Tevékenységnapló az Azure Monitorban

Az Azure Monitor tevékenységnaplója egy platformnapló az Azure-erőforrásokból származó síkesemények vezérléséhez. Olyan információkat tartalmaz, mint egy erőforrás módosítása vagy üzembe helyezési hiba. A tevékenységnaplóval áttekintheti vagy naplózhatja ezeket az információkat a figyelt erőforrások esetében, vagy létrehozhat egy riasztást, amely proaktív módon értesítést küld egy esemény létrehozásakor.

Jótanács

Ha egy üzembehelyezési művelettel kapcsolatos hibából lett átirányítva erre a cikkre, tekintse meg az Azure gyakori üzembehelyezési hibáinak hibaelhárítását.

Tevékenységnapló-bejegyzések

A tevékenységnapló bejegyzései alapértelmezés szerint nem igényelnek konfigurálást. Rendszer által létrehozottak, és nem módosíthatók, és nem törölhetők. A bejegyzések általában módosítások (létrehozás, frissítés, törlés) vagy egy művelet kezdeményezésének eredményeként jönnek létre. Az erőforrások adatainak olvasására összpontosító műveletek általában nem rögzítve lesznek. A tevékenységnapló-kategóriák leírását az Azure-tevékenységnapló eseményséma című témakörben talál.

Megjegyzés:

A vezérlősík feletti műveletek naplózása az Azure Resource Logsban lesz. Ezeket a rendszer alapértelmezés szerint nem gyűjti, és diagnosztikai beállítások gyűjtését igényli.

Megőrzési időszak

A tevékenységnapló-események 90 napig megmaradnak az Azure-ban, majd törlődnek. A bejegyzésekért ez idő alatt a mennyiségtől függetlenül nem kell díjat fizetni. További funkciók, például a hosszabb megőrzés érdekében hozzon létre egy diagnosztikai beállítást, és az igényeinek megfelelően átirányítsa a bejegyzéseket egy másik helyre .

A tevékenységnapló megtekintése és lekérése

A tevékenységnaplót az Azure Portal legtöbb menüjéből elérheti. A megnyitott menü határozza meg a kezdeti szűrőt. Ha a Monitor menüből nyitja meg, az egyetlen szűrő az előfizetésen van. Ha egy erőforrás menüjéből nyitja meg, a szűrő erre az erőforrásra van állítva. A szűrőt bármikor módosíthatja az összes többi bejegyzés megtekintéséhez. Válassza a Szűrő hozzáadása lehetőséget, ha további tulajdonságokat szeretne hozzáadni a szűrőhöz.

A tevékenységnapló-eseményeket az alábbi módszerekkel is elérheti:

• A Get-AzLog parancsmaggal kérje le a tevékenységnaplót a PowerShellből. Tekintse meg az Azure Monitor PowerShell-mintáit.
• Az az monitor activity-log használatával kérje le a tevékenységnaplót a parancssori felületről. Tekintse meg az Azure Monitor CLI-mintáit.

• Az Azure Monitor REST API használatával lekérheti a tevékenységnaplót egy REST-ügyfélből.

A korábbi módosítások megtekintése

Egyes eseményeknél megtekintheti a módosítási előzményeket, amelyek az esemény időpontjában történt módosításokat jelenítik meg. Válasszon ki egy eseményt a tevékenységnaplóból, amelyet részletesebben szeretne megvizsgálni. A Módosítási előzmények lapon a művelet előtt és után legfeljebb 30 perccel megtekintheti az erőforrás módosításait.

Ha bármilyen módosítás van társítva az eseményhez, megjelenik a választható módosítások listája. Ha kiválaszt egy módosítást, megnyílik a Változáselőzmények lap. Ezen a lapon az erőforrás módosításai láthatók. Az alábbi példában láthatja, hogy a virtuális gép mérete megváltozott. A lapon megjelenik a virtuális gép mérete a módosítás előtt és után. A változáselőzményekről további információt az erőforrás-módosítások lekérése című témakörben talál.

Tevékenységnapló-elemzések

A tevékenységnapló-elemzések olyan munkafüzetek, amelyek irányítópultok készletét biztosítják, amelyek monitorozzák az előfizetés erőforrásainak és erőforráscsoportjainak változásait. Az irányítópultok azt is megjelenítik, hogy mely felhasználók vagy szolgáltatások végeztek tevékenységeket az előfizetésben és a tevékenységek állapotában.

A tevékenységnapló-elemzések engedélyezéséhez exportálja a tevékenységnaplót egy Log Analytics-munkaterületre az Exportálási tevékenységnaplóban leírtak szerint. Ez eseményeket küld a AzureActivity táblába, amelyet a tevékenységnapló-elemzések használnak.

A tevékenységnapló-elemzéseket az előfizetés vagy az erőforrás szintjén nyithatja meg. Az előfizetéshez válassza a Figyelés menü Munkafüzetek szakaszának Activity Logs Insights elemét.

Egy adott erőforrás esetében válassza a Tevékenységnaplók elemzések lehetőséget az erőforrás menüjének Munkafüzetek szakaszában.

Tevékenységnapló exportálása

Hozzon létre egy diagnosztikai beállítást, amellyel tevékenységnapló-bejegyzéseket küldhet más helyekre a további megőrzési idő és funkciók érdekében.

Az Azure Portalon válassza a Tevékenységnapló lehetőséget az Azure Monitor menüben, majd válassza az Export Activity Logs (Tevékenységnaplók exportálása) lehetőséget. A diagnosztikai beállítások létrehozásának egyéb részleteiért és egyéb módszereiért tekintse meg az Azure Monitor diagnosztikai beállításait . Győződjön meg arról, hogy letiltja a tevékenységnapló örökölt konfigurációját.

Az alábbi információk további részleteket tartalmaznak azokról a különböző célhelyekről, amelyekbe az erőforrások naplói elküldhetők.

Megjegyzés:

A tevékenységnapló exportálásának régi módszere a naplóprofilok. Tekintse meg az örökölt gyűjtési módszereket.

Log Analytics-munkaterület

Küldje el a tevékenységnaplót egy Log Analytics-munkaterületre a következő funkciók érdekében:

• Tevékenységnaplók korrelálása más naplóadatokkal napló lekérdezések használatával.
• Olyan naplóriasztásokat hozhat létre, amelyek összetettebb logikát használhatnak, mint a tevékenységnapló-riasztások.
• Tevékenységnapló-adatok elérése a Power BI-val.
• 90 napnál hosszabb ideig őrizze meg a tevékenységnapló adatait.

A tevékenységnaplók esetében nincs adatbetöltési díj. A tevékenységnaplók megőrzési díjai csak az alapértelmezett 90 napos megőrzési időszakon hosszabbított időszakra vonatkoznak. A megőrzési időt akár 12 évre is növelheti.

A Log Analytics-munkaterület tevékenységnapló-adatait egy AzureActivity nevű táblában tárolja a rendszer. A tábla felépítése a naplóbejegyzés kategóriájától függően változik.

Ha például az egyes kategóriák tevékenységnapló-rekordjainak számát szeretné megtekinteni, használja a következő lekérdezést:

AzureActivity
| summarize count() by CategoryValue

A felügyeleti kategória összes rekordjának lekéréséhez használja a következő lekérdezést:

AzureActivity
| where CategoryValue == "Administrative"

Fontos

Bizonyos esetekben előfordulhat, hogy a mezők AzureActivity értékei eltérő esetet tartalmaznak, mint az egyébként egyenértékű értékek. Az adatok AzureActivity lekérdezésekor használjon kis- és nagybetűket nem megkülönböztető operátorokat sztring-összehasonlításokhoz, vagy használjon skaláris függvényt, hogy a mezőt egységes betűhasználatra kényszerítse az összehasonlítások előtt. Egy mezőt a tolower() függvénnyel például kényszerítheti, hogy mindig kisbetűs legyen, vagy az =~ operátort használhatja, amikor szövegösszehasonlítást végez.

Azure-eseményközpontok

Küldje el a tevékenységnaplót az Azure Event Hubsnak, hogy az Azure-on kívüli bejegyzéseket küldjön, például egy külső SIEM-nek vagy más naplóelemzési megoldásnak. Az eseményközpontokból származó tevékenységnapló-események JSON formátumban vannak felhasználva, és az records egyes hasznos adatok rekordjait tartalmazó elemet tartalmaznak. A séma a kategóriától függ, és az Azure-tevékenységnapló eseménysémában van leírva.

A következő kimeneti mintaadatok egy tevékenységnapló eseményközpontjaiból származnak:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Azure Storage

Ha 90 napnál hosszabb ideig szeretné megőrizni naplóadatait naplózás, statikus elemzés vagy biztonsági mentés céljából, küldje el a tevékenységnaplót egy Azure Storage-fióknak. Ha legalább 90 napig meg kell őriznie az eseményeket, akkor nem kell archiválásokat beállítania egy tárfiókhoz.

Amikor elküldi a tevékenységnaplót a tárolóba, a rendszer azonnal létrehoz egy tárolót a tárfiókban, amint esemény történik. A tárolóban lévő blobok a következő elnevezési konvenciót használják:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Egy adott blob neve például a következőhöz hasonló lehet:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Minden PT1H.json blob tartalmaz egy JSON-objektumot, amely a blob URL-címében megadott órában fogadott naplófájlokból származó eseményeket tartalmazza. A jelen órában az eseményeket a rendszer hozzáfűzi a PT1H.json fájlhoz, függetlenül attól, hogy mikor lettek létrehozva. Az URL-cím m=00 percértéke mindig 00 az, mivel a blobokat óránként hozzák létre.

A rendszer minden eseményt a PT1H.json fájlban tárol az alábbi formátumban. Ez a formátum általános legfelső szintű sémát használ, de egyébként minden kategóriához egyedi, a Tevékenységnapló sémájában leírtak szerint.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exportálás CSV-be

Válassza a Letöltés CSV-ként lehetőséget a tevékenységnapló CSV-fájlba való exportálásához az Azure Portal használatával.

Fontos

Az exportálás túl sok időt vehet igénybe, ha nagy számú naplóbejegyzéssel rendelkezik. A teljesítmény javítása érdekében csökkentse az exportálás időtartományát. Az Azure Portalon ez az Időbélyeg beállítással van beállítva.

A tevékenységnaplót egy CSV-fájlba is exportálhatja a PowerShell vagy az Azure CLI használatával, ahogyan az alábbi példákban is látható.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Az alábbi példa PowerShell-szkript egy óra alatt exportálja a tevékenységnaplót CSV-fájlokba, és mindegyik külön fájlba lesz mentve.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Következő lépések

Tudjon meg többet:

• Tevékenységnapló eseményséma
• Erőforrásnaplók
• Diagnosztikai beállítások