Zapytania dotyczące tabeli AzureActivity
Aby uzyskać informacje na temat korzystania z tych zapytań w witrynie Azure Portal, zobacz Samouczek usługi Log Analytics. Aby zapoznać się z interfejsem API REST, zobacz Zapytanie.
[Klasyczny] Znajdowanie w usłudze AzureActivity
[Klasyczny] Znajdź element AzureActivity, aby wyszukać określoną wartość w tabeli AzureActivity./nNote, że to zapytanie wymaga zaktualizowania parametru <SeachValue> w celu wygenerowania wyników
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where * contains tostring(SearchValue)
| take 1000
Zamykanie maszyn wirtualnych
Maszyny wirtualne zostały pomyślnie zamknięte w ciągu ostatnich 10 minut.
// To create an alert for this query, click '+ New alert rule'
AzureActivity
| where TimeGenerated > ago(10m)
| where OperationName == "Deallocate Virtual Machine" and ActivityStatus == "Succeeded"
50 najnowszych dzienników
Pokaż najnowsze dzienniki aktywności platformy Azure dla tego zasobu.
AzureActivity
| top 50 by TimeGenerated desc
Stan operacji
Pokaż najnowszy dziennik aktywności platformy Azure dla każdej operacji.
AzureActivity
| summarize arg_max(TimeGenerated, *) by OperationName
Ostatnie dzienniki aktywności platformy Azure
Wyświetl wszystkie dzienniki aktywności platformy Azure z ostatniej godziny.
AzureActivity
| where Level == "Error" or Level == "Warning"
| project TimeGenerated, Level, ResourceProvider, ActivityStatus, Caller, Category, Properties, CorrelationId
Operacje zakończone niepowodzeniem
Wyświetl listę wszystkich raportów dotyczących operacji, które zakończyły się niepowodzeniem w ciągu ostatniej godziny.
AzureActivity
| where TimeGenerated > ago(1h)
| where ActivityStatus == "Failed"
Tworzenie zasobów
Lista utworzonych zasobów platformy Azure. Może być przydatne w przypadku monitorowania i alertów.
AzureActivity
| where OperationNameValue has "Microsoft.Resources/deployments/write"
| where CategoryValue == "Administrative"
| where ActivityStatusValue == "Success"
| project Caller, TimeGenerated, _ResourceId
Znajdowanie w usłudze AzureActivity
Znajdź element AzureActivity, aby wyszukać określoną wartość w tabeli AzureActivity./nNote, że to zapytanie wymaga zaktualizowania parametru <SeachValue> w celu wygenerowania wyników
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "Microsoft.ContainerService"
| where * contains tostring(SearchValue)
| take 1000
Pokaż dzienniki z tabeli AzureActivity
Wyświetla listę najnowszych dzienników w tabeli AzureActivity posortowanych według czasu (najnowsza pierwsza).
AzureActivity
| top 10 by TimeGenerated
Pokaż dzienniki z tabeli AzureActivity
Wyświetla listę najnowszych dzienników w tabeli AzureActivity posortowanych według czasu (najnowsza pierwsza).
AzureActivity
| top 10 by TimeGenerated
Wyświetlanie 50 najważniejszych zdarzeń dziennika aktywności
Wyświetl 50 najważniejszych zdarzeń dziennika aktywności.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceGroup,ResourceProviderValue,OperationNameValue,CategoryValue,CorrelationId,ActivityStatusValue, ActivitySubstatusValue, Properties_d, Caller
| top 50 by TimeGenerated
Wyświetlanie zdarzeń administracyjnych dziennika aktywności
Wyświetla dziennik aktywności dla kategorii Administracyjne.
AzureActivity
| where CategoryValue == "Administrative"
| order by TimeGenerated desc
Tworzenie maszyny wirtualnej
To zapytanie wyświetla wyniki utworzenia maszyny wirtualnej.
AzureActivity
| where TimeGenerated >= ago(1d)
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" and ActivityStatusValue == "Start"
| where Authorization_d.action == "Microsoft.Compute/virtualMachines/write"
| project OperationNameValue, ActivityStatusValue, VM_Name=Properties_d.resource, ResourceGroup, SubscriptionId, Created_By=Caller
Wyświetlanie zdarzeń dziennika aktywności generowanych na podstawie zasad
Wyświetl 100 pierwszych rekordów wszystkich operacji akcji efektu wykonywanych przez usługę Azure Policy.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceProviderValue, OperationNameValue, Caller, CategoryValue, CorrelationId, ActivityStatusValue, Properties_d
| where OperationNameValue has "audit"
| top 100 by TimeGenerated desc
Wyświetlanie listy rozmówców i ich skojarzonej akcji w ciągu ostatnich 48 godzin
Wyświetl listę osób wywołujących i skojarzonych z nimi akcji w ciągu ostatnich 48 godzin.
AzureActivity
| where TimeGenerated > ago(2d)
| project Caller, OperationNameValue, ActivityStatusValue, CategoryValue
| where Caller has "@"
Wszystkie działania platformy Azure
Zapytanie przedstawia wszystkie zdarzenia AzureActivity.
AzureActivity
| project TimeGenerated, Caller, OperationName, ActivityStatus, _ResourceId
Działanie platformy Azure dla użytkownika
Pokaż aktywność użytkownika w ramach działania platformy Azure.
// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus
Pomyślne zamarcie klucza
Wyświetla listę użytkowników, którzy wykonali wyliczanie kluczy i ich lokalizację.
AzureActivity
| where OperationName == "List Storage Account Keys"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, CallerIpAddress, OperationName
Inicjowanie dostępu do sieci JIT
Wyświetla listę inicjowania uprawnień dostępu do sieci JIT.
AzureActivity
| where OperationName == "Initiate JIT Network Access Policy"
| where ActivityStatus == "Started"
Statystyki operacji działania platformy Azure
Statystyki operacji związanych z działaniem platformy Azure.
AzureActivity
| summarize Count=count() by OperationName, _ResourceId
| sort by Count desc nulls last