Requêtes pour la table AzureActivity

[Classique] Rechercher dans AzureActivity

[Classique] Recherchez dans AzureActivity pour rechercher une valeur spécifique dans la table AzureActivity./nNotez que cette requête nécessite la mise à jour du <paramètre SeachValue> pour produire des résultats

// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue =  "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where * contains tostring(SearchValue)
| take 1000

Arrêter Machines Virtuelles

Machines Virtuelles s’est arrêté au cours des 10 dernières minutes.

// To create an alert for this query, click '+ New alert rule'
AzureActivity
| where TimeGenerated > ago(10m)
| where OperationName == "Deallocate Virtual Machine" and ActivityStatus == "Succeeded" 

Derniers journaux 50

Affichez les derniers journaux d’activité Azure pour cette ressource.

AzureActivity 
| top 50 by TimeGenerated desc 

Status des opérations

Affichez le journal d’activité Azure le plus récent pour chaque opération.

AzureActivity 
| summarize arg_max(TimeGenerated, *) by OperationName 

Journaux d’activité Azure récents

Affiche tous les journaux d’activité Azure de la dernière heure.

AzureActivity 
| where Level == "Error" or Level == "Warning"
| project TimeGenerated, Level, ResourceProvider, ActivityStatus, Caller, Category, Properties, CorrelationId 

Échec des opérations

Répertoriez tous les rapports d’opérations ayant échoué au cours de la dernière heure.

AzureActivity 
| where TimeGenerated > ago(1h)  
| where ActivityStatus == "Failed"

Création de ressources

Répertorier les ressources Azure créées. Peut être utile pour la surveillance et les alertes.

AzureActivity
| where OperationNameValue has "Microsoft.Resources/deployments/write"
| where CategoryValue == "Administrative"
| where ActivityStatusValue == "Success"
| project Caller, TimeGenerated, _ResourceId

Rechercher dans AzureActivity

Recherchez dans AzureActivity pour rechercher une valeur spécifique dans la table AzureActivity./nNotez que cette requête nécessite la mise à jour du <paramètre SeachValue> pour produire des résultats

// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue =  "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "Microsoft.ContainerService"
| where * contains tostring(SearchValue)
| take 1000

Afficher les journaux à partir de la table AzureActivity

Listes les derniers journaux d’activité dans la table AzureActivity, triés par heure (dernier en premier).

AzureActivity
| top 10 by TimeGenerated

Afficher les journaux à partir de la table AzureActivity

Listes les derniers journaux d’activité dans la table AzureActivity, triés par heure (dernier en premier).

AzureActivity
| top 10 by TimeGenerated

Afficher les 50 principaux événements du journal d’activité

Affichez les 50 principaux événements du journal d’activité.

AzureActivity
| project TimeGenerated, SubscriptionId, ResourceGroup,ResourceProviderValue,OperationNameValue,CategoryValue,CorrelationId,ActivityStatusValue, ActivitySubstatusValue, Properties_d, Caller
| top 50 by TimeGenerated

Afficher les événements administratifs du journal d’activité

Affiche le journal d’activité pour la catégorie Administrative.

AzureActivity 
| where CategoryValue == "Administrative"
| order by TimeGenerated desc

Création de machine virtuelle

Cette requête affiche les résultats de la création d’une machine virtuelle.

AzureActivity
| where TimeGenerated >= ago(1d)
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" and ActivityStatusValue == "Start"
| where Authorization_d.action == "Microsoft.Compute/virtualMachines/write"
| project OperationNameValue, ActivityStatusValue, VM_Name=Properties_d.resource, ResourceGroup, SubscriptionId, Created_By=Caller

Afficher les événements du journal d’activité générés à partir de la stratégie

Affichez les 100 premiers enregistrements de toutes les opérations d’action d’effet effectuées par Azure Policy.

AzureActivity
| project TimeGenerated, SubscriptionId, ResourceProviderValue, OperationNameValue, Caller, CategoryValue, CorrelationId, ActivityStatusValue, Properties_d
| where OperationNameValue has "audit"
| top 100 by TimeGenerated desc

Répertorier les appelants et leur action associée au cours des dernières 48 heures

Répertoriez les appelants et leur action associée au cours des dernières 48 heures.

AzureActivity
| where TimeGenerated > ago(2d)
| project Caller, OperationNameValue, ActivityStatusValue, CategoryValue
| where Caller has "@"

Toutes les activités Azure

La requête présente tous les événements AzureActivity.

AzureActivity
| project TimeGenerated, Caller, OperationName, ActivityStatus, _ResourceId

Activité Azure pour l’utilisateur

Afficher l’activité de l’utilisateur sur l’activité Azure.

// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus

Enumaration de clé réussie

Listes utilisateurs qui ont effectué l’énumération de clés et leur emplacement.

AzureActivity
| where OperationName == "List Storage Account Keys"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, CallerIpAddress, OperationName

Initiation JIT d’accès réseau

Listes l’initiation des autorisations d’accès réseau JIT.

AzureActivity
| where OperationName == "Initiate JIT Network Access Policy"
| where ActivityStatus == "Started"

Statistiques des opérations d’activité Azure

Statistiques des opérations sur l’activité Azure.

AzureActivity
| summarize Count=count() by OperationName, _ResourceId
| sort by Count desc nulls last