Activiteitenlogboek van Azure Monitor

Het Activiteitenlogboek van Azure Monitor is een platformlogboek in Azure dat inzicht biedt in gebeurtenissen op abonnementsniveau. Het activiteitenlogboek bevat informatie zoals wanneer een resource wordt gewijzigd of een virtuele machine wordt gestart. U kunt het activiteitenlogboek bekijken in de Azure Portal of vermeldingen ophalen met PowerShell en de Azure CLI. Dit artikel bevat informatie over het weergeven en verzenden van het activiteitenlogboek naar verschillende bestemmingen.

Voor meer functionaliteit maakt u om de volgende redenen een diagnostische instelling om het activiteitenlogboek naar een of meer van deze locaties te verzenden:

  • Verzend naar Azure Monitor-logboeken voor complexere query's en waarschuwingen en voor langere retentie, maximaal twee jaar.
  • Verzenden naar Azure Event Hubs doorsturen buiten Azure.
  • Verzenden naar Azure Storage voor goedkopere archivering op lange termijn.

Zie Diagnostische instellingen maken om platformlogboeken en metrische gegevens naar verschillende bestemmingen te verzenden voor meer informatie over het maken van een diagnostische instelling.

Notitie

  • Vermeldingen in het activiteitenlogboek worden door het systeem gegenereerd en kunnen niet worden gewijzigd of verwijderd.
  • Vermeldingen in het activiteitenlogboek vertegenwoordigen wijzigingen in het besturingsvlak, zoals het opnieuw opstarten van een virtuele machine. Alle niet-gerelateerde vermeldingen moeten worden geschreven in Azure-resourcelogboeken

Bewaarperiode

Gebeurtenissen in activiteitenlogboeken worden negentig dagen bewaard in Azure en vervolgens verwijderd. Er worden gedurende deze tijd geen kosten in rekening gebracht voor vermeldingen, ongeacht het volume. Voor meer functionaliteit, zoals langere retentie, maakt u een diagnostische instelling en routeert u de vermeldingen naar een andere locatie op basis van uw behoeften. Zie de criteria in de vorige sectie.

Het activiteitenlogboek weergeven

U kunt het activiteitenlogboek openen vanuit deze meeste menu's in de Azure-portal. Het menu waarmee u het opent, bepaalt het aanvankelijke filter. Als u het opent vanuit het menu Monitor , is het enige filter voor het abonnement. Als u het opent vanuit het menu van een resource, wordt het filter ingesteld op die resource. U kunt het filter altijd wijzigen om alle andere vermeldingen weer te geven. Selecteer Filter toevoegen om meer eigenschappen aan het filter toe te voegen.

Schermopname van het activiteitenlogboek.

Zie Gebeurtenisschema van Azure-activiteitenlogboek voor een beschrijving van categorieën van activiteitenlogboeken.

Het activiteitenlogboek downloaden

Selecteer Downloaden als CSV om de gebeurtenissen in de huidige weergave te downloaden.

Schermopname van het downloaden van het activiteitenlogboek.

Wijzigingsgeschiedenis weergeven

Voor sommige gebeurtenissen kunt u de wijzigingsgeschiedenis bekijken, waarin wordt weergegeven welke wijzigingen er zijn aangebracht tijdens die gebeurtenis. Selecteer een gebeurtenis in het activiteitenlogboek dat u dieper wilt bekijken. Selecteer het tabblad Wijzigingsgeschiedenis (preview) om alle bijbehorende wijzigingen voor die gebeurtenis weer te geven.

Schermopname van de lijst Wijzigingsgeschiedenis voor een gebeurtenis.

Als er wijzigingen aan de gebeurtenis zijn gekoppeld, ziet u een lijst met wijzigingen die u kunt selecteren. Als u een wijziging selecteert, wordt de pagina Wijzigingsgeschiedenis (preview) geopend. Op deze pagina worden de wijzigingen in de resource weergegeven. In het volgende voorbeeld ziet u dat de VM is gewijzigd. Op de pagina wordt de VM-grootte vóór de wijziging en na de wijziging weergegeven. Zie Resourcewijzigingen ophalen voor meer informatie over het wijzigingsoverzicht.

Schermopname van de pagina Wijzigingsgeschiedenis met verschillen.

Andere methoden voor het ophalen van gebeurtenissen in het activiteitenlogboek

U kunt ook toegang krijgen tot gebeurtenissen in het activiteitenlogboek met behulp van de volgende methoden:

Verzenden naar Log Analytics-werkruimte

Verzend het activiteitenlogboek naar een Log Analytics-werkruimte om de functie Azure Monitor-logboeken in te schakelen, waarbij u:

  • Correleren van activiteitenlogboekgegevens met andere bewakingsgegevens die worden verzameld door Azure Monitor.
  • Voeg logboekvermeldingen van meerdere Azure-abonnementen en tenants samen in één locatie voor analyse.
  • Gebruik logboekquery's om complexe analyses uit te voeren en uitgebreide inzichten te verkrijgen over vermeldingen in activiteitenlogboeken.
  • Gebruik logboekwaarschuwingen met activiteitsvermeldingen voor complexere waarschuwingslogica.
  • Bewaar vermeldingen in het activiteitenlogboek langer dan de bewaarperiode van het activiteitenlogboek.
  • Er worden geen gegevensopname- of retentiekosten in rekening gebracht voor activiteitenlogboekgegevens die zijn opgeslagen in een Log Analytics-werkruimte.
  • De standaardretentieperiode in Log Analytics is 90 dagen

Selecteer Activiteitenlogboeken exporteren om het activiteitenlogboek naar een Log Analytics-werkruimte te verzenden.

Schermopname van het exporteren van activiteitenlogboeken.

U kunt het activiteitenlogboek van elk abonnement naar maximaal vijf werkruimten verzenden.

Activiteitenlogboekgegevens in een Log Analytics-werkruimte worden opgeslagen in een tabel met de naam AzureActivity die u kunt ophalen met een logboekquery in Log Analytics. De structuur van deze tabel is afhankelijk van de categorie van de logboekvermelding. Zie de azure Monitor-gegevensreferentie voor een beschrijving van de tabeleigenschappen.

Als u bijvoorbeeld het aantal activiteitenlogboekrecords voor elke categorie wilt weergeven, gebruikt u de volgende query:

AzureActivity
| summarize count() by CategoryValue

Gebruik de volgende query om alle records in de beheercategorie op te halen:

AzureActivity
| where CategoryValue == "Administrative"

Verzenden naar Azure Event Hubs

Verzend het activiteitenlogboek naar Azure Event Hubs om vermeldingen buiten Azure te verzenden, bijvoorbeeld naar een SIEM van derden of andere Log Analytics-oplossingen. Gebeurtenissen in activiteitenlogboeken van Event Hubs worden gebruikt in JSON-indeling met een records element dat de records in elke nettolading bevat. Het schema is afhankelijk van de categorie en wordt beschreven in het gebeurtenisschema van het Azure-activiteitenlogboek.

De volgende voorbeelduitvoergegevens zijn afkomstig van Event Hubs voor een activiteitenlogboek:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Verzenden naar Azure Storage

Verzend het activiteitenlogboek naar een Azure Storage-account als u uw logboekgegevens langer dan 90 dagen wilt bewaren voor controle, statische analyse of back-up. Als u uw gebeurtenissen 90 dagen of minder moet bewaren, hoeft u geen archivering voor een opslagaccount in te stellen. Gebeurtenissen van activiteitenlogboeken worden 90 dagen bewaard in het Azure-platform.

Wanneer u het activiteitenlogboek naar Azure verzendt, wordt er een opslagcontainer in het opslagaccount gemaakt zodra er een gebeurtenis plaatsvindt. De blobs in de container gebruiken de volgende naamconventie:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Een bepaalde blob kan bijvoorbeeld een naam hebben die vergelijkbaar is met:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Elke PT1H.json-blob bevat een JSON-object met gebeurtenissen uit logboekbestanden die zijn ontvangen tijdens het uur dat is opgegeven in de blob-URL. Tijdens het huidige uur worden gebeurtenissen toegevoegd aan het bestand PT1H.json wanneer ze worden ontvangen, ongeacht wanneer ze zijn gegenereerd. De minuutwaarde in de URL m=00 is altijd 00 zoals blobs per uur worden gemaakt.

Elke gebeurtenis wordt opgeslagen in het bestand PT1H.json met de volgende indeling. Deze indeling maakt gebruik van een algemeen schema op het hoogste niveau, maar is verder uniek voor elke categorie, zoals beschreven in Activiteitenlogboekschema.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Verouderde verzamelingsmethoden

Als u activiteitenlogboeken verzamelt met behulp van de verouderde verzamelingsmethode, raden we u aan activiteitenlogboeken te exporteren naar uw Log Analytics-werkruimte en de verouderde verzameling als volgt uit te schakelen met behulp van de API Gegevensbronnen - Verwijderen :

  1. Maak een lijst met alle gegevensbronnen die zijn verbonden met de werkruimte met behulp van de API Gegevensbronnen - Lijst per werkruimte en filter op activiteitenlogboeken door in te stellen kind eq 'AzureActivityLog'.

    Schermopname van de configuratie van de API Gegevensbronnen - Lijst per werkruimte.

  2. Kopieer de naam van de verbinding die u wilt uitschakelen vanuit het API-antwoord.

    Schermopname van de verbindingsgegevens die u moet kopiëren uit de uitvoer van de API Gegevensbronnen - Lijst per werkruimte.

  3. Gebruik de API Gegevensbronnen - Verwijderen om te stoppen met het verzamelen van activiteitenlogboeken voor de specifieke resource.

    Schermopname van de configuratie van de API Gegevensbronnen - Verwijderen.

Verouderde logboekprofielen beheren

Logboekprofielen zijn de verouderde methode voor het verzenden van het activiteitenlogboek naar opslag- of Event Hubs. Als u deze methode gebruikt, kunt u overwegen over te stappen op diagnostische instellingen, die betere functionaliteit en consistentie met resourcelogboeken bieden.

Als er al een logboekprofiel bestaat, moet u eerst het bestaande logboekprofiel verwijderen en vervolgens een nieuw logboekprofiel maken.

  1. Gebruik Get-AzLogProfile dit om te bepalen of er een logboekprofiel bestaat. Als er een logboekprofiel bestaat, noteert u de Name eigenschap.

  2. Gebruik Remove-AzLogProfile om het logboekprofiel te verwijderen met behulp van de waarde uit de Name eigenschap.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Gebruik Add-AzLogProfile om een nieuw logboekprofiel te maken:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    Eigenschap Vereist Beschrijving
    Naam Ja Naam van uw logboekprofiel.
    StorageAccountId Nee Resource-id van het opslagaccount waarin het activiteitenlogboek moet worden opgeslagen.
    serviceBusRuleId Nee Service Bus-regel-id voor de Service Bus-naamruimte waarin u Event Hubs wilt maken. Deze tekenreeks heeft de indeling {service bus resource ID}/authorizationrules/{key name}.
    Locatie Ja Door komma's gescheiden lijst met regio's waarvoor u activiteitenlogboekgebeurtenissen wilt verzamelen.
    RetentionInDays Ja Aantal dagen waarvoor gebeurtenissen moeten worden bewaard in het opslagaccount, van 1 tot en met 365. Met de waarde nul worden de logboeken voor onbepaalde tijd opgeslagen.
    Categorie Nee Door komma's gescheiden lijst met gebeurteniscategorieën die moeten worden verzameld. Mogelijke waarden zijn Schrijven, Verwijderen en Actie.

Voorbeeldscript

Met dit PowerShell-voorbeeldscript wordt een logboekprofiel gemaakt waarmee het activiteitenlogboek naar zowel een opslagaccount als een Event Hub wordt geschreven.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Wijzigingen in de gegevensstructuur

De ervaring Activiteitenlogboeken exporteren verzendt dezelfde gegevens als de verouderde methode die wordt gebruikt om het activiteitenlogboek te verzenden met enkele wijzigingen in de structuur van de AzureActivity tabel.

De kolommen in de volgende tabel zijn afgeschaft in het bijgewerkte schema. Ze bestaan nog steeds in AzureActivity, maar ze hebben geen gegevens. De vervangingen voor deze kolommen zijn niet nieuw, maar ze bevatten dezelfde gegevens als de afgeschafte kolom. Ze hebben een andere indeling, dus mogelijk moet u logboekquery's wijzigen die ze gebruiken.

JSON van activiteitenlogboek Log Analytics-kolomnaam
(ouder afgeschaft)
Nieuwe log analytics-kolomnaam Notities
category Categorie CategoryValue
status

Waarden zijn geslaagd, starten, accepteren, mislukken
ActivityStatus

Dezelfde waarden als JSON
ActivityStatusValue

Waarden worden gewijzigd in geslaagd, gestart, geaccepteerd, mislukt
De geldige waarden worden gewijzigd zoals weergegeven.
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue REST API lokaliseert de waarde van de bewerkingsnaam. In de Log Analytics-gebruikersinterface wordt altijd Engels weergegeven.
resourceProviderName ResourceProvider ResourceProviderValue

Belangrijk

In sommige gevallen kunnen de waarden in deze kolommen allemaal hoofdletters zijn. Als u een query hebt die deze kolommen bevat, gebruikt u de operator =~ om een niet-hoofdlettergevoelige vergelijking uit te voeren.

De volgende kolommen zijn toegevoegd aan AzureActivity in het bijgewerkte schema:

  • Authorization_d
  • Claims_d
  • Properties_d

Volgende stappen

Meer informatie over: