Log aktivitas di Azure Monitor

Log aktivitas Azure Monitor adalah log platform untuk peristiwa lapisan kontrol dari sumber daya Azure. Ini termasuk informasi seperti ketika sumber daya dimodifikasi atau ketika kesalahan penyebaran terjadi. Gunakan log aktivitas untuk meninjau atau mengaudit informasi ini untuk sumber daya yang Anda pantau, atau buat pemberitahuan untuk diberi tahu secara proaktif saat peristiwa dibuat.

Petunjuk / Saran

Jika Anda diarahkan ke artikel ini dari kesalahan pada operasi penyebaran, lihat Mengatasi kesalahan umum dalam penyebaran Azure.

Catatan log aktivitas

Entri dalam log aktivitas dikumpulkan secara default tanpa konfigurasi yang diperlukan. Dihasilkan oleh sistem dan tidak dapat diubah atau dihapus. Entri biasanya merupakan hasil dari perubahan (buat, perbarui, hapus operasi) atau tindakan yang telah dimulai. Operasi yang berfokus pada membaca detail sumber daya biasanya tidak dicatat. Untuk deskripsi kategori log aktivitas, lihat Skema peristiwa log aktivitas Azure.

Nota

Operasi di atas sarana kontrol dicatat di Azure Resource Logs. Ini tidak dikumpulkan secara default dan memerlukan pengaturan diagnostik untuk dikumpulkan.

Jangka waktu retensi

Peristiwa log aktivitas disimpan di Azure selama 90 hari lalu dihapus. Selama waktu ini, tidak ada biaya untuk entri terlepas dari jumlah. Untuk fungsionalitas lainnya, seperti retensi yang lebih lama, buat pengaturan diagnostik dan rutekan entri ke lokasi lain berdasarkan kebutuhan Anda.

Tinjau dan ambil log aktivitas

Anda dapat mengakses log aktivitas dari sebagian besar menu di portal Microsoft Azure. Menu tempat Anda membukanya menentukan filter awalnya. Jika Anda membukanya dari menu Monitor , satu-satunya filter ada di langganan. Jika Anda membukanya dari menu sumber daya, filter diatur ke sumber daya tersebut. Anda selalu bisa mengubah filter untuk melihat semua entri lainnya. Pilih Tambahkan Filter untuk menambahkan properti tambahan ke filter tersebut.

Anda juga dapat mengakses kejadian log aktivitas dengan menggunakan metode berikut:

Gunakan cmdlet Get-AzLog untuk mengambil log aktivitas dari PowerShell. Lihat Sampel Azure Monitor PowerShell.
Gunakan az monitor activity-log untuk mengambil log aktivitas dari CLI. Lihat Sampel CLI Azure Monitor .

Gunakan Azure Monitor REST API untuk mengambil log aktivitas dari klien REST.

Melihat riwayat perubahan

Untuk beberapa kejadian, Anda dapat melihat riwayat perubahan, yang menampilkan perubahan yang terjadi selama waktu kejadian tersebut. Pilih peristiwa dari log aktivitas yang ingin Anda lihat lebih dalam. Pilih tab Ubah riwayat untuk melihat perubahan apa pun pada sumber daya hingga 30 menit sebelum dan sesudah waktu operasi.

Jika ada perubahan yang terkait dengan peristiwa, Anda akan melihat daftar perubahan yang dapat dipilih. Memilih perubahan akan membuka halaman Ubah riwayat . Halaman ini menampilkan perubahan pada sumber daya. Dalam contoh berikut, Anda dapat melihat bahwa VM mengubah ukuran. Halaman menampilkan ukuran VM sebelum perubahan dan setelah perubahan. Untuk mempelajari selengkapnya tentang riwayat perubahan, lihat Mendapatkan perubahan sumber daya.

Wawasan catatan aktivitas

Analisis log aktivitas adalah buku kerja yang menyediakan dasbor untuk memantau perubahan pada sumber daya dan grup sumber daya dalam langganan. Dasbor juga menyajikan data tentang pengguna atau layanan mana yang melakukan aktivitas dalam langganan dan status aktivitas.

Untuk mengaktifkan wawasan log aktivitas, ekspor log aktivitas ke Log Analytics workspace seperti yang dijelaskan dalam Ekspor log aktivitas. Ini mengirimkan peristiwa ke tabel AzureActivity yang digunakan oleh wawasan aktivitas log.

Anda dapat membuka wawasan log aktivitas di tingkat langganan atau sumber daya. Untuk langganan, pilih Wawasan Log Aktivitas dari bagian Buku Kerja di menu Monitor.

Untuk sumber daya individual, pilih Activity Logs Insights dari bagian Buku Kerja dari menu sumber daya.

Mengekspor log aktivitas

Buat pengaturan diagnostik untuk mengirim entri log aktivitas ke tujuan lain untuk waktu retensi dan fungsionalitas tambahan.

Di portal Microsoft Azure, pilih Log aktivitas pada menu Azure Monitor lalu pilih Ekspor Log Aktivitas. Lihat Pengaturan diagnostik di Azure Monitor untuk detail lain dan metode lain untuk membuat pengaturan diagnostik. Pastikan Anda menonaktifkan konfigurasi warisan apa pun untuk log aktivitas.

Informasi di bawah ini memberikan detail lebih lanjut tentang berbagai tujuan tempat log sumber daya dapat dikirim.

Nota

Metode warisan untuk mengekspor log aktivitas adalah profil log. Lihat Metode pengumpulan warisan.

Kirim log aktivitas ke ruang kerja Analitik Log untuk fungsionalitas berikut:

Menghubungkan log aktivitas dengan data log lain menggunakan kueri log.
Buat pemberitahuan log yang dapat menggunakan logika yang lebih kompleks daripada pemberitahuan log aktivitas.
Mengakses data log aktivitas dengan Power BI.
Pertahankan data log aktivitas selama lebih dari 90 hari.

Tidak ada biaya penyerapan data untuk log aktivitas. Biaya retensi untuk log aktivitas hanya diterapkan pada periode yang diperpanjang melewati periode retensi default 90 hari. Anda dapat meningkatkan periode retensi hingga 12 tahun.

Data log aktivitas di ruang kerja Analitik Log disimpan dalam tabel yang disebut AzureActivity. Struktur tabel ini bervariasi tergantung pada kategori entri log.

Misalnya, untuk menampilkan hitungan rekaman log aktivitas untuk setiap kategori, gunakan kueri berikut:

AzureActivity
| summarize count() by CategoryValue

Untuk mengambil semua rekaman dalam kategori administratif, gunakan kueri berikut ini:

AzureActivity
| where CategoryValue == "Administrative"

Penting

Dalam beberapa skenario, ada kemungkinan bahwa nilai di bidang AzureActivity mungkin memiliki kasus yang berbeda dari nilai yang setara. Saat mengkueri data di AzureActivity, gunakan operator yang tidak peka huruf besar/kecil untuk perbandingan string, atau gunakan fungsi skalar untuk memaksa bidang ke casing seragam sebelum perbandingan apa pun. Misalnya, gunakan tolower() fungsi pada bidang untuk memaksanya selalu menjadi huruf kecil atau gunakan operator =~ saat melakukan perbandingan string.

Kirim log aktivitas ke Azure Event Hubs untuk mengirim entri di luar Azure, misalnya, ke SIEM pihak ketiga atau solusi analisis log lainnya. Peristiwa log aktivitas dari hub peristiwa dikonsumsi dalam format JSON dengan elemen records yang berisi catatan di setiap payload. Skema tergantung pada kategori dan dijelaskan dalam skema peristiwa log aktivitas Azure.

Contoh data output berikut berasal dari hub peristiwa untuk log aktivitas:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Kirim log aktivitas ke akun Azure Storage jika Anda ingin menyimpan data log Anda lebih dari 90 hari untuk audit, analisis statis, atau pencadangan. Jika Anda diharuskan menyimpan acara selama 90 hari atau kurang, Anda tidak perlu menyiapkan pengarsipan ke akun penyimpanan.

Saat Anda mengirim log aktivitas ke penyimpanan, kontainer penyimpanan dibuat di akun penyimpanan segera setelah peristiwa terjadi. Blob dalam kontainer menggunakan konvensi penamaan berikut:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Misalnya, blob tertentu mungkin memiliki nama yang mirip dengan:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Setiap PT1H.json blob berisi objek JSON dengan peristiwa dari file log yang diterima selama jam yang ditentukan dalam URL blob. Selama jam ini, peristiwa ditambahkan ke file PT1H.json seperti yang diterima, terlepas dari kapan peristiwa dibuat. Nilai menit dalam URL, m=00 selalu 00 karena blob dibuat setiap jam.

Setiap peristiwa disimpan dalam file PT1H.json dengan format sebagai berikut. Format ini menggunakan skema tingkat atas yang umum tetapi sebaliknya unik untuk setiap kategori, seperti yang dijelaskan dalam Skema log aktivitas.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Mengekspor log grup manajemen

Saat Anda membuat log pengaturan diagnostik untuk grup manajemen, itu akan mengekspor peristiwa apa pun untuk grup manajemen tersebut selain semua grup manajemen di bawahnya dalam hierarki. Jika beberapa grup manajemen dalam hierarki memiliki pengaturan diagnostik, Anda akan menerima peristiwa duplikat. Anda hanya memerlukan pengaturan diagnostik pada grup pengelolaan tingkat tertinggi untuk merekam semua peristiwa dalam hierarki.

Grup manajemen juga akan mengumpulkan banyak peristiwa yang sama dengan langganan apa pun di bawahnya. Jika grup langganan dan manajemen keduanya memiliki pengaturan diagnostik, Anda akan menerima peristiwa duplikat.

Misalnya, jika Anda memiliki MG1 yang berisi MG2 yang berisi Subscription1, pengaturan diagnostik pada MG1 akan menangkap semua event log aktivitas untuk MG1, MG2, dan banyak event yang dikumpulkan oleh pengaturan diagnostik pada Subscription1. Dalam hal ini, tidak ada pengaturan diagnostik yang diperlukan pada MG2 karena hanya akan mengumpulkan peristiwa duplikat.

Jika Anda memiliki peristiwa duplikat, Anda bisa menggabungkannya menggunakan kueri yang menggunakan hash semua bidang untuk mengidentifikasi rekaman unik. Contoh kueri Kusto berikut menunjukkan sampel untuk log yang dikumpulkan di ruang kerja Analitik Log:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Ekspor ke CSV

Pilih Unduh sebagai CSV untuk mengekspor log aktivitas ke file CSV menggunakan portal Microsoft Azure.

Penting

Ekspor mungkin memakan waktu yang berlebihan jika Anda memiliki sejumlah besar entri log. Untuk meningkatkan performa, kurangi rentang waktu ekspor. Di portal Microsoft Azure, ini diatur dengan pengaturan Timespan .

Anda juga dapat mengekspor log aktivitas ke file CSV menggunakan PowerShell atau Azure CLI seperti dalam contoh berikut.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Contoh skrip PowerShell berikut mengekspor log aktivitas ke file CSV dalam interval satu jam, masing-masing disimpan ke file terpisah.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Pembuatan sumber daya

Salah satu penggunaan umum log aktivitas adalah menentukan kapan sumber daya dibuat dan siapa yang membuatnya. Log aktivitas adalah satu-satunya lokasi di mana pembuat sumber daya dipertahankan. Karena log aktivitas disimpan selama 90 hari, Anda hanya dapat menemukan pembuat sumber daya jika dibuat dalam 90 hari terakhir.

Seperti yang dijelaskan di atas, ekspor log aktivitas ke ruangan kerja Log Analytics agar retensinya lebih lama. Dalam hal ini, Anda dapat menemukan pembuat sumber daya dengan mengkueri AzureActivity tabel, dan data dipertahankan selama Anda menentukan periode retensi untuk tabel ini.

Langkah selanjutnya

Pelajari selengkapnya tentang:

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2026-02-28