Monitorování událostí zabezpečení pomocí služby Azure Monitor
Protokol aktivit služby Azure Monitor je protokol platformy v Azure, který poskytuje přehled o událostech na úrovni předplatného. Protokol aktivit obsahuje například informace o úpravách prostředků nebo spouštění virtuálních počítačů. Protokol aktivit můžete zobrazit na webu Azure Portal, případně můžete načíst položky pomocí PowerShellu a rozhraní Azure CLI. Tento článek obsahuje informace o tom, jak zobrazit protokol aktivit a poslat ho do různých cílů.
Pokud chcete získat další funkce, vytvořte nastavení diagnostiky pro odesílání protokolu aktivit do jednoho nebo více těchto umístění z následujících důvodů:
Odeslání do protokolů služby Azure Monitor pro složitější dotazování a upozorňování a delší uchovávání až na dva roky.
Odeslání do služby Azure Event Hubs k předání mimo Azure
Odeslání do Azure Storage za účelem levnějšího dlouhodobého archivace
Položky v protokolu aktivit jsou generovány systémem a nelze je změnit ani odstranit.
Položky v protokolu aktivit představují změny řídicí roviny, jako je restartování virtuálního počítače, všechny nesouvisející položky by měly být zapsány do protokolů prostředků Azure.
Doba uchovávání
Události protokolu aktivit se uchovávají v Azure po dobu 90 dnů a pak se odstraní. Během této doby se za položky neúčtují žádné poplatky bez ohledu na jejich objem. Pokud potřebujete další funkce, například delší uchovávání, vytvořte nastavení diagnostiky a směrujte záznamy do jiného umístění podle svých potřeb. Projděte si kritéria v předchozí části.
Zobrazení protokolu aktivit
K protokolu aktivit můžete získat přístup z většiny nabídek na webu Azure Portal. Na základě nabídky, ze které ho otevřete, se určí počáteční filtr. Pokud ho otevřete z nabídky Monitorování, bude nastavený jediný filtr, a to na předplatné. Pokud ho otevřete z nabídky prostředku, filtr je nastavený na daný prostředek. Filtr můžete vždy změnit tak, aby se zobrazily všechny ostatní položky. Pokud chcete do filtru přidat další vlastnosti, vyberte Přidat filtr.
Stažení protokolu aktivit
Pokud chcete stáhnout události v aktuálním zobrazení, vyberte Stáhnout jako soubor CSV.
Zobrazení historie změn
U některých událostí můžete zobrazit historii změn, která ukazuje, k jakým změnám v čase dané události došlo. V protokolu aktivit vyberte událost, na kterou se chcete podívat hlouběji. Výběrem karty Historie změn zobrazíte všechny změny prostředku do 30 minut před a po době operace.
Pokud jsou k události přidružené nějaké změny, zobrazí se seznam změn, které můžete vybrat. Výběrem změny se otevře stránka Historie změn. Na této stránce se zobrazí změny prostředku. V následujícím příkladu vidíte, že se velikost virtuálního počítače změnila.
Další metody načítání událostí protokolu aktivit
K událostem protokolu aktivit můžete přistupovat také pomocí následujících metod:
- K načtení protokolu aktivit z PowerShellu použijte rutinu Get-AzLog. Viz Azure Monitor – ukázky v PowerShellu.
- K načtení protokolu aktivit z rozhraní příkazového řádku použijte az monitor activity-log. Viz Azure Monitor – ukázky v CLI.
- K načtení protokolu aktivit z klienta REST použijte rozhraní REST API služby Azure Monitor.
Odeslání do pracovního prostoru služby Log Analytics
Odešlete protokol aktivit do pracovního prostoru služby Log Analytics, abyste povolili funkci protokolů služby Azure Monitor, kde:
- Korelujte data protokolu aktivit s dalšími daty monitorování shromážděnými službou Azure Monitor.
- Sloučení položek protokolu z několika předplatných a tenantů Azure do jednoho umístění pro účely analýzy
- Pomocí dotazů protokolu můžete provádět komplexní analýzu a získat podrobné přehledy o položkách protokolu aktivit.
- Pro složitější logiku upozorňování používejte upozornění protokolu s položkami aktivit.
- Ukládat položky protokolu aktivit po delší dobu, než je doba uchovávání protokolu aktivit.
- Neúčtují se žádné poplatky za příjem dat ani uchovávání dat protokolu aktivit uložených v pracovním prostoru služby Log Analytics.
- Výchozí doba uchovávání v Log Analytics je 90 dnů.
Výběrem možnosti Exportovat protokoly aktivit odešlete protokol aktivit do pracovního prostoru služby Log Analytics. Protokol aktivit můžete odeslat z libovolného předplatného do až pěti pracovních prostorů.
Data protokolu aktivit v pracovním prostoru služby Log Analytics jsou uložená v tabulce s názvem AzureActivity, kterou můžete načíst pomocí dotazu protokolu v Log Analytics. Struktura této tabulky se liší v závislosti na kategorii položky protokolu.
V některých scénářích je možné, že hodnoty v polích AzureActivity můžou mít různá velikost velikostí od jiných ekvivalentních hodnot. Při dotazování na data v AzureActivity se starají o použití operátorů nerozlišující malá a velká písmena pro porovnání řetězců nebo použití skalární funkce k vynucení pole do jednotné velikosti písmen před jakýmkoli porovnáním. Například pomocí funkce tolower() u pole vynutíte, aby byla při porovnávání řetězců vždy malá písmena nebo operátor =~.
Odeslání do Azure Storage
Pokud chcete uchovávat data protokolů déle než 90 dnů pro audit, statickou analýzu nebo zálohování, odešlete protokol aktivit do účtu Azure Storage. Pokud potřebujete zachovat události po dobu 90 dnů nebo méně, nemusíte archivovat účet úložiště. Události protokolu aktivit se uchovávají na platformě Azure po dobu 90 dnů.
Při odesílání protokolu aktivit do Azure se v účtu úložiště vytvoří kontejner úložiště, jakmile dojde k události.
Každý objekt blob PT1H.json obsahuje objekt JSON s událostmi ze souborů protokolu přijatých během hodiny zadané v adrese URL objektu blob. Během aktuální hodiny se události připojují k souboru PT1H.json při jejich přijetí bez ohledu na to, kdy byly vygenerovány. Minutová hodnota v adrese URL, m=00 je vždy 00, protože objekty blob se vytvářejí po hodinách.