Abfragen für die AzureActivity-Tabelle
[Klassisch] In AzureActivity suchen
[Klassisch] Suchen Sie in AzureActivity nach einem bestimmten Wert in der AzureActivity-Tabelle./nAnmerken Sie, dass für diese Abfrage die Aktualisierung des <SeachValue-Parameters> erforderlich ist, um Ergebnisse zu erzielen.
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where * contains tostring(SearchValue)
| take 1000
Herunterfahren Virtual Machines
Virtual Machines in den letzten 10 Minuten erfolgreich heruntergefahren.
// To create an alert for this query, click '+ New alert rule'
AzureActivity
| where TimeGenerated > ago(10m)
| where OperationName == "Deallocate Virtual Machine" and ActivityStatus == "Succeeded"
Neueste 50 Protokolle
Zeigen Sie die neuesten Azure-Aktivitätsprotokolle für diese Ressource an.
AzureActivity
| top 50 by TimeGenerated desc
status von Vorgängen
Zeigen Sie das aktuelle Azure-Aktivitätsprotokoll für jeden Vorgang an.
AzureActivity
| summarize arg_max(TimeGenerated, *) by OperationName
Zuletzt verwendete Azure-Aktivitätsprotokolle
Zeigt alle Azure-Aktivitätsprotokolle der letzten Stunde an.
AzureActivity
| where Level == "Error" or Level == "Warning"
| project TimeGenerated, Level, ResourceProvider, ActivityStatus, Caller, Category, Properties, CorrelationId
Fehler bei Vorgängen
Listet alle Berichte über fehlgeschlagene Vorgänge in der letzten Stunde auf.
AzureActivity
| where TimeGenerated > ago(1h)
| where ActivityStatus == "Failed"
Ressourcenerstellung
Liste erstellter Azure-Ressourcen auf. Kann für die Überwachung und Warnungen nützlich sein.
AzureActivity
| where OperationNameValue has "Microsoft.Resources/deployments/write"
| where CategoryValue == "Administrative"
| where ActivityStatusValue == "Success"
| project Caller, TimeGenerated, _ResourceId
In AzureActivity suchen
Suchen Sie in AzureActivity nach einem bestimmten Wert in der AzureActivity-Tabelle./nAnmerken Sie, dass für diese Abfrage die Aktualisierung des <SeachValue-Parameters> erforderlich ist, um Ergebnisse zu erzielen.
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "Microsoft.ContainerService"
| where * contains tostring(SearchValue)
| take 1000
Anzeigen von Protokollen aus der AzureActivity-Tabelle
Listen die neuesten Protokolle in der AzureActivity-Tabelle, sortiert nach Uhrzeit (zuletzt zuerst).
AzureActivity
| top 10 by TimeGenerated
Anzeigen von Protokollen aus der AzureActivity-Tabelle
Listen die neuesten Protokolle in der AzureActivity-Tabelle, sortiert nach Uhrzeit (zuletzt zuerst).
AzureActivity
| top 10 by TimeGenerated
Anzeigen der 50 wichtigsten Aktivitätsprotokollereignisse
Zeigen Sie die wichtigsten 50 Aktivitätsprotokollereignisse an.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceGroup,ResourceProviderValue,OperationNameValue,CategoryValue,CorrelationId,ActivityStatusValue, ActivitySubstatusValue, Properties_d, Caller
| top 50 by TimeGenerated
Anzeigen des Aktivitätsprotokolls Administrative Ereignisse
Zeigt das Aktivitätsprotokoll für die Administrative Kategorie an.
AzureActivity
| where CategoryValue == "Administrative"
| order by TimeGenerated desc
VM-Erstellung
Diese Abfrage zeigt die Ergebnisse der Erstellung eines virtuellen Computers an.
AzureActivity
| where TimeGenerated >= ago(1d)
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" and ActivityStatusValue == "Start"
| where Authorization_d.action == "Microsoft.Compute/virtualMachines/write"
| project OperationNameValue, ActivityStatusValue, VM_Name=Properties_d.resource, ResourceGroup, SubscriptionId, Created_By=Caller
Anzeigen von Aktivitätsprotokollereignissen, die aus der Richtlinie generiert wurden
Zeigen Sie die 100 wichtigsten Datensätze aller Von Azure Policy ausgeführten Effektaktionsvorgänge an.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceProviderValue, OperationNameValue, Caller, CategoryValue, CorrelationId, ActivityStatusValue, Properties_d
| where OperationNameValue has "audit"
| top 100 by TimeGenerated desc
Auflisten von Anrufern und der zugehörigen Aktion in den letzten 48 Stunden
Listen Sie Anrufer und ihre zugehörige Aktion in den letzten 48 Stunden auf.
AzureActivity
| where TimeGenerated > ago(2d)
| project Caller, OperationNameValue, ActivityStatusValue, CategoryValue
| where Caller has "@"
Alle Azure-Aktivitäten
Die Abfrage stellt alle AzureActivity-Ereignisse dar.
AzureActivity
| project TimeGenerated, Caller, OperationName, ActivityStatus, _ResourceId
Azure-Aktivität für Benutzer
Zeigen Sie die Aktivität des Benutzers über Azure-Aktivität an.
// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus
Erfolgreiche Schlüsselenkumierung
Listen Benutzer, die die Schlüsselaufzählung ausgeführt haben, und deren Speicherort.
AzureActivity
| where OperationName == "List Storage Account Keys"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, CallerIpAddress, OperationName
JIT-Initiierung des Netzwerkzugriffs
Listen die Initiierung von JIT-Netzwerkzugriffsberechtigungen.
AzureActivity
| where OperationName == "Initiate JIT Network Access Policy"
| where ActivityStatus == "Started"
Statistiken zum Azure-Aktivitätsvorgang
Statistiken von Vorgängen über Azure-Aktivität.
AzureActivity
| summarize Count=count() by OperationName, _ResourceId
| sort by Count desc nulls last
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für