Tevékenységnapló a Azure Monitor

Az Azure Monitor tevékenység naplózza az Azure-erőforrások rekordkezelési műveleteit. Például olyan műveleteket rögzítenek, mint a virtuális gép létrehozása, a kulcstartó hozzáférési szabályzatának módosítása vagy a Resource Manager üzembe helyezési hibái. Ezeket a felügyeleti műveleteket vezérlősík-műveleteknek is nevezik. A tevékenységnaplóval áttekintheti vagy naplózhatja ezeket az információkat, vagy riasztást hozhat létre, amely proaktív módon értesítést kap egy esemény bekövetkezésekor.

Jótanács

Ha egy üzembehelyezési művelettel kapcsolatos hiba a cikkhez irányítja, tekintse meg az Azure gyakori üzembehelyezési hibáinak elhárítását ismertető cikket.

Tevékenységnapló-bejegyzések

Az Azure Monitor alapértelmezés szerint gyűjti a tevékenységnapló-bejegyzéseket, és nincs szükség konfigurálásra. A rendszer létrehozza ezeket a bejegyzéseket, és nem módosíthatja vagy törölheti őket. A bejegyzések általában módosításokból (létrehozási, frissítési, törlési műveletek) vagy egy kezdeményezett műveletből erednek. A tevékenységnapló általában nem rögzíti az olvasási műveleteket. A tevékenységnapló-bejegyzések általában az esemény bekövetkezésétől számított 3–20 percen belül érhetők el elemzéshez és riasztáshoz. A tevékenységnapló-kategóriák leírását a Azure tevékenységnapló eseményséma című témakörben talál.

Megjegyzés:

Az Azure-erőforrásnaplók rögzítik az erőforráson belül végrehajtott adatsík-műveleteket . Ilyen műveletek például a titkos kulcsok lekérése egy kulcstartóból vagy egy adatbázis kérése. Az erőforrásnaplók alapértelmezés szerint nem gyűjthetők, és diagnosztikai beállításokat igényelnek.

Megőrzési időszak

Az Azure 90 napig megőrzi a tevékenységnapló-eseményeket, majd törli őket. A tételekért ez idő alatt, a mennyiségtől függetlenül, nem számítunk fel díjat. További funkciók, például a hosszabb megőrzés érdekében hozzon létre egy diagnosztikai beállítást, és az igényeinek megfelelően átirányítsa a bejegyzéseket egy másik helyre . A megőrzési időszak meghosszabbításának egyik leggyakoribb oka az erőforrás-létrehozó adatainak megőrzése, amely csak a tevékenységnaplóban érhető el.

A tevékenységnapló megtekintése és lekérése

A tevékenységnaplót a Azure portál legtöbb menüjéből elérheti. A megnyitott menü határozza meg a kezdeti szűrőt. Ha a Monitor menüből nyitja meg, az egyetlen szűrő az előfizetésen van. Ha egy erőforrás menüjéből nyitja meg, a szűrő erre az erőforrásra van állítva. A szűrőt bármikor módosíthatja az összes többi bejegyzés megtekintéséhez. Válassza a Szűrő hozzáadása lehetőséget, ha további tulajdonságokat szeretne hozzáadni a szűrőhöz.

A tevékenységnapló-eseményeket az alábbi módszerekkel is elérheti:

A Get-AzLog parancsmaggal kérje le a tevékenységnaplót a PowerShellből. Lásd Azure Monitor PowerShell minták.
Az az monitor activity-log használatával kérje le a tevékenységnaplót a parancssori felületről. Lásd a Azure Monitor CLI-mintákat.
A Azure Monitor REST API használatával kérje le a tevékenységnaplót egy REST-ügyfélről.

Tevékenységnapló-események lekérése a REST API használatával

A Tevékenységnaplók REST API-val programozott módon kérdezheti le a tevékenységnapló eseményeit. Adja meg a paramétert $filter , és legalább egy kezdőértéket eventTimestamp kell tartalmaznia. A tevékenységnapló alapértelmezés szerint 90 napig őrzi meg az eseményeket. Győződjön meg arról, hogy az időtartomány kezdete és vége is ezen a 90 napos időszakon belül esik, kivéve, ha hosszabb megőrzési időszakot konfigurál.

`$filter` Támogatott minták	Részletek
alapértelmezett előfizetés egy időtartománysal	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'`
erőforráscsoport	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceGroupName eq '{resourceGroupName}'`
adott erőforrás	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceUri eq '{resourceURI}'`
erőforrás-szolgáltató	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceProvider eq '{resourceProviderName}'`
korrelációs azonosító	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and correlationId eq '{correlationID}'`

Az erőforráscsoport tevékenységnapló-eseményeinek listázása a $filter használatával

Adja hozzá a resourceGroupName elemet a szűrőhöz, hogy az eredményeket egy adott erőforráscsoportra korlátozza.

Azure CLI
REST API

az rest --method get \
  --uri "/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '2026-02-01T00:00:00Z' and eventTimestamp le '2026-02-28T23:59:59Z' and resourceGroupName eq '{resourceGroupName}'"

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-02-01T00:00:00Z' and eventTimestamp le '2026-02-28T23:59:59Z' and resourceGroupName eq '{resourceGroupName}'

Adott tevékenységnapló-tulajdonságok visszaadása

Használja a $select paramétert, hogy csak a megadott tulajdonságokat adja vissza, ezzel csökkentve a válasz adatcsomag méretét. Az érték a tulajdonságnevek vesszővel tagolt listája. További információ: Tevékenységnapló sématulajdonságok leírása.

Az Azure CLI képes dinamikusan kiszámítani egy időtartományt, így a példa egy 30 napos időszakot mutat az aktuális dátumból.

Azure CLI
REST API

startDate=$(date -u -d '30 days ago' '+%Y-%m-%dT00:00:00Z')
endDate=$(date -u '+%Y-%m-%dT23:59:59Z')

az rest --method get \
  --uri "/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '$startDate' and eventTimestamp le '$endDate'&\$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level"

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'&$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level

Tevékenységnapló-események listázása előfizetéshez

Az előfizetési szintű események rögzítik a közvetlenül az erőforrás-szolgáltatók által létrehozott eseményeket. A bérlői szintű és felügyeleti csoportszintű események csak ezekben a hierarchiákban rögzítik az Azure Resource Manager-eseményeket.

Az alábbi példa egy előfizetés tevékenységnapló-eseményeit kéri le egy adott időtartományban. Az Azure CLI dinamikusan ki tudja számítani az időtartományt, így a példa egy 14 napos ablakot jelenít meg az aktuális dátumból.

Azure CLI
REST API

A tevékenységnapló-események listázásához használja az az rest Azure CLI-parancsot az Azure Resource Manager REST API meghívásához:

startDate=$(date -u -d '14 days ago' '+%Y-%m-%dT00:00:00Z')
endDate=$(date -u '+%Y-%m-%dT23:59:59Z')

az rest --method get \
  --uri "/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '$startDate' and eventTimestamp le '$endDate'"

A tevékenységnapló-események listázásához használja ezt a kérést GET :

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-14T23:59:59Z'

Bérlőszintű tevékenységnapló-események listázása

A bérlői szintű tevékenységnaplók általában korlátozott bejegyzésekkel rendelkeznek, de olyan fontos eseményeket is tartalmazhatnak, mint a felügyeleti csoport vagy az előfizetés létrehozása. Ezek az események eltérnek az előfizetési szintű tevékenységnaplóktól, de ismétlődő erőforrás-kezelési eseményeket tartalmazhatnak. A bérlői szintű események lekéréséhez használja a Bérlői tevékenységnaplók REST API-t .

Azure CLI
REST API

A bérlőszintű tevékenységnapló-események listázásához használja az az rest Azure CLI-parancsot:

az rest --method get \
  --uri "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '2026-01-15T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'"

A bérlőszintű tevékenységnapló-események listázásához használja ezt a kérést GET :

GET https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-01-15T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'

Felügyeleti csoportszintű tevékenységnapló-események listázása

A felügyeleti csoportszintű tevékenységnaplók rögzítik az adott felügyeleti csoportra hatókörrel rendelkező eseményeket, például a szabályzat-hozzárendeléseket és a felügyeleti csoport tagságának változásait.

Azure CLI
REST API

A felügyeleti csoportszintű tevékenységnapló-események listázásához használja az az rest Azure CLI-parancsot:

az rest --method get \
  --uri "/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2017-03-01-preview&\$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'"

A felügyeleti csoportszintű tevékenységnapló-események listázásához használja ezt a kérést GET :

GET https://management.azure.com/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2017-03-01-preview&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'

Az alábbi táblázat az előző példákban használt paramétereket ismerteti.

Paraméter	Leírás
`{subscriptionId}`	Az Azure-előfizetés azonosítója.
`{resourceGroupName}`	Az erőforráscsoport neve.
`{managementGroupId}`	A felügyeleti csoport azonosítója.
`eventTimestamp ge` / `le`	Az időtartomány kezdete és vége ISO 8601 formátumban. A kezdő dátum nem haladhatja meg az aktuális dátumtól számított 90 napot, kivéve, ha a megőrzés hosszabb időszakokra van konfigurálva.

A korábbi módosítások megtekintése

Egyes eseményeknél megtekintheti a módosítási előzményeket, amelyek az esemény időpontjában történt módosításokat jelenítik meg. Válasszon ki egy eseményt a tevékenységnaplóból, amelyet részletesebben szeretne megvizsgálni. A Módosítási előzmények lapon a művelet előtt és után legfeljebb 30 perccel megtekintheti az erőforrás módosításait.

Ha bármilyen módosítás van társítva az eseményhez, a portál megjeleníti a módosítások választható listáját. Ha kiválaszt egy módosítást, megnyílik a Változáselőzmények lap. Ezen a lapon az erőforrás módosításai láthatók.

Az alábbi példa azt mutatja, hogy a virtuális gép mérete megváltozott. A lapon megjelenik a virtuális gép mérete a módosítás előtt és után. A változáselőzményekről további információt az erőforrás-módosítások lekérése című témakörben talál.

Tevékenységnapló-elemzések

A tevékenységnapló-elemzések olyan munkafüzetek, amelyek irányítópultok készletét biztosítják, amelyek monitorozzák az előfizetés erőforrásainak és erőforráscsoportjainak változásait. Az irányítópultok azt is megjelenítik, hogy mely felhasználók vagy szolgáltatások végeztek tevékenységeket az előfizetésben és a tevékenységek állapotában.

A tevékenységnapló-elemzések engedélyezéséhez exportálja a tevékenységnaplót egy Log Analytics munkaterületre a Export tevékenységnaplóban leírtak szerint. Ez a folyamat eseményeket küld a táblának, amelyeket a AzureActivity tevékenységnapló-elemzések használnak.

A tevékenységnapló-elemzéseket az előfizetés vagy az erőforrás szintjén nyithatja meg. Az előfizetéshez válassza a Figyelés menü Munkafüzetek szakaszának Activity Logs Insights elemét.

Egy adott erőforrás esetében válassza a Tevékenységnaplók elemzések lehetőséget az erőforrás menüjének Munkafüzetek szakaszában.

Tevékenységnapló exportálása

Hozzon létre egy diagnosztikai beállítást, amellyel tevékenységnapló-bejegyzéseket küldhet más helyekre a további megőrzési idő és funkciók érdekében.

A Azure portálon válassza a Activity log lehetőséget a Azure Monitor menüben, majd válassza a Export tevékenységnaplók lehetőséget. A diagnosztikai beállítások létrehozásának további információi és egyéb módszerei: Diagnosztikai beállítások az Azure Monitorban. Győződjön meg arról, hogy letiltja a tevékenységnapló örökölt konfigurációját.

A képernyőkép bemutatja az Azure Monitor menüt, ahol a Tevékenységnapló van kiválasztva és az Exportálási naplók kiemelve a Monitor-Tevékenységnapló menüsávján.

Az alábbi szakaszok az erőforrásnaplók konfigurálható célhelyeinek részleteit ismertetik.

Megjegyzés:

A tevékenységnapló exportálásának régi módszere a naplóprofilok. Tekintse meg az örökölt gyűjtési módszereket.

Küldje el a tevékenységnaplót egy Log Analytics munkaterületre a következő funkciókhoz:

A tevékenységnaplók más naplóadatokkal való korrelációja napló lekérdezések használatával.
Hozzon létre naplóriasztásokat, amelyek összetettebb logikát használhatnak, mint a tevékenységnapló-riasztások.
A tevékenységnapló adatainak elérése Power BI használatával.
90 napnál hosszabb ideig őrizze meg a tevékenységnapló adatait.

A tevékenységnaplókhoz nincs adatbetöltési díj. A tevékenységnaplók megőrzési díjai csak az alapértelmezett 90 napos megőrzési időszakon át meghosszabbított időszakra vonatkoznak. A megőrzési időt akár 12 évre is növelheti.

Egy Log Analytics munkaterület tevékenységnapló-adatait egy AzureActivity nevű táblában tárolja a rendszer. A tábla felépítése a naplóbejegyzés kategóriájától függően változik.

Ha például az egyes kategóriák tevékenységnapló-rekordjainak számát szeretné megtekinteni, használja a következő lekérdezést:

AzureActivity
| summarize count() by CategoryValue

A felügyeleti kategória összes rekordjának lekéréséhez használja a következő lekérdezést:

AzureActivity
| where CategoryValue == "Administrative"

Fontos

Bizonyos esetekben a mezők AzureActivity értékei eltérőek lehetnek az egyébként egyenértékű értékektől. Az adatok AzureActivity lekérdezésekor használjon kis- és nagybetűket nem megkülönböztető operátorokat sztring-összehasonlításokhoz, vagy használjon skaláris függvényt, hogy a mezőt egységes betűhasználatra kényszerítse az összehasonlítások előtt. Egy mezőt a tolower() függvénnyel például kényszerítheti, hogy mindig kisbetűs legyen, vagy az =~ operátort használhatja, amikor szövegösszehasonlítást végez.

Küldje el a tevékenységnaplót a Azure Event Hubs, hogy Azure kívül küldjön bejegyzéseket, például egy külső SIEM-nek vagy más naplóelemzési megoldásnak. Az eseményközpontokból származó tevékenységnapló-események JSON formátumban vannak fogyasztva, az egyes hasznos adatok rekordjait tartalmazó records elemmel. A séma a kategóriától függ, és Azure tevékenységnapló eseményséma ismerteti.

A következő kimeneti mintaadatok egy tevékenységnapló eseményközpontjaiból származnak:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "aaaa0000-bb11-2222-33cc-444444dddddd",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "1003BFFD8EC002D4",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "bbbb1111-cc22-3333-44dd-555555eeeeee,aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,cccc2222-dd33-4444-55ee-666666ffffff",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "bbbbbbbb-1111-2222-3333-cccccccccccc"
            }
        }
    ]
}

Ha 90 napnál hosszabb ideig szeretné megőrizni naplóadatait naplózás, statikus elemzés vagy biztonsági mentés céljából, küldje el a tevékenységnaplót egy Azure Storage-fióknak. Ha legalább 90 napig meg kell őriznie az eseményeket, nem kell archiválási beállításokat beállítania egy tárfiókhoz.

Amikor elküldi a tevékenységnaplót a tárolóba, a rendszer azonnal létrehoz egy tárolót a tárfiókban, amint esemény történik. A tárolóban lévő blobok a következő elnevezési konvenciót használják:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Egy adott blob neve például a következőhöz hasonló lehet:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Minden PT1H.json blob tartalmaz egy JSON-objektumot, amely a blob URL-címében megadott órában fogadott naplófájlokból származó eseményeket tartalmazza. A jelen órában az eseményeket a rendszer hozzáfűzi a PT1H.json fájlhoz, függetlenül attól, hogy mikor lettek létrehozva. Az URL-cím m=00 percértéke mindig 00 az, mivel a blobokat óránként hozzák létre.

A rendszer minden eseményt a PT1H.json fájlban tárol az alábbi formátumban. Ez a formátum általános legfelső szintű sémát használ, de egyébként minden kategóriához egyedi, a Tevékenységnapló sémájában leírtak szerint.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Menedzsment csoport tevékenységnaplóinak exportálása

Amikor létrehoz egy diagnosztikai beállításnaplót egy felügyeleti csoporthoz, az exportálja az adott felügyeleti csoport eseményeit a hierarchiában lévő összes felügyeleti csoporton kívül. Ha a hierarchiában több felügyeleti csoport diagnosztikai beállításokkal rendelkezik, ismétlődő eseményeket kap. A hierarchia összes eseményének rögzítéséhez csak a legmagasabb szintű felügyeleti csoport diagnosztikai beállítására van szükség.

A felügyeleti csoport sok esetben ugyanazokat az eseményeket gyűjti össze, mint amiket az alá tartozó előfizetések is. Ha az előfizetés és a felügyeleti csoport is rendelkezik diagnosztikai beállításokkal, duplikált eseményeket kap. Az Azure Resource Manager tartalmaz egy hierarchiatulajdonságot az események írásakor, de ez nem kötelező mező. Az Azure Resource Manageren kívüli erőforrás-szolgáltatók nem töltik fel ezt az információt, ezért az eseményeik nem jutnak fel a hierarchia magasabb szintjeire. Emiatt az ismétlődő események lekérése jobb, mint a hiányzó események.

Ha például a rendelkezik egy MG1-gyel, amely tartalmaz egy MG2-t, ami tartalmaz egy Subscription1-et, akkor az MG1 diagnosztikai beállítása rögzíti az összes tevékenységnapló-eseményt az MG1, MG2 és a Subscription1 diagnosztikai beállítása által gyűjtött események közül sokat. Ebben az esetben nincs szükség diagnosztikai beállításra az MG2-n, mivel csak ismétlődő eseményeket gyűjtene.

Ha ismétlődő eseményeket használ, kombinálja őket egy lekérdezéssel, amely az összes mező kivonatát használja az egyedi rekordok azonosításához. Az alábbi kusto-lekérdezés egy Log Analytics munkaterületen gyűjtött naplók mintáját mutatja be:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Tevékenységnapló exportálása CSV-be

Válassza a Letöltés CSV-ként lehetőséget a tevékenységnapló exportálásához egy CSV-fájlba az Azure Portalon.

Fontos

Sok naplóbejegyzés exportálása hosszú időt vehet igénybe. A teljesítmény javítása érdekében csökkentse az exportálás időtartományát. Az Azure portálon állítsa be az időtartam beállítást.

A tevékenységnaplót a PowerShell vagy az Azure CLI használatával is exportálhatja EGY CSV-fájlba, ahogyan az alábbi példákban is látható.

Azure CLI
PowerShell

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Az alábbi példa PowerShell-szkript egyórás időközönként exportálja a tevékenységnaplót CSV-fájlokba, és mindegyik külön fájlba van mentve.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Az erőforrás létrehozásának azonosítása

A tevékenységnapló segítségével megtudhatja, hogy a rendszer mikor hozott létre erőforrást, és ki hozta létre. A tevékenységnapló az egyetlen hely, amely egy erőforrás létrehozóját tárolja. Mivel a tevékenységnapló alapértelmezés szerint csak 90 napig őrzi meg az adatokat, a naplókat olyan helyre kell exportálnia, amely lehetővé teszi a megőrzési időtartam meghosszabbítását, például egy Log Analytics-munkaterületet. Ezután keresse meg az erőforrás létrehozóját a AzureActivity tábla lekérdezésével. Az adatok a tábla megőrzési időszakában megadott időtartamig maradnak meg.

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2026-03-31