Activiteitenlogboek in Azure Monitor

Het Azure Monitor-activiteitenlogboek is een platformlogboek voor controlevlak-gebeurtenissen van Azure-resources. Het bevat informatie zoals wanneer een resource wordt gewijzigd of wanneer er een implementatiefout optreedt. Gebruik het activiteitenlogboek om deze informatie te controleren of te auditeren voor resources die u monitort; stel een waarschuwing in om proactief op de hoogte te worden gesteld wanneer een gebeurtenis wordt gemaakt.

Hint

Als u bent omgeleid naar dit artikel vanuit een implementatiebewerkingsfout, zie Oplossingen voor veelvoorkomende Azure-implementatiefouten.

Vermeldingen in activiteitenlogboek

Vermeldingen in het activiteitenlogboek worden standaard verzameld zonder vereiste configuratie. Ze zijn systeem gegenereerd en kunnen niet worden gewijzigd of verwijderd. Vermeldingen zijn meestal het gevolg van wijzigingen (maken, bijwerken, verwijderen) of een actie die is gestart. Bewerkingen die zijn gericht op het lezen van details van een resource, worden doorgaans niet vastgelegd. Zie het gebeurtenisschema van het Azure-activiteitenlogboek voor een beschrijving van de categorieën activiteitenlogboeken.

Opmerking

Bewerkingen boven het besturingsvlak worden vastgelegd in Azure-resourcelogboeken. Deze worden niet standaard verzameld en vereisen een diagnostische instelling om verzameld te worden.

Bewaarperiode

Gebeurtenissen in activiteitenlogboeken worden negentig dagen bewaard in Azure en vervolgens verwijderd. Er worden gedurende deze tijd geen kosten in rekening gebracht voor vermeldingen, ongeacht het volume. Voor meer functionaliteit, zoals langere retentie, maakt u een diagnostische instelling en routeert u de vermeldingen naar een andere locatie op basis van uw behoeften.

Het activiteitenlogboek weergeven en ophalen

U kunt het activiteitenlogboek openen vanuit de meeste menu's in Azure Portal. Het menu waaruit u het opent, bepaalt het oorspronkelijke filter. Als u het opent vanuit het menu Monitor , bevindt het enige filter zich in het abonnement. Als u het opent vanuit het menu van een resource, wordt het filter ingesteld op die resource. U kunt het filter altijd wijzigen om alle andere vermeldingen weer te geven. Selecteer Filter toevoegen om aanvullende eigenschappen aan het filter toe te voegen.

U kunt ook toegang krijgen tot gebeurtenissen in activiteitenlogboeken met behulp van de volgende methoden:

Gebruik de cmdlet Get-AzLog om het activiteitenlogboek op te halen uit PowerShell. Zie Azure Monitor PowerShell-voorbeelden.
Gebruik az monitor activity-log om het activiteitenlogboek op te halen uit de CLI. Zie CLI-voorbeelden van Azure Monitor.

Gebruik de Azure Monitor REST API om het activiteitenlogboek op te halen van een REST-client.

Wijzigingsoverzicht weergeven

Voor sommige gebeurtenissen kunt u de wijzigingsgeschiedenis bekijken, waarin wordt weergegeven welke wijzigingen er zijn aangebracht tijdens die gebeurtenis. Selecteer een gebeurtenis in het activiteitenlogboek dat u dieper wilt bekijken. Selecteer het tabblad Geschiedenis wijzigen om wijzigingen in de resource tot 30 minuten vóór en na de tijd van de bewerking weer te geven.

Als er wijzigingen aan de gebeurtenis zijn gekoppeld, ziet u een lijst met wijzigingen die u kunt selecteren. Als u een wijziging selecteert, wordt de pagina Wijzigingsgeschiedenis geopend. Op deze pagina worden de wijzigingen in de resource weergegeven. In het volgende voorbeeld ziet u dat de VM de grootten heeft gewijzigd. Op de pagina wordt de VM-grootte weergegeven vóór de wijziging en na de wijziging. Zie Resourcewijzigingen ophalen voor meer informatie over wijzigingsgeschiedenis.

Inzichten in activiteitenlogboeken

Inzichten uit activiteitenlogboek is een werkmap die een reeks dashboards biedt waarmee de wijzigingen in resources en resourcegroepen binnen een abonnement worden bewaakt. De dashboards bevatten ook gegevens over welke gebruikers of services activiteiten hebben uitgevoerd in het abonnement en de status van de activiteiten.

Als u inzichten in activiteitenlogboeken wilt inschakelen, exporteert u het activiteitenlogboek naar een Log Analytics-werkruimte, zoals beschreven in het activiteitenlogboek Exporteren. Hiermee worden gebeurtenissen verzonden naar de AzureActivity tabel die wordt gebruikt door inzichten in activiteitenlogboeken.

U kunt inzichten in activiteitenlogboeken openen op abonnements- of resourceniveau. Voor het abonnement selecteert u Inzichten in activiteitenlogboeken in de sectie Werkmappen van het menu Monitor .

Voor een afzonderlijke resource selecteert u Inzichten in activiteitenlogboeken in de sectie Werkmappen van het menu van de resource.

Activiteitenlogboek exporteren

Maak een diagnostische instelling voor het verzenden van vermeldingen in het activiteitenlogboek naar andere bestemmingen voor extra bewaartijd en functionaliteit.

Selecteer in Azure Portal activiteitenlogboek in het menu Azure Monitor en selecteer vervolgens Activiteitenlogboeken exporteren. Zie Diagnostische instellingen in Azure Monitor voor andere details en andere methoden voor het maken van diagnostische instellingen. Zorg ervoor dat u een verouderde configuratie voor het activiteitenlogboek uitschakelt.

De onderstaande informatie bevat meer informatie over de verschillende bestemmingen waarnaar resourceslogboeken kunnen worden verzonden.

Opmerking

De verouderde methode voor het exporteren van het activiteitenlogboek is logboekprofielen. Zie Verouderde verzamelingsmethoden.

Verzend het activiteitenlogboek naar een Log Analytics-werkruimte voor de volgende functionaliteit:

Correleren van activiteitenlogboeken met andere logboekgegevens met behulp van logboekquery's.
Logboekwaarschuwingen maken die complexere logica kunnen gebruiken dan waarschuwingen voor activiteitenlogboeken.
Toegang tot activiteitenlogboekgegevens met Power BI.
Bewaar activiteitenlogboekgegevens langer dan 90 dagen.

Er zijn geen kosten voor gegevensopname voor activiteitenlogboeken. Bewaarkosten voor activiteitenlogboeken worden alleen toegepast op de periode die langer is dan de standaardretentieperiode van 90 dagen. U kunt de bewaarperiode verhogen tot maximaal 12 jaar.

Activiteitenlogboekgegevens in een Log Analytics-werkruimte worden opgeslagen in een tabel met de naam AzureActivity. De structuur van deze tabel is afhankelijk van de categorie van de logboekvermelding.

Als u bijvoorbeeld het aantal records voor activiteitenlogboeken voor elke categorie wilt weergeven, gebruikt u de volgende query:

AzureActivity
| summarize count() by CategoryValue

Als u alle records in de beheercategorie wilt ophalen, gebruikt u de volgende query:

AzureActivity
| where CategoryValue == "Administrative"

Belangrijk

In sommige scenario's is het mogelijk dat waarden in velden met AzureActivity andere equivalente waarden anders kunnen zijn dan equivalente waarden. Wanneer u gegevens opvraagt in AzureActivity, gebruikt u hoofdletterongevoelige operatoren voor tekenreeksvergelijkingen, of gebruikt u een scalaire functie om een veld te dwingen tot uniform hoofdlettergebruik voordat er vergelijkingen worden gemaakt. Gebruik bijvoorbeeld de functie tolower() op een veld om ervoor te zorgen dat het altijd uit kleine letters bestaat, of de =~ operator te gebruiken voor het uitvoeren van een tekenreeksvergelijking.

Verzend het activiteitenlogboek naar Azure Event Hubs om vermeldingen buiten Azure te verzenden, bijvoorbeeld naar een SIEM van derden of andere oplossingen voor logboekanalyse. Activiteitlogboekevenementen van Event Hubs worden verwerkt in JSON-indeling met een records element dat de records in elke payload bevat. Het schema is afhankelijk van de categorie en wordt beschreven in het gebeurtenisschema van het Azure-activiteitenlogboek.

De volgende voorbeelduitvoergegevens zijn afkomstig van Event Hubs voor een activiteitenlogboek:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Verzend het activiteitenlogboek naar een Azure Storage-account als u uw logboekgegevens langer dan 90 dagen wilt bewaren voor controle, statische analyse of back-up. Als u uw gebeurtenissen 90 dagen of minder moet bewaren, hoeft u archivering niet in te stellen voor een opslagaccount.

Wanneer u het activiteitenlogboek naar de opslag verzendt, wordt er een opslagcontainer gemaakt in het opslagaccount zodra er een gebeurtenis plaatsvindt. De blobs in de container gebruiken de volgende naamconventie:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Een bepaalde blob kan bijvoorbeeld een naam hebben die vergelijkbaar is met:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Elke PT1H.json blob bevat een JSON-object met gebeurtenissen uit logboekbestanden die zijn ontvangen tijdens het uur dat is opgegeven in de blob-URL. Tijdens het huidige uur worden gebeurtenissen toegevoegd aan het PT1H.json-bestand wanneer ze worden ontvangen, ongeacht wanneer ze zijn gegenereerd. De minuutwaarde in de URL m=00 is altijd 00 als blobs per uur worden gemaakt.

Elke gebeurtenis wordt opgeslagen in het PT1H.json-bestand met de volgende indeling. Deze indeling maakt gebruik van een algemeen schema op het hoogste niveau, maar is anders uniek voor elke categorie, zoals beschreven in het schema van het activiteitenlogboek.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exporteren naar CSV

Selecteer Downloaden als CSV om het activiteitenlogboek te exporteren naar een CSV-bestand met behulp van Azure Portal.

Belangrijk

Het exporteren kan veel tijd in beslag nemen als u een groot aantal logboekvermeldingen hebt. Verminder het tijdsbereik van de export om de prestaties te verbeteren. In Azure Portal is dit ingesteld met de instelling Tijdspanne .

U kunt het activiteitenlogboek ook exporteren naar een CSV-bestand met behulp van PowerShell of de Azure CLI, zoals in de volgende voorbeelden.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Met het volgende PowerShell-script wordt het activiteitenlogboek met intervallen van één uur geëxporteerd naar CSV-bestanden, die elk worden opgeslagen in een afzonderlijk bestand.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Volgende stappen

Meer informatie over:

Feedback

Is deze pagina nuttig?

Last updated on 2025-07-19