Azure Monitor-activiteitenlogboek

Het Activiteitenlogboek van Azure Monitor is een platformlogboek in Azure dat inzicht biedt in gebeurtenissen op abonnementsniveau. Het activiteitenlogboek bevat informatie zoals wanneer een resource wordt gewijzigd of een virtuele machine wordt gestart. U kunt het activiteitenlogboek weergeven in de Azure Portal of vermeldingen ophalen met PowerShell en de Azure CLI. Dit artikel bevat informatie over het weergeven van het activiteitenlogboek en het verzenden naar verschillende bestemmingen.

Voor meer functionaliteit maakt u om de volgende redenen een diagnostische instelling om het activiteitenlogboek naar een of meer van deze locaties te verzenden:

  • Verzenden naar Azure Monitor-logboeken voor complexere query's en waarschuwingen en voor langere retentie, tot twee jaar.
  • Verzenden naar Azure Event Hubs om door te sturen buiten Azure.
  • Verzenden naar Azure Storage voor goedkopere archivering op lange termijn.

Zie Diagnostische instellingen maken om platformlogboeken en metrische gegevens naar verschillende bestemmingen te verzenden voor meer informatie over het maken van een diagnostische instelling.

Notitie

Vermeldingen in het activiteitenlogboek worden door het systeem gegenereerd en kunnen niet worden gewijzigd of verwijderd.

Bewaarperiode

Gebeurtenissen in activiteitenlogboeken worden negentig dagen bewaard in Azure en vervolgens verwijderd. Er worden gedurende deze tijd geen kosten in rekening gebracht voor vermeldingen, ongeacht het volume. Voor meer functionaliteit, zoals langere retentie, maakt u een diagnostische instelling en routeert u de vermeldingen naar een andere locatie op basis van uw behoeften. Zie de criteria in de vorige sectie.

Het activiteitenlogboek weergeven

U kunt het activiteitenlogboek openen vanuit de meeste menu's in de Azure Portal. Het menu waarmee u het opent, bepaalt het aanvankelijke filter. Als u het opent vanuit het menu Monitor , bevindt het enige filter zich in het abonnement. Als u het opent vanuit het menu van een resource, wordt het filter ingesteld op die resource. U kunt het filter altijd wijzigen om alle andere vermeldingen weer te geven. Selecteer Filter toevoegen om meer eigenschappen toe te voegen aan het filter.

Schermopname van het activiteitenlogboek.

Zie het gebeurtenisschema van azure-activiteitenlogboeken voor een beschrijving van categorieën van activiteitenlogboeken.

Het activiteitenlogboek downloaden

Selecteer Downloaden als CSV om de gebeurtenissen in de huidige weergave te downloaden.

Schermopname van het downloaden van het activiteitenlogboek.

Wijzigingsgeschiedenis weergeven

Voor sommige gebeurtenissen kunt u de wijzigingsgeschiedenis bekijken, waarin wordt weergegeven welke wijzigingen er zijn aangebracht tijdens die gebeurtenis. Selecteer een gebeurtenis in het activiteitenlogboek dat u dieper wilt bekijken. Selecteer het tabblad Wijzigingsgeschiedenis (preview) om alle bijbehorende wijzigingen voor die gebeurtenis weer te geven.

Schermopname van de lijst Wijzigingsgeschiedenis voor een gebeurtenis.

Als er wijzigingen aan de gebeurtenis zijn gekoppeld, ziet u een lijst met wijzigingen die u kunt selecteren. Als u een wijziging selecteert, wordt de pagina Wijzigingsgeschiedenis (preview) geopend. Op deze pagina worden de wijzigingen in de resource weergegeven. In het volgende voorbeeld ziet u dat de VM de grootten heeft gewijzigd. Op de pagina wordt de VM-grootte vóór de wijziging en na de wijziging weergegeven. Zie Resourcewijzigingen ophalen voor meer informatie over wijzigingsgeschiedenis.

Schermopname van de pagina Wijzigingsgeschiedenis met verschillen.

Andere methoden voor het ophalen van gebeurtenissen in activiteitenlogboeken

U kunt ook toegang krijgen tot gebeurtenissen in activiteitenlogboeken met behulp van de volgende methoden:

Verzenden naar Log Analytics-werkruimte

Verzend het activiteitenlogboek naar een Log Analytics-werkruimte om de functie Azure Monitor-logboeken in te schakelen, waar u:

  • Correleren van activiteitenlogboekgegevens met andere bewakingsgegevens die worden verzameld door Azure Monitor.
  • Voeg logboekvermeldingen van meerdere Azure-abonnementen en -tenants samen samen tot één locatie voor analyse.
  • Gebruik logboekquery's om complexe analyses uit te voeren en uitgebreide inzichten te krijgen in vermeldingen in activiteitenlogboeken.
  • Gebruik logboekwaarschuwingen met activiteitvermeldingen voor complexere waarschuwingslogica.
  • Sla vermeldingen in het activiteitenlogboek langer op dan de bewaarperiode van het activiteitenlogboek.
  • Er worden geen gegevensopname- of bewaarkosten in rekening gebracht voor activiteitenlogboekgegevens die zijn opgeslagen in een Log Analytics-werkruimte.
  • De standaardretentieperiode in Log Analytics is 90 dagen

Selecteer Activiteitenlogboeken exporteren om het activiteitenlogboek naar een Log Analytics-werkruimte te verzenden.

Schermopname van het exporteren van activiteitenlogboeken.

U kunt het activiteitenlogboek van elk abonnement naar maximaal vijf werkruimten verzenden.

Activiteitenlogboekgegevens in een Log Analytics-werkruimte worden opgeslagen in een tabel met de naam AzureActivity die u kunt ophalen met een logboekquery in Log Analytics. De structuur van deze tabel varieert afhankelijk van de categorie van de logboekvermelding. Zie de Azure Monitor-gegevensreferentie voor een beschrijving van de tabeleigenschappen.

Als u bijvoorbeeld het aantal records voor activiteitenlogboeken voor elke categorie wilt weergeven, gebruikt u de volgende query:

AzureActivity
| summarize count() by CategoryValue

Gebruik de volgende query om alle records in de beheercategorie op te halen:

AzureActivity
| where CategoryValue == "Administrative"

Verzenden naar Azure Event Hubs

Verzend het activiteitenlogboek naar Azure Event Hubs om vermeldingen buiten Azure te verzenden, bijvoorbeeld naar een SIEM van derden of andere log analytics-oplossingen. Gebeurtenissen in het activiteitenlogboek van Event Hubs worden gebruikt in JSON-indeling met een records element dat de records in elke nettolading bevat. Het schema is afhankelijk van de categorie en wordt beschreven in het gebeurtenisschema van het Azure-activiteitenlogboek.

De volgende voorbeelduitvoergegevens zijn afkomstig van Event Hubs voor een activiteitenlogboek:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Verzenden naar Azure Storage

Verzend het activiteitenlogboek naar een Azure Storage-account als u uw logboekgegevens langer dan 90 dagen wilt bewaren voor controle, statische analyse of back-up. Als u uw gebeurtenissen gedurende 90 dagen of minder moet bewaren, hoeft u geen archivering in te stellen voor een opslagaccount. Gebeurtenissen in activiteitenlogboeken worden gedurende 90 dagen bewaard in het Azure-platform.

Wanneer u het activiteitenlogboek naar Azure verzendt, wordt er een opslagcontainer gemaakt in het opslagaccount zodra er een gebeurtenis plaatsvindt. De blobs in de container gebruiken de volgende naamconventie:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Een bepaalde blob kan bijvoorbeeld een naam hebben die vergelijkbaar is met:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Elke PT1H.json-blob bevat een JSON-blob met gebeurtenissen die zijn opgetreden binnen het uur dat is opgegeven in de blob-URL, bijvoorbeeld h=12. Tijdens het huidige uur worden gebeurtenissen toegevoegd aan het bestand PT1H.json wanneer deze zich voordoen. De minuutwaarde (m=00) is altijd 00 omdat resourcelogboekgebeurtenissen per uur worden onderverdeeld in afzonderlijke blobs.

Elke gebeurtenis wordt opgeslagen in het BESTAND PT1H.json met de volgende indeling. Deze indeling maakt gebruik van een algemeen schema op het hoogste niveau, maar is anders uniek voor elke categorie, zoals beschreven in het schema van het activiteitenlogboek.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Verouderde verzamelingsmethoden

Als u activiteitenlogboeken verzamelt met behulp van de verouderde verzamelingsmethode, raden we u aan activiteitenlogboeken te exporteren naar uw Log Analytics-werkruimte en de verouderde verzameling uit te schakelen met behulp van de gegevensbronnen - API als volgt verwijderen :

  1. Geef alle gegevensbronnen weer die zijn verbonden met de werkruimte met behulp van de gegevensbronnen - List By Workspace-API en filter op activiteitenlogboeken door de instelling in te stellen filter=kind='AzureActivityLog'.

    Schermopname van de configuratie van de gegevensbronnen - List By Workspace-API.

  2. Kopieer de naam van de verbinding die u wilt uitschakelen vanuit het API-antwoord.

    Schermopname van de verbindingsgegevens die u moet kopiëren uit de uitvoer van de Gegevensbronnen - List By Workspace-API.

  3. Gebruik de gegevensbronnen - VERWIJDER API om het verzamelen van activiteitenlogboeken voor de specifieke resource te stoppen.

    Schermopname van de configuratie van de gegevensbronnen - API verwijderen.

Verouderde logboekprofielen beheren

Logboekprofielen zijn de verouderde methode voor het verzenden van het activiteitenlogboek naar opslag of Event Hubs. Als u deze methode gebruikt, kunt u overwegen om over te stappen op diagnostische instellingen, die betere functionaliteit en consistentie bieden met resourcelogboeken.

Als er al een logboekprofiel bestaat, moet u eerst het bestaande logboekprofiel verwijderen en vervolgens een nieuw logboekprofiel maken.

  1. Gebruik Get-AzLogProfile dit om te bepalen of er een logboekprofiel bestaat. Als er een logboekprofiel bestaat, noteert u de Name eigenschap.

  2. Gebruik Remove-AzLogProfile dit om het logboekprofiel te verwijderen met behulp van de waarde uit de Name eigenschap.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Hiermee Add-AzLogProfile maakt u een nieuw logboekprofiel:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    Eigenschap Vereist Beschrijving
    Name Yes Naam van uw logboekprofiel.
    StorageAccountId No Resource-id van het opslagaccount waarin het activiteitenlogboek moet worden opgeslagen.
    serviceBusRuleId No Service Bus-regel-id voor de Service Bus-naamruimte waar u Event Hubs wilt maken. Deze tekenreeks heeft de indeling {service bus resource ID}/authorizationrules/{key name}.
    Locatie Ja Door komma's gescheiden lijst met regio's waarvoor u activiteitenlogboekgebeurtenissen wilt verzamelen.
    RetentionInDays Yes Het aantal dagen waarvoor gebeurtenissen moeten worden bewaard in het opslagaccount, van 1 tot en met 365. Met een waarde van nul worden de logboeken voor onbepaalde tijd opgeslagen.
    Categorie No Door komma's gescheiden lijst met gebeurteniscategorieën die moeten worden verzameld. Mogelijke waarden zijn Schrijven, Verwijderen en Actie.

Voorbeeldscript

Met dit PowerShell-voorbeeldscript wordt een logboekprofiel gemaakt waarmee het activiteitenlogboek naar zowel een opslagaccount als een Event Hub wordt geschreven.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Wijzigingen in gegevensstructuur

De ervaring Activiteitenlogboeken exporteren verzendt dezelfde gegevens als de verouderde methode die wordt gebruikt om het activiteitenlogboek te verzenden met enkele wijzigingen in de structuur van de AzureActivity tabel.

De kolommen in de volgende tabel zijn afgeschaft in het bijgewerkte schema. Ze bestaan nog steeds in AzureActivity, maar ze hebben geen gegevens. De vervangingen voor deze kolommen zijn niet nieuw, maar bevatten dezelfde gegevens als de afgeschafte kolom. Ze hebben een andere indeling, dus mogelijk moet u logboekquery's wijzigen die deze gebruiken.

JSON voor activiteitenlogboek Naam van Log Analytics-kolom
(ouder afgeschaft)
Naam van nieuwe Log Analytics-kolom Notities
category Categorie CategoryValue
status

Waarden zijn geslaagd, starten, accepteren, mislukken
ActivityStatus

Dezelfde waarden als JSON
ActivityStatusValue

Waarden zijn gewijzigd in geslaagd, gestart, geaccepteerd, mislukt
De geldige waarden worden gewijzigd zoals wordt weergegeven.
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue MET REST API wordt de waarde van de bewerkingsnaam gelokaliseerd. Log Analytics-gebruikersinterface toont altijd Engels.
resourceProviderName ResourceProvider ResourceProviderValue

Belangrijk

In sommige gevallen zijn de waarden in deze kolommen mogelijk allemaal hoofdletters. Als u een query hebt die deze kolommen bevat, gebruikt u de operator =~ om een hoofdlettergevoelige vergelijking uit te voeren.

De volgende kolommen zijn toegevoegd aan AzureActivity het bijgewerkte schema:

  • Authorization_d
  • Claims_d
  • Properties_d

Inzichten in activiteitenlogboeken

Met inzichten in activiteitenlogboeken kunt u informatie weergeven over wijzigingen in resources en resourcegroepen in een abonnement. De dashboards bevatten ook gegevens over welke gebruikers of services activiteiten hebben uitgevoerd in het abonnement en de status van de activiteiten. In dit artikel wordt uitgelegd hoe u inzichten in activiteitenlogboeken kunt bekijken in de Azure Portal.

Voordat u inzichten in activiteitenlogboeken gebruikt, moet u het verzenden van logboeken naar uw Log Analytics-werkruimte inschakelen.

Hoe werken inzichten in activiteitenlogboeken?

Activiteitenlogboeken die u naar een Log Analytics-werkruimte verzendt, worden opgeslagen in een tabel met de naam AzureActivity.

Inzichten in activiteitenlogboeken zijn een gecureerde Log Analytics-werkmap met dashboards die de gegevens in de AzureActivity tabel visualiseren. Gegevens kunnen bijvoorbeeld omvatten welke beheerders resources hebben verwijderd, bijgewerkt of gemaakt en of de activiteiten zijn mislukt of geslaagd.

Schermopname van inzichtendashboards voor activiteitenlogboeken.

Inzichten in activiteitenlogboeken weergeven: resourcegroep of abonnementsniveau

Inzichten in activiteitenlogboeken weergeven op resourcegroep of abonnementsniveau:

  1. SelecteerWerkmappencontroleren> in de Azure Portal.

  2. Selecteer In de sectie Insightsde optie Insights voor activiteitenlogboeken.

    Schermopname die laat zien hoe u de werkmap Activity Logs Insights op schaalniveau kunt vinden en openen.

  3. Selecteer bovenaan de pagina Insights voor activiteitenlogboeken de volgende opties:

    1. Een of meer abonnementen in de vervolgkeuzelijst Abonnementen .
    2. Resources en resourcegroepen uit de vervolgkeuzelijst CurrentResource .
    3. Een tijdsbereik waarvoor gegevens uit de vervolgkeuzelijst TimeRange moeten worden weergegeven.

Inzichten in activiteitenlogboeken weergeven in een Azure-resource

Notitie

Op dit moment worden Application Insights-resources niet ondersteund voor deze werkmap.

Inzichten in activiteitenlogboeken weergeven op resourceniveau:

  1. Ga in de Azure Portal naar uw resource en selecteer Werkmappen.

  2. Selecteer Inzichten in activiteitenlogboeken in de sectie Activiteitslogboeken.

    Schermopname die laat zien hoe u de werkmap Activity Logs Insights op resourceniveau kunt vinden en openen.

  3. Selecteer boven aan de pagina Insights voor activiteitenlogboeken een tijdsbereik waarvoor u gegevens wilt weergeven in de vervolgkeuzelijst TimeRange :

    • Vermeldingen in het Azure-activiteitenlogboek toont het aantal activiteitenlogboekrecords in elke categorie van het activiteitenlogboek.

      Schermopname van Azure-activiteitenlogboeken op categoriewaarde.

    • Activiteitenlogboeken per status toont het aantal activiteitenlogboekrecords in elke status.

      Schermopname van Azure-activiteitenlogboeken op status.

    • Op abonnements- en resourcegroepniveau tonen activiteitenlogboeken op resource - en activiteitenlogboeken per resourceprovider het aantal activiteitenlogboekrecords voor elke resource en resourceprovider.

      Schermopname van Azure-activiteitenlogboeken per resource.

Volgende stappen