Activity log in Azure Monitor

O registo de atividade do Azure Monitor é um registo de plataforma para eventos do plano de controlo provenientes dos recursos do Azure. Ele inclui informações como quando um recurso é modificado ou quando ocorre um erro de implantação. Use o log de atividades para revisar ou auditar essas informações para os recursos que você monitora ou crie um alerta para ser notificado proativamente quando um evento for criado.

Sugestão

Se foi redirecionado para este artigo devido a um erro de operação de implementação, veja Solucionar problemas comuns de implementação do Azure.

Entradas do registo de atividades

As entradas no registro de atividades são coletadas por padrão, sem nenhuma configuração necessária. Eles são gerados pelo sistema e não podem ser alterados ou excluídos. As entradas são normalmente o resultado de alterações (criar, atualizar, eliminar operações) ou de uma ação que tenha sido iniciada. As operações focadas na leitura de detalhes de um recurso normalmente não são capturadas. Para uma descrição das categorias do registo de atividade, veja Azure esquema de eventos do registo de atividade.

Observação

As operações acima do plano de controlo são registadas em Registos de Recursos do Azure. Eles não são coletados por padrão e exigem que uma configuração de diagnóstico seja coletada.

Período de retenção

Os eventos do registo de atividade são mantidos em Azure durante 90 dias e depois eliminados. Não existem custos associados às entradas durante este período, independentemente do volume. Para obter mais funcionalidades, como retenção mais longa, crie uma configuração de diagnóstico e encaminhe as entradas para outro local com base em suas necessidades.

Exibir e recuperar o registro de atividades

Pode aceder ao registo de atividades a partir da maioria dos menus do portal Azure. O menu a partir do qual você o abre determina seu filtro inicial. Se abrir a partir do menu Monitor, o único filtro estará na assinatura. Se você abri-lo no menu de um recurso, o filtro será definido como esse recurso. Pode sempre alterar o filtro para ver todas as outras entradas. Selecione Adicionar Filtro para adicionar mais propriedades ao filtro.

Captura de ecrã que mostra o registo de atividades.

Você também pode acessar eventos de log de atividades usando os seguintes métodos:

• Use o cmdlet Get-AzLog para recuperar o log de atividades do PowerShell. Veja os exemplos de PowerShell do Azure Monitor.
• Use az monitor activity-log para recuperar o registo de atividades pela CLI. Veja Azure Monitor Exemplos de CLI.

• Use a API REST Azure Monitor para recuperar o registo de atividade de um cliente REST.

Ver o histórico de alterações

Para alguns eventos, pode ver o histórico de alterações, que mostra as alterações ocorridas durante o tempo desse evento. Selecione um evento no registro de atividades que você deseja examinar mais profundamente. Selecione a guia Histórico de alterações para visualizar quaisquer alterações no recurso até 30 minutos antes e depois do horário da operação.

Captura de ecrã que mostra a lista Histórico de alterações de um evento.

Se houver alterações associadas ao evento, você verá uma lista de alterações que pode selecionar. Selecionar uma alteração abre a página Histórico de alterações . Esta página exibe as alterações no recurso. No exemplo a seguir, você pode ver que a VM mudou de tamanho. A página exibe o tamanho da VM antes e depois da alteração. Para saber mais sobre o histórico de alterações, consulte Obter alterações de recursos.

Captura de tela que mostra a página Histórico de alterações mostrando diferenças.

Informações sobre o registo de atividades

Informações do log de atividades é uma pasta de trabalho que oferece um conjunto de dashboards que monitorizam as alterações em recursos e grupos de recursos numa assinatura. Os painéis também apresentam dados sobre quais usuários ou serviços realizaram atividades na assinatura e o status das atividades.

Para ativar insights de registo de atividade, exporte o registo de atividade para um espaço de trabalho Log Analytics conforme descrito em Exportar registo de atividade. Isso envia eventos para a tabela que é usada por análises do registo de atividades.

Captura de tela que mostra os painéis de informações do registro de atividades.

Você pode abrir os insights de registo de atividades ao nível da subscrição ou do recurso. Para a subscrição, selecione Activity Logs Insights na seção Workbooks do menu Monitor.

Captura de tela que mostra como localizar e abrir a pasta de trabalho do Activity Logs Insights em um nível de escala.

Para um recurso individual, selecione Insights de Registos de Atividades na seção Pastas de Trabalho do menu do recurso.

Captura de tela que mostra como localizar e abrir a pasta de trabalho do Activity Logs Insights em um nível de recurso.

Exportar registo de atividades

Crie uma configuração de diagnóstico para enviar entradas do log de atividades para outros destinos, permitindo retenção adicional de tempo e funcionalidade.

Diagrama mostrando a coleção de logs de atividades, logs de recursos e métricas da plataforma.

No portal Azure, selecione Registo de atividade no menu Azure Monitor e depois selecione Exportar Registos de Atividade. Consulte Definições de diagnóstico em Azure Monitor para mais detalhes e métodos para criar definições de diagnóstico. Certifique-se de desativar qualquer configuração herdada para o registro de atividades.

As informações abaixo fornecem mais detalhes sobre os diferentes destinos para os quais os logs de recursos podem ser enviados.

Observação

A forma antiga de exportar o log de atividades é através de perfis de log. Consulte Métodos de coleção herdados.

Espaço de Trabalho do Log Analytics

Envie o registo de atividade para um espaço de trabalho Log Analytics para a seguinte funcionalidade:

• Correlacione logs de atividade com outros dados de log usando consultas de log.
• Crie alertas de log que podem usar uma lógica mais complexa do que os alertas de log de atividades.
• Aceder aos dados do registo de atividade com Power BI.
• Retenha os dados do registro de atividades por mais de 90 dias.

Não há taxas de ingestão de dados para registros de atividades. As taxas de retenção para logs de atividades são aplicadas apenas ao período estendido após o período de retenção padrão de 90 dias. Pode aumentar o período de retenção para até 12 anos.

Os dados do registo de atividade num espaço de trabalho Log Analytics são armazenados numa tabela chamada AzureActivity. A estrutura desta tabela varia dependendo da categoria da entrada de log.

Por exemplo, para exibir uma contagem de registros de log de atividades para cada categoria, use a seguinte consulta:

AzureActivity
| summarize count() by CategoryValue

Para recuperar todos os registros na categoria administrativa, use a seguinte consulta:

AzureActivity
| where CategoryValue == "Administrative"

Importante

Em alguns cenários, é possível que os valores nos campos de possam ter a diferença de maiúsculas ou minúsculas em comparação com os valores equivalentes. Ao consultar dados no , use operadores que não diferenciam maiúsculas de minúsculas para comparações de cadeia de caracteres ou use uma função escalar para forçar um campo a um invólucro uniforme antes de qualquer comparação. Por exemplo, use a função tolower() em um campo para forçá-lo a ser sempre minúsculo ou o operador =~ ao executar uma comparação de cadeia de caracteres.

Hubs de Eventos do Azure

Envie o registo de atividades para o Hubs de Eventos do Azure para enviar entradas fora do Azure, por exemplo, para um SIEM de terceiros ou outras soluções de análise de registos. Os eventos do log de atividades dos hubs de eventos são consumidos no formato JSON com um elemento que contém os registos dentro de cada carga útil. O esquema depende da categoria e é descrito no esquema de eventos do registo de atividade do Azure.

O seguinte exemplo de dados de saída é de centros de eventos para um registo de atividades:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Armazenamento do Azure

Envie o registo de atividade para uma conta Armazenamento do Azure se quiser manter os seus dados de registo por mais de 90 dias para auditoria, análise estática ou cópia de segurança. Se for necessário reter seus eventos por 90 dias ou menos, não será necessário configurar o arquivamento em uma conta de armazenamento.

Quando você envia o log de atividades para o armazenamento, um contêiner de armazenamento é criado na conta de armazenamento assim que ocorre um evento. Os blobs no contêiner usam a seguinte convenção de nomenclatura:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Por exemplo, um blob específico pode ter um nome semelhante a:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Cada blob contém um objeto JSON com eventos de arquivos de log que foram recebidos durante a hora especificada na URL do blob. Durante a hora presente, os eventos são anexados ao arquivo PT1H.json à medida que são recebidos, independentemente de quando foram gerados. O valor de minuto na URL é sempre porque os blobs são criados por hora.

Cada evento é armazenado no arquivo PT1H.json com o seguinte formato. Esse formato usa um esquema de nível superior comum, mas é exclusivo para cada categoria, conforme descrito no esquema do log de atividades.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Registos do grupo de gestão de exportações

Quando crias um registo de definições de diagnóstico para um grupo de gestão, ele exporta quaisquer eventos desse grupo de gestão, além de todos os grupos de gestão dele na hierarquia. Se vários grupos de gestão na hierarquia tiverem definições de diagnóstico, receberá eventos duplicados. Só precisas de ter uma configuração de diagnóstico no grupo de gestão de mais alto nível para captar todos os eventos da hierarquia.

O grupo de administração também irá recolher muitos dos mesmos eventos que quaisquer subscrições sob a sua gestão. Se tanto a subscrição como o grupo de gerenciamento tiverem definições de diagnóstico, receberá eventos duplicados.

Por exemplo, se tiver o MG1 que contém o MG2 que contém a Subscrição1, uma definição de diagnóstico no MG1 capturará todos os eventos do registo de atividades do MG1, do MG2, e muitos dos eventos recolhidos por uma definição de diagnóstico na Subscrição1. Neste caso, não é necessária definição de diagnóstico no MG2, pois apenas recolheria eventos duplicados.

Se tiver eventos duplicados, pode combiná-los usando uma consulta que utiliza um hash de todos os campos para identificar registos únicos. O seguinte exemplo de consulta Kusto mostra um exemplo para registos recolhidos num espaço de trabalho Log Analytics:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Exportar para CSV

Selecione Download como CSV para exportar o registo de atividade para um ficheiro CSV usando o portal Azure.

Captura de tela que mostra a opção de exportar para CSV.

Importante

A exportação pode levar um tempo excessivo se você tiver um grande número de entradas de log. Para melhorar o desempenho, reduza o intervalo de tempo da exportação. No portal de Azure, isto está definido com a definição Timespan.

Também pode exportar o registo de atividade para um ficheiro CSV usando PowerShell ou a CLI do Azure, como nos exemplos seguintes.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

O exemplo de script PowerShell a seguir exporta o log de atividades para arquivos CSV em intervalos de uma hora, cada um sendo salvo em um arquivo separado.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Identificar criação de recursos

Uma das utilizações comuns do registo de atividades é determinar quando um recurso foi criado e quem o criou. O registo de atividades é o único local onde o criador de um recurso é armazenado. Como o registo de atividade é mantido durante 90 dias, só pode encontrar o criador de um recurso se este tiver sido criado nos últimos 90 dias.

Como descrito acima, exporte o registo de atividade para um espaço de trabalho do Log Analytics para uma retenção mais longa. Neste caso, pode encontrar o criador de um recurso consultando a tabela, e os dados são mantidos desde que especifique o período de retenção dessa tabela.

Próximos passos

Saiba mais sobre:

• Esquema de eventos do log de atividades
• Logs de recursos
• Configurações de diagnóstico