Protokol aktivit služby Azure Monitor

Protokol aktivit služby Azure Monitor je protokol platformy v Azure, který poskytuje přehled o událostech na úrovni předplatného. Protokol aktivit obsahuje informace, jako je při změně prostředku nebo spuštění virtuálního počítače. Protokol aktivit můžete zobrazit v Azure Portal nebo načíst položky pomocí PowerShellu a Azure CLI. Tento článek obsahuje informace o tom, jak zobrazit protokol aktivit a odeslat ho do různých cílů.

Pokud chcete získat další funkce, vytvořte nastavení diagnostiky pro odesílání protokolu aktivit do jednoho nebo několika z těchto umístění z následujících důvodů:

  • Odešlete do protokolů služby Azure Monitor složitější dotazování a upozorňování a delší dobu uchovávání až za dva roky.
  • Odeslání do Azure Event Hubs pro přeposílání mimo Azure
  • Odešlete do služby Azure Storage levnější a dlouhodobou archivaci.

Podrobnosti o tom, jak vytvořit nastavení diagnostiky, najdete v tématu Vytvoření nastavení diagnostiky pro odesílání protokolů platformy a metrik do různých cílů.

Poznámka

Položky v protokolu aktivit jsou generovány systémem a nelze je změnit ani odstranit.

Doba uchovávání

Události protokolu aktivit se uchovávají v Azure po dobu 90 dnů a pak se odstraní. Za položky se během této doby neúčtují žádné poplatky bez ohledu na objem. Pokud chcete získat další funkce, například delší uchovávání, vytvořte nastavení diagnostiky a nasměrujte položky do jiného umístění podle vašich potřeb. Podívejte se na kritéria v předchozí části.

Zobrazení protokolu aktivit

K protokolu aktivit můžete přistupovat z většiny nabídek v Azure Portal. Na základě nabídky, ze které ho otevřete, se určí počáteční filtr. Pokud ho otevřete v nabídce Monitorování , jediný filtr je v předplatném. Pokud ho otevřete z nabídky prostředku, je filtr nastavený na tento prostředek. Filtr můžete kdykoli změnit tak, aby zobrazoval všechny ostatní položky. Pokud chcete do filtru přidat další vlastnosti, vyberte Přidat filtr .

Snímek obrazovky znázorňující protokol aktivit

Popis kategorií protokolu aktivit najdete v tématu Schéma událostí protokolu aktivit Azure.

Stažení protokolu aktivit

Pokud chcete stáhnout události v aktuálním zobrazení, vyberte Stáhnout jako soubor CSV.

Snímek obrazovky znázorňující stažení protokolu aktivit

Zobrazení historie změn

U některých událostí můžete zobrazit historii změn, která ukazuje, k jakým změnám v čase dané události došlo. V protokolu aktivit vyberte událost, na kterou se chcete podívat podrobněji. Výběrem karty Historie změn (Preview) zobrazte všechny změny přidružené k dané události.

Snímek obrazovky znázorňující seznam historie změn události

Pokud jsou k události přidružené nějaké změny, zobrazí se seznam změn, které můžete vybrat. Výběrem změny se otevře stránka Historie změn (Preview). Na této stránce se zobrazí změny prostředku. V následujícím příkladu vidíte, že se změnily velikosti virtuálního počítače. Na stránce se zobrazí velikost virtuálního počítače před změnou a po této změně. Další informace o historii změn najdete v tématu Získání změn prostředků.

Snímek obrazovky znázorňující stránku Historie změn zobrazující rozdíly

Další metody načítání událostí protokolu aktivit

K událostem protokolu aktivit můžete přistupovat také pomocí následujících metod:

Odeslání do pracovního prostoru služby Log Analytics

Odešlete protokol aktivit do pracovního prostoru služby Log Analytics, abyste povolili funkci protokolů služby Azure Monitor , ve které:

  • Korelace dat protokolu aktivit s dalšími daty monitorování shromážděnými službou Azure Monitor
  • Sloučit položky protokolu z několika předplatných a tenantů Azure do jednoho umístění pro účely analýzy.
  • Pomocí dotazů protokolu můžete provádět komplexní analýzu a získat podrobné přehledy o položkách protokolu aktivit.
  • Pro složitější logiku upozorňování používejte upozornění protokolu s položkami aktivit.
  • Ukládat položky protokolu aktivit po delší dobu, než je doba uchovávání protokolu aktivit.
  • Neúčtují se žádné poplatky za příjem dat ani uchovávání dat protokolu aktivit uložených v pracovním prostoru služby Log Analytics.
  • Výchozí doba uchovávání v Log Analytics je 90 dnů.

Výběrem možnosti Exportovat protokoly aktivit odešlete protokol aktivit do pracovního prostoru služby Log Analytics.

Snímek obrazovky znázorňující export protokolů aktivit

Protokol aktivit můžete odeslat z libovolného předplatného do až pěti pracovních prostorů.

Data protokolu aktivit v pracovním prostoru služby Log Analytics jsou uložená v tabulce s názvem AzureActivity , kterou můžete načíst pomocí dotazu protokolu v Log Analytics. Struktura této tabulky se liší v závislosti na kategorii položky protokolu. Popis vlastností tabulky najdete v referenčních informacích k datům služby Azure Monitor.

Pokud chcete například zobrazit počet záznamů protokolu aktivit pro každou kategorii, použijte následující dotaz:

AzureActivity
| summarize count() by CategoryValue

Pokud chcete načíst všechny záznamy v kategorii správy, použijte následující dotaz:

AzureActivity
| where CategoryValue == "Administrative"

Odeslat do Azure Event Hubs

Odešlete protokol aktivit do Azure Event Hubs, aby se položky odesílaly mimo Azure, například do SIEM třetích stran nebo do jiných řešení log Analytics. Události protokolu aktivit z center událostí se využívají ve formátu JSON s elementem records , který obsahuje záznamy v každé datové části. Schéma závisí na kategorii a je popsáno ve schématu událostí protokolu aktivit Azure.

Následující ukázková výstupní data pocházejí z center událostí pro protokol aktivit:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Odeslání do Azure Storage

Pokud chcete uchovávat data protokolu protokolů déle než 90 dnů pro audit, statickou analýzu nebo zálohování, odešlete protokol aktivit do účtu služby Azure Storage. Pokud potřebujete uchovávat události po dobu 90 dnů nebo méně, nemusíte nastavovat archivaci účtu úložiště. Události protokolu aktivit se uchovávají na platformě Azure po dobu 90 dnů.

Při odesílání protokolu aktivit do Azure se kontejner úložiště vytvoří v účtu úložiště, jakmile dojde k události. Objekty blob v kontejneru používají následující zásady vytváření názvů:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Například konkrétní objekt blob může mít podobný název:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Každý objekt blob PT1H.json obsahuje objekt blob JSON událostí, ke kterým došlo během hodiny zadané v adrese URL objektu blob, například h=12. Během aktuální hodiny se události připojují do souboru PT1H.json, když k nim dojde. Hodnota minuty (m=00) je vždy 00, protože události protokolu prostředků jsou rozdělené do jednotlivých objektů blob za hodinu.

Každá událost je uložena v souboru PT1H.json s následujícím formátem. Tento formát používá společné schéma nejvyšší úrovně, ale jinak je pro každou kategorii jedinečné, jak je popsáno ve schématu protokolu aktivit.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Starší metody shromažďování

Pokud shromažďujete protokoly aktivit pomocí starší metody shromažďování, doporučujeme exportovat protokoly aktivit do pracovního prostoru služby Log Analytics a zakázat starší kolekci pomocí zdrojů dat – odstranit rozhraní API následujícím způsobem:

  1. Zobrazí seznam všech zdrojů dat připojených k pracovnímu prostoru pomocí rozhraní DATA Sources – List By Workspace API a filtruje protokoly aktivit nastavením filter=kind='AzureActivityLog'.

    Snímek obrazovky znázorňující konfiguraci zdrojů dat – výpis podle rozhraní API pracovního prostoru

  2. Zkopírujte název připojení, které chcete zakázat z odpovědi rozhraní API.

    Snímek obrazovky znázorňující informace o připojení, které potřebujete zkopírovat z výstupu rozhraní API pro zdroje dat – výpis podle rozhraní API pracovního prostoru

  3. Pomocí zdrojů dat – Odstranění rozhraní API zastavte shromažďování protokolů aktivit pro konkrétní prostředek.

    Snímek obrazovky s konfigurací zdrojů dat – rozhraní API pro odstranění

Správa starších profilů protokolů

Profily protokolů jsou starší metodou odesílání protokolu aktivit do úložiště nebo centra událostí. Pokud používáte tuto metodu, zvažte přechod na nastavení diagnostiky, která poskytují lepší funkce a konzistenci s protokoly prostředků.

Pokud již profil protokolu existuje, musíte nejprve odebrat existující profil protokolu a pak vytvořit nový.

  1. Slouží Get-AzLogProfile k identifikaci, jestli existuje profil protokolu. Pokud existuje profil protokolu, poznamenejte si Name vlastnost.

  2. Slouží Remove-AzLogProfile k odebrání profilu protokolu pomocí hodnoty z Name vlastnosti.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Slouží Add-AzLogProfile k vytvoření nového profilu protokolu:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    Vlastnost Povinné Popis
    Název Yes Název profilu protokolu.
    StorageAccountId No ID prostředku účtu úložiště, do kterého se má protokol aktivit uložit.
    serviceBusRuleId No ID pravidla služby Service Bus pro obor názvů služby Service Bus, ve kterém chcete mít vytvořená centra událostí. Tento řetězec má formát {service bus resource ID}/authorizationrules/{key name}.
    Umístění Ano Seznam oblastí oddělených čárkami, pro které chcete shromažďovat události protokolu aktivit.
    RetentionInDays Yes Počet dní, po které se mají události uchovávat v účtu úložiště, od 1 do 365 Hodnota nula ukládá protokoly na neomezenou dobu.
    Kategorie No Seznam kategorií událostí oddělených čárkami, které se mají shromažďovat. Možné hodnoty jsou Zápis, Odstranění a Akce.

Ukázkový skript

Tento ukázkový skript PowerShellu vytvoří profil protokolu, který zapíše protokol aktivit do účtu úložiště i do centra událostí.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Změny struktury dat

Prostředí protokolů aktivit exportu odesílá stejná data jako starší metoda použitá k odeslání protokolu aktivit s některými změnami struktury AzureActivity tabulky.

Sloupce v následující tabulce jsou v aktualizovaném schématu zastaralé. Stále existují, AzureActivityale nemají žádná data. Nahrazení těchto sloupců není nové, ale obsahují stejná data jako zastaralý sloupec. Jsou v jiném formátu, takže možná budete muset upravit dotazy protokolu, které je používají.

JSON protokolu aktivit Název sloupce Log Analytics
(starší zastaralé)
Nový název sloupce Log Analytics Poznámky
category Kategorie CategoryValue
status

Hodnoty jsou úspěch, začátek, přijetí, selhání
ActivityStatus

Hodnoty stejné jako JSON
ActivityStatusValue

Změna hodnot na úspěšnou, spuštěnou, přijatou, neúspěšnou
Platné hodnoty se mění, jak je znázorněno.
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue Rest API lokalizuje hodnotu názvu operace. Uživatelské rozhraní Log Analytics vždy zobrazuje angličtinu.
resourceProviderName ResourceProvider ResourceProviderValue

Důležité

V některých případech můžou být hodnoty v těchto sloupcích velkými písmeny. Pokud máte dotaz, který obsahuje tyto sloupce, použijte operátor =~ k porovnání nerozlišující malá a velká písmena.

Do AzureActivity aktualizovaného schématu byly přidány následující sloupce:

  • Authorization_d
  • Claims_d
  • Properties_d

Přehledy protokolu aktivit

Přehledy protokolu aktivit umožňují zobrazit informace o změnách prostředků a skupin prostředků v předplatném. Řídicí panely také zobrazují data o tom, kteří uživatelé nebo služby prováděli aktivity v předplatném a o stavu aktivit. Tento článek vysvětluje, jak zobrazit přehledy protokolu aktivit v Azure Portal.

Než použijete přehledy protokolu aktivit, musíte povolit odesílání protokolů do pracovního prostoru Služby Log Analytics.

Jak fungují přehledy protokolu aktivit?

Protokoly aktivit, které odesíláte do pracovního prostoru Služby Log Analytics , se ukládají do tabulky s názvem AzureActivity.

Přehledy protokolů aktivit jsou kurátorovaný sešit Log Analytics s řídicími panely, které vizualizují data v AzureActivity tabulce. Data můžou například zahrnovat, které správci odstranili, aktualizovali nebo vytvořili prostředky a jestli aktivity selhaly nebo byly úspěšné.

Snímek obrazovky znázorňující řídicí panely přehledů protokolu aktivit

Zobrazení přehledů protokolu aktivit: Úroveň skupiny prostředků nebo předplatného

Zobrazení přehledů protokolu aktivit ve skupině prostředků nebo na úrovni předplatného:

  1. V Azure Portal vyberte Monitorovat>sešity.

  2. V části Přehledy vyberte Přehledy protokolů aktivit.

    Snímek obrazovky znázorňující, jak vyhledat a otevřít sešit Přehledy aktivit na úrovni škálování

  3. V horní části stránky Přehledy protokolů aktivit vyberte:

    1. Jedno nebo více předplatných z rozevíracího seznamu Předplatná
    2. Prostředky a skupiny prostředků z rozevíracího seznamu CurrentResource
    3. Časový rozsah, pro který se mají zobrazit data z rozevíracího seznamu TimeRange .

Zobrazení přehledů protokolu aktivit u libovolného prostředku Azure

Poznámka

V současné době se prostředky Application Insights pro tento sešit nepodporují.

Zobrazení přehledů protokolu aktivit na úrovni prostředků:

  1. V Azure Portal přejděte k prostředku a vyberte Sešity.

  2. V části Přehledy protokolů aktivit vyberte Přehledy protokolů aktivit.

    Snímek obrazovky, který ukazuje, jak vyhledat a otevřít sešit Přehledy aktivit na úrovni prostředku

  3. V horní části stránky Přehledy protokolů aktivit vyberte časový rozsah, pro který se mají zobrazit data z rozevíracího seznamu TimeRange :

    • Položky protokolu aktivit Azure zobrazují počet záznamů protokolu aktivit v každé kategorii protokolu aktivit.

      Snímek obrazovky znázorňující protokoly aktivit Azure podle hodnoty kategorie

    • Protokoly aktivit podle stavu zobrazují počet záznamů protokolu aktivit v jednotlivých stavech.

      Snímek obrazovky znázorňující protokoly aktivit Azure podle stavu

    • Protokoly aktivit podle prostředků a protokolů aktivit podle poskytovatele prostředků na úrovni předplatného a skupiny prostředků zobrazují počet záznamů protokolu aktivit pro jednotlivé prostředky a poskytovatele prostředků.

      Snímek obrazovky znázorňující protokoly aktivit Azure podle prostředku

Další kroky