Tevékenységnapló a Azure Monitor

Azure Monitor a Azure-erőforrások felügyeleti műveleteit a tevékenységnapló szolgáltatáson keresztül rögzíti. A tevékenységnapló olyan műveleteket rögzít, mint a virtuális gép létrehozása, a kulcstartó hozzáférési szabályzatának módosítása vagy Resource Manager üzembe helyezési hibák. Ezeket a felügyeleti műveleteket vezérlősík-műveleteknek is nevezik. A tevékenységnaplóval áttekintheti vagy naplózhatja ezeket az információkat, vagy riasztást hozhat létre, amely proaktív módon értesítést kap egy esemény bekövetkezésekor.

Az Azure erőforrásnaplók, ellentétben a tevékenységnaplóval, az erőforráson belül végrehajtott adatsík műveleteket rögzítik. Ilyen műveletek például a titkos kulcsok lekérése egy kulcstartóból vagy egy adatbázis kérése. Az erőforrásnaplók alapértelmezés szerint nem lesznek összegyűjtve, és diagnosztikai beállítással rendelkező konfigurációt igényelnek.

Jótanács

Ha egy üzembehelyezési művelettel kapcsolatos hiba a cikkhez irányítja, tekintse meg az Azure gyakori üzembehelyezési hibáinak elhárítását ismertető cikket.

Tevékenységnapló-bejegyzések

Az Azure Monitor alapértelmezés szerint gyűjti a tevékenységnapló-bejegyzéseket, és nincs szükség konfigurálásra. A rendszer létrehozza ezeket a bejegyzéseket, és nem módosíthatja vagy törölheti őket. A bejegyzések általában módosításokból (létrehozási, frissítési és törlési műveletekből) vagy egy kezdeményezett műveletből származnak. A tevékenységnapló általában nem rögzíti az olvasási műveleteket.

A tevékenységnapló-bejegyzések általában az esemény bekövetkezésétől számított 3–20 percen belül érhetők el elemzéshez és riasztáshoz. A tevékenységnapló-kategóriák leírását a Azure tevékenységnapló eseményséma című témakörben talál.

Megőrzési időszak

Az Azure 90 napig megőrzi a tevékenységnapló-eseményeket, majd törli őket. A tételekért ez idő alatt, a mennyiségtől függetlenül, nem számítunk fel díjat. További funkciók, például a hosszabb megőrzés érdekében hozzon létre egy diagnosztikai beállítást, és az igényeinek megfelelően gyűjtse össze a bejegyzéseket egy másik helyen . A megőrzési időszak meghosszabbításának egyik leggyakoribb oka az erőforrás-létrehozó adatainak megőrzése, amely csak a tevékenységnaplóban érhető el.

A tevékenységnapló megtekintése és lekérése

Előfizetés, erőforráscsoport vagy egyéni erőforrás tevékenységnapló-eseményeinek megtekintése. Használja a Azure portált, vagy programozott módon kérdezheti le őket a Activity Log REST API használatával.

A Azure portál a legtöbb szolgáltatásmenüből biztosítja a Activity log panelt. Ezen területek mindegyike támogatja a REST programozott elérését, vagy adott Azure CLI és Azure PowerShell parancsokkal.

Adja meg a lekérendő események időintervallumát. Ha eseményeket szeretne lekérni a REST API használatával, a paramétert legalább egy $filter kezdő értékkel együtt kell megadniaeventTimestamp. A tevékenységnapló alapértelmezés szerint 90 napig őrzi meg az eseményeket. Győződjön meg arról, hogy az időtartomány kezdete és vége is ezen a 90 napos időszakon belül esik.

Tevékenységnapló-hozzáférési forgatókönyvek

A következő szakaszok a tevékenységnapló-események Azure portálon keresztüli elérésének és lekérésének különböző módjait bemutató gyakori forgatókönyveket mutatnak be, programozott módon Azure CLI és Azure PowerShell használatával, illetve REST-hívásokkal:

Azure portálminták további kontextust biztosítanak azzal kapcsolatban, hogy milyen események várhatók ebben a nézetben.
Azure CLI minták a az monitorozási tevékenységnapló-lista parancson keresztül elérhető parancsokat emelik ki.
Azure PowerShell minták a Get-AzActivityLog parancsmagon keresztül elérhető adott parancsmagokat emelik ki.

A REST API-minták bemutatják, hogyan kérhetők le események a szükséges $filter paraméterrel a Tevékenységnapló REST API-val.

Az erőforráscsoport-minta tevékenységnapló-eseményeinek listázása azt is bemutatja, hogyan állíthat be explicit módon időtúllépést az ügyfél számára a tevékenységnapló REST API-jának 75 másodperces maximális időtúllépési időszakához a Prefer fejléc használatával.

`$filter` Támogatott minták	Részletek
alapértelmezett előfizetés egy időtartománysal	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'`
erőforráscsoport	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceGroupName eq '{resourceGroupName}'`
adott erőforrás	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceUri eq '{resourceURI}'`
erőforrás-szolgáltató	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceProvider eq '{resourceProviderName}'`
korrelációs azonosító	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and correlationId eq '{correlationID}'`

Tevékenységnapló-események listázása előfizetéshez

Az előfizetési szintű események rögzítik a közvetlenül az erőforrás-szolgáltatók által létrehozott eseményeket, és ez az alapértelmezett hatókör a tevékenységnapló-események listázására. A bérlői szintű és felügyeleti csoportszintű események csak ezekben a hierarchiákban rögzítik az Azure Resource Manager-eseményeket. Ezek a magasabb szintű hatókörök nem tartalmazzák azokat az eseményeket, amelyeket közvetlenül az erőforrás-szolgáltatók hoznak létre Azure Resource Manager műveleteken kívül.

Az alábbi példa egy előfizetés tevékenységnapló-eseményeit kéri le egy adott időtartományban.

A menü, ahonnan a Tevékenységnaplót megnyitja, határozza meg a kezdeti szűrőt. Ha a Monitor menüből nyitja meg, alapértelmezés szerint az egyetlen kiválasztott szűrő az előfizetés. Ez ugyanaz, mintha az Előfizetések> lehetőségből nyitná meg az előfizetési >tevékenységnaplót.

A az monitor activity-log list Azure CLI paranccsal lekérheti egy előfizetés tevékenységnapló-eseményeit egy adott időtartományra vonatkozóan. Ez a parancs alapértelmezés szerint lekéri a Azure CLI környezetében jelenleg beállított előfizetés eseményeit. Az előfizetés explicit megadásához használja a paramétert az --subscription alábbi példákban látható módon.

Megadott időtartomány:

Azure CLI --start-time és --end-time használatával ugyanazt a fajta explicit időtartományt támogatja, mint a REST:

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
startTime="2026-04-01T00:00:00Z"
endTime="2026-04-14T23:59:59Z"

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --start-time "$startTime" \
  --end-time "$endTime"

Relatív időtartomány:

Azure CLI --offset használatával is támogatja a relatív időtartományokat. Például az --offset 14d elmúlt 14 nap eseményeit adja vissza:

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
offset="14d"

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --offset "$offset"

Megjegyzés:

Azure CLI parancsok az aktuális PARANCSSOR-környezet Azure Resource Manager végpontját használják, ezért management.azure.com nem kell megadni a parancs szintaxisában.

Azure PowerShell biztosítja a Get-AzActivityLog parancsmagot egy előfizetés tevékenységnapló-eseményeinek lekéréséhez egy megadott időtartományon keresztül.

Megadott időtartomány:

Azure PowerShell a REST-hez hasonló StartTime és EndTime használatával támogatja a pontos időtartomány megadását:

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$startTime = [datetime]"2026-04-01T00:00:00Z"
$endTime = [datetime]"2026-04-14T23:59:59Z"

Set-AzContext -Subscription $subscriptionId

$getAzActivityLogParams = @{
    StartTime = $startTime
    EndTime   = $endTime
}

Get-AzActivityLog @getAzActivityLogParams

Relatív időtartomány:

Azure PowerShell a relatív időtartomány lekérdezését is támogatja Get-Date kifejezések használatával StartTime és EndTime. Az alábbi példa az elmúlt 14 nap eseményeit adja vissza, a parancs futtatásakor ér véget:

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$lookbackDays = 14

Set-AzContext -Subscription $subscriptionId

$getAzActivityLogParams = @{
    StartTime = (Get-Date).AddDays(-$lookbackDays)
    EndTime   = Get-Date
}

Get-AzActivityLog @getAzActivityLogParams

Megjegyzés:

Azure PowerShell parancsmagok az aktuális Az-környezet Azure Resource Manager végpontját használják, ezért management.azure.com nem kell megadni a parancsmag szintaxisában.

A tevékenységnapló-események listázásához használja ezt GET a kérést a Tevékenységnapló REST API-hoz.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'

Tevékenységnapló-események listázása erőforráscsoporthoz

Adjon hozzá resourceGroupName a $filter az Azure Monitor tevékenységnapló eredményeinek hatókörének meghatározásához egy adott erőforráscsoport számára.

A menü, ahonnan a Tevékenységnaplót megnyitja, határozza meg a kezdeti szűrőt. Ha egy erőforrás menüjéből nyitja meg, a szűrő erre az erőforrásra van állítva. Válassza a Szűrő hozzáadása lehetőséget, ha további tulajdonságokat szeretne hozzáadni a szűrőhöz. A portálon az alábbi tulajdonságok alapján szűrhet:

Resource – A Azure megoldás részét képező elemek, például adatbázis vagy virtuális gép.
Erőforrás típusa – Az a kategória, amelyhez egy erőforrás tartozik, például virtuális gépek, webalkalmazások vagy adatbázisok.
Operation – Olyan művelet vagy parancs, például létrehozás, törlés és írás, amely hatással van Azure Resource Manager erőforrásokra.
Által kezdeményezett esemény – Események szűrése az eseményt kezdeményező identitás alapján.
Eseménykategória – Az egyes műveletek eseménytípusainak szűrése.

Megjegyzés:

A REST fejléc Prefer: wait=75 nem rendelkezik közvetlen megfelelővel a művelet Azure CLI parancsában. Ez a parancs közvetlenül kiadja a lekérdezést, és visszaadja az egyező tevékenységnapló-rekordokat.

Az az monitor activity-log list paranccsal lekérheti az erőforráscsoportra hatókörrel rendelkező tevékenységnapló-eseményeket. Az adott Azure CLI parancsok csökkentik az egyenértékű REST API-hívás összetettségét.

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
resourceGroupName="myResourceGroup"
offset="30d"

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --resource-group "$resourceGroupName" \
  --offset "$offset"

Megjegyzés:

Azure CLI parancsok az aktuális PARANCSSOR-környezet Azure Resource Manager végpontját használják, ezért management.azure.com nem kell megadni a parancs szintaxisában.

Megjegyzés:

A REST-fejléc Prefer: wait=75 nem rendelkezik közvetlen megfelelővel a művelet Azure PowerShell parancsmagjában. Ez a parancs közvetlenül kiadja a lekérdezést, és visszaadja az egyező tevékenységnapló-rekordokat.

Azure PowerShell a Get-AzActivityLog parancsmagot biztosítja, amely egy erőforráscsoportra vonatkozó tevékenységnapló-eseményeket kér le egy relatív időtartományon keresztül.

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$resourceGroupName = "myResourceGroup"
$lookbackDays = 30

Set-AzContext -Subscription $subscriptionId

$getAzActivityLogParams = @{
    ResourceGroupName = $resourceGroupName
    StartTime         = (Get-Date).AddDays(-$lookbackDays)
    EndTime           = Get-Date
}

Get-AzActivityLog @getAzActivityLogParams

Megjegyzés:

Azure PowerShell parancsmagok az aktuális Az-környezet Azure Resource Manager végpontját használják, ezért management.azure.com nem kell megadni a parancsmag szintaxisában.

Ha egy erőforráscsoportra vonatkozó tevékenységnapló-eseményeket szeretne listázni a AZURE RESOURCE MANAGER REST API használatával, használjon egy GET kérést egy $filter, amely tartalmazza az időtartományt és a resourceGroupName tulajdonságot is. Opcionálisan megadhatja a Prefer fejlécet a kéréshez, hogy meghatározzon egy adott időkorlátot (maximális 75 várakozási idő másodpercben).

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceGroupName eq '{resourceGroupName}'
Prefer: wait=75

Adott tevékenységnapló-tulajdonságok visszaadása

Csak a megadott tulajdonságokat adja vissza egy paraméter használatával, ami csökkenti a válasz terjedelmét. További információ: Tevékenységnapló sématulajdonságok leírása.

A Azure portál nem biztosítja a tevékenységnapló-eseményekből közvetlenül visszaadott tulajdonságok korlátozását. A megtekintett adatok mennyiségének csökkentéséhez a Tevékenységnapló panel Oszlop szerkesztése lehetőségével válassza ki, hogy mely oszlopok jelenjenek meg a portál nézetben.

Használja az az monitor activity-log list parancsot a paraméterrel annak --select megadásához, hogy mely tulajdonságok térjenek vissza a tevékenységnapló-eseményekből.

--max-events A visszaadott rekordok számának korlátozásához az monitor activity-log list használja a paramétert.

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
offset="30d"
maxEvents=100
selectFields=(
  eventName
  operationName
  status
  eventTimestamp
  correlationId
  submissionTimestamp
  level
)

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --offset "$offset" \
  --max-events "$maxEvents" \
  --select "${selectFields[@]}"

A Azure PowerShell tevékenységnapló-eseményeiből visszaadott tulajdonságok korlátozásához a Get-AzActivityLog eredményeit Select-Object értékre kell állítani, és meg kell adnia a visszaadni kívánt tulajdonságokat. Ez nem csökkenti az API válaszméretét, mivel Select-Object csak a PowerShell által megjelenített kimenet tulajdonságait szűri.

-MaxRecord A visszaadott rekordok számának korlátozásához Get-AzActivityLog használja a paramétert.

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$lookbackDays = 30
$maxRecord = 100
$selectProperties = @(
    "EventName"
    "OperationName"
    "Status"
    "EventTimestamp"
    "CorrelationId"
    "SubmissionTimestamp"
    "Level"
)

Set-AzContext -Subscription $subscriptionId

$activityLogParams = @{
    StartTime = (Get-Date).AddDays(-$lookbackDays)
    EndTime   = Get-Date
    MaxRecord = $maxRecord
}

Get-AzActivityLog @activityLogParams |
    Select-Object -Property $selectProperties

A Azure Resource Manager REST API-val visszaadott tevékenységnapló-események listázásához adja meg a $select lekérdezési paramétert a GET kérelemben a visszaadni kívánt tulajdonságok vesszővel tagolt listájával.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'&$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level

Bérlőszintű tevékenységnapló-események listázása

A bérlői szintű tevékenységnapló-események általában korlátozott bejegyzésekkel rendelkeznek, de olyan fontos eseményeket is tartalmazhatnak, mint a felügyeleti csoport vagy az előfizetés létrehozása. Ezek az események eltérnek az előfizetésszintű tevékenységnapló-eseményektől, de ismétlődő erőforrás-kezelési eseményeket tartalmazhatnak.

A hatókör lekérdezése az előfizetési szintű tevékenységnapló-események API-tól eltérő REST API-t használ. Azure CLI és Azure PowerShell nem biztosítanak dedikált parancsokat.

Nyissa meg Monitor>Activity log a Azure portálon. Módosítsa a Tevékenység legördülő menüt, és válassza a Címtár tevékenység lehetőséget.

Képernyőkép, amely az Azure portálon a Tevékenységnapló panelen kiválasztott Címtártevékenység lehetőséget mutatja.

Bérlőszintű tevékenységnapló-eseményekhez nem érhető el dedikált Azure CLI parancs. Az alábbi példa közvetlenül az az rest használatával hívja meg a REST API-t:

apiVersion="2015-04-01"
startTime="2026-04-01T00:00:00Z"
endTime="2026-04-30T23:59:59Z"
providers="Microsoft.Insights/eventtypes/management/values"
resourceId="/providers/$providers"
filter="eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"

az rest \
  --method get \
  --uri "$resourceId?api-version=$apiVersion&\$filter=$filter"

Bérlőszintű tevékenységnapló-eseményekhez nem érhető el dedikált PowerShell-parancsmag. Az alábbi példa közvetlenül meghívja a REST API-t a következő használatával Invoke-AzRestMethod:

$apiVersion = "2015-04-01"
$startTime = "2026-04-01T00:00:00Z"
$endTime = "2026-04-30T23:59:59Z"
$providers = "Microsoft.Insights/eventtypes/management/values"
$resourceId = "/providers/$providers"
$filter = "eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"

$invokeAzRestMethodParams = @{
    Path   = "$resourceId?api-version=$apiVersion&`$filter=$filter"
    Method = "GET"
}

Invoke-AzRestMethod @invokeAzRestMethodParams

A bérlőszintű tevékenységnapló-események listázásához használja ezt a kérést GET . Vegye figyelembe, hogy ez a kérés a bérlőszintű tevékenységnapló végpontját célozza, amely eltér az előfizetési szintű tevékenységnapló API-tól.

GET https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{starTime}' and eventTimestamp le '{endTime}'

Felügyeleti csoportszintű tevékenységnapló-események listázása

A felügyeleti csoportszintű tevékenységnapló-események rögzítik az adott felügyeleti csoportra hatókörrel rendelkező eseményeket, például a szabályzat-hozzárendeléseket és a felügyeleti csoport tagságának változásait.

Megjegyzés:

Az alábbi példák az 2017-03-01-preview API-verziót használják, amely a felügyeleti csoportszintű tevékenységnapló-lekérdezésekhez szükséges.

A felügyeleti csoportszintű tevékenységnapló-események Azure portálon való megtekintéséhez nyissa meg a Management csoportok> válasszon egy felügyeleti csoportot >Activity log.

Az Azure portál aktivitási naplójának panelje egy felügyeleti csoport számára látható a képernyőképen.

A felügyeleti csoportszintű tevékenységnapló-események listázásához használja a az rest Azure CLI parancsot. Ez a parancs közvetlenül meghívja a Azure Resource Manager REST API-t, hogy lekérje a tevékenységnapló-eseményeket, amelyek hatóköre a megadott felügyeleti csoportra terjed ki.

apiVersion="2017-03-01-preview"
managementGroupId="myManagementGroup"
startTime="2026-04-01T00:00:00Z"
endTime="2026-04-30T23:59:59Z"
providers="Microsoft.Insights/eventtypes/management/values"
resourceId="/providers/Microsoft.Management/managementGroups/$managementGroupId/providers/$providers"
filter="eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"

az rest \
  --method get \
  --url "$resourceId?api-version=$apiVersion&\$filter=$filter"

A dedikált PowerShell-parancsmag nem érhető el a felügyeleti csoportszintű tevékenységnapló-eseményekhez. Az alábbi példa közvetlenül meghívja a REST API-t a használatával Invoke-AzRestMethod.

$apiVersion = "2017-03-01-preview"
$managementGroupId = "myManagementGroup"
$startTime = "2026-04-01T00:00:00Z"
$endTime = "2026-04-30T23:59:59Z"
$providers = "Microsoft.Insights/eventtypes/management/values"
$resourceId = "/providers/Microsoft.Management/managementGroups/$managementGroupId/providers/$providers"
$filter = "eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"

$invokeAzRestMethodParams = @{
    Method = "GET"
    Path   = "$resourceId?api-version=$apiVersion&`$filter=$filter"
}

Invoke-AzRestMethod @invokeAzRestMethodParams

A felügyeleti csoportszintű tevékenységnapló-események listázásához használja ezt a GET kérést a Azure Resource Manager REST API-n. Cserélje le {managementGroupId} a lekérdezni kívánt felügyeleti csoport azonosítójára, és adja meg a lekérdezési paraméter időtartományát $filter .

GET https://management.azure.com/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'

Az alábbi táblázat az előző példákban használt paramétereket ismerteti.

Variable	Példaérték	Alkalmazás célja
állomás	management.azure.com	Implicit ARM-végpont
előfizetési azonosító	aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e	Felhasználói bevitel
resourceGroupName	myResourceGroup	Felhasználói bevitel
managementGroupId	myManagementGroup	Felhasználói bevitel
apiVersion	• 2015-04-01 • 2017-03-01-preview (felügyeleticsoport-szinthez)	Utalás

A korábbi módosítások megtekintése

Egyes eseményeknél megtekintheti a módosítási előzményeket, amelyek az esemény időpontjában történt módosításokat jelenítik meg. Válasszon ki egy eseményt a tevékenységnaplóból, amelyet részletesebben szeretne megvizsgálni. A Módosítási előzmények lapon a művelet előtt és után legfeljebb 30 perccel megtekintheti az erőforrás módosításait.

Ha bármilyen módosítás van társítva az eseményhez, a portál megjeleníti a módosítások választható listáját. Ha kiválaszt egy módosítást, megnyílik a Változáselőzmények lap. Ezen a lapon az erőforrás módosításai láthatók.

Az alábbi példa azt mutatja, hogy a virtuális gép mérete megváltozott. A lapon megjelenik a virtuális gép mérete a módosítás előtt és után. A változáselőzményekről további információt az erőforrás-módosítások lekérése című témakörben talál.

Tevékenységnapló-elemzések

A tevékenységnapló-elemzések egy Azure Monitor munkafüzet, amely vezérlőpultok készletét kínálja, amelyek figyelik az előfizetés erőforrásainak és erőforráscsoportjainak változásait. Az irányítópultok azt is megjelenítik, hogy mely felhasználók vagy szolgáltatások végeztek tevékenységeket az előfizetésben és a tevékenységek állapotában.

A tevékenységnapló-elemzések engedélyezéséhez exportálja a tevékenységnaplót egy Log Analytics munkaterületre a Export tevékenységnaplóban leírtak szerint. Ez a folyamat eseményeket küld a táblának, amelyeket a AzureActivity tevékenységnapló-elemzések használnak.

A tevékenységnapló-elemzéseket az előfizetés vagy az erőforrás szintjén nyithatja meg. Az előfizetéshez válassza a Figyelés menü Munkafüzetek szakaszának Activity Logs Insights elemét.

Egy adott erőforrás esetében válassza a Tevékenységnaplók elemzések lehetőséget az erőforrás menüjének Munkafüzetek szakaszában.

Tevékenységnapló exportálása

Hozzon létre egy diagnosztikai beállítást, amellyel tevékenységnapló-bejegyzéseket küldhet más helyekre a további megőrzési idő és funkciók érdekében.

A Azure portálon válassza a Activity log lehetőséget a Azure Monitor menüben, majd válassza a Export tevékenységnaplók lehetőséget. A diagnosztikai beállítások létrehozásának további információi és egyéb módszerei: Diagnosztikai beállítások az Azure Monitorban. Győződjön meg arról, hogy letiltja a tevékenységnapló örökölt konfigurációját.

A képernyőkép bemutatja az Azure Monitor menüt, ahol a Tevékenységnapló van kiválasztva és az Exportálási naplók kiemelve a Monitor-Tevékenységnapló menüsávján.

Az alábbi szakaszok az erőforrásnaplók konfigurálható célhelyeinek részleteit ismertetik.

Megjegyzés:

A tevékenységnapló exportálásának régi módszere a naplóprofilok. Tekintse meg az örökölt gyűjtési módszereket.

Küldje el a tevékenységnaplót egy Log Analytics munkaterületre a következő funkciókhoz:

A tevékenységnaplók más naplóadatokkal való korrelációja napló lekérdezések használatával.
Hozzon létre naplóriasztásokat, amelyek összetettebb logikát használhatnak, mint a tevékenységnapló-riasztások.
A tevékenységnapló adatainak elérése Power BI használatával.
90 napnál hosszabb ideig őrizze meg a tevékenységnapló adatait.

A tevékenységnaplókhoz nincs adatbetöltési díj. A tevékenységnaplók megőrzési díjai csak az alapértelmezett 90 napos megőrzési időszakon át meghosszabbított időszakra vonatkoznak. A megőrzési időt akár 12 évre is növelheti.

Egy Log Analytics munkaterület tevékenységnapló-adatait egy AzureActivity nevű táblában tárolja a rendszer. A tábla felépítése a naplóbejegyzés kategóriájától függően változik.

Ha például az egyes kategóriák tevékenységnapló-rekordjainak számát szeretné megtekinteni, használja a következő lekérdezést:

AzureActivity
| summarize count() by CategoryValue

A felügyeleti kategória összes rekordjának lekéréséhez használja a következő lekérdezést:

AzureActivity
| where CategoryValue == "Administrative"

Fontos

Bizonyos esetekben a mezők AzureActivity értékei eltérőek lehetnek az egyébként egyenértékű értékektől. Az adatok AzureActivity lekérdezésekor használjon kis- és nagybetűket nem megkülönböztető operátorokat sztring-összehasonlításokhoz, vagy használjon skaláris függvényt, hogy a mezőt egységes betűhasználatra kényszerítse az összehasonlítások előtt. Egy mezőt a tolower() függvénnyel például kényszerítheti, hogy mindig kisbetűs legyen, vagy az =~ operátort használhatja, amikor szövegösszehasonlítást végez.

Küldje el a tevékenységnaplót a Azure Event Hubs, hogy Azure kívül küldjön bejegyzéseket, például egy külső SIEM-nek vagy más naplóelemzési megoldásnak. Az eseményközpontokból származó tevékenységnapló-események JSON formátumban vannak fogyasztva, az egyes hasznos adatok rekordjait tartalmazó records elemmel. A séma a kategóriától függ, és Azure tevékenységnapló eseményséma ismerteti.

A következő kimeneti mintaadatok egy tevékenységnapló eseményközpontjaiból származnak:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "aaaa0000-bb11-2222-33cc-444444dddddd",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "1003BFFD8EC002D4",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "bbbb1111-cc22-3333-44dd-555555eeeeee,aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,cccc2222-dd33-4444-55ee-666666ffffff",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "bbbbbbbb-1111-2222-3333-cccccccccccc"
            }
        }
    ]
}

Ha 90 napnál hosszabb ideig szeretné megőrizni naplóadatait naplózás, statikus elemzés vagy biztonsági mentés céljából, küldje el a tevékenységnaplót egy Azure Storage-fióknak. Ha legalább 90 napig meg kell őriznie az eseményeket, nem kell archiválási beállításokat beállítania egy tárfiókhoz.

Amikor elküldi a tevékenységnaplót a tárolóba, a rendszer azonnal létrehoz egy tárolót a tárfiókban, amint esemény történik. A tárolóban lévő blobok a következő elnevezési konvenciót használják:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Egy adott blob neve például a következőhöz hasonló lehet:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Minden PT1H.json blob tartalmaz egy JSON-objektumot, amely a blob URL-címében megadott órában fogadott naplófájlokból származó eseményeket tartalmazza. A jelen órában az eseményeket a rendszer hozzáfűzi a PT1H.json fájlhoz, függetlenül attól, hogy mikor lettek létrehozva. Az URL-cím m=00 percértéke mindig 00 az, mivel a blobokat óránként hozzák létre.

A rendszer minden eseményt a PT1H.json fájlban tárol az alábbi formátumban. Ez a formátum általános legfelső szintű sémát használ, de egyébként minden kategóriához egyedi, a Tevékenységnapló sémájában leírtak szerint.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Menedzsment csoport tevékenységnaplóinak exportálása

Amikor létrehoz egy diagnosztikai beállítást egy felügyeleti csoporthoz, az exportálja az Azure Monitor tevékenységnapló-eseményeit az adott felügyeleti csoportra, valamint a hierarchiában alatta lévő összes felügyeleti csoportra is. Ha a hierarchiában több felügyeleti csoport diagnosztikai beállításokkal rendelkezik, ismétlődő eseményeket kap. A hierarchia összes eseményének rögzítéséhez csak a legmagasabb szintű felügyeleti csoport diagnosztikai beállítására van szükség.

A felügyeleti csoport sok esetben ugyanazokat az eseményeket gyűjti össze, mint amiket az alá tartozó előfizetések is. Ha az előfizetés és a felügyeleti csoport is rendelkezik diagnosztikai beállításokkal, duplikált eseményeket kap. Az Azure Resource Manager tartalmaz egy hierarchiatulajdonságot az események írásakor, de ez nem kötelező mező. Az Azure Resource Manageren kívüli erőforrás-szolgáltatók nem töltik fel ezt az információt, ezért az eseményeik nem jutnak fel a hierarchia magasabb szintjeire. Emiatt az ismétlődő események lekérése jobb, mint a hiányzó események.

Ha például a rendelkezik egy MG1-gyel, amely tartalmaz egy MG2-t, ami tartalmaz egy Subscription1-et, akkor az MG1 diagnosztikai beállítása rögzíti az összes tevékenységnapló-eseményt az MG1, MG2 és a Subscription1 diagnosztikai beállítása által gyűjtött események közül sokat. Ebben az esetben nincs szükség diagnosztikai beállításra az MG2-n, mivel csak ismétlődő eseményeket gyűjtene.

Ha ismétlődő eseményeket használ, kombinálja őket egy lekérdezéssel, amely az összes mező kivonatát használja az egyedi rekordok azonosításához. Az alábbi kusto-lekérdezés egy Log Analytics munkaterületen gyűjtött naplók mintáját mutatja be:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

A tevékenységnapló exportálása fájlba

Válassza a Letöltés CSV-ként lehetőséget a tevékenységnapló exportálásához egy CSV-fájlba az Azure Portalon.

Fontos

Sok naplóbejegyzés exportálása hosszú időt vehet igénybe. A teljesítmény javítása érdekében csökkentse az exportálás időtartományát. Az Azure portálon állítsa be az időtartam beállítást.

A tevékenységnaplót programozott módon exportálhatja Azure CLI használatával.

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
startTime="2026-04-01T00:00:00Z"
endTime="2026-04-14T23:59:59Z"
maxItems=1000
outputFile="./activity-log.json"

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --start-time "$startTime" \
  --end-time "$endTime" \
  --max-items "$maxItems" \
  > "$outputFile"

A tevékenységnaplót programozott módon exportálhatja a Azure PowerShell használatával.

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$startTime = "2026-04-01T00:00:00Z"
$endTime = "2026-04-14T23:59:59Z"
$outputFile = "./activity-log.csv"

Set-AzContext -SubscriptionId $subscriptionId

$getAzActivityLogParams = @{
    StartTime = $startTime
    EndTime   = $endTime
}

Get-AzActivityLog @getAzActivityLogParams |
    Export-Csv -Path $outputFile -NoTypeInformation

Az alábbi példa PowerShell-szkript egyórás időközönként exportálja a tevékenységnaplót CSV-fájlokba, és mindegyik külön fájlba van mentve.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Az erőforrás létrehozásának azonosítása

A tevékenységnapló segítségével megtudhatja, hogy a rendszer mikor hozott létre erőforrást, és ki hozta létre. A tevékenységnapló az egyetlen hely, amely egy erőforrás létrehozóját tárolja. Mivel a tevékenységnapló alapértelmezés szerint csak 90 napig őrzi meg az adatokat, a naplókat olyan helyre kell exportálnia, amely lehetővé teszi a megőrzési időtartam meghosszabbítását, például egy Log Analytics-munkaterületet. Ezután keresse meg az erőforrás létrehozóját a AzureActivity tábla lekérdezésével. Az adatok a tábla megőrzési időszakában megadott időtartamig maradnak meg.

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2026-05-26

Tevékenységnapló a Azure Monitor

Tevékenységnapló-bejegyzések

Megőrzési időszak

A tevékenységnapló megtekintése és lekérése

Tevékenységnapló-hozzáférési forgatókönyvek

Tevékenységnapló-események listázása előfizetéshez

Tevékenységnapló-események listázása erőforráscsoporthoz

Adott tevékenységnapló-tulajdonságok visszaadása

Bérlőszintű tevékenységnapló-események listázása

Felügyeleti csoportszintű tevékenységnapló-események listázása

A korábbi módosítások megtekintése

Tevékenységnapló-elemzések

Tevékenységnapló exportálása

Menedzsment csoport tevékenységnaplóinak exportálása

A tevékenységnapló exportálása fájlba

Az erőforrás létrehozásának azonosítása

Kapcsolódó tartalom

Visszajelzés

További források