Übersicht über Protokolle der Azure-Plattform
Plattformprotokolle liefern detaillierte Diagnose- und Überwachungsinformationen für Azure-Ressourcen und die Azure-Plattform, von der sie abhängen. Plattformprotokolle werden automatisch generiert. Dieser Artikel bietet einen Überblick über die Plattformprotokolle, einschließlich der Informationen, die sie liefern, und wie Sie sie für die Sammlung und Analyse konfigurieren.
Typen von Plattformprotokollen
In der folgenden Tabelle sind die Plattformprotokolle aufgeführt, die auf verschiedenen Ebenen innerhalb von Azure verfügbar sind.
| Log | Ebene | BESCHREIBUNG |
|---|---|---|
| Ressourcenprotokolle | Azure-Ressourcen | Ressourcenprotokolle bieten einen Einblick in Vorgänge, die innerhalb einer Azure-Ressource durchgeführt wurden. Dies wird als Datenebene bezeichnet. Beispiele sind das Abrufen eines Geheimnisses aus einem Schlüsseltresor oder eine Anforderung an eine Datenbank. Der Inhalt der Ressourcenprotokolle variiert je nach Azure-Dienst und Ressourcentyp. Ressourcenprotokolle wurden zuvor als Diagnoseprotokolle bezeichnet. |
| Aktivitätsprotokolle | Azure-Abonnement | Aktivitätsprotokolle bieten einen Einblick in die Vorgänge, die auf jeder Azure-Ressource im Abonnement von außen, der so genannten Verwaltungsebene, durchgeführt werden. zusätzlich zu Updates für Service Health-Ereignisse. Verwenden Sie das Aktivitätsprotokoll, um Antworten auf die Fragen Was, Wer und Wann für alle Schreibvorgänge (PUT, POST, DELETE) zu ermitteln, die für die Ressourcen Ihres Abonnements ausgeführt wurden. Es gibt jeweils ein Aktivitätsprotokoll für jedes Azure-Abonnement. |
| Microsoft Entra-Protokolle | Azure-Mandant | Microsoft Entra-Protokolle enthalten den Verlauf der Anmeldeaktivitäten und einen Überwachungspfad von Änderungen, die in der Microsoft Entra-ID für einen bestimmten Mandanten vorgenommen wurden. |
Hinweis
Das Azure-Aktivitätsprotokoll ist in erster Linie für Aktivitäten bestimmt, die in Azure Resource Manager stattfinden. Das Aktivitätsprotokoll verfolgt die Ressourcen nicht nach dem klassischen/RDFE-Modell. Einige klassische Ressourcentypen haben einen Proxy-Ressourcenanbieter im Ressource Manager, zum Beispiel Microsoft.ClassicCompute. Wenn Sie mithilfe dieser Proxyressourcenanbieter über Resource Manager mit einem klassischen Ressourcentyp interagieren, werden die Vorgänge im Aktivitätsprotokoll aufgeführt. Wenn Sie mit einem klassischen Ressourcentyp außerhalb der Resource Manager-Proxys interagieren, werden Ihre Aktionen nur in das Vorgangsprotokoll aufgenommen. Das Vorgangsprotokoll kann in einem separaten Abschnitt des Portals durchsucht werden.
Anzeigen von Plattformprotokollen
Es gibt verschiedene Optionen zum Anzeigen und Analysieren der unterschiedlichen Azure-Plattformprotokolle:
- Sie können das Aktivitätsprotokoll über das Azure-Portal einsehen und über die PowerShell und die Azure CLI auf Ereignisse zugreifen. Weitere Informationen finden Sie unter Anzeigen des Aktivitätsprotokolls.
- Zeigen Sie Microsoft Entra-Sicherheits- und Aktivitätsberichte im Azure-Portal an. Weitere Informationen finden Sie unter Was sind Microsoft Entra-Berichte?.
- Ressourcenprotokolle werden von unterstützten Azure-Ressourcen automatisch generiert. Sie müssen eine Diagnoseeinstellung für die Ressource erstellen, um das Protokoll zu speichern und anzuzeigen.
Diagnoseeinstellungen
Ressourcenprotokolle müssen eine Diagnoseeinstellung haben, um angezeigt zu werden. Erstellen Sie eine Diagnoseeinstellung, um Plattformprotokolle zur Analyse oder zu anderen Zwecken an eins der folgenden Ziele zu senden.
| Destination | BESCHREIBUNG |
|---|---|
| Log Analytics-Arbeitsbereich | Analysieren Sie die Protokolle aller ihrer Azure-Ressourcen zusammen, und nutzen Sie alle Features, die für Azure Monitor-Protokolle verfügbar sind, einschließlich Protokollabfragen und Protokollwarnungen. Heften Sie die Ergebnisse einer Protokollabfrage an ein Azure-Dashboard an, oder fügen Sie diese als Teil eines interaktiven Berichts in eine Arbeitsmappe ein. |
| Event Hub | Senden Sie Plattformprotokolldaten außerhalb von Azure, z. B. an ein SIEM eines Drittanbieters oder eine benutzerdefinierte Telemetrieplattform über Event Hubs |
| Azure Storage | Archivieren Sie die Protokolle auf dem Azure-Speicher für Audits oder Backups. |
| Azure Monitor – integrierte Partnerlösungen | Partner-Integrationen sind spezielle Integrationen zwischen Azure Monitor und Nicht-Microsoft-Überwachungsplattformen. Partnerintegrationen sind besonders nützlich, wenn Sie bereits einen der unterstützten Partner verwenden. |
- Einzelheiten zum Erstellen einer Diagnoseeinstellung für Aktivitäts- und Ressourcenprotokolle finden Sie unter Erstellen einer Diagnoseeinstellung zum Sammeln von Ressourcenprotokollen und -metriken in Azure.
- Informationen zum Erstellen einer Diagnoseeinstellung für Azure AD-Protokolle finden Sie in den folgenden Artikeln:
Preismodell
Die Verarbeitung von Daten zum Streamen von Protokollen wird für bestimmte Dienste in Rechnung gestellt, wenn sie an andere Ziele als einen Log Analytics-Arbeitsbereich gesendet werden.
Es fallen zwar keine direkten Kosten an, wenn diese Daten von der Ressource an einen Log Analytics-Arbeitsbereich gesendet werden, aber für die Aufnahme der Daten in einen Arbeitsbereich fällt eine Log Analytics-Gebühr an. Die Gebühr basiert auf der Anzahl der Bytes in den exportierten JSON-formatierten Protokolldaten, gemessen in GB (10^9 Bytes).
Die Preise hierzu finden Sie auf der Preisübersichtsseite für Azure Monitor.