Azure İzleyici Etkinlik günlüğü verilerini gönderme

Azure İzleyici Etkinlik Günlüğü, abonelik düzeyi olaylar hakkında içgörü sağlayan bir platform günlüğüdür. Etkinlik Günlüğü, bir kaynağın ne zaman değiştirildiği veya sanal makinenin başlatılmış olduğu gibi bilgileri içerir. Etkinlik Günlüğünü Azure portalında görüntüleyebilir veya PowerShell ve Azure CLI ile girdileri alabilirsiniz. Bu makalede, Etkinlik Günlüğü'nü görüntüleme ve farklı hedeflere gönderme hakkında bilgi sağlanır.

Etkinlik Günlüğünü şu konumlardan birine veya daha fazlasına göndermek için bir tanılama ayarı oluşturun:

• Daha karmaşık sorgulama ve uyarı için Log Analytics çalışma alanı
• Azure Event Hubs kullanarak günlükleri Azure dışına iletmek.
• Daha ucuz, uzun süreli arşivleme için Azure Depolama .

Tanılama ayarı oluşturma hakkında ayrıntılı bilgi için Farklı hedeflere platform günlüklerini ve ölçümlerini göndermek üzere tanılama ayarları oluşturma'ya bakın.

Tavsiye

Aşağıdaki avantajlar için Etkinlik Günlüklerini Log Analytics çalışma alanına gönderin:

• Günlükleri Log Analytics çalışma alanına göndermek, varsayılan saklama süresi için ücretsizdir.
• 12 yıla kadar daha uzun süre bekletmek için günlükleri Log Analytics çalışma alanına gönderin.
• Log Analytics çalışma alanına aktarılan günlükler Power BI'da gösterilebilir
• Log Analytics'e dışarı aktarılan Etkinlik Günlükleri için içgörüler sağlanır.

Uyarı

• Etkinlik Günlüğündeki girdiler sistem tarafından oluşturulur ve değiştirilemez veya silinemez.
• Etkinlik Günlüğündeki girdiler, sanal makine yeniden başlatması gibi denetim düzlemi değişikliklerini temsil eder, ilgili olmayan tüm girdiler Azure Kaynak Günlüklerine yazılmalıdır
• Etkinlik Günlüğündeki girdiler genellikle değişikliklerin (oluşturma, güncelleştirme veya silme işlemlerinin) veya başlatılmış bir eylemin sonucu olur. Bir kaynağın ayrıntılarını okumaya odaklanan işlemler genellikle yakalanmaz.

Log Analytics çalışma alanına gönderme

Etkinlik günlüğünü Log Analytics çalışma alanına göndererek Azure İzleyici Günlükleri özelliğini etkinleştirin. Burada:

• Etkinlik günlüğü verilerini Azure İzleyici tarafından toplanan diğer izleme verileriyle ilişkilendirin.
• Birden çok Azure aboneliğinden ve kiracıdan kayıt girdilerini tek bir konumda birleştirerek birlikte analiz edin.
• Günlük sorgularını kullanarak karmaşık analiz gerçekleştirin ve etkinlik günlüğü girdileri hakkında ayrıntılı içgörüler elde edin.
• Daha karmaşık uyarı mantığı için etkinlik girdilerini kullanarak günlük araması uyarılarına başvurun.
• Etkinlik günlüğü girdilerini etkinlik günlüğü saklama süresinden daha uzun süre depolayın.
• Log Analytics çalışma alanında depolanan etkinlik günlüğü verileri için veri alımı veya saklama ücreti alınmaz.
• Log Analytics'te varsayılan saklama süresi 90 gündür

Etkinlik günlüğünü Log Analytics çalışma alanına göndermek için Etkinlik Günlüklerini Dışarı Aktar'ı seçin.

Etkinlik günlüğünü herhangi bir abonelikten en fazla beş çalışma alanına gönderebilirsiniz.

Log Analytics çalışma alanındaki etkinlik günlüğü verileri, AzureActivity adlı bir tabloda depolanır ve Log Analytics'te günlük sorgusuyla alınabilir. Bu tablonun yapısı günlük girdisinin kategorisine bağlı olarak değişir. Tablo özelliklerinin açıklaması için bkz Azure İzleyici veri başvurusu.

Örneğin, her kategori için etkinlik günlüğü kayıtlarının sayısını görüntülemek için aşağıdaki sorguyu kullanın:

AzureActivity
| summarize count() by CategoryValue

Yönetim kategorisindeki tüm kayıtları almak için aşağıdaki sorguyu kullanın:

AzureActivity
| where CategoryValue == "Administrative"

Önemli

Bazı senaryolarda, AzureActivity alanlarındaki değerlerin diğer eşdeğer değerlerden farklı büyük/küçük harfe sahip olması mümkündür. AzureActivity'de veri sorgularken, dize karşılaştırmaları için büyük/küçük harfe duyarsız işleçler kullanmaya dikkat edin veya karşılaştırmalardan önce bir alanı standart bir büyük/küçük harf biçimine dönüştürmek için bir skaler işlev kullanın. Örneğin, bir alanın her zaman küçük harfli olmasını sağlamak için tolower() işlevini veya bir dize karşılaştırması gerçekleştirirken =~ operatörünü kullanın.

Azure Event Hubs’a gönderme

Etkinlik günlüğünü Azure Event Hubs'a göndererek girdileri Azure'ın dışında, örneğin üçüncü taraf bir SIEM'ye veya diğer log analytics çözümlerine gönderin. Olay hub'larından etkinlik günlüğü olayları, her yükteki kayıtları içeren bir records öğeyle JSON biçiminde tüketilir. Şema kategoriye bağlıdır ve Azure etkinlik günlüğü olay şemasında açıklanmıştır.

Aşağıdaki örnek çıktı verileri etkinlik günlüğü için olay hub'larından alınmaktadır:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Azure Depolama’ya gönderme

Günlük verilerinizi denetim, statik analiz veya yedekleme için 90 günden daha uzun süre saklamak istiyorsanız etkinlik günlüğünü bir Azure Depolama hesabına gönderin. Etkinliklerinizi 90 gün veya daha kısa süre saklamanız gerekiyorsa, depolama hesabına arşivleme ayarlamanız gerekmez. Etkinlik günlüğü olayları Azure platformunda 90 gün boyunca saklanır.

Etkinlik günlüğünü Azure'a gönderdiğinizde, bir olay gerçekleşir gerçekleşmez depolama hesabında bir depolama kapsayıcısı oluşturulur. Kapsayıcıdaki bloblar aşağıdaki adlandırma kuralını kullanır:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Örneğin, belirli bir blob şuna benzer bir adı olabilir.

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Her PT1H.json blobu, blob URL'sinde belirtilen saat içinde alınan günlük dosyalarından olaylar içeren bir JSON nesnesi içerir. Şu saat içinde olaylar, oluşturulma zamanlarından bağımsız olarak alındıklarında PT1H.json dosyasına eklenir. URL'deki dakika değeri, bloblar her saat başı oluşturulduğundan dolayı daima m=00 olarak 00 şeklindedir.

Her olay aşağıdaki biçimde PT1H.json dosyasında depolanır. Bu biçim ortak bir üst düzey şema kullanır, ancak Etkinlik günlüğü şemasında açıklandığı gibi her kategori için benzersizdir.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Etkinlik günlüğü olaylarını almak için diğer yöntemler

Etkinlik günlüğü olaylarına aşağıdaki yöntemleri kullanarak da erişebilirsiniz:

• PowerShell'den etkinlik günlüğünü almak için Get-AzLog cmdlet'ini kullanın. Bkz. Azure İzleyici PowerShell örnekleri.
• CLI'dan etkinlik günlüğünü almak için az monitor activity-log komutunu kullanın. Bkz. Azure İzleyici CLI örnekleri.
• REST istemcilerinden etkinlik günlüğünü almak için Azure İzleyici REST API'sini kullanın.

Eski toplama yöntemleri

Uyarı

• Etkinlik Günlüklerini Azure Log Analytics'e iletmek için Azure Etkinlik günlükleri çözümü kullanıldı. Bu çözüm 15 Eylül 2026'da kullanımdan kaldırılıyor ve otomatik olarak Tanılama ayarlarına dönüştürülecek.

Eski toplama yöntemini kullanarak etkinlik günlüklerini topluyorsanız etkinlik günlüklerini Log Analytics çalışma alanınıza aktarmanızı ve Veri Kaynakları - Silme API'sini kullanarak eski koleksiyonu devre dışı bırakmanızı öneririz:

1. Veri Kaynakları - Çalışma Alanına Göre Listele API'sini kullanarak çalışma alanına bağlı tüm veri kaynaklarını listeleyin ve ayarlayarak kind eq 'AzureActivityLog'etkinlik günlüklerini filtreleyin.

   

2. API yanıtından devre dışı bırakmak istediğiniz bağlantının adını kopyalayın.

   

3. Belirli bir kaynak için etkinlik günlüklerini toplamayı durdurmak için Veri Kaynakları - Silme API'sini kullanın.

   

Eski Günlük Profillerini Yönetme - geri alma

Uyarı

• Günlük Profilleri, Etkinlik Günlüklerini depolama hesaplarına ve Event Hubs'a iletmek için kullanılır. Bu yöntem 15 Eylül 2026'da kullanımdan kaldırılıyor.
• Bu yöntemi kullanıyorsanız, 15 Eylül 2025 tarihinden önce Yeni Günlük Profilleri oluşturmayı durdurduğumuzda Tanılama Ayarları'na geçin.

Günlük profilleri, etkinlik günlüğünü depolamaya veya olay hub'larına göndermek için kullanılan eski yöntemdir. Bu yöntemi kullanıyorsanız, kaynak günlükleriyle daha iyi işlevsellik ve tutarlılık sağlayan Tanılama Ayarları'na geçin.

PowerShell

Bir günlük profili zaten varsa, önce mevcut günlük profilini kaldırmanız ve ardından yeni bir tane oluşturmanız gerekir.

1. Get-AzLogProfile bir günlük profili olup olmadığını belirlemek için kullanın. Günlük profili varsa Name özelliğini not edin.

2. Remove-AzLogProfile değerini kullanarak Name özelliğinden günlük profilini kaldırın.

   # For example, if the log profile name is 'default'
   Remove-AzLogProfile -Name "default"
   

3. Yeni bir günlük profili oluşturmak için kullanın Add-AzLogProfile :

   Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
   

   Mülkiyet	Gerekli	Açıklama
   İsim	Evet	Günlük profilinizin adı.
   DepolamaHesapKimliği	Hayı	Etkinlik günlüğünün kaydedilmesi gereken depolama hesabının kaynak kimliği.
   servisOtobüsKuralId	Hayı	Olay hub'larının oluşturulmasını istediğiniz Service Bus ad alanının Service Bus Kural Kimliği. Bu dize biçimindedir {service bus resource ID}/authorizationrules/{key name}.
   Yer	Evet	Etkinlik günlüğü olaylarını toplamak istediğiniz bölgelerin virgülle ayrılmış listesi.
   RetentionInDays	Evet	1 ile 365 arasında depolama hesabında olayların saklanması gereken gün sayısı. Sıfır değeri günlükleri süresiz olarak depolar.
   Kategori	Hayı	Toplanacak olay kategorilerinin virgülle ayrılmış listesi. Olası değerler Yazma, Silme ve Eylem'tir.

Örnek betik

Bu örnek PowerShell betiği, etkinlik günlüğünü hem depolama hesabına hem de olay hub'ına yazan bir günlük profili oluşturur.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"
$storageAccountName = "<Storage Account name>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

CLI

Bir günlük profili zaten varsa, önce mevcut günlük profilini kaldırmanız ve ardından bir günlük profili oluşturmanız gerekir.

1. Bir günlük profili olup olmadığını belirlemek için kullanın az monitor log-profiles list .

2. Kullanıcı profilini name özelliğindeki değeri kullanarak kaldırmak için az monitor log-profiles delete --name "<log profile name> kullanın.

3. az monitor log-profiles create kullanarak bir günlük profili oluşturun.

   az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<Event Hub NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
   

   Mülkiyet	Gerekli	Açıklama
   name	Evet	Log profilinizin adı.
   storage-account-id	Evet	Etkinlik günlüklerinin kaydedilmesi gereken depolama hesabının kaynak kimliği.
   locations	Evet	Etkinlik günlüğü olaylarını toplamak istediğiniz bölgelerin boşlukla ayrılmış listesi. kullanarak az account list-locations --query [].nameaboneliğinizin tüm bölgelerinin listesini görüntüleyin.
   days	Evet	1 ile 365 arasında olayların saklanması gereken gün sayısı. Sıfır değeri günlükleri süresiz olarak (sonsuza kadar) depolar. Sıfır ise, etkin parametre False olarak ayarlanmalıdır.
   enabled	Evet	Doğru veya Yanlış. Bekletme ilkesini etkinleştirmek veya devre dışı bırakmak için kullanılır. True ise parametresi sıfırdan days büyük bir değer olmalıdır.
   categories	Evet	Toplanması gereken olay kategorilerinin boşlukla ayrılmış listesi. Olası değerler Yazma, Silme ve Eylem'tir.

Veri yapısı değişiklikleri

Dışarı aktarma etkinlik günlükleri deneyimi, tablonun yapısında AzureActivity bazı değişiklikler içeren etkinlik günlüğünü göndermek için kullanılan eski yöntemle aynı verileri gönderir.

Aşağıdaki tablodaki sütunlar güncelleştirilmiş şemada kullanım dışı bırakılmıştır. Bunlar hala içinde AzureActivitybulunur, ancak veriye sahip değildir. Bu sütunların yerine geçenler yeni değildir, ancak kullanım dışı bırakılmış sütunla aynı verileri içerir. Bunlar farklı bir biçimde olduğundan, bunları kullanan günlük sorgularını değiştirmeniz gerekebilir.

Etkinlik günlüğü JSON	Log Analytics sütun adı (eski kullanım dışı)	Yeni Log Analytics sütun adı	Notes
kategori	Kategori	Kategori Değeri
statü Değerler başarılı, başlangıç, kabul, başarısızlık	Aktivite Durumu JSON ile aynı değerler	Aktivite Durum Değeri Değerler başarılı, başlatıldı, kabul edildi, başarısız olarak değişir	Geçerli değerler gösterildiği gibi değişir.
subStatus	Faaliyet Alt Durumu	EtkinlikAltdurumDeğeri
İşlem Adı	Operasyon İsmi	İşlemAdıDeğeri	REST API, işlem adı değerini yerelleştirir. Log Analytics kullanıcı arabirimi her zaman İngilizce gösterir.
kaynak sağlayıcı adı	Kaynak Sağlayıcı	Kaynak Sağlayıcı Değeri

Önemli

Bazı durumlarda, bu sütunlardaki değerlerin tümü büyük harf olabilir. Bu sütunları içeren bir sorgunuz varsa, büyük/küçük harfe duyarlı olmayan bir karşılaştırma yapmak için =~ işlecini kullanın.

Güncelleştirilmiş şemaya AzureActivity aşağıdaki sütunlar eklenmiştir:

• Yetkilendirme_d
• Talepler_d
• Özellikler_d

Sonraki Adımlar

Şu konularda daha fazla bilgi edinin:

• Platform günlükleri
• Etkinlik günlüğü olay şeması
• Etkinlik günlüğü içgörüleri