Azure Monitor-aktivitetslogg

Azure Monitor-aktivitetsloggen är en plattformslogg i Azure som ger insikter om händelser på prenumerationsnivå. Aktivitetsloggen innehåller information som när en resurs ändras eller en virtuell dator startas. Du kan visa aktivitetsloggen i Azure Portal eller hämta poster med PowerShell och Azure CLI. Den här artikeln innehåller information om hur du visar aktivitetsloggen och skickar den till olika mål.

Om du vill ha fler funktioner skapar du en diagnostikinställning för att skicka aktivitetsloggen till en eller flera av dessa platser av följande skäl:

  • Skicka till Azure Monitor-loggar för mer komplexa frågor och aviseringar och för längre kvarhållning, upp till två år.
  • Skicka till Azure Event Hubs för att vidarebefordra utanför Azure.
  • Skicka till Azure Storage för billigare och långsiktig arkivering.

Mer information om hur du skapar en diagnostikinställning finns i Skapa diagnostikinställningar för att skicka plattformsloggar och mått till olika mål.

Anteckning

Poster i aktivitetsloggen genereras av systemet och kan inte ändras eller tas bort.

Kvarhållningsperiod

Aktivitetslogghändelser behålls i Azure i 90 dagar och tas sedan bort. Det kostar inget för poster under den här tiden oavsett volym. Om du vill ha fler funktioner, till exempel längre kvarhållning, skapar du en diagnostikinställning och dirigerar posterna till en annan plats baserat på dina behov. Se villkoren i föregående avsnitt.

Visa aktivitetsloggen

Du kan komma åt aktivitetsloggen från de flesta menyer i Azure Portal. Startfiltret beror på vilken meny du öppnar loggen från. Om du öppnar den från monitormenyn finns det enda filtret i prenumerationen. Om du öppnar den från en resursmeny är filtret inställt på den resursen. Du kan alltid ändra filtret för att visa alla andra poster. Välj Lägg till filter för att lägga till fler egenskaper i filtret.

Skärmbild som visar aktivitetsloggen.

En beskrivning av aktivitetsloggkategorier finns i Händelseschema för Azure-aktivitetslogg.

Ladda ned aktivitetsloggen

Välj Ladda ned som CSV för att ladda ned händelserna i den aktuella vyn.

Skärmbild som visar nedladdning av aktivitetsloggen.

Visa ändringshistorik

För vissa händelser kan du se ändringshistoriken, som visar vilka ändringar som gjorts under händelsetiden. Välj en händelse i aktivitetsloggen som du vill titta närmare på. Välj fliken Ändringshistorik (förhandsversion) om du vill visa eventuella ändringar som är associerade med händelsen.

Skärmbild som visar listan Ändra historik för en händelse.

Om några ändringar är associerade med händelsen visas en lista över ändringar som du kan välja. Om du väljer en ändring öppnas sidan Ändringshistorik (förhandsversion). På den här sidan visas ändringarna i resursen. I följande exempel kan du se att den virtuella datorn har ändrat storlek. Sidan visar storleken på den virtuella datorn före ändringen och efter ändringen. Mer information om ändringshistorik finns i Hämta resursändringar.

Skärmbild som visar sidan Ändringshistorik som visar skillnader.

Andra metoder för att hämta aktivitetslogghändelser

Du kan också komma åt aktivitetslogghändelser med hjälp av följande metoder:

Skicka till Log Analytics-arbetsytan

Skicka aktivitetsloggen till en Log Analytics-arbetsyta för att aktivera funktionen Azure Monitor-loggar , där du:

  • Korrelera aktivitetsloggdata med andra övervakningsdata som samlas in av Azure Monitor.
  • Konsolidera loggposter från flera Azure-prenumerationer och klientorganisationer till en plats för analys tillsammans.
  • Använd loggfrågor för att utföra komplex analys och få djupgående insikter om aktivitetsloggposter.
  • Använd loggaviseringar med aktivitetsposter för mer komplex aviseringslogik.
  • Lagra aktivitetsloggposter längre än kvarhållningsperioden för aktivitetsloggen.
  • Medför inga datainmatnings- eller kvarhållningsavgifter för aktivitetsloggdata som lagras på en Log Analytics-arbetsyta.
  • Standardkvarhållningsperioden i Log Analytics är 90 dagar

Välj Exportera aktivitetsloggar för att skicka aktivitetsloggen till en Log Analytics-arbetsyta.

Skärmbild som visar export av aktivitetsloggar.

Du kan skicka aktivitetsloggen från en enskild prenumeration till upp till fem arbetsytor.

Aktivitetsloggdata på en Log Analytics-arbetsyta lagras i en tabell med namnet AzureActivity som du kan hämta med en loggfråga i Log Analytics. Strukturen i den här tabellen varierar beroende på kategorin för loggposten. En beskrivning av tabellegenskaperna finns i datareferensen för Azure Monitor.

Om du till exempel vill visa antalet aktivitetsloggposter för varje kategori använder du följande fråga:

AzureActivity
| summarize count() by CategoryValue

Om du vill hämta alla poster i den administrativa kategorin använder du följande fråga:

AzureActivity
| where CategoryValue == "Administrative"

Skicka till Azure Event Hubs

Skicka aktivitetsloggen till Azure Event Hubs för att skicka poster utanför Azure, till exempel till en SIEM från tredje part eller andra log analytics-lösningar. Aktivitetslogghändelser från händelsehubbar används i JSON-format med ett records element som innehåller posterna i varje nyttolast. Schemat beror på kategorin och beskrivs i händelseschemat för Azure-aktivitetsloggen.

Följande exempeldata kommer från händelsehubbar för en aktivitetslogg:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Skicka till Azure Storage

Skicka aktivitetsloggen till ett Azure Storage-konto om du vill behålla dina loggdata längre än 90 dagar för granskning, statisk analys eller säkerhetskopiering. Om du måste behålla dina händelser i 90 dagar eller mindre behöver du inte konfigurera arkivering till ett lagringskonto. Aktivitetslogghändelser behålls på Azure-plattformen i 90 dagar.

När du skickar aktivitetsloggen till Azure skapas en lagringscontainer i lagringskontot så snart en händelse inträffar. Blobarna i containern använder följande namngivningskonvention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

En viss blob kan till exempel ha ett namn som liknar:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Varje PT1H.json-blob innehåller en JSON-blob med händelser som inträffat inom den timme som anges i blob-URL:en, till exempel h=12. Under den aktuella timmen läggs händelser till i filen PT1H.json allt eftersom de inträffar. Minutvärdet (m=00) är alltid 00 eftersom resurslogghändelser delas upp i enskilda blobar per timme.

Varje händelse lagras i FILEN PT1H.json med följande format. Det här formatet använder ett vanligt schema på toppnivå men är i övrigt unikt för varje kategori, enligt beskrivningen i Aktivitetsloggschema.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Äldre samlingsmetoder

Om du samlar in aktivitetsloggar med den äldre insamlingsmetoden rekommenderar vi att du exporterar aktivitetsloggar till Log Analytics-arbetsytan och inaktiverar den äldre samlingen med hjälp av API:et Datakällor – Ta bort på följande sätt:

  1. Visa en lista över alla datakällor som är anslutna till arbetsytan med hjälp av API:et Datakällor – Lista efter arbetsyta och filtrera efter aktivitetsloggar genom att ange filter=kind='AzureActivityLog'.

    Skärmbild som visar konfigurationen av API:et Datakällor – Lista efter arbetsyta.

  2. Kopiera namnet på den anslutning som du vill inaktivera från API-svaret.

    Skärmbild som visar den anslutningsinformation som du behöver kopiera från utdata från API:et Datakällor – Lista efter arbetsyta.

  3. Använd Datakällor – Ta bort API för att sluta samla in aktivitetsloggar för den specifika resursen.

    Skärmbild av konfigurationen av DATAkällor – Ta bort API.

Hantera äldre loggprofiler

Loggprofiler är den äldre metoden för att skicka aktivitetsloggen till lagrings- eller händelsehubbar. Om du använder den här metoden bör du överväga att övergå till diagnostikinställningar, vilket ger bättre funktionalitet och konsekvens med resursloggar.

Om det redan finns en loggprofil måste du först ta bort den befintliga loggprofilen och sedan skapa en ny.

  1. Använd Get-AzLogProfile för att identifiera om det finns en loggprofil. Observera egenskapen Name om det finns en loggprofil.

  2. Använd Remove-AzLogProfile för att ta bort loggprofilen med hjälp av värdet från Name egenskapen .

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Använd Add-AzLogProfile för att skapa en ny loggprofil:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    Egenskap Krävs Beskrivning
    Name Yes Namnet på din loggprofil.
    StorageAccountId No Resurs-ID för lagringskontot där aktivitetsloggen ska sparas.
    serviceBusRuleId No Service Bus-regel-ID för Service Bus-namnområdet där du vill att händelsehubbar ska skapas. Den här strängen har formatet {service bus resource ID}/authorizationrules/{key name}.
    Plats Ja Kommaavgränsad lista över regioner som du vill samla in aktivitetslogghändelser för.
    RetentionInDays Yes Antal dagar för vilka händelser ska behållas i lagringskontot, från 1 till 365. Värdet noll lagrar loggarna på obestämd tid.
    Kategori No Kommaavgränsad lista över händelsekategorier som ska samlas in. Möjliga värden är Skriv, Ta bort och Åtgärd.

Exempelskript

Det här PowerShell-exempelskriptet skapar en loggprofil som skriver aktivitetsloggen till både ett lagringskonto och en händelsehubb.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Ändringar i datastrukturen

Funktionen Exportera aktivitetsloggar skickar samma data som den äldre metoden som används för att skicka aktivitetsloggen med vissa ändringar i tabellens AzureActivity struktur.

Kolumnerna i följande tabell har blivit inaktuella i det uppdaterade schemat. De finns fortfarande i AzureActivity, men de har inga data. Ersättningarna för dessa kolumner är inte nya, men de innehåller samma data som den inaktuella kolumnen. De har ett annat format, så du kan behöva ändra loggfrågor som använder dem.

JSON för aktivitetslogg Log Analytics-kolumnnamn
(äldre inaktuell)
Nytt Log Analytics-kolumnnamn Kommentarer
category Kategori CategoryValue
status

Värdena är lyckade, startar, accepterar, misslyckas
ActivityStatus

Värden samma som JSON
ActivityStatusValue

Värden ändras till lyckades, startades, accepterades, misslyckades
Giltiga värden ändras enligt bilden.
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue REST API lokaliserar värdet för åtgärdsnamn. Log Analytics-användargränssnittet visar alltid engelska.
resourceProviderName ResourceProvider ResourceProviderValue

Viktigt

I vissa fall kan värdena i dessa kolumner vara versaler. Om du har en fråga som innehåller dessa kolumner använder du operatorn =~ för att göra en skiftlägesokänslig jämförelse.

Följande kolumner har lagts till AzureActivity i i det uppdaterade schemat:

  • Authorization_d
  • Claims_d
  • Properties_d

Aktivitetslogginsikter

Med aktivitetslogginsikter kan du visa information om ändringar i resurser och resursgrupper i en prenumeration. Instrumentpanelerna visar också data om vilka användare eller tjänster som utförde aktiviteter i prenumerationen och aktiviteternas status. Den här artikeln beskriver hur du visar aktivitetslogginsikter i Azure Portal.

Innan du använder aktivitetslogginsikter måste du aktivera att loggar skickas till Log Analytics-arbetsytan.

Hur fungerar aktivitetslogginsikter?

Aktivitetsloggar som du skickar till en Log Analytics-arbetsyta lagras i en tabell med namnet AzureActivity.

Aktivitetslogginsikter är en kuraterad Log Analytics-arbetsbok med instrumentpaneler som visualiserar data i AzureActivity tabellen. Data kan till exempel innehålla vilka administratörer som har tagit bort, uppdaterat eller skapat resurser och om aktiviteterna misslyckades eller lyckades.

Skärmbild som visar instrumentpaneler för aktivitetslogginsikter.

Visa aktivitetslogginsikter: Resursgrupp eller prenumerationsnivå

Så här visar du aktivitetslogginsikter på en resursgrupp eller prenumerationsnivå:

  1. I Azure Portal väljer du Övervaka>arbetsböcker.

  2. I avsnittet Insikter väljer du Aktivitetsloggar Insikter.

    Skärmbild som visar hur du hittar och öppnar arbetsboken Aktivitetsloggar Insights på skalningsnivå.

  3. Längst upp på sidan Aktivitetsloggar Insights väljer du:

    1. En eller flera prenumerationer från listrutan Prenumerationer .
    2. Resurser och resursgrupper från listrutan CurrentResource .
    3. Ett tidsintervall för vilket du vill visa data från listrutan TimeRange .

Visa aktivitetslogginsikter för alla Azure-resurser

Anteckning

Application Insights-resurser stöds för närvarande inte för den här arbetsboken.

Så här visar du aktivitetslogginsikter på resursnivå:

  1. I Azure Portal går du till resursen och väljer Arbetsböcker.

  2. I avsnittet Aktivitetsloggar Insights väljer du Aktivitetsloggar Insikter.

    Skärmbild som visar hur du hittar och öppnar arbetsboken Aktivitetsloggar Insights på resursnivå.

  3. Längst upp på sidan Aktivitetsloggar Insights väljer du ett tidsintervall för vilket data ska visas i listrutan TimeRange :

    • Azure-aktivitetsloggposter visar antalet aktivitetsloggposter i varje aktivitetsloggkategori.

      Skärmbild som visar Azure-aktivitetsloggar efter kategorivärde.

    • Aktivitetsloggar efter status visar antalet aktivitetsloggposter i varje status.

      Skärmbild som visar Azure-aktivitetsloggar efter status.

    • På prenumerations- och resursgruppsnivå visar aktivitetsloggar efter resurs - och aktivitetsloggar efter resursprovider antalet aktivitetsloggposter för varje resurs och resursprovider.

      Skärmbild som visar Azure-aktivitetsloggar efter resurs.

Nästa steg