Vue d’ensemble des journaux de plateforme Azure

Les journaux de plateforme fournissent des informations de diagnostic et d’audit détaillées pour les ressources Azure et la plateforme Azure dont elles dépendent. Bien qu’ils soient générés automatiquement, vous devez configurer certains journaux de plateforme à transférer vers une ou plusieurs destinations à des fins de rétention. Cet article fournit une vue d’ensemble des journaux de plateforme, y compris les informations fournies et de la façon dont vous pouvez les configurer pour la collecte et l’analyse.

Types de journaux de plateforme

Le tableau suivant répertorie les journaux de plateforme spécifiques disponibles dans différentes couches d’Azure.

Journal Couche Description
Journaux de ressources Ressources Azure Fournissent des insights sur les opérations effectuées dans une ressource Azure (le plan de données). Par exemple, l’obtention d’un secret à partir d’un coffre de clés ou l’exécution d’une requête à une base de données. Le contenu des journaux de ressources varie en fonction du service Azure et du type de ressource.

Les journaux de ressources étaient auparavant appelés journaux de diagnostic.
Journal d’activité Abonnement Azure Fournit des informations sur les opérations effectuées sur chaque ressource Azure dans l’abonnement à partir de l’extérieur (plan de gestion) en plus des mises à jour sur des événements Service Health. Le journal d’activité vous permet de déterminer la nature, l’auteur et le moment de toute opération d’écriture (PUT, POST, DELETE) effectuée sur les ressources dans votre abonnement. Il n’y qu’un seul journal d’activité par abonnement Azure.
Journaux Azure Active Directory (Azure AD) Locataire Azure Contient l’historique de l’activité de connexion et la piste d’audit des modifications apportées dans Azure AD pour un locataire particulier.

Notes

Le journal d’activité Azure est principalement utilisé pour les activités qui se produisent dans Azure Resource Manager. Il ne suit pas les ressources à l’aide du modèle Classic/RDFE. Certains types de ressources classiques ont un fournisseur de ressources proxy dans Resource Manager (par exemple, Microsoft.ClassicCompute). Si vous interagissez avec un type de ressource classique par le biais de Resource Manager à l’aide de ces fournisseurs de ressources proxy, les opérations s’affichent dans le journal d’activité. Si vous interagissez avec un type de ressource classique en dehors des proxys Resource Manager, vos actions sont uniquement enregistrées dans le journal des opérations. Le journal des opérations est accessible dans une section distincte du portail.

Diagram that shows a platform logs overview.

Afficher les journaux de plateforme

Il existe diverses options d’affichage et d’analyse des différents journaux de plateforme Azure :

  • Affichez le journal d’activité dans le portail Azure et accédez aux événements à partir de PowerShell et d’Azure CLI. Pour plus d’informations, consultez Afficher le journal d’activité.
  • Affichez les rapports de sécurité et d’activité Azure AD dans le portail Azure. Pour plus d’informations, consultez Que sont les rapports Azure AD ?.
  • Des journaux de ressources sont générés automatiquement par les ressources Azure prises en charge. Vous ne pouvez les afficher qu’en créant un paramètre de diagnostic.

Paramètres de diagnostic

Créez un paramètre de diagnostic pour envoyer des journaux de plateforme à l’une des destinations suivantes à des fins d’analyse ou d’autres fins. Les journaux de ressources doivent avoir un paramètre de diagnostic à utiliser, car il n’existe aucun autre moyen de les afficher.

Destination Description
Espace de travail Log Analytics Analysez les journaux de toutes vos ressources Azure réunies et tirez parti de toutes les fonctionnalités accessibles aux journaux Azure Monitor, notamment les requêtes de journal et les alertes de journal. Épinglez les résultats d’une requête de journal dans un tableau de bord Azure ou incluez-les dans un classeur en tant que rapport interactif.
Event Hub Envoyez les données de journal de plateforme à l’extérieur d’Azure, par exemple, vers une solution SIEM tierce ou une plateforme de télémétrie personnalisée.
Stockage Azure Archivez les journaux à des fins d’audit ou de sauvegarde.
Intégrations partenaires d’Azure Monitor Intégrations spécialisées entre Azure Monitor et d’autres plateformes de surveillance non-Microsoft. Utiles lorsque vous utilisez déjà l’un des partenaires.

Modèle de tarification

Les données de traitement pour les journaux de flux sont chargées pour certains services au moment de leur envoi vers des destinations autres qu’un espace de travail Log Analytics. L’envoi de ces données à un espace de travail Log Analytics n’occasionne aucun coût direct. Il existe un coût Log Analytics pour l’ingestion des données dans un espace de travail.

Le coût est basé sur le nombre d’octets dans les données de journal au format JSON exportées, mesurées en Go (10^9 octets).

La tarification est disponible sur la page des tarifs Azure Monitor.

Étapes suivantes