Consultas para la tabla AzureActivity
Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.
[Clásico] Búsqueda en AzureActivity
[Clásico] Busque en AzureActivity para buscar un valor específico en la tabla AzureActivity./nNote que esta consulta requiere actualizar el <parámetro SeachValue> para generar resultados.
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where * contains tostring(SearchValue)
| take 1000
Apagar máquinas virtuales
Las máquinas virtuales se apagaron correctamente en los últimos 10 minutos.
// To create an alert for this query, click '+ New alert rule'
AzureActivity
| where TimeGenerated > ago(10m)
| where OperationName == "Deallocate Virtual Machine" and ActivityStatus == "Succeeded"
Últimos 50 registros
Muestre los registros de actividad de Azure más recientes para este recurso.
AzureActivity
| top 50 by TimeGenerated desc
Estado de las operaciones
Muestra el registro de actividad de Azure más reciente para cada operación.
AzureActivity
| summarize arg_max(TimeGenerated, *) by OperationName
Registros de actividad recientes de Azure
Muestra todos los registros de actividad de Azure de la última hora.
AzureActivity
| where Level == "Error" or Level == "Warning"
| project TimeGenerated, Level, ResourceProvider, ActivityStatus, Caller, Category, Properties, CorrelationId
Operaciones con error
Enumere todos los informes de operaciones con error, en la última hora.
AzureActivity
| where TimeGenerated > ago(1h)
| where ActivityStatus == "Failed"
Creación de recursos
Enumerar los recursos de Azure creados. Puede ser útil para la supervisión y las alertas.
AzureActivity
| where OperationNameValue has "Microsoft.Resources/deployments/write"
| where CategoryValue == "Administrative"
| where ActivityStatusValue == "Success"
| project Caller, TimeGenerated, _ResourceId
Búsqueda en AzureActivity
Busque en AzureActivity para buscar un valor específico en la tabla AzureActivity./nNote que esta consulta requiere actualizar el <parámetro SeachValue> para generar resultados.
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "Microsoft.ContainerService"
| where * contains tostring(SearchValue)
| take 1000
Mostrar registros de tabla de AzureActivity
Enumera los registros más recientes de la tabla AzureActivity, ordenados por hora (primero más reciente).
AzureActivity
| top 10 by TimeGenerated
Mostrar registros de tabla de AzureActivity
Enumera los registros más recientes de la tabla AzureActivity, ordenados por hora (primero más reciente).
AzureActivity
| top 10 by TimeGenerated
Mostrar los 50 eventos principales del registro de actividad
Muestra los 50 eventos principales del registro de actividad.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceGroup,ResourceProviderValue,OperationNameValue,CategoryValue,CorrelationId,ActivityStatusValue, ActivitySubstatusValue, Properties_d, Caller
| top 50 by TimeGenerated
Mostrar eventos administrativos del registro de actividad
Muestra el registro de actividad de la categoría Administrativa.
AzureActivity
| where CategoryValue == "Administrative"
| order by TimeGenerated desc
Creación de la VM
Esta consulta muestra los resultados de cuando se crea una máquina virtual.
AzureActivity
| where TimeGenerated >= ago(1d)
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" and ActivityStatusValue == "Start"
| where Authorization_d.action == "Microsoft.Compute/virtualMachines/write"
| project OperationNameValue, ActivityStatusValue, VM_Name=Properties_d.resource, ResourceGroup, SubscriptionId, Created_By=Caller
Mostrar eventos del registro de actividad generados a partir de la directiva
Muestra los 100 registros principales de todas las operaciones de acción de efecto realizadas por Azure Policy.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceProviderValue, OperationNameValue, Caller, CategoryValue, CorrelationId, ActivityStatusValue, Properties_d
| where OperationNameValue has "audit"
| top 100 by TimeGenerated desc
Enumerar autores de llamadas y su acción asociada en las últimas 48 horas
Enumera los autores de llamadas y su acción asociada en las últimas 48 horas.
AzureActivity
| where TimeGenerated > ago(2d)
| project Caller, OperationNameValue, ActivityStatusValue, CategoryValue
| where Caller has "@"
Toda la actividad de Azure
La consulta presenta todos los eventos AzureActivity.
AzureActivity
| project TimeGenerated, Caller, OperationName, ActivityStatus, _ResourceId
Actividad de Azure para el usuario
Mostrar la actividad del usuario a través de la actividad de Azure.
// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus
Enumeración de clave correcta
Enumera los usuarios que realizaron la enumeración de claves y su ubicación.
AzureActivity
| where OperationName == "List Storage Account Keys"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, CallerIpAddress, OperationName
Iniciación de JIT de acceso de red
Enumera el inicio de los permisos de acceso a la red JIT.
AzureActivity
| where OperationName == "Initiate JIT Network Access Policy"
| where ActivityStatus == "Started"
Estadísticas de operaciones de actividad de Azure
Estadísticas de operaciones en la actividad de Azure.
AzureActivity
| summarize Count=count() by OperationName, _ResourceId
| sort by Count desc nulls last