Enviar dados do log de atividades do Azure Monitor

O log de atividades do Azure Monitor é um log de plataforma que fornece insights sobre eventos no nível da assinatura. O log de atividades inclui informações sobre a alteração de um recurso ou a inicialização de uma máquina virtual. Veja o log de atividades no portal do Azure ou recupere as entradas com o PowerShell e a CLI do Azure. Este artigo fornece informações sobre como exibir o log de atividades e enviá-lo a diferentes destinos.

Crie uma configuração de diagnóstico para enviar o log de atividades para um ou mais desses locais:

• Workspace do Log Analytics para consultas e alertas mais complexos
• Hubs de Eventos do Azure para encaminhamento de logs para fora do Azure.
• Armazenamento do Azure para arquivamento mais barato e de longo prazo.

Para obter detalhes sobre como criar uma configuração de diagnóstico, consulte Criar configurações de diagnóstico para enviar logs e métricas de plataforma para destinos diferentes.

Dica

Envie logs de atividades para um workspace do Log Analytics para obter os seguintes benefícios:

• Enviar logs para um workspace do Log Analytics é gratuito para o período de retenção padrão.
• Envie registros para um workspace do Log Analytics para uma retenção mais longa, de até 12 anos.
• Os logs exportados para um workspace do Log Analytics podem ser mostrados no Power BI
• Insights são fornecidos para logs de atividade exportados para o Log Analytics.

Observação

• As entradas no log de atividades são geradas pelo sistema e não podem ser alteradas ou excluídas.
• As entradas no Log de Atividades representam alterações no plano de controle, como uma reinicialização de máquina virtual, todas as entradas não relacionadas devem ser gravadas nos Logs de Recursos do Azure
• As entradas no Log de Atividades normalmente resultam de alterações (operações de criação, atualização ou exclusão) ou do início de uma ação. As operações focadas na leitura de detalhes de um recurso normalmente não são capturadas.

Enviar para o Espaço de Trabalho do Log Analytics

Envie o log de atividades para um workspace do Log Analytics, para habilitar o recurso de Logs do Azure Monitor, onde é possível:

• Correlacionar dados do log de atividades com outros dados de monitoramento coletados pelo Azure Monitor.
• Consolide as entradas de log de várias assinaturas e locatários do Azure em um único local para análise em conjunto.
• Use consultas de log para executar análises complexas e obter insights profundos sobre entradas de log de atividades.
• Use alertas de pesquisa de log com entradas de atividade para uma lógica de alerta mais complexa.
• Armazenar entradas de log de atividades por mais tempo do que o período de retenção do log de atividades.
• Não há encargos de retenção nem de ingestão de dados para dados de Log de Atividades armazenados em um workspace do Log Analytics.
• O período de retenção padrão do Log Analytics é de 90 dias

Selecione Exportar Registros de Atividades para enviar o registro de atividades para um espaço de trabalho do Log Analytics.

Você pode enviar o log de atividades de qualquer assinatura única para até cinco workspaces.

Os dados do log de atividades em um workspace do Log Analytics são armazenados em uma tabela chamada AzureActivity que você pode recuperar com uma consulta de log no Log Analytics. A estrutura dessa tabela varia dependendo da categoria da entrada de log. Para obter uma descrição das propriedades da tabela, consulte a referência de dados do Azure Monitor.

Por exemplo, para exibir uma contagem de registros do log de atividades para cada categoria, use a consulta a seguir:

AzureActivity
| summarize count() by CategoryValue

Para recuperar todos os registros na categoria administrativa, use a seguinte consulta:

AzureActivity
| where CategoryValue == "Administrative"

Importante

Em alguns cenários, é possível que os valores nos campos do AzureActivity tenham maiúsculas e minúsculas diferentes de valores equivalentes. Ao consultar dados no AzureActivity, tome cuidado para usar operadores que não diferenciam maiúsculas de minúsculas para comparações de cadeia de caracteres ou use uma função escalar para forçar um campo a usar maiúsculas e minúsculas iguais antes de qualquer comparação. Por exemplo, use a função tolower() em um campo para forçá-la a ser sempre minúscula ou o operador =~ ao executar uma comparação de cadeia de caracteres.

Enviar para Azure Event Hubs

Envie o log de atividades aos Hubs de Eventos do Azure para enviar entradas fora do Azure, por exemplo, para um SIEM de terceiros ou outras soluções de análise de logs. Os eventos do log de atividades de hubs de eventos são consumidos no formato JSON com um elemento records que contém os registros em cada carga. O esquema depende da categoria e é descrito no esquema de eventos do log de atividades do Azure.

Os exemplos de dados de saída a seguir são de hubs de eventos para um log de atividades:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Enviar ao Armazenamento do Azure

Envie o log de atividades para uma conta de Armazenamento do Azure se quiser manter seus dados de log por mais de 90 dias para auditoria, análise estática ou backup. Caso seja necessário reter os eventos por 90 dias ou menos, não será preciso configurar o arquivamento para uma conta de armazenamento. Os eventos do log de atividades são retidos na plataforma do Azure por 90 dias.

Quando você envia o log de atividades para o Azure, um contêiner de armazenamento é criado na conta de armazenamento assim que um evento ocorre. Os blobs no contêiner usam esta convenção de nomenclatura:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Por exemplo, um blob específico pode ter um nome semelhante a:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Cada blob PT1H.json contém um objeto JSON com eventos de arquivos de log recebidos durante a hora especificada na URL do blob. Durante a hora atual, os eventos são anexados ao arquivo PT1H.json conforme são recebidos, independentemente de quando foram gerados. O valor de minuto na URL, m=00, é sempre 00, pois os blobs são criados por hora.

Cada evento é armazenado no arquivo PT1H.json neste formato. Esse formato usa um esquema de nível superior comum, mas é exclusivo para cada categoria, conforme descrito no esquema de log de atividades.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Outros métodos para recuperar eventos do log de atividades

Você também pode acessar eventos do log de atividades usando os métodos a seguir:

• Use o cmdlet Get-AzLog para recuperar o log de atividades do PowerShell. Confira os exemplos do PowerShell do Azure Monitor.
• Use az monitor activity-log para recuperar o log de atividades da CLI. Confira os exemplos da CLI do Azure Monitor.
• Use a API REST do Azure Monitor para recuperar o log de atividades de um cliente REST.

Métodos de coleta de dados

Observação

• A solução de logs de atividades do Azure foi usada para encaminhar logs de atividades para o Azure Log Analytics. Essa solução está sendo desativada no dia 15 de setembro de 2026 e será convertida automaticamente em Configurações de diagnóstico.

Se você estiver coletando logs de atividades usando o método de coleção herdado, recomendamos exportar logs de atividades para seu workspace do Log Analytics e desabilitar a coleção herdada usando as Fontes de Dados – Excluir API da seguinte maneira:

1. Liste todas as fontes de dados conectadas ao workspace usando as Fontes de Dados – Listar por API do Workspace e filtrar os logs de atividades definindo kind eq 'AzureActivityLog'.

   

2. Copie o nome da conexão que você deseja desabilitar da resposta da API.

   

3. Utilize a API de Exclusão de Fontes de Dados para interromper a coleta de logs de atividades do recurso específico.

   

Gerenciamento de perfis de registro herdados - desativação

Observação

• Os Perfis de Logs foram usados para encaminhar Logs de Atividades para contas de armazenamento e Hubs de Eventos. Esse método será desativado em 15 de setembro de 2026.
• Se você estiver usando esse método, faça a transição para as Configurações de diagnóstico antes de 15 de setembro de 2025, quando deixaremos de permitir novas criações de Perfis de Log.

Perfis de log são o método herdado para enviar o log de atividades ao armazenamento ou a hubs de eventos. Se estiver usando esse método, faça a transição para as Configurações de Diagnóstico, que oferecem melhor funcionalidade e consistência com os registros de recursos.

PowerShell

Se já houver um perfil de log, você precisará removê-lo e depois criar outro.

1. Use Get-AzLogProfile para identificar se já existe um perfil de log. Se houver um perfil de log, localize a propriedade Name.

2. Use Remove-AzLogProfile para remover o perfil de log usando o valor da propriedade Name.

   # For example, if the log profile name is 'default'
   Remove-AzLogProfile -Name "default"
   

3. Use Add-AzLogProfile para criar um novo perfil de log:

   Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
   

   Propriedade	Obrigatório	Descrição
   Nome	Sim	Nome de seu perfil de log.
   StorageAccountId	Não	ID de recursos da conta de armazenamento na qual o log de atividades deve ser salvo.
   serviceBusRuleId	Não	ID da Regra de Barramento de Serviço para o namespace do Barramento de Serviço no qual você gostaria que os hubs de eventos fossem criados. Essa cadeia de caracteres tem o formato {service bus resource ID}/authorizationrules/{key name}.
   Localização	Sim	Lista separada por vírgulas de regiões para as quais você deseja coletar eventos do log de atividades.
   RetentionInDays	Sim	Número de dias pelos quais os eventos devem ser mantidos na conta de armazenamento, entre 1 e 365. Um valor de zero armazena os logs indefinidamente.
   Categoria	Não	Lista separada por vírgulas de categorias de eventos a serem coletados. Os valores possíveis são Gravação, Exclusão e Ação.

Script de exemplo

Este exemplo de script do PowerShell cria um perfil de log que grava o log de atividades em uma conta de armazenamento e no hub de eventos.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"
$storageAccountName = "<Storage Account name>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

CLI

Se já houver um perfil de log, você precisará removê-lo e depois criar outro.

1. Use az monitor log-profiles list para identificar se já existe um perfil de log.

2. Use az monitor log-profiles delete --name "<log profile name> para remover o perfil de log usando o valor da propriedade name.

3. Use az monitor log-profiles create para criar um perfil de log:

   az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<Event Hub NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
   

   Propriedade	Obrigatório	Descrição
   name	Sim	Nome de seu perfil de log.
   storage-account-id	Sim	A ID de recurso da conta de armazenamento na qual os logs de atividades devem ser salvos.
   locations	Sim	Lista separada por espaço de regiões para as quais você deseja coletar eventos do log de atividades. Veja uma lista de todas as regiões para a assinatura usando az account list-locations --query [].name.
   days	Sim	Número de dias durante os quais os eventos devem ser mantidos, entre 1 e 365. Um valor de zero armazena os logs indefinidamente (para sempre). Se zero, o parâmetro habilitado deverá ser definido como Falso.
   enabled	Sim	Verdadeiro ou falso. Usado para habilitar ou desabilitar a política de retenção. Se for Verdadeiro, o parâmetro days deverá ser um valor maior que zero.
   categories	Sim	Lista separada por espaço de categorias de eventos que devem ser coletadas. Os valores possíveis são Gravação, Exclusão e Ação.

Alterações da estrutura dos dados

A experiência de exportação de logs de atividades envia os mesmos dados que o método herdado usado para enviar o log de atividades, com algumas alterações na estrutura da tabela AzureActivity.

As colunas na tabela a seguir estão preteridas no esquema atualizado. Elas ainda existem no AzureActivity, mas não têm dados. As substituições dessas colunas não são novas, mas elas contêm os mesmos dados da coluna substituída. Elas estão em outro formato, portanto, talvez seja necessário modificar as consultas de log que as utilizam.

JSON do Log de atividades	Nome da coluna do Log Analytics (mais antigo e descontinuado)	Novo nome da coluna do Log Analytics	Anotações
categoria	Categoria	CategoryValue
estado Os valores são êxito, início, aceitação, falha	Status da Atividade Valores iguais aos JSON	ValorDeStatusDeAtividade Os valores são alterados para bem-sucedido, iniciado, aceito, com falha	Os valores válidos mudam conforme mostrado.
subStatus	ActivitySubstatus	ActivitySubstatusValue
Nome da operação	Nome da Operação	OperationNameValue	A API REST localiza o valor do nome da operação. A interface do usuário do Log Analytics sempre aparece em inglês.
nomeProvedorDeRecursos	Fornecedor de Recursos	ValorDoProvedorDeRecursos

Importante

Em alguns casos, os valores nessas colunas podem estar em letras maiúsculas. Se você tiver uma consulta que inclua essas colunas, use o operador =~ para fazer uma comparação que não diferencia maiúsculas de minúsculas.

A seguinte coluna foi adicionada ao AzureActivity no esquema atualizado:

• Authorization_d
• Claims_d
• Properties_d

Próximas etapas

Saiba mais sobre:

• Logs de plataforma
• Esquema de eventos do log de atividades
• Insights do log de atividades