Protokol aktivit v Azure Monitor

Protokol aktivit Azure Monitor je platformní protokol pro události řídicí roviny z prostředků Azure. Obsahuje informace, jako je změna prostředku nebo chyba nasazení. Protokol aktivit můžete použít ke kontrole nebo auditování těchto informací u prostředků, které monitorujete, nebo můžete vytvořit výstrahu, abyste byli proaktivně informováni při vytvoření události.

Návod

Pokud jste se k tomuto článku dostali z chyby operace nasazení, přečtěte si Řešení potíží s nasazením Azure.

Položky protokolu aktivit

Položky v protokolu aktivit se ve výchozím nastavení shromažďují bez požadované konfigurace. Jsou systémově vygenerované a nelze je změnit ani odstranit. Položky jsou obvykle výsledkem změn (vytvoření, aktualizace, operace odstranění) nebo inicializační akce. Operace zaměřené na čtení detailů o prostředku nejsou obvykle zaznamenány. Pro popis kategorií log aktivit viz Schéma událostí logu aktivit Azure.

Poznámka:

Operace nad řídicí úrovní jsou zaznamenávány v protokolech prostředků Azure. Tyto hodnoty se ve výchozím nastavení neshromažďují a k jejich shromažďování je třeba diagnostické nastavení.

Doba uchovávání

Události protokolu aktivit se uchovávají v Azure po dobu 90 dnů a pak se odstraní. Během této doby se za položky neúčtují žádné poplatky bez ohledu na jejich objem. Pokud potřebujete další funkce, jako je delší uchovávání, vytvořte nastavení diagnostiky a nasměrujte položky do jiného umístění podle vašich potřeb.

Zobrazení a načtení protokolu aktivit

K protokolu aktivit se dostanete z většiny nabídek na portálu Azure. Nabídka, ze které ji otevřete, určuje počáteční filtr. Pokud ho otevřete v nabídce Monitorování , jediným filtrem je předplatné. Pokud ho otevřete z nabídky prostředku, filtr se nastaví na tento prostředek. Filtr můžete kdykoli změnit, aby se zobrazily všechny ostatní položky. Pokud chcete do filtru přidat další vlastnosti, vyberte Přidat filtr.

Snímek obrazovky znázorňující protokol aktivit

K událostem protokolu aktivit můžete přistupovat také pomocí následujících metod:

K načtení protokolu aktivit z PowerShellu použijte rutinu Get-AzLog. Viz Azure Monitor ukázky PowerShellu.
K načtení protokolu aktivit z rozhraní příkazového řádku použijte az monitor activity-log. Viz ukázky rozhraní příkazového řádku Azure Monitor.

Pomocí rozhraní REST API Azure Monitor načtěte protokol aktivit z klienta REST.

Zobrazení historie změn

U některých událostí můžete zobrazit historii změn, která ukazuje, k jakým změnám v čase dané události došlo. V protokolu aktivit vyberte událost, na kterou se chcete podívat hlouběji. Výběrem karty Historie změn zobrazíte všechny změny prostředku až 30 minut před a po provedení operace.

Snímek obrazovky se seznamem historie změn pro událost

Pokud jsou k události přidružené nějaké změny, zobrazí se seznam změn, které můžete vybrat. Výběrem změny se otevře stránka Historie změn. Na této stránce se zobrazí změny zdrojů. V následujícím příkladu vidíte, že se velikost virtuálního počítače změnila. Na stránce se zobrazí velikost virtuálního počítače před změnou a po změně. Další informace o historii změn najdete v části Získání změn prostředků.

Snímek obrazovky se stránkou Historie změn zobrazující rozdíly

Přehledy protokolu aktivit

Přehledy protokolu aktivit je nástroj, který poskytuje sadu řídicích panelů pro sledování změn v prostředcích a skupinách prostředků v rámci předplatného. Řídicí panely také zobrazují data o tom, kteří uživatelé nebo služby prováděli aktivity v předplatném a o stavu aktivit.

Pokud chcete povolit přehledy protokolu aktivit, exportujte protokol aktivit do pracovního prostoru Log Analytics, jak je popsáno v části Export protokolu aktivit . Tím se události odesílají do tabulky, která se používá v přehledech protokolu aktivit.

Snímek obrazovky znázorňující řídicí panely přehledů protokolu aktivit

Přehledy statistik protokolu aktivit můžete otevřít na úrovni předplatného či jednotlivého zdroje. V části Sešity v nabídce Monitorování vyberte Přehledy protokolů aktivit.

Snímek obrazovky, který ukazuje, jak najít a otevřít sešit Přehledy protokolů aktivit na úrovni škálování

Pro jednotlivý prostředek vyberte Přehledy protokolů aktivit v části Sešity v nabídce prostředku.

Snímek obrazovky, který ukazuje, jak najít a otevřít sešit Přehled aktivit na úrovni zdroje

Export protokolu aktivit

Vytvořte nastavení diagnostiky pro odesílání položek protokolu aktivit do jiných cílů pro další dobu uchovávání a funkčnost.

Diagram znázorňující shromažďování protokolů aktivit, protokolů prostředků a metrik platformy

Na portálu Azure vyberte Protokol aktivit v nabídce Azure Monitor a pak vyberte Exportovat protokoly aktivit. Další podrobnosti a další metody vytváření nastavení diagnostiky najdete v tématu Nastavení diagnostiky v Azure Monitor. Ujistěte se, že pro protokol aktivit zakážete jakoukoli starší konfiguraci.

Níže uvedené informace obsahují další podrobnosti o různých cílech, do kterých je možné odesílat záznamy prostředků.

Poznámka:

Starší metoda exportu protokolu aktivit je profily protokolů. Viz starší metody sběru.

Odešlete protokol aktivit do pracovního prostoru Log Analytics pro následující funkce:

Korelujte protokoly aktivit s jinými daty protokolů pomocí dotazů protokolu.
Vytvořte upozornění protokolu , která můžou používat složitější logiku než upozornění protokolu aktivit.
Přístup k datům protokolu aktivit pomocí Power BI
Uchovávejte data protokolu aktivit po dobu delší než 90 dnů.

Za protokoly aktivit se neúčtují žádné poplatky za příjem dat. Poplatky za uchovávání protokolů aktivit se uplatňují pouze na období, které přesahuje výchozí dobu uchovávání 90 dnů. Dobu uchovávání můžete prodloužit až na 12 let.

Data protokolu aktivit v pracovním prostoru Log Analytics jsou uložená v tabulce s názvem AzureActivity. Struktura této tabulky se liší v závislosti na kategorii položky protokolu.

Pokud chcete například zobrazit počet záznamů protokolu aktivit pro každou kategorii, použijte následující dotaz:

AzureActivity
| summarize count() by CategoryValue

Pokud chcete načíst všechny záznamy v kategorii správy, použijte následující dotaz:

AzureActivity
| where CategoryValue == "Administrative"

Důležité

Ve některých scénářích je možné, že hodnoty v polích mohou mít jinou formu velkých a malých písmen než jinak ekvivalentní hodnoty. Při dotazování na data v použijte operátory nerozlišující malá a velká písmena pro porovnání řetězců nebo pomocí skalární funkce vynutit pole na jednotnou velikost písmen před jakýmkoli porovnáním. Například pomocí funkce tolower() přinutíte pole, aby vždy používalo malá písmena, nebo můžete použít operátor =~ při porovnávání řetězců.

Odešlete protokol aktivit do Azure Event Hubs, aby se položky odesílaly mimo Azure, například do řešení SIEM třetí strany nebo jiných řešení pro analýzu protokolů. Události protokolu aktivit z center událostí jsou zpracovávány ve formátu JSON s elementem , který obsahuje záznamy v každé datové části. Schéma závisí na kategorii a je popsáno ve schématu událostí protokolu aktivit Azure.

Následující ukázková výstupní data pocházejí z center událostí pro protokol aktivit:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Pokud chcete uchovávat data protokolu aktivit déle než 90 dnů pro audit, statickou analýzu nebo zálohování, odešlete jej na účet Azure Storage. Pokud potřebujete zachovat události po dobu 90 dnů nebo méně, nemusíte nastavovat archivaci do účtu úložiště.

Při odesílání protokolu aktivit do úložiště se v účtu úložiště vytvoří úložný kontejner, jakmile dojde k události. Objekty blob v kontejneru používají následující zásady vytváření názvů:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Konkrétní objekt blob může mít například podobný název:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Každý objekt blob obsahuje objekt JSON s událostmi ze souborů protokolu přijatých během hodiny zadané v adrese URL objektu blob. Během aktuální hodiny se události připojují k souboru PT1H.json při jejich přijetí bez ohledu na to, kdy byly vygenerovány. Minutová hodnota v adrese URL je vždy protože objekty blob jsou vytvářeny hodinově.

Každá událost je uložena v souboru PT1H.json s následujícím formátem. Tento formát používá společné schéma nejvyšší úrovně, ale pro každou kategorii je jinak jedinečné, jak je popsáno ve schématu protokolu aktivit.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Export protokolů správcovských skupin

Když vytvoříte diagnostický protokol pro skupinu pro správu, exportuje všechny události pro tuto skupinu pro správu a také pro všechny skupiny pro správu pod nimi v hierarchii. Pokud má více skupin pro správu v hierarchii nastavení diagnostiky, obdržíte duplicitní události. K zachycení všech událostí pro hierarchii potřebujete jenom nastavení diagnostiky ve skupině pro správu nejvyšší úrovně.

Skupina pro řízení bude také shromažďovat mnoho stejných událostí jako všechna předplatná pod ní. Pokud předplatné i skupina pro správu mají nastavení diagnostiky, zobrazí se duplicitní události.

Pokud máte například MG1 obsahující MG2 obsahující předplatné 1, bude nastavení diagnostiky pro MG1 zaznamenávat všechny události protokolu aktivit pro MG1, MG2 a mnoho událostí shromážděných nastavením diagnostiky v předplatném 1. V takovém případě není potřeba žádné nastavení diagnostiky mg2, protože by se shromažďovaly jenom duplicitní události.

Pokud máte duplicitní události, můžete je zkombinovat pomocí dotazu, který k identifikaci jedinečných záznamů používá hodnotu hash všech polí. Následující příklad dotazu Kusto ukazuje ukázku protokolů shromážděných v pracovním prostoru Log Analytics:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Export do CSV

Vyberte Download jako CSV a exportujte protokol aktivit do souboru CSV pomocí portálu Azure.

Snímek obrazovky znázorňující možnost exportu do souboru CSV

Důležité

Export může trvat příliš dlouho, pokud máte velký počet položek protokolu. Pokud chcete zvýšit výkon, snižte časový rozsah exportu. Na portálu Azure se to nastaví pomocí nastavení Timespan.

Protokol aktivit můžete také exportovat do souboru CSV pomocí PowerShellu nebo Azure CLI jako v následujících příkladech.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Následující ukázkový skript PowerShellu exportuje protokol aktivit do souborů CSV v hodinových intervalech, přičemž každý se uloží do samostatného souboru.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Identifikace vytváření prostředků

Jedním z běžných použití protokolu aktivit je určení, kdy byl prostředek vytvořen a kdo ho vytvořil. Protokol aktivit je jediné místo, kde je uložena informace o tvůrci prostředku. Vzhledem k tomu, že se protokol aktivit uchovává po dobu 90 dnů, můžete tvůrce prostředku najít pouze v případě, že byl vytvořen během posledních 90 dnů.

Jak je popsáno výše, exportujte protokol aktivit do pracovního prostoru Log Analytics pro delší dobu uchovávání. V tomto případě můžete tvůrce prostředku najít dotazováním tabulky a data se zachovají, pokud jste zadali dobu uchovávání pro tuto tabulku.

Další kroky

Další informace o:

Schéma událostí protokolu aktivit
Protokoly prostředků
Nastavení diagnostiky

Váš názor

Byla tato stránka užitečná?

Last updated on 2026-03-06