Aktivitätsprotokoll in Azure Monitor

Das Azure Monitor-Aktivitätsprotokoll ist ein Plattformprotokoll für Ereignisse der Kontrollebene aus Azure-Ressourcen. Sie enthält Informationen, z. B. wenn eine Ressource geändert wird oder wenn ein Bereitstellungsfehler auftritt. Verwenden Sie das Aktivitätsprotokoll, um diese Informationen für Ressourcen zu überprüfen oder zu prüfen, die Sie überwachen, oder erstellen Sie eine Warnung, damit Sie proaktiv benachrichtigt werden, wenn ein Ereignis erstellt wird.

Tipp

Wenn Sie zu diesem Artikel über einen Bereitstellungsvorgangsfehler weitergeleitet wurden, lesen Sie die Problembehandlung allgemeiner Azure-Bereitstellungsfehler.

Aktivitätsprotokolleinträge

Einträge im Aktivitätsprotokoll werden standardmäßig ohne erforderliche Konfiguration erfasst. Sie werden vom System generiert und können nicht geändert oder gelöscht werden. Einträge sind in der Regel das Ergebnis von Änderungen (Erstellen, Aktualisieren, Löschen) oder eine Aktion, die initiiert wurde. Vorgänge, die sich auf das Lesen von Details einer Ressource konzentrieren, werden normalerweise nicht erfasst. Eine Beschreibung der Aktivitätsprotokollkategorien finden Sie im Azure-Aktivitätsprotokollereignisschema.

Hinweis

Vorgänge oberhalb der Kontrollebene werden in Azure-Ressourcenprotokollen protokolliert. Diese werden nicht standardmäßig erfasst und erfordern eine Diagnoseeinstellung , die erfasst werden muss.

Aufbewahrungszeitraum

Aktivitätsprotokollereignisse werden in Azure 90 Tage aufbewahrt und dann gelöscht. Für in diesem Zeitraum generierte Einträge fallen unabhängig vom Volumen keine Gebühren an. Erstellen Sie für weitere Funktionen, z. B. eine längere Aufbewahrung, eine Diagnoseeinstellung, und leiten Sie die Einträge basierend auf Ihren Anforderungen an einen anderen Speicherort weiter.

Anzeigen und Abrufen des Aktivitätsprotokolls

Auf das Aktivitätsprotokoll können Sie in den meisten Menüs im Azure-Portal zugreifen. Das Menü, in dem Sie es öffnen, bestimmt seinen anfänglichen Filter. Wenn Sie es über das Menü "Monitor" öffnen, befindet sich der einzige Filter im Abonnement. Wenn Sie es im Menü einer Ressource öffnen, wird der Filter auf die betreffende Ressource festgelegt. Sie können den Filter jederzeit ändern, um alle anderen Einträge anzuzeigen. Wählen Sie "Filter hinzufügen" , um dem Filter weitere Eigenschaften hinzuzufügen.

Sie können auch mithilfe der folgenden Methoden auf Aktivitätsprotokollereignisse zugreifen:

Verwenden Sie das Cmdlet "Get-AzLog ", um das Aktivitätsprotokoll aus PowerShell abzurufen. Siehe Azure Monitor PowerShell-Beispiele.
Verwenden Sie az monitor activity-log , um das Aktivitätsprotokoll aus der CLI abzurufen. Siehe Azure Monitor CLI-Beispiele.

Verwenden Sie die Azure Monitor-REST-API , um das Aktivitätsprotokoll von einem REST-Client abzurufen.

Anzeigen des Änderungsverlaufs

Bei einigen Ereignissen können Sie den Änderungsverlauf anzeigen, in dem ersichtlich wird, welche Änderungen während dieses Ereignisses aufgetreten sind. Wählen Sie im Aktivitätsprotokoll ein Ereignis aus, das Sie eingehender untersuchen möchten. Wählen Sie die Registerkarte " Änderungsverlauf " aus, um alle Änderungen der Ressource bis zu 30 Minuten vor und nach dem Zeitpunkt des Vorgangs anzuzeigen.

Wenn dem Ereignis Änderungen zugeordnet sind, wird eine Liste der Änderungen angezeigt, die Sie auswählen können. Wenn Sie eine Änderung auswählen, wird die Seite " Änderungsverlauf" geöffnet. Auf dieser Seite werden die Änderungen an der Ressource angezeigt. Im folgenden Beispiel können Sie sehen, dass die VM-Größe geändert wurde. Auf der Seite wird die VM-Größe vor der Änderung und nach der Änderung angezeigt. Um mehr über den Änderungsverlauf zu erfahren, sehen Sie Ressourcenänderungen abrufen.

Einblicke in das Aktivitätsprotokoll

Aktivitätsprotokoll-Einblicke ist eine Arbeitsmappe, die eine Reihe von Dashboards bereitstellt, um die Änderungen an Ressourcen und Ressourcengruppen innerhalb eines Abonnements zu überwachen. Die Dashboards enthalten auch Daten darüber, welche Benutzer oder Dienste Aktivitäten im Abonnement und den Status der Aktivitäten ausgeführt haben.

Um Aktivitätsprotokollerkenntnisse zu aktivieren, exportieren Sie das Aktivitätsprotokoll in einen Log Analytics-Arbeitsbereich, wie im Exportaktivitätsprotokoll beschrieben. Dadurch werden Ereignisse an die AzureActivity Tabelle gesendet, die für Einblicke in das Aktivitätsprotokoll genutzt wird.

Sie können Erkenntnisse aus dem Aktivitätsprotokoll auf Abonnement- oder Ressourcenebene öffnen. Wählen Sie für das Abonnement unter dem Menü Monitor im Abschnitt Arbeitsmappen die Option Erkenntnisse aus Aktivitätsprotokollen aus.

Wählen Sie für eine einzelne Ressource Einsicht in Aktivitätsprotokolle im Abschnitt Arbeitsmappen des Menüs der Ressource aus.

Aktivitätsprotokoll exportieren

Erstellen Sie eine Diagnoseeinstellung zum Senden von Aktivitätsprotokolleinträgen an andere Ziele, um zusätzliche Aufbewahrungszeit und -funktionalität zu erhalten.

Wählen Sie im Azure-Portal die Option Aktivitätsprotokoll im Azure Monitor-Menü und dann Aktivitätsprotokolle exportieren aus. Weitere Details und andere Methoden zum Erstellen von Diagnoseeinstellungen finden Sie unter Diagnoseeinstellungen in Azure Monitor. Stellen Sie sicher, dass Sie alle Legacy-Konfigurationen für das Aktivitätsprotokoll deaktivieren.

Die folgenden Informationen enthalten weitere Details zu den verschiedenen Zielen, an die Ressourcenprotokolle gesendet werden können.

Hinweis

Die Vorgängermethode zum Exportieren des Aktivitätsprotokolls ist Protokollprofile. Weitere Informationen finden Sie unter Vorgängererfassungsmethoden.

Senden Sie das Aktivitätsprotokoll an einen Log Analytics-Arbeitsbereich für die folgende Funktionalität:

Korrelieren Sie Aktivitätsprotokolle mit anderen Protokolldaten mithilfe von Protokollabfragen.
Erstellen Sie Protokollwarnungen , die komplexere Logik als Aktivitätsprotokollwarnungen verwenden können.
Zugreifen auf Aktivitätsprotokolldaten mit Power BI.
Bewahren Sie Aktivitätsprotokolldaten länger als 90 Tage auf.

Es gibt keine Datenaufnahmegebühren für Aktivitätsprotokolle. Aufbewahrungsgebühren für Aktivitätsprotokolle werden nur auf den Zeitraum angewendet, der über den Standardaufbewahrungszeitraum von 90 Tagen verlängert wurde. Sie können den Aufbewahrungszeitraum auf bis zu 12 Jahre erhöhen.

Aktivitätsprotokolldaten in einem Log Analytics-Arbeitsbereich werden in einer Tabelle namens AzureActivity gespeichert. Die Struktur dieser Tabelle variiert je nach Kategorie des Protokolleintrags.

Zeigen Sie z. B. mit der folgenden Abfrage die Anzahl der Aktivitätsprotokoll-Datensätze für jede Kategorie an:

AzureActivity
| summarize count() by CategoryValue

Verwenden Sie die folgende Abfrage, um alle Datensätze in der Kategorie „Administrativ“ abzurufen:

AzureActivity
| where CategoryValue == "Administrative"

Von Bedeutung

In einigen Szenarien ist es möglich, dass Werte in Feldern von AzureActivity andere Groß- und Kleinschreibungen aufweisen als andernfalls gleichwertige Werte. Verwenden Sie beim Abfragen von Daten in AzureActivity Operatoren ohne Berücksichtigung der Groß-/Kleinschreibung für Zeichenfolgenvergleiche, oder verwenden Sie eine Skalarfunktion, um für ein Feld vor allen Vergleichen eine einheitliche Groß-/Kleinschreibung zu erzwingen. Verwenden Sie z. B. die tolower()-Funktion in einem Feld, um zu erzwingen, dass es immer in Kleinbuchstaben geschrieben wird, und den =~ Operator, wenn Sie einen Zeichenfolgenvergleich durchführen.

Senden Sie das Aktivitätsprotokoll an Azure Event Hubs, um Einträge außerhalb von Azure zu senden, z. B. an ein SIEM eines Drittanbieters oder an andere Protokollanalyselösungen. Aktivitätsprotokollereignisse von Event Hubs-Instanzen werden im JSON-Format mit einem records-Element genutzt, das die Datensätze in den den einzelnen Nutzdaten enthält. Das Schema hängt von der Kategorie ab und wird im Azure-Aktivitätsprotokollereignisschema beschrieben.

Es folgt ein Beispiel für eine Datenausgabe aus Event Hubs-Instanzen für ein Aktivitätsprotokoll:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Senden Sie das Aktivitätsprotokoll an ein Azure Storage-Konto, wenn Sie die Protokolldaten für Überwachungs-, statische Analyse- oder Sicherungszwecke länger als 90 Tage aufbewahren möchten. Wenn Sie Ereignisse höchstens 90 Tage aufbewahren müssen, muss keine Archivierung in einem Speicherkonto eingerichtet werden.

Wenn Sie das Aktivitätsprotokoll an den Speicher senden, wird ein Speichercontainer im Speicherkonto erstellt, sobald ein Ereignis eintritt. Für die Blobs im Container gilt die folgende Benennungskonvention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Ein bestimmtes Blob kann beispielsweise einen Namen aufweisen, der dem Folgenden ähnelt:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Jedes PT1H.json Blob enthält ein JSON-Objekt mit Ereignissen aus Protokolldateien, die während der in der BLOB-URL angegebenen Stunde empfangen wurden. Während der aktuellen Stunde werden die Ereignisse, sobald sie empfangen werden, an die Datei PT1H.json angehängt, unabhängig davon, wann sie erzeugt wurden. Der Minutenwert in der URL, m=00, ist immer 00, da Blobs pro Stunde erstellt werden.

In der Datei „PT1H.json“ wird jedes Ereignis im folgenden Format gespeichert. Dieses Format verwendet ein allgemeines Schema auf oberster Ebene, ist aber ansonsten für jede Kategorie eindeutig, wie im Aktivitätsprotokollschema beschrieben.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

In CSV exportieren

Wählen Sie "Als CSV herunterladen" aus, um das Aktivitätsprotokoll mithilfe des Azure-Portals in eine CSV-Datei zu exportieren.

Von Bedeutung

Der Export kann eine übermäßige Zeit in Anspruch nehmen, wenn Sie eine große Anzahl von Protokolleinträgen haben. Um die Leistung zu verbessern, verringern Sie den Zeitraum des Exports. Im Azure-Portal wird dies mit der Einstellung "Timespan " festgelegt.

Sie können das Aktivitätsprotokoll auch mithilfe von PowerShell oder der Azure CLI wie in den folgenden Beispielen in eine CSV-Datei exportieren.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Das folgende PowerShell-Skript exportiert das Aktivitätsprotokoll in CSV-Dateien in Intervalle von einer Stunde, die jeweils in einer separaten Datei gespeichert wird.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Nächste Schritte

Weitere Informationen zu:

Feedback

War diese Seite hilfreich?

Last updated on 2025-08-16