Aktivitätsprotokoll in Azure Monitor

Das Azure Monitor Aktivitätsprotokoll ist ein Plattformprotokoll für Kontrollebenenereignisse von Azure-Ressourcen. Sie enthält Informationen, z. B. wenn eine Ressource geändert wird oder wenn ein Bereitstellungsfehler auftritt. Verwenden Sie das Aktivitätsprotokoll, um diese Informationen für Ressourcen zu überprüfen oder zu prüfen, die Sie überwachen, oder erstellen Sie eine Warnung, damit Sie proaktiv benachrichtigt werden, wenn ein Ereignis erstellt wird.

Tipp

Wenn Sie zu diesem Artikel über einen Bereitstellungsvorgangsfehler weitergeleitet wurden, lesen Sie häufige Azure-Bereitstellungsfehler beheben.

Aktivitätsprotokolleinträge

Einträge im Aktivitätsprotokoll werden standardmäßig ohne erforderliche Konfiguration erfasst. Sie werden vom System generiert und können nicht geändert oder gelöscht werden. Einträge sind in der Regel das Ergebnis von Änderungen (Erstellen, Aktualisieren, Löschen) oder eine Aktion, die initiiert wurde. Vorgänge, die sich auf das Lesen von Details einer Ressource konzentrieren, werden normalerweise nicht erfasst. Eine Beschreibung der Aktivitätsprotokollkategorien finden Sie unter Azure Aktivitätsprotokollereignisschema.

Hinweis

Vorgänge über der Steuerebene werden in Azure Resource Logs protokolliert. Diese werden nicht standardmäßig erfasst und erfordern eine Diagnoseeinstellung , die erfasst werden muss.

Aufbewahrungszeitraum

Aktivitätsprotokollereignisse werden in Azure für 90 Tage aufbewahrt und dann gelöscht. Für in diesem Zeitraum generierte Einträge fallen unabhängig vom Volumen keine Gebühren an. Erstellen Sie für weitere Funktionen, z. B. eine längere Aufbewahrung, eine Diagnoseeinstellung, und leiten Sie die Einträge basierend auf Ihren Anforderungen an einen anderen Speicherort weiter.

Anzeigen und Abrufen des Aktivitätsprotokolls

Sie können über die meisten Menüs im Azure-Portal auf das Aktivitätsprotokoll zugreifen. Das Menü, in dem Sie es öffnen, bestimmt seinen anfänglichen Filter. Wenn Sie es über das Menü "Monitor" öffnen, befindet sich der einzige Filter im Abonnement. Wenn Sie es im Menü einer Ressource öffnen, wird der Filter auf die betreffende Ressource festgelegt. Sie können den Filter jederzeit ändern, um alle anderen Einträge anzuzeigen. Wählen Sie "Filter hinzufügen" , um dem Filter weitere Eigenschaften hinzuzufügen.

Screenshot des Aktivitätsprotokolls.

Sie können auch mithilfe der folgenden Methoden auf Aktivitätsprotokollereignisse zugreifen:

• Verwenden Sie das Cmdlet "Get-AzLog ", um das Aktivitätsprotokoll aus PowerShell abzurufen. Siehe Azure Monitor PowerShell-Beispiele.
• Verwenden Sie az monitor activity-log , um das Aktivitätsprotokoll aus der CLI abzurufen. Siehe Azure Monitor CLI-Beispiele.

• Verwenden Sie die Azure Monitor REST-API, um das Aktivitätsprotokoll von einem REST-Client abzurufen.

Anzeigen des Änderungsverlaufs

Bei einigen Ereignissen können Sie den Änderungsverlauf anzeigen, in dem ersichtlich wird, welche Änderungen während dieses Ereignisses aufgetreten sind. Wählen Sie im Aktivitätsprotokoll ein Ereignis aus, das Sie eingehender untersuchen möchten. Wählen Sie die Registerkarte " Änderungsverlauf " aus, um alle Änderungen der Ressource bis zu 30 Minuten vor und nach dem Zeitpunkt des Vorgangs anzuzeigen.

Screenshot der Änderungsverlaufsliste für ein Ereignis.

Wenn dem Ereignis Änderungen zugeordnet sind, wird eine Liste der Änderungen angezeigt, die Sie auswählen können. Wenn Sie eine Änderung auswählen, wird die Seite " Änderungsverlauf" geöffnet. Auf dieser Seite werden die Änderungen an der Ressource angezeigt. Im folgenden Beispiel können Sie sehen, dass die VM-Größe geändert wurde. Auf der Seite wird die VM-Größe vor der Änderung und nach der Änderung angezeigt. Um mehr über den Änderungsverlauf zu erfahren, sehen Sie Ressourcenänderungen abrufen.

Screenshot der Seite "Änderungsverlauf" mit Unterschieden.

Einblicke in das Aktivitätsprotokoll

Aktivitätsprotokoll-Einblicke ist eine Arbeitsmappe, die eine Reihe von Dashboards bereitstellt, um die Änderungen an Ressourcen und Ressourcengruppen innerhalb eines Abonnements zu überwachen. Die Dashboards enthalten auch Daten darüber, welche Benutzer oder Dienste Aktivitäten im Abonnement und den Status der Aktivitäten ausgeführt haben.

Um Aktivitätsprotokollerkenntnisse zu aktivieren, exportieren Sie das Aktivitätsprotokoll in einen Log Analytics Arbeitsbereich, wie in Exportieren von Aktivitätsprotokoll beschrieben. Dadurch werden Ereignisse an die Tabelle gesendet, die für Einblicke in das Aktivitätsprotokoll genutzt wird.

Screenshot, der Dashboards mit Einsichten aus Aktivitätsprotokollen zeigt.

Sie können Erkenntnisse aus dem Aktivitätsprotokoll auf Abonnement- oder Ressourcenebene öffnen. Wählen Sie für das Abonnement unter dem Menü Monitor im Abschnitt Arbeitsmappen die Option Erkenntnisse aus Aktivitätsprotokollen aus.

Screenshot, der zeigt, wie Sie die Arbeitsmappe "Activity Logs Insights" auf Skalenebene suchen und öffnen.

Wählen Sie für eine einzelne Ressource Einsicht in Aktivitätsprotokolle im Abschnitt Arbeitsmappen des Menüs der Ressource aus.

Screenshot, der zeigt, wie die Arbeitsmappe "Aktivitätsprotokolle Insights" auf Ressourcenebene gefunden und geöffnet wird.

Aktivitätsprotokoll exportieren

Erstellen Sie eine Diagnoseeinstellung zum Senden von Aktivitätsprotokolleinträgen an andere Ziele, um zusätzliche Aufbewahrungszeit und -funktionalität zu erhalten.

Diagramm, das eine Sammlung von Aktivitätsprotokollen, Ressourcenprotokollen und Plattformmetriken zeigt.

Wählen Sie im Azure-Portal Aktivitätsprotokoll im Menü Azure Monitor aus, und wählen Sie dann Exportieren von Aktivitätsprotokollen aus. Weitere Details und andere Methoden zum Erstellen von Diagnoseeinstellungen finden Sie unter Diagnostic-Einstellungen in Azure Monitor. Stellen Sie sicher, dass Sie alle Legacy-Konfigurationen für das Aktivitätsprotokoll deaktivieren.

Die folgenden Informationen enthalten weitere Details zu den verschiedenen Zielen, an die Ressourcenprotokolle gesendet werden können.

Hinweis

Die Vorgängermethode zum Exportieren des Aktivitätsprotokolls ist Protokollprofile. Weitere Informationen finden Sie unter Vorgängererfassungsmethoden.

Log Analytics Arbeitsbereich

Senden Sie das Aktivitätsprotokoll an einen Log Analytics-Arbeitsbereich für die folgenden Funktionen:

• Korrelieren Sie Aktivitätsprotokolle mit anderen Protokolldaten mithilfe von Protokollabfragen.
• Erstellen Sie Protokollwarnungen , die komplexere Logik als Aktivitätsprotokollwarnungen verwenden können.
• Zugreifen auf Aktivitätsprotokolldaten mit Power BI.
• Bewahren Sie Aktivitätsprotokolldaten länger als 90 Tage auf.

Es gibt keine Datenaufnahmegebühren für Aktivitätsprotokolle. Aufbewahrungsgebühren für Aktivitätsprotokolle werden nur auf den Zeitraum angewendet, der über den Standardaufbewahrungszeitraum von 90 Tagen verlängert wurde. Sie können den Aufbewahrungszeitraum auf bis zu 12 Jahre erhöhen.

Aktivitätsprotokolldaten in einem Log Analytics Arbeitsbereich werden in einer Tabelle mit dem Namen AzureActivity gespeichert. Die Struktur dieser Tabelle variiert je nach Kategorie des Protokolleintrags.

Zeigen Sie z. B. mit der folgenden Abfrage die Anzahl der Aktivitätsprotokoll-Datensätze für jede Kategorie an:

AzureActivity
| summarize count() by CategoryValue

Verwenden Sie die folgende Abfrage, um alle Datensätze in der Kategorie „Administrativ“ abzurufen:

AzureActivity
| where CategoryValue == "Administrative"

Von Bedeutung

In einigen Szenarien ist es möglich, dass Werte in Feldern von andere Groß- und Kleinschreibungen aufweisen als andernfalls gleichwertige Werte. Verwenden Sie beim Abfragen von Daten in Operatoren ohne Berücksichtigung der Groß-/Kleinschreibung für Zeichenfolgenvergleiche, oder verwenden Sie eine Skalarfunktion, um für ein Feld vor allen Vergleichen eine einheitliche Groß-/Kleinschreibung zu erzwingen. Verwenden Sie z. B. die tolower()-Funktion in einem Feld, um zu erzwingen, dass es immer in Kleinbuchstaben geschrieben wird, und den =~ Operator, wenn Sie einen Zeichenfolgenvergleich durchführen.

Azure Event Hubs

Senden Sie das Aktivitätsprotokoll an Azure Event Hubs, um Einträge außerhalb Azure zu senden, z. B. an ein SIEM eines Drittanbieters oder an andere Protokollanalyselösungen. Aktivitätsprotokollereignisse von Event Hubs-Instanzen werden im JSON-Format mit einem -Element genutzt, das die Datensätze in den den einzelnen Nutzdaten enthält. Das Schema hängt von der Kategorie ab und wird in Azure Aktivitätsprotokoll-Ereignisschema beschrieben.

Es folgt ein Beispiel für eine Datenausgabe aus Event Hubs-Instanzen für ein Aktivitätsprotokoll:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Azure Storage

Senden Sie das Aktivitätsprotokoll an ein Azure Storage Konto, wenn Sie Ihre Protokolldaten länger als 90 Tage für Die Überwachung, statische Analyse oder Sicherung aufbewahren möchten. Wenn Sie Ereignisse höchstens 90 Tage aufbewahren müssen, muss keine Archivierung in einem Speicherkonto eingerichtet werden.

Wenn Sie das Aktivitätsprotokoll an den Speicher senden, wird ein Speichercontainer im Speicherkonto erstellt, sobald ein Ereignis eintritt. Für die Blobs im Container gilt die folgende Benennungskonvention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Ein bestimmtes Blob kann beispielsweise einen Namen aufweisen, der dem Folgenden ähnelt:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Jedes Blob enthält ein JSON-Objekt mit Ereignissen aus Protokolldateien, die während der in der BLOB-URL angegebenen Stunde empfangen wurden. Während der aktuellen Stunde werden die Ereignisse, sobald sie empfangen werden, an die Datei PT1H.json angehängt, unabhängig davon, wann sie erzeugt wurden. Der Minutenwert in der URL, , ist immer , da Blobs pro Stunde erstellt werden.

In der Datei „PT1H.json“ wird jedes Ereignis im folgenden Format gespeichert. Dieses Format verwendet ein allgemeines Schema auf oberster Ebene, ist aber ansonsten für jede Kategorie eindeutig, wie im Aktivitätsprotokollschema beschrieben.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exportieren von Verwaltungsgruppenprotokollen

Wenn Sie ein Diagnoseeinstellungsprotokoll für eine Verwaltungsgruppe erstellen, werden alle Ereignisse für diese Verwaltungsgruppe zusätzlich zu allen Verwaltungsgruppen in der Hierarchie exportiert. Wenn mehrere Verwaltungsgruppen in der Hierarchie Über Diagnoseeinstellungen verfügen, erhalten Sie doppelte Ereignisse. Sie benötigen nur eine Diagnoseeinstellung für die Verwaltungsgruppe der höchsten Ebene, um alle Ereignisse für die Hierarchie zu erfassen.

Die Verwaltungsgruppe wird auch viele der gleichen Ereignisse sammeln wie die Abonnements unter ihr. Wenn sowohl das Abonnement als auch die Verwaltungsgruppe über Diagnostikeinstellungen verfügen, erhalten Sie duplizierte Ereignisse.

Wenn Sie beispielsweise über MG1 verfügen, das MG2 enthält, welches Subscription1 enthält, erfasst eine diagnostische Einstellung auf MG1 alle Aktivitätsprotokollereignisse für MG1, MG2 sowie viele der Ereignisse, die auch durch eine diagnostische Einstellung auf Subscription1 erfasst würden. In diesem Fall ist keine Diagnoseeinstellung für MG2 erforderlich, da sie nur doppelte Ereignisse sammeln würde.

Wenn Sie doppelte Ereignisse haben, können Sie sie mithilfe einer Abfrage kombinieren, die einen Hash aller Felder verwendet, um eindeutige Datensätze zu identifizieren. Das folgende Beispiel einer Kusto-Abfrage zeigt ein Beispiel für Protokolle, die in einem Log Analytics Arbeitsbereich gesammelt wurden:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

In CSV exportieren

Wählen Sie Download als CSV aus, um das Aktivitätsprotokoll mithilfe des Azure Portals in eine CSV-Datei zu exportieren.

Screenshot der Option zum Exportieren in CSV.

Von Bedeutung

Der Export kann eine übermäßige Zeit in Anspruch nehmen, wenn Sie eine große Anzahl von Protokolleinträgen haben. Um die Leistung zu verbessern, verringern Sie den Zeitraum des Exports. Im Azure-Portal wird dies mit der Einstellung Timespan festgelegt.

Sie können das Aktivitätsprotokoll auch mithilfe von PowerShell oder der Azure CLI wie in den folgenden Beispielen in eine CSV-Datei exportieren.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Das folgende PowerShell-Skript exportiert das Aktivitätsprotokoll in CSV-Dateien in Intervalle von einer Stunde, die jeweils in einer separaten Datei gespeichert wird.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Identifizierung der Ressourcenerstellung

Eine der allgemeinen Verwendungsmöglichkeiten des Aktivitätsprotokolls besteht darin, zu bestimmen, wann eine Ressource erstellt wurde und wer sie erstellt hat. Das Aktivitätsprotokoll ist der einzige Ort, an dem der Ersteller einer Ressource beibehalten wird. Da das Aktivitätsprotokoll 90 Tage lang aufbewahrt wird, können Sie den Ersteller einer Ressource nur finden, wenn es innerhalb der letzten 90 Tage erstellt wurde.

Wie oben beschrieben, exportieren Sie das Aktivitätsprotokoll für eine längere Aufbewahrung in einen Log Analytics Arbeitsbereich. In diesem Fall können Sie den Ersteller einer Ressource finden, indem Sie die Tabelle abfragen und die Daten aufbewahrt werden, solange Sie den Aufbewahrungszeitraum für diese Tabelle angegeben haben.

Nächste Schritte

Weitere Informationen zu:

• Aktivitätsprotokollereignisschema
• Ressourcenprotokolle
• Diagnoseeinstellungen