Azure Monitor-activiteitenlogboekgegevens verzenden
Het Azure Monitor-activiteitenlogboek is een platformlogboek dat inzicht biedt in gebeurtenissen op abonnementsniveau. Het activiteitenlogboek bevat informatie zoals wanneer een resource wordt gewijzigd of een virtuele machine wordt gestart. U kunt het activiteitenlogboek bekijken in Azure Portal of vermeldingen ophalen met PowerShell en de Azure CLI. Dit artikel bevat informatie over het weergeven van het activiteitenlogboek en het verzenden naar verschillende bestemmingen.
Maak een diagnostische instelling om het activiteitenlogboek naar een of meer van deze locaties te verzenden:
- Log Analytics-werkruimte voor complexere query's en waarschuwingen
- Azure Event Hubs voor het doorsturen van logboeken buiten Azure.
- Azure Storage voor goedkopere, langetermijnarchivering.
Zie Diagnostische instellingen maken om platformlogboeken en metrische gegevens naar verschillende bestemmingen te verzenden voor meer informatie over het maken van een diagnostische instelling.
Tip
Activiteitenlogboeken verzenden naar een Log Analytics-werkruimte voor de volgende voordelen:
- Het verzenden van logboeken naar een Log Analytics-werkruimte is gratis voor de standaardretentieperiode.
- Logboeken verzenden naar een Log Analytics-werkruimte voor langere retentie van maximaal 12 jaar.
- Logboeken die naar een Log Analytics-werkruimte worden geëxporteerd, kunnen worden weergegeven in Power BI
- Inzichten worden verstrekt voor activiteitenlogboeken die worden geëxporteerd naar Log Analytics.
Notitie
- Vermeldingen in het activiteitenlogboek worden gegenereerd en kunnen niet worden gewijzigd of verwijderd.
- Vermeldingen in het activiteitenlogboek vertegenwoordigen wijzigingen in het besturingsvlak, zoals het opnieuw opstarten van een virtuele machine, eventuele niet-gerelateerde vermeldingen moeten worden weggeschreven naar Azure Resource Logs
- Vermeldingen in het activiteitenlogboek zijn meestal het gevolg van wijzigingen (bewerkingen voor maken, bijwerken of verwijderen) of een actie die is gestart. Bewerkingen die zijn gericht op het lezen van details van een resource, worden doorgaans niet vastgelegd.
Verzenden naar Log Analytics-werkruimte
Verzend het activiteitenlogboek naar een Log Analytics-werkruimte om de functie Azure Monitor-logboeken in te schakelen, waarbij u:
- Correleert activiteitenlogboekgegevens met andere bewakingsgegevens die worden verzameld door Azure Monitor.
- Voeg logboekvermeldingen van meerdere Azure-abonnementen en -tenants samen tot één locatie voor analyse.
- Gebruik logboekquery's om complexe analyses uit te voeren en uitgebreide inzichten te krijgen in vermeldingen in activiteitenlogboeken.
- Gebruik waarschuwingen voor zoeken in logboeken met activiteitengegevens voor complexere waarschuwingslogica.
- Bewaar vermeldingen in het activiteitenlogboek langer dan de bewaarperiode van het activiteitenlogboek.
- Er worden geen gegevensopname- of bewaarkosten in rekening gebracht voor activiteitenlogboekgegevens die zijn opgeslagen in een Log Analytics-werkruimte.
- De standaardretentieperiode in Log Analytics is 90 dagen
Selecteer Activiteitenlogboeken exporteren om het activiteitenlogboek naar een Log Analytics-werkruimte te verzenden.
U kunt het activiteitenlogboek van elk abonnement verzenden naar maximaal vijf werkruimten.
Activiteitenlogboekgegevens in een Log Analytics-werkruimte worden opgeslagen in een tabel met de naam AzureActivity
die u kunt ophalen met een logboekquery in Log Analytics. De structuur van deze tabel is afhankelijk van de categorie van de logboekvermelding. Zie de azure Monitor-gegevensreferentie voor een beschrijving van de tabeleigenschappen.
Als u bijvoorbeeld het aantal records voor activiteitenlogboeken voor elke categorie wilt weergeven, gebruikt u de volgende query:
AzureActivity
| summarize count() by CategoryValue
Als u alle records in de beheercategorie wilt ophalen, gebruikt u de volgende query:
AzureActivity
| where CategoryValue == "Administrative"
Belangrijk
In sommige scenario's is het mogelijk dat waarden in velden van AzureActivity verschillende hoofdletters hebben dan equivalente waarden. Zorg ervoor dat u query's uitvoert op gegevens in AzureActivity om hoofdlettergevoelige operatoren te gebruiken voor tekenreeksvergelijkingen, of gebruik een scalaire functie om een veld af te dwingen voor een uniforme behuizing vóór vergelijkingen. Gebruik bijvoorbeeld de functie tolower() in een veld om af te dwingen dat deze altijd kleine letters of de operator =~ is bij het uitvoeren van een tekenreeksvergelijking.
Verzenden naar Azure Event Hubs
Verzend het activiteitenlogboek naar Azure Event Hubs om vermeldingen buiten Azure te verzenden, bijvoorbeeld naar een SIEM van derden of andere log analytics-oplossingen. Gebeurtenissen in het activiteitenlogboek van Event Hubs worden gebruikt in JSON-indeling met een records
element dat de records in elke nettolading bevat. Het schema is afhankelijk van de categorie en wordt beschreven in het gebeurtenisschema van het Azure-activiteitenlogboek.
De volgende voorbeelduitvoergegevens zijn afkomstig van Event Hubs voor een activiteitenlogboek:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
"identity": {
"authorization": {
"scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
"action": "microsoft.support/supporttickets/write",
"evidence": {
"role": "Subscription Admin"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}
Verzenden naar Azure Storage
Verzend het activiteitenlogboek naar een Azure Storage-account als u uw logboekgegevens langer dan 90 dagen wilt bewaren voor controle, statische analyse of back-up. Als u uw gebeurtenissen 90 dagen of minder moet bewaren, hoeft u archivering niet in te stellen voor een opslagaccount. Gebeurtenissen in het activiteitenlogboek worden gedurende 90 dagen bewaard in het Azure-platform.
Wanneer u het activiteitenlogboek naar Azure verzendt, wordt er een opslagcontainer gemaakt in het opslagaccount zodra er een gebeurtenis plaatsvindt. De blobs in de container gebruiken de volgende naamconventie:
insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json
Een bepaalde blob kan bijvoorbeeld een naam hebben die vergelijkbaar is met:
insights-activity-logs/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json
Elke PT1H.json blob bevat een JSON-object met gebeurtenissen uit logboekbestanden die zijn ontvangen tijdens het uur dat is opgegeven in de blob-URL. Tijdens het huidige uur worden gebeurtenissen toegevoegd aan het PT1H.json-bestand wanneer ze worden ontvangen, ongeacht wanneer ze zijn gegenereerd. De minuutwaarde in de URL m=00
is altijd 00
als blobs per uur worden gemaakt.
Elke gebeurtenis wordt opgeslagen in het PT1H.json-bestand met de volgende indeling. Deze indeling maakt gebruik van een algemeen schema op het hoogste niveau, maar is anders uniek voor elke categorie, zoals beschreven in het schema van het activiteitenlogboek.
{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}
Andere methoden voor het ophalen van gebeurtenissen in activiteitenlogboeken
U kunt ook toegang krijgen tot gebeurtenissen in activiteitenlogboeken met behulp van de volgende methoden:
- Gebruik de cmdlet Get-AzLog om het activiteitenlogboek op te halen uit PowerShell. Zie Azure Monitor PowerShell-voorbeelden.
- Gebruik az monitor activity-log om het activiteitenlogboek op te halen uit de CLI. Zie CLI-voorbeelden van Azure Monitor.
- Gebruik de Azure Monitor REST API om het activiteitenlogboek op te halen van een REST-client.
Verouderde verzamelingsmethoden
Notitie
- De oplossing voor Azure-activiteitenlogboeken is gebruikt om activiteitenlogboeken door te sturen naar Azure Log Analytics. Deze oplossing wordt op 15 september 2026 buiten gebruik gesteld en wordt automatisch geconverteerd naar diagnostische instellingen.
Als u activiteitenlogboeken verzamelt met behulp van de verouderde verzamelingsmethode, raden we u aan om activiteitenlogboeken naar uw Log Analytics-werkruimte te exporteren en de verouderde verzameling uit te schakelen met behulp van de gegevensbronnen - API verwijderen als volgt:
Geef alle gegevensbronnen weer die zijn verbonden met de werkruimte met behulp van de gegevensbronnen - List By Workspace API en filter op activiteitenlogboeken door de instelling in te stellen
kind eq 'AzureActivityLog'
.Kopieer de naam van de verbinding die u wilt uitschakelen vanuit het API-antwoord.
Gebruik de gegevensbronnen - VERWIJDER API om het verzamelen van activiteitenlogboeken voor de specifieke resource te stoppen.
Verouderde logboekprofielen beheren - buiten gebruik stellen
Notitie
- Logboekprofielen zijn gebruikt om activiteitenlogboeken door te sturen naar opslagaccounts en Event Hubs. Deze methode wordt op 15 september 2026 buiten gebruik gesteld.
- Als u deze methode gebruikt, gaat u vóór 15 september 2025 over naar diagnostische instellingen, wanneer er geen nieuwe logboekprofielen meer worden gemaakt.
Logboekprofielen zijn de verouderde methode voor het verzenden van het activiteitenlogboek naar opslag of Event Hubs. Als u deze methode gebruikt, gaat u over naar diagnostische instellingen, die betere functionaliteit en consistentie bieden met resourcelogboeken.
Als er al een logboekprofiel bestaat, moet u eerst het bestaande logboekprofiel verwijderen en vervolgens een nieuw logboekprofiel maken.
Gebruik
Get-AzLogProfile
dit om te bepalen of er een logboekprofiel bestaat. Als er een logboekprofiel bestaat, noteert u deName
eigenschap.Gebruik
Remove-AzLogProfile
dit om het logboekprofiel te verwijderen met behulp van de waarde uit deName
eigenschap.# For example, if the log profile name is 'default' Remove-AzLogProfile -Name "default"
Gebruik
Add-AzLogProfile
dit om een nieuw logboekprofiel te maken:Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
Eigenschappen Vereist Description Meting Ja Naam van uw logboekprofiel. StorageAccountId Nee Resource-id van het opslagaccount waarin het activiteitenlogboek moet worden opgeslagen. serviceBusRuleId Nee Service Bus-regel-id voor de Service Bus-naamruimte waar u Event Hubs wilt maken. Deze tekenreeks heeft de indeling {service bus resource ID}/authorizationrules/{key name}
.Locatie Ja Door komma's gescheiden lijst met regio's waarvoor u activiteitenlogboekgebeurtenissen wilt verzamelen. RetentionInDays Ja Aantal dagen waarvoor gebeurtenissen moeten worden bewaard in het opslagaccount, van 1 tot en met 365. Met een waarde van nul worden de logboeken voor onbepaalde tijd opgeslagen. Categorie Nee Door komma's gescheiden lijst met gebeurteniscategorieën die moeten worden verzameld. Mogelijke waarden zijn Schrijven, Verwijderen en Actie.
Voorbeeldscript
Met dit PowerShell-voorbeeldscript maakt u een logboekprofiel waarmee het activiteitenlogboek naar zowel een opslagaccount als een Event Hub wordt geschreven.
# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"
# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"
# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"
Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId $storageAccountId -ServiceBusRuleId $serviceBusRuleId
Wijzigingen in de gegevensstructuur
De ervaring activiteitenlogboeken exporteren verzendt dezelfde gegevens als de verouderde methode die wordt gebruikt om het activiteitenlogboek te verzenden met enkele wijzigingen in de structuur van de AzureActivity
tabel.
De kolommen in de volgende tabel zijn afgeschaft in het bijgewerkte schema. Ze bestaan nog steeds in AzureActivity
, maar ze hebben geen gegevens. De vervangingen voor deze kolommen zijn niet nieuw, maar bevatten dezelfde gegevens als de afgeschafte kolom. Ze hebben een andere indeling, dus mogelijk moet u logboekquery's wijzigen die ze gebruiken.
JSON voor activiteitenlogboek | Log Analytics-kolomnaam (ouder afgeschaft) |
Nieuwe Log Analytics-kolomnaam | Opmerkingen |
---|---|---|---|
category | Categorie | CategoryValue | |
status Waarden zijn geslaagd, starten, accepteren, mislukken |
ActivityStatus Waarden hetzelfde als JSON |
ActivityStatusValue De waarden zijn gewijzigd in geslaagd, gestart, geaccepteerd, mislukt |
De geldige waarden worden gewijzigd zoals wordt weergegeven. |
subStatus | ActivitySubstatus | ActivitySubstatusValue | |
operationName | OperationName | OperationNameValue | REST API lokaliseert de waarde van de bewerkingsnaam. In de Log Analytics-gebruikersinterface wordt altijd Engels weergegeven. |
resourceProviderName | ResourceProvider | ResourceProviderValue |
Belangrijk
In sommige gevallen zijn de waarden in deze kolommen mogelijk hoofdletters. Als u een query hebt die deze kolommen bevat, gebruikt u de operator =~ om een niet-hoofdlettergevoelige vergelijking uit te voeren.
De volgende kolommen zijn toegevoegd aan AzureActivity
het bijgewerkte schema:
- Authorization_d
- Claims_d
- Properties_d
Volgende stappen
Meer informatie over: