro audit, statickou analýzu nebo zálohování, odešlete protokol aktivit do účtu Azure Storage. Pokud potřebujete zachovat události po dobu 90 dnů nebo méně, nemusíte archivovat účet úložiště.

Při odesílání protokolu aktivit do úložiště se v účtu úložiště vytvoří úložný kontejner, jakmile dojde k události. Objekty blob v kontejneru používají následující zásady vytváření názvů:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Konkrétní objekt blob může mít například podobný název:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Každý PT1H.json objekt blob obsahuje objekt JSON s událostmi ze souborů protokolu přijatých během hodiny zadané v adrese URL objektu blob. Během aktuální hodiny se události připojují k souboru PT1H.json při jejich přijetí bez ohledu na to, kdy byly vygenerovány. Minutová hodnota v adrese URL m=00 je vždy 00 protože objekty blob jsou vytvářeny hodinově.

Každá událost je uložena v souboru PT1H.json s následujícím formátem. Tento formát používá společné schéma nejvyšší úrovně, ale pro každou kategorii je jinak jedinečné, jak je popsáno ve schématu protokolu aktivit.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Export do CSV

Výběrem možnosti Stáhnout jako CSV exportujte protokol aktivit do souboru CSV pomocí webu Azure Portal.

Důležité

Export může trvat příliš dlouho, pokud máte velký počet položek protokolu. Pokud chcete zvýšit výkon, snižte časový rozsah exportu. V Azure portálu se toto nastavení provádí pomocí nastavení časového rozsahu.

Protokol aktivit můžete také exportovat do souboru CSV pomocí PowerShellu nebo Azure CLI jako v následujících příkladech.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Následující ukázkový skript PowerShellu exportuje protokol aktivit do souborů CSV v hodinových intervalech, přičemž každý se uloží do samostatného souboru.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Další kroky

Další informace o:

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-07-19