Azure Monitor-tevékenységnapló-adatok küldése

Az Azure Monitor tevékenységnaplója egy platformnapló, amely betekintést nyújt az előfizetési szintű eseményekbe. A tevékenységnapló olyan információkat tartalmaz, mint például egy erőforrás módosítása vagy egy virtuális gép indítása. Megtekintheti a tevékenységnaplót az Azure Portalon, vagy beolvashatja a bejegyzéseket a PowerShell és az Azure CLI használatával. Ez a cikk bemutatja, hogyan tekintheti meg és küldheti el a tevékenységnaplót különböző célhelyekre.

Hozzon létre egy diagnosztikai beállítást a tevékenységnapló egy vagy több ilyen helyre való elküldéséhez:

• Log Analytics-munkaterület összetettebb lekérdezésekhez és riasztásokhoz
• Az Azure Event Hubs az Azure-on kívüli naplók továbbítására.
• Az Azure Storage olcsóbb, hosszú távú archiváláshoz.

A diagnosztikai beállítások létrehozásáról további információt a platformnaplók és metrikák különböző célhelyekre történő küldéséhez szükséges diagnosztikai beállítások létrehozása című témakörben talál.

Tipp.

Tevékenységnaplók küldése Log Analytics-munkaterületre a következő előnyök érdekében:

• A naplók Log Analytics-munkaterületre való küldése az alapértelmezett megőrzési időszakra ingyenes.
• Naplókat küldhet egy Log Analytics-munkaterületre akár 12 évig tartó hosszabb megőrzés céljából.
• A Log Analytics-munkaterületre exportált naplók megjelenhetnek a Power BI-ban
• Elemzések találhatók a Log Analyticsbe exportált tevékenységnaplókhoz.

Feljegyzés

• A tevékenységnapló bejegyzései rendszerszintűek, és nem módosíthatók és nem törölhetők.
• A tevékenységnapló bejegyzései olyan vezérlősík-módosításokat jelölnek, mint a virtuális gép újraindítása, a nem kapcsolódó bejegyzéseket az Azure-erőforrásnaplókba kell írni
• A tevékenységnapló bejegyzései általában módosítások (létrehozási, frissítési vagy törlési műveletek) vagy egy műveletet kezdeményeztek. Az erőforrások adatainak olvasására összpontosító műveletek általában nem rögzítve vannak.

Küldés Log Analytics-munkaterületre

Küldje el a tevékenységnaplót egy Log Analytics-munkaterületre az Azure Monitor Naplók funkció engedélyezéséhez, ahol:

• A tevékenységnapló adatainak korrelálása az Azure Monitor által gyűjtött egyéb monitorozási adatokkal.
• Több Azure-előfizetésből és bérlőből származó naplóbejegyzések összesítése egy helyre elemzés céljából.
• Napló lekérdezésekkel összetett elemzéseket végezhet, és mély elemzéseket végezhet a tevékenységnapló-bejegyzésekről.
• A naplókeresési riasztásokat tevékenységbejegyzésekkel használva összetettebb riasztási logikát használhat.
• A tevékenységnapló bejegyzéseit a tevékenységnapló megőrzési időszakánál hosszabb ideig tárolja.
• A Log Analytics-munkaterületen tárolt tevékenységnapló-adatok nem merülnek fel adatbetöltési vagy adatmegőrzési költségekkel.
• A Log Analytics alapértelmezett megőrzési ideje 90 nap

Válassza a Tevékenységnaplók exportálása lehetőséget a tevékenységnapló Log Analytics-munkaterületre való küldéséhez.

A tevékenységnaplót egyetlen előfizetésből legfeljebb öt munkaterületre küldheti el.

A Log Analytics-munkaterület tevékenységnapló-adatait egy olyan táblában AzureActivity tárolja a rendszer, amely a Log Analytics napló lekérdezésével kérhető le. A tábla felépítése a naplóbejegyzés kategóriájától függően változik. A táblatulajdonságok leírásáért tekintse meg az Azure Monitor adatreferenciáját.

Ha például az egyes kategóriák tevékenységnapló-rekordjainak számát szeretné megtekinteni, használja a következő lekérdezést:

AzureActivity
| summarize count() by CategoryValue

A felügyeleti kategória összes rekordjának lekéréséhez használja a következő lekérdezést:

AzureActivity
| where CategoryValue == "Administrative"

Fontos

Bizonyos esetekben előfordulhat, hogy az AzureActivity mezőinek értékei eltérő burkolattal rendelkeznek az egyébként egyenértékű értékektől. Az AzureActivity adatainak lekérdezésekor ügyeljen arra, hogy sztring-összehasonlításokhoz használjon kis- és nagybetűket érzéketlen operátorokat, vagy használjon skaláris függvényt, hogy az összehasonlítás előtt egységes burkolatra kényszerítsen egy mezőt. Egy mező tolower() függvényével például kényszerítheti, hogy mindig kisbetűs legyen, vagy a =~ operátort sztring-összehasonlítás végrehajtásakor.

Küldés az Azure Event Hubsba

Küldje el a tevékenységnaplót az Azure Event Hubsnak, hogy az Azure-on kívüli bejegyzéseket küldjön, például egy külső SIEM-nek vagy más log analytics-megoldásnak. Az eseményközpontokból származó tevékenységnapló-események JSON formátumban vannak felhasználva, és az records egyes hasznos adatok rekordjait tartalmazó elemet tartalmaznak. A séma a kategóriától függ, és az Azure-tevékenységnapló eseménysémában van leírva.

A következő kimeneti mintaadatok egy tevékenységnapló eseményközpontjaiból származnak:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Küldés az Azure Storage-be

Ha 90 napnál hosszabb ideig szeretné megőrizni naplóadatait naplózás, statikus elemzés vagy biztonsági mentés céljából, küldje el a tevékenységnaplót egy Azure Storage-fióknak. Ha legalább 90 napig meg kell őriznie az eseményeket, akkor nem kell archiválásokat beállítania egy tárfiókhoz. A tevékenységnapló-események 90 napig maradnak meg az Azure-platformon.

Amikor elküldi a tevékenységnaplót az Azure-ba, egy tároló jön létre a tárfiókban, amint esemény történik. A tárolóban lévő blobok a következő elnevezési konvenciót használják:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Egy adott blob neve például a következőhöz hasonló lehet:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Minden PT1H.json blob tartalmaz egy JSON-objektumot, amely a blob URL-címében megadott órában fogadott naplófájlokból származó eseményeket tartalmazza. A jelen órában az eseményeket a rendszer hozzáfűzi a PT1H.json fájlhoz, függetlenül attól, hogy mikor lettek létrehozva. Az URL-cím m=00 percértéke mindig 00 a blobok óránkénti létrehozása.

A rendszer minden eseményt a PT1H.json fájlban tárol az alábbi formátumban. Ez a formátum általános legfelső szintű sémát használ, de egyébként minden kategóriához egyedi, a Tevékenységnapló sémájában leírtak szerint.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Tevékenységnapló-események lekérésének egyéb módszerei

A tevékenységnapló-eseményeket az alábbi módszerekkel is elérheti:

• A Get-AzLog parancsmaggal lekérheti a tevékenységnaplót a PowerShellből. Lásd: Azure Monitor PowerShell-minták.
• Az az monitor activity-log használatával kérje le a tevékenységnaplót a parancssori felületről. Lásd: Azure Monitor CLI-minták.
• Az Azure Monitor REST API használatával lekérheti a tevékenységnaplót egy REST-ügyfélből.

Örökölt gyűjtési módszerek

Feljegyzés

• Az Azure Activity Logs megoldással a tevékenységnaplókat továbbíthatták az Azure Log Analyticsnek. Ez a megoldás 2026. szeptember 15-én megszűnik, és automatikusan diagnosztikai beállításokká lesz konvertálva.

Ha tevékenységnaplókat gyűjt az örökölt gyűjtési módszerrel, javasoljuk, hogy exportálja a tevékenységnaplókat a Log Analytics-munkaterületre, és tiltsa le az örökölt gyűjteményt az adatforrások használatával – Az API törlése az alábbiak szerint:

1. Listázhatja a munkaterülethez csatlakoztatott összes adatforrást az Adatforrások – Listázás munkaterület szerint API használatával, és a beállítással kind eq 'AzureActivityLog'szűrheti a tevékenységnaplókat.

   

2. Másolja ki a letiltani kívánt kapcsolat nevét az API-válaszból.

   

3. Az adatforrások – Az API törlése funkcióval állítsa le az adott erőforrás tevékenységnaplóinak gyűjtését.

   

Régi naplóprofilok kezelése – kivonás

Feljegyzés

• A naplóprofilok a tevékenységnaplók tárfiókokba és Event Hubsba való továbbítására szolgáltak. Ezt a módszert 2026. szeptember 15-én kivonjuk.
• Ha ezt a módszert használja, 2025. szeptember 15-e előtt váltson át a diagnosztikai beállításokra, amikor már nem engedélyezzük a naplóprofilok új létrehozásának engedélyezését.

A naplóprofilok a tevékenységnapló tárolási vagy eseményközpontokba való küldésének régi módszerei. Ha ezt a módszert használja, váltson át a diagnosztikai beállításokra, amely jobb funkcionalitást és konzisztenciát biztosít az erőforrásnaplókkal.

PowerShell

Ha már létezik naplóprofil, először el kell távolítania a meglévő naplóprofilt, majd létre kell hoznia egy újat.

1. Naplóprofil meglétének azonosítására használható Get-AzLogProfile . Ha létezik naplóprofil, jegyezze fel a tulajdonságot Name .

2. A Remove-AzLogProfile naplóprofil eltávolításához használja az értéket a Name tulajdonságból.

   # For example, if the log profile name is 'default'
   Remove-AzLogProfile -Name "default"
   

3. Új Add-AzLogProfile naplóprofil létrehozása:

   Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
   

   Tulajdonság	Kötelező	Leírás
   Név	Igen	A naplóprofil neve.
   StorageAccountId	Nem	Annak a tárfióknak az erőforrás-azonosítója, amelyben a tevékenységnaplót menteni kell.
   serviceBusRuleId	Nem	Service Bus-szabályazonosító annak a Service Bus-névtérnek, ahol létre szeretné hozni az eseményközpontokat. Ez a sztring formátuma {service bus resource ID}/authorizationrules/{key name}.
   Hely	Igen	Vesszővel tagolt lista azon régiókról, amelyekhez tevékenységnapló-eseményeket szeretne gyűjteni.
   RetentionInDays	Igen	Azon napok száma, amelyeken az eseményeket meg kell őrizni a tárfiókban, 1 és 365 között. A nulla érték korlátlan ideig tárolja a naplókat.
   Kategória	Nem	Az összegyűjtendő eseménykategóriák vesszővel tagolt listája. A lehetséges értékek az Írás, a Törlés és a Művelet.

Példaszkript

Ez a PowerShell-példaszkript létrehoz egy naplóprofilt, amely a tevékenységnaplót egy tárfiókba és egy eseményközpontba is írja.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Parancssori felület

Ha már létezik naplóprofil, először el kell távolítania a meglévő naplóprofilt, majd létre kell hoznia egy naplóprofilt.

1. Naplóprofil meglétének azonosítására használható az monitor log-profiles list .

2. A az monitor log-profiles delete --name "<log profile name> naplóprofil eltávolításához használja az értéket a name tulajdonságból.

3. Naplóprofil az monitor log-profiles create létrehozása:

   az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<Event Hub NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
   

   Tulajdonság	Kötelező	Leírás
   name	Igen	A naplóprofil neve.
   storage-account-id	Igen	Annak a tárfióknak az erőforrás-azonosítója, amelyhez a tevékenységnaplókat menteni kell.
   locations	Igen	Azoknak a régióknak a szóközzel tagolt listája, amelyekhez tevékenységnapló-eseményeket szeretne gyűjteni. Az előfizetéshez tartozó összes régió listájának megtekintése a használatával az account list-locations --query [].name.
   days	Igen	Azon napok száma, amelyeken az eseményeket meg kell őrizni, 1 és 365 között. A nulla érték korlátlan ideig (örökre) tárolja a naplókat. Ha nulla, akkor az engedélyezett paramétert False (Hamis) értékre kell állítani.
   enabled	Igen	Igaz vagy hamis? Az adatmegőrzési szabályzat engedélyezésére vagy letiltására szolgál. Ha igaz, akkor a days paraméternek nullánál nagyobb értéknek kell lennie.
   categories	Igen	Az összegyűjtendő eseménykategóriák szóközzel elválasztott listája. A lehetséges értékek az Írás, a Törlés és a Művelet.

Adatszerkezet-változások

Az Exportálási tevékenységnaplók felület ugyanazokat az adatokat küldi el, mint a tevékenységnapló elküldéséhez használt régi módszer, néhány módosítással a AzureActivity tábla szerkezetében.

Az alábbi táblázat oszlopai elavultak a frissített sémában. Még mindig léteznek, AzureActivityde nincsenek adataik. Ezek az oszlopok nem újak, de ugyanazokat az adatokat tartalmazzák, mint az elavult oszlop. Más formátumban vannak, ezért előfordulhat, hogy módosítania kell az őket használó naplólekérdezéseket.

Tevékenységnapló JSON	Log Analytics-oszlop neve (régebbi elavult)	Új Log Analytics-oszlop neve	Jegyzetek
kategória	Kategória	KategóriaÉrtéke
status Az értékek a siker, az indítás, az elfogadás, a hiba	ActivityStatus A JSON értékeivel megegyező értékek	ActivityStatusValue Az értékek sikeresek, elindítva, elfogadva, sikertelenek	Az érvényes értékek az ábrán látható módon változnak.
subStatus	ActivitySubstatus	ActivitySubstatusValue
operationName	OperationName	OperationNameValue	A REST API honosítja a műveletnév értékét. A Log Analytics felhasználói felülete mindig angolul jelenik meg.
resourceProviderName	ResourceProvider	ResourceProviderValue

Fontos

Bizonyos esetekben előfordulhat, hogy az oszlopok értékei nagybetűsek. Ha rendelkezik olyan lekérdezéssel, amely ezeket az oszlopokat tartalmazza, a =~ operátorral végezze el a kis- és nagybetűk érzéketlen összehasonlítását.

A frissített sémában a következő oszlopok lettek hozzáadva AzureActivity :

• Authorization_d
• Claims_d
• Properties_d

Következő lépések

További információk:

• Platformnaplók
• Tevékenységnapló eseménysémája
• Tevékenységnapló-elemzések