Query's voor de tabel AzureActivity
[Klassiek] Zoeken in AzureActivity
[Klassiek] Zoek in AzureActivity om te zoeken naar een specifieke waarde in de tabel AzureActivity./nOpmerking dat voor deze query de <parameter SeachValue> moet worden bijgewerkt om resultaten te produceren
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where * contains tostring(SearchValue)
| take 1000
Virtual Machines afsluiten
Virtual Machines in de afgelopen 10 minuten afgesloten.
// To create an alert for this query, click '+ New alert rule'
AzureActivity
| where TimeGenerated > ago(10m)
| where OperationName == "Deallocate Virtual Machine" and ActivityStatus == "Succeeded"
Meest recente 50 logboeken
De meest recente Azure-activiteitenlogboeken voor deze resource weergeven.
AzureActivity
| top 50 by TimeGenerated desc
Status van bewerkingen
Het meest recente Azure-activiteitenlogboek weergeven voor elke bewerking.
AzureActivity
| summarize arg_max(TimeGenerated, *) by OperationName
Recente Azure-activiteitenlogboeken
Alle Azure-activiteitenlogboeken van het afgelopen uur weergeven.
AzureActivity
| where Level == "Error" or Level == "Warning"
| project TimeGenerated, Level, ResourceProvider, ActivityStatus, Caller, Category, Properties, CorrelationId
Mislukte bewerkingen
Alle rapporten van mislukte bewerkingen in het afgelopen uur weergeven.
AzureActivity
| where TimeGenerated > ago(1h)
| where ActivityStatus == "Failed"
Resources maken
Maak een lijst met gemaakte Azure-resources. Kan handig zijn voor bewaking en waarschuwingen.
AzureActivity
| where OperationNameValue has "Microsoft.Resources/deployments/write"
| where CategoryValue == "Administrative"
| where ActivityStatusValue == "Success"
| project Caller, TimeGenerated, _ResourceId
Zoeken in AzureActivity
Zoek in AzureActivity om te zoeken naar een specifieke waarde in de tabel AzureActivity./nOpmerking dat voor deze query de <parameter SeachValue> moet worden bijgewerkt om resultaten te produceren
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "Microsoft.ContainerService"
| where * contains tostring(SearchValue)
| take 1000
Logboeken uit de tabel AzureActivity weergeven
Lijsten de meest recente logboeken in de tabel AzureActivity, gesorteerd op tijd (meest recente eerst).
AzureActivity
| top 10 by TimeGenerated
Logboeken uit de tabel AzureActivity weergeven
Lijsten de meest recente logboeken in de tabel AzureActivity, gesorteerd op tijd (meest recente eerst).
AzureActivity
| top 10 by TimeGenerated
Top 50 activiteitenlogboeken weergeven
De bovenste 50 activiteitenlogboeken weergeven.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceGroup,ResourceProviderValue,OperationNameValue,CategoryValue,CorrelationId,ActivityStatusValue, ActivitySubstatusValue, Properties_d, Caller
| top 50 by TimeGenerated
Beheerevenementen van activiteitenlogboek weergeven
Geeft activiteitenlogboek weer voor de categorie Beheer.
AzureActivity
| where CategoryValue == "Administrative"
| order by TimeGenerated desc
VM's maken
Deze query geeft de resultaten weer van wanneer een virtuele machine wordt gemaakt.
AzureActivity
| where TimeGenerated >= ago(1d)
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" and ActivityStatusValue == "Start"
| where Authorization_d.action == "Microsoft.Compute/virtualMachines/write"
| project OperationNameValue, ActivityStatusValue, VM_Name=Properties_d.resource, ResourceGroup, SubscriptionId, Created_By=Caller
Activiteitenlogboeken weergeven die zijn gegenereerd op beleid
De 100 beste records weergeven van alle bewerkingen voor effectacties die door Azure Policy zijn uitgevoerd.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceProviderValue, OperationNameValue, Caller, CategoryValue, CorrelationId, ActivityStatusValue, Properties_d
| where OperationNameValue has "audit"
| top 100 by TimeGenerated desc
Bellers en hun bijbehorende actie in de afgelopen 48 uur weergeven
Maak een lijst met bellers en de bijbehorende actie in de afgelopen 48 uur.
AzureActivity
| where TimeGenerated > ago(2d)
| project Caller, OperationNameValue, ActivityStatusValue, CategoryValue
| where Caller has "@"
Alle Azure-activiteiten
De query geeft alle AzureActivity-gebeurtenissen weer.
AzureActivity
| project TimeGenerated, Caller, OperationName, ActivityStatus, _ResourceId
Azure-activiteit voor gebruiker
De activiteit van de gebruiker via Azure-activiteit weergeven.
// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus
Geslaagde sleutel-enumaration
Lijsten gebruikers die sleutelinventarisatie hebben uitgevoerd en hun locatie.
AzureActivity
| where OperationName == "List Storage Account Keys"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, CallerIpAddress, OperationName
JIT-start voor netwerktoegang
Lijsten het starten van JIT-netwerktoegangsmachtigingen.
AzureActivity
| where OperationName == "Initiate JIT Network Access Policy"
| where ActivityStatus == "Started"
Bewerkingsstatistieken van Azure-activiteit
Statistieken van bewerkingen via Azure-activiteit.
AzureActivity
| summarize Count=count() by OperationName, _ResourceId
| sort by Count desc nulls last
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor