Azure Monitor-tevékenységnapló

Az Azure Monitor-tevékenységnapló egy platformnapló az Azure-ban, amely betekintést nyújt az előfizetési szintű eseményekbe. A tevékenységnapló olyan információkat tartalmaz, mint egy erőforrás módosítása vagy egy virtuális gép elindítása. Megtekintheti a tevékenységnaplót a Azure Portal, vagy beolvashat bejegyzéseket a PowerShell és az Azure CLI használatával. Ez a cikk bemutatja, hogyan tekintheti meg és küldheti el a tevékenységnaplót különböző célhelyekre.

További funkciókért hozzon létre egy diagnosztikai beállítást, amellyel a tevékenységnaplót a következő okokból küldheti el egy vagy több ilyen helyre:

  • Küldje el az Azure Monitor-naplókba az összetettebb lekérdezésekhez és riasztásokhoz, valamint a hosszabb megőrzéshez, akár két évig.
  • Küldés Azure Event Hubs az Azure-on kívülre.
  • Küldje el az Azure Storage-ba olcsóbb, hosszú távú archiváláshoz.

A diagnosztikai beállítások létrehozásáról további információt a Platformnaplók és -metrikák különböző célhelyekre történő küldéséhez szükséges diagnosztikai beállítások létrehozása című témakörben talál.

Megjegyzés

A tevékenységnapló bejegyzései rendszerszintűek, és nem módosíthatók és nem törölhetők.

Megőrzési időszak

A tevékenységnaplók 90 napig érhetők el az Azure-ban, majd törli őket a rendszer. Ez idő alatt a bejegyzések mennyisége nem számít fel díjat. További funkciók, például a hosszabb megőrzés érdekében hozzon létre egy diagnosztikai beállítást, és az igényeinek megfelelően iránya a bejegyzéseket egy másik helyre. Tekintse meg az előző szakaszban szereplő feltételeket.

A tevékenységnapló megtekintése

A tevékenységnaplót a Azure Portal legtöbb menüjéből elérheti. A megnyitásához használt menü határozza meg a napló kezdeti szűrőjét. Ha a Monitor menüből nyitja meg, az egyetlen szűrő az előfizetésen van. Ha egy erőforrás menüjéből nyitja meg, a szűrő az adott erőforrásra lesz beállítva. A szűrőt bármikor módosíthatja az összes többi bejegyzés megtekintéséhez. Válassza a Szűrő hozzáadása lehetőséget, ha további tulajdonságokat szeretne hozzáadni a szűrőhöz.

Képernyőkép a tevékenységnaplóról.

A tevékenységnapló-kategóriák leírásáért lásd az Azure-tevékenységnapló eseménysémát.

A tevékenységnapló letöltése

Az aktuális nézetben szereplő események letöltéséhez válassza a Letöltés CSV-fájlként lehetőséget.

A tevékenységnapló letöltését bemutató képernyőkép.

Módosítási előzmények megtekintése

Egyes eseményeknél megtekintheti a módosítási előzményeket, amelyek az esemény időpontjában történt módosításokat jelenítik meg. Válasszon ki egy eseményt a tevékenységnaplóból, amelyet részletesebben meg szeretne tekinteni. Válassza a Változások nyomon követése (előzetes verzió) lapot az eseménnyel társított összes módosítás megtekintéséhez.

Képernyőkép egy esemény Korábbiak módosítása listájáról.

Ha bármilyen módosítás hozzá van rendelve az eseményhez, megjelenik a választható módosítások listája. Ha kiválaszt egy módosítást, megnyílik a Módosítási előzmények (előzetes verzió) lap. Ezen a lapon az erőforrás módosításai láthatók. Az alábbi példában láthatja, hogy a virtuális gép mérete megváltozott. Az oldalon megjelenik a virtuális gép mérete a módosítás előtt és után. A változáselőzményekről további információt az erőforrás-módosítások lekérése című témakörben talál.

Képernyőkép a Változások előzményei lapról, amelyen a különbségek láthatók.

Tevékenységnapló-események lekérésének egyéb módszerei

A tevékenységnapló-eseményeket az alábbi módszerekkel is elérheti:

Küldés a Log Analytics-munkaterületre

Küldje el a tevékenységnaplót egy Log Analytics-munkaterületre az Azure Monitor Naplók funkciójának engedélyezéséhez, ahol:

  • A tevékenységnapló-adatok korrelálása az Azure Monitor által gyűjtött egyéb monitorozási adatokkal.
  • Több Azure-előfizetésből és -bérlőből származó naplóbejegyzések összesítése egy helyre, ahol együtt elemezhet.
  • Napló lekérdezésekkel összetett elemzéseket végezhet, és részletes elemzéseket kaphat a tevékenységnapló-bejegyzésekről.
  • A naplóriasztásokat tevékenységbejegyzésekkel együtt használva összetettebb riasztási logikát használhat.
  • A tevékenységnapló bejegyzéseit a tevékenységnapló megőrzési időtartamánál hosszabb ideig tárolja.
  • A Log Analytics-munkaterületen tárolt tevékenységnapló-adatok esetében nincs adatbetöltési vagy adatmegőrzési díj.
  • A Log Analytics alapértelmezett megőrzési időtartama 90 nap

Válassza a Tevékenységnaplók exportálása lehetőséget a tevékenységnapló Log Analytics-munkaterületre való küldéséhez.

Képernyőkép az exportálási tevékenységnaplókról.

A tevékenységnaplót egyetlen előfizetésből legfeljebb öt munkaterületre küldheti el.

A Log Analytics-munkaterület tevékenységnapló-adatait egy úgynevezett AzureActivity tábla tárolja, amely napló lekérdezéssel kérhető le a Log Analyticsben. A tábla szerkezete a naplóbejegyzés kategóriájától függően változik. A táblatulajdonságok leírását az Azure Monitor-adatreferenciában tekintheti meg.

Az egyes kategóriákhoz tartozó tevékenységnapló-rekordok számának megtekintéséhez például használja a következő lekérdezést:

AzureActivity
| summarize count() by CategoryValue

A felügyeleti kategória összes rekordjának lekéréséhez használja a következő lekérdezést:

AzureActivity
| where CategoryValue == "Administrative"

Küldés a Azure Event Hubs

Küldje el a tevékenységnaplót Azure Event Hubs, hogy bejegyzéseket küldjön az Azure-on kívül, például egy külső SIEM-nek vagy más log analytics-megoldásnak. Az eseményközpontokból származó tevékenységnapló-események JSON formátumban vannak felhasználva, és egy records olyan elemet tartalmaznak, amely az egyes hasznos adatok rekordjait tartalmazza. A séma a kategóriától függ, és az Azure-tevékenységnapló eseménysémában található.

A következő kimeneti mintaadatok egy tevékenységnapló eseményközpontjaiból származnak:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Küldés az Azure Storage-be

Küldje el a tevékenységnaplót egy Azure Storage-fiókba, ha 90 napnál hosszabb ideig szeretné megőrizni naplóadatait naplózás, statikus elemzés vagy biztonsági mentés céljából. Ha legalább 90 napig meg kell őriznie az eseményeket, nem kell archiválnia a tárfiókot. A tevékenységnapló-események 90 napig maradnak meg az Azure platformon.

Amikor elküldi a tevékenységnaplót az Azure-ba, az esemény bekövetkeztekor létrejön egy tároló a tárfiókban. A tárolóban lévő blobok az alábbi elnevezési konvencióval használhatók:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Egy adott blob neve például a következőhöz hasonló lehet:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Minden PT1H.json blob tartalmaz egy JSON-blobot, amely a blob URL-címében megadott órán belül történt eseményeket tartalmazza, például h=12. Az aktuális órában az események az előfordulásukkor lesznek a PT1H.json fájlhoz fűzve. A percérték (m=00) mindig 00, mert az erőforrásnapló eseményei óránként külön blobokba vannak bontva.

Minden eseményt a PT1H.json fájl tárol a következő formátumban. Ez a formátum általános legfelső szintű sémát használ, de máskülönben minden kategóriához egyedi, a tevékenységnapló sémájában leírtak szerint.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Örökölt gyűjtési módszerek

Ha tevékenységnaplókat gyűjt az örökölt gyűjtési módszerrel, javasoljuk, hogy exportálja a tevékenységnaplókat a Log Analytics-munkaterületre , és tiltsa le az örökölt gyűjteményt az Adatforrások – Delete API használatával az alábbiak szerint:

  1. Listázhatja a munkaterülethez csatlakoztatott összes adatforrást az Adatforrások – Listázás munkaterület szerint API használatával, és a beállítással filter=kind='AzureActivityLog'szűrhet a tevékenységnaplókra.

    Képernyőkép az Adatforrások – Listázás munkaterület szerint API konfigurációjáról.

  2. Másolja ki a letiltani kívánt kapcsolat nevét az API-válaszból.

    Képernyőkép az Adatforrások – Listázás munkaterület szerint API kimenetéből másolandó kapcsolati adatokról.

  3. Használja az Adatforrások – Delete API-t az adott erőforrás tevékenységnaplóinak gyűjtésének leállításához.

    Képernyőkép az adatforrások konfigurációjáról – Delete API.

Örökölt naplóprofilok kezelése

A naplóprofilok a tevékenységnapló tárolóba vagy eseményközpontba való küldésének örökölt módjai. Ha ezt a módszert használja, érdemes lehet áttérni a diagnosztikai beállításokra, amelyek jobb funkciókat és konzisztenciát biztosítanak az erőforrásnaplókkal.

Ha már létezik naplóprofil, először el kell távolítania a meglévő naplóprofilt, majd létre kell hoznia egy újat.

  1. Annak azonosítására használható Get-AzLogProfile , hogy létezik-e naplóprofil. Ha létezik naplóprofil, jegyezze fel a tulajdonságot Name .

  2. A Remove-AzLogProfile naplóprofil eltávolításához használja a tulajdonság értékét Name .

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Új Add-AzLogProfile naplóprofil létrehozása:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    Tulajdonság Kötelező Leírás
    Név Yes A naplóprofil neve.
    StorageAccountId No Annak a tárfióknak az erőforrás-azonosítója, ahová a tevékenységnaplót menteni kell.
    serviceBusRuleId No Service Bus-szabályazonosító ahhoz a Service Bus-névtérhez, ahol eseményközpontokat szeretne létrehozni. Ez a sztring formátuma {service bus resource ID}/authorizationrules/{key name}.
    Hely Igen Azoknak a régióknak a vesszővel tagolt listája, amelyekhez tevékenységnapló-eseményeket szeretne gyűjteni.
    RetentionInDays Yes Azon napok száma, amelyeken az eseményeket meg kell őrizni a tárfiókban, 1 és 365 között. A nulla érték határozatlan ideig tárolja a naplókat.
    Kategória No Az összegyűjtendő eseménykategóriák vesszővel tagolt listája. Lehetséges értékek: Írás, Törlés és Művelet.

Példaszkript

Ez a PowerShell-példaszkript létrehoz egy naplóprofilt, amely a tevékenységnaplót egy tárfiókba és egy eseményközpontba is megírja.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Az adatstruktúra változásai

Az Exportálási tevékenységnaplók felület ugyanazokat az adatokat küldi el, mint a korábbi módszer, amellyel a tevékenységnaplót elküldheti a tábla szerkezetének AzureActivity néhány módosításával.

Az alábbi táblázat oszlopai elavultak a frissített sémában. Még mindig léteznek, AzureActivityde nincsenek adataik. Ezek az oszlopok nem újak, de ugyanazokat az adatokat tartalmazzák, mint az elavult oszlop. Ezek formátuma eltérő, ezért előfordulhat, hogy módosítania kell az őket használó naplólekérdezéseket.

Tevékenységnapló JSON-fájlja Log Analytics-oszlop neve
(régebbi elavult)
Új Log Analytics-oszlop neve Jegyzetek
category Kategória CategoryValue
status

Az értékek a következők: siker, indítás, elfogadás, hiba
ActivityStatus

A JSON értékeivel megegyező értékek
ActivityStatusValue

Az értékek sikeresek, elindítva, elfogadva, sikertelenek
Az érvényes értékek az ábrán látható módon változnak.
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue A REST API honosítja a műveletnév értékét. A Log Analytics felhasználói felülete mindig angolul jelenik meg.
resourceProviderName ResourceProvider ResourceProviderValue

Fontos

Bizonyos esetekben az oszlopok értékei nagybetűk lehetnek. Ha rendelkezik olyan lekérdezéssel, amely ezeket az oszlopokat tartalmazza, a =~ operátorral összehasonlíthatja a kis- és nagybetűket.

A frissített sémában a következő oszlopok lettek hozzáadva AzureActivity :

  • Authorization_d
  • Claims_d
  • Properties_d

Tevékenységnapló-elemzések

A tevékenységnapló-elemzések segítségével megtekintheti az előfizetés erőforrásainak és erőforráscsoportjainak változásaival kapcsolatos információkat. Az irányítópultok azt is megjelenítik, hogy mely felhasználók vagy szolgáltatások végeztek tevékenységeket az előfizetésben, valamint a tevékenységek állapotát. Ez a cikk bemutatja, hogyan tekintheti meg a tevékenységnapló-elemzéseket a Azure Portal.

A tevékenységnapló-elemzések használata előtt engedélyeznie kell a naplók Log Analytics-munkaterületre való küldését.

Hogyan működnek a tevékenységnapló-elemzések?

A Log Analytics-munkaterületre küldött tevékenységnaplók egy úgynevezett AzureActivitytáblában vannak tárolva.

A tevékenységnapló-elemzések olyan válogatott Log Analytics-munkafüzetek , amelyek irányítópultokkal jelenítik meg a AzureActivity táblázatban szereplő adatokat. Az adatok közé tartozhat például az, hogy mely rendszergazdák töröltek, frissítettek vagy hoztak létre erőforrásokat, és hogy a tevékenységek sikertelenek vagy sikeresek-e.

Képernyőkép a tevékenységnapló-elemzések irányítópultjairól.

Tevékenységnapló-elemzések megtekintése: Erőforráscsoport vagy előfizetési szint

Tevékenységnapló-elemzések megtekintése erőforráscsoporton vagy előfizetési szinten:

  1. A Azure Portal válassza aMunkafüzetek figyelése> lehetőséget.

  2. Az Elemzések szakaszban válassza a Tevékenységnaplók elemzések lehetőséget.

    Képernyőkép a Tevékenységnaplók elemzési munkafüzetének skálázási szinten történő megkereséséről és megnyitásáról.

  3. A Tevékenységnaplók elemzési oldal tetején válassza a következőt:

    1. Egy vagy több előfizetés az Előfizetések legördülő listából.
    2. Erőforrások és erőforráscsoportok a CurrentResource legördülő listából.
    3. Egy időtartomány, amelynek adatait a TimeRange legördülő listából tekintheti meg.

Tevékenységnapló-elemzések megtekintése bármely Azure-erőforráson

Megjegyzés

Ebben a munkafüzetben jelenleg nem támogatottak az Application Insights-erőforrások.

Tevékenységnapló-elemzések megtekintése erőforrásszinten:

  1. A Azure Portal lépjen az erőforrásra, és válassza a Munkafüzetek lehetőséget.

  2. A Tevékenységnaplók elemzések szakaszban válassza a Tevékenységnaplók elemzések lehetőséget.

    Képernyőkép a Tevékenységnaplók elemzési munkafüzet erőforrásszinten való megkereséséről és megnyitásáról.

  3. A Tevékenységnaplók elemzési oldal tetején válassza ki azt az időtartományt, amelynek adatait meg szeretné tekinteni a TimeRange legördülő listából:

    • Az Azure-tevékenységnapló-bejegyzések az egyes tevékenységnapló-kategóriák tevékenységnapló-rekordjainak számát jelenítik meg.

      Képernyőkép az Azure-tevékenységnaplók kategóriaérték szerinti ábrázolásával.

    • A tevékenységnaplók állapot szerint az egyes állapotok tevékenységnapló-rekordjainak számát jelenítik meg.

      Képernyőkép az Azure-tevékenységnaplók állapot szerint történő ábrázolásáról.

    • Az előfizetés és az erőforráscsoport szintjén az erőforrás- és tevékenységnaplók erőforrás-szolgáltatónkénti tevékenységnaplói az egyes erőforrás- és erőforrás-szolgáltatók tevékenységnapló-rekordjainak számát jelenítik meg.

      Képernyőkép az Azure-tevékenységnaplók erőforrásonkénti megtekintéséről.

Következő lépések