Azure İzleyici etkinlik günlüğü

Azure İzleyici, etkinlik günlüğü özelliği aracılığıyla Azure kaynaklarınız için yönetim işlemlerini kaydeder. Etkinlik günlüğü, sanal makine oluşturma, anahtar kasası erişim ilkesini değiştirme veya Resource Manager dağıtım hataları gibi işlemleri kaydeder. Bu yönetim işlemlerine denetim düzlemi işlemleri de denir. Bu bilgileri gözden geçirmek veya denetlemek için etkinlik günlüğünü kullanın ya da bir olay oluştuğunda proaktif olarak bilgilendirilecek bir uyarı oluşturun.

Etkinlik günlüğünün aksine Azure kaynak günlükleri bir kaynak içinde gerçekleştirilen data plane işlemlerini yakalar. Örneğin, bu işlemler bir anahtar kasasından gizli dizi almayı veya veritabanına istekte bulunmayı içerir. Kaynak günlükleri varsayılan olarak toplanmaz ve bir tanılama ayarıyla yapılandırma gerektirir.

Tavsiye

Bir dağıtım işlemi hatası sizi bu makaleye yönlendirirse bkz. Yaygın Azure dağıtım hatalarını giderme.

Etkinlik günlüğü girişleri

Azure İzleyici, etkinlik günlüğü girdilerini varsayılan olarak gerekli yapılandırma olmadan toplar. Sistem bu girdileri oluşturur ve değiştiremez veya silemezsiniz. Girişler genellikle değişikliklerden (oluşturma, güncelleştirme ve silme işlemleri) veya başlatılan bir eylemden kaynaklanır. Etkinlik günlüğü genellikle okuma işlemlerini yakalamaz.

Etkinlik günlüğü girişleri genellikle olayın gerçekleştiği 3-20 dakika içinde analiz ve uyarı için kullanılabilir. Etkinlik günlüğü kategorilerinin açıklaması için bkz. Azure etkinlik günlüğü olay şeması.

Bekletme süresi

Azure etkinlik günlüğü olaylarını 90 gün boyunca tutar ve ardından siler. Hacimden bağımsız olarak, bu süre boyunca girişler için ücret alınmaz. Daha uzun saklama gibi daha fazla işlevsellik için bir tanılama ayarı oluşturun ve girdileri gereksinimlerinize göre başka bir konumda toplayın . Bekletme süresini uzatmanın en yaygın nedenlerinden biri, yalnızca etkinlik günlüğünde bulunan kaynak oluşturucu bilgilerini korumaktır.

Etkinlik günlüğünü görüntüleme ve alma

Abonelik, kaynak grubu veya tek bir kaynak için etkinlik günlüğü olaylarını görüntüleyin. Azure portalını kullanın veya Activity Log REST API kullanarak bunları program aracılığıyla sorgular.

Azure portalı, çoğu hizmet menüsünden Etkinlik günlüğü panelini sağlar. Bu alanların her biri REST ile veya belirli Azure CLI ve Azure PowerShell komutları aracılığıyla programlı erişimi de destekler.

Alınacak olayların zaman aralığını belirtin. REST API kullanarak olayları almak için parametresini $filter en az bir eventTimestamp başlangıç değeriyle birlikte eklemeniz gerekir. Varsayılan olarak, etkinlik günlüğü olayları 90 gün boyunca saklar. Zaman aralığınızın hem başlangıç hem de bitişinin bu 90 günlük süre içinde olduğundan emin olun.

Etkinlik günlüğü erişim senaryoları

Azure portal ve programatik olarak Azure CLI, Azure PowerShell ve REST API kullanarak etkinlik günlüğü olaylarına erişmenin ve almanın farklı yollarını gösteren yaygın senaryolar aşağıdaki bölümlerde sunulmaktadır.

Azure portal örnekleri, bu görünümde ne tür olaylar bekleyebileceğinize dair ek bağlam sağlar.
Azure CLI örnekleri, az monitor activity-log list komutu aracılığıyla kullanılabilen belirli komutları vurgular.
Azure PowerShell örnekleri, Get-AzActivityLog komutu aracılığıyla kullanılabilen belirli cmdlet'leri vurgular.

REST API örnekleri, Etkinlik Günlüğü REST API'siyle gerekli $filter parametreyi kullanarak olayların nasıl alınacağını gösterir. Örnekler ayrıca istemciniz için zaman aşımını, etkinlik günlüğü REST API'sinin 75 saniyelik maksimum zaman aşımı süresiyle eşleşecek şekilde, üst bilgi üzerinden açıkça nasıl ayarlamanız gerektiğiniPrefer gösterir.

Desteklenen `$filter` desenler	Ayrıntılar
zaman aralığına sahip varsayılan abonelik	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'`
kaynak grubu	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceGroupName eq '{resourceGroupName}'`
belirli bir kaynak	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceUri eq '{resourceURI}'`
kaynak sağlayıcısı	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceProvider eq '{resourceProviderName}'`
eşleştirme kimliği	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and correlationId eq '{correlationID}'`

Abonelik için etkinlik günlüğü olaylarını listeleme

Abonelik düzeyi olayları, doğrudan kaynak sağlayıcıları tarafından oluşturulan olayları yakalar ve etkinlik günlüğü olaylarını listelemek için varsayılan kapsamdır. Kiracı düzeyi ve yönetim grubu düzeyindeki olaylar yalnızca bu hiyerarşilerdeki Azure Resource Manager olaylarını yakalar. Bu üst düzey kapsamlar, Azure Resource Manager işlemleri dışındaki kaynak sağlayıcıları tarafından doğrudan oluşturulan olayları içermez.

Aşağıdaki örnek belirli bir zaman aralığında bir abonelik için etkinlik günlüğü olaylarını alır.

Etkinlik günlüğünü açtığınız menü ilk filtresini belirler. İzleyici menüsünden açarsanız, varsayılan olarak seçilen tek filtre aboneliktir. Bu, Abonelikler> aboneliği seçtikten sonra >Etkinlik Günlüğü'nü açmakla aynıdır.

az monitor activity-log list Azure CLI komutunu kullanarak belirtilen zaman aralığındaki bir aboneliğin etkinlik günlüğü olaylarını alın. Varsayılan olarak, bu komut şu anda Azure CLI bağlamında ayarlanmış olan abonelik için olayları alır. Bir aboneliği açıkça belirtmek için aşağıdaki örnekte gösterildiği gibi parametresini kullanın --subscription .

az monitor activity-log list --offset 14d --subscription "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"

Etkinlik günlüğü olaylarını listelemek için Etkinlik GET yönelik bu isteği kullanın.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-14T23:59:59Z'

Azure PowerShell belirtilen zaman aralığındaki bir aboneliğin etkinlik günlüğü olaylarını almak için Get-AzActivityLog cmdlet'ini sağlar.

$subscriptionId = 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'

Set-AzContext -Subscription $subscriptionId

$activityLogParams = @{
    StartTime = (Get-Date).AddDays(-14)
    EndTime   = Get-Date
}

Get-AzActivityLog @activityLogParams

Kaynak grubu için etkinlik günlüğü olaylarını listeleme

Belirli bir kaynak grubuna özgü Azure İzleyici etkinlik günlüğü sonuçlarını sınırlandırmak için resourceGroupName öğesini $filter ile ekleyin.

Etkinlik günlüğünü açtığınız menü ilk filtresini belirler. Kaynağın menüsünden açarsanız, filtre bu kaynağa ayarlanır. Filtreye başka özellikler eklemek için Filtre ekle'yi seçin. Portalda filtreleyebileceğiniz diğer özellikler şunlardır:

Resource - Veritabanı veya sanal makine gibi Azure çözümünüzün parçası olan öğeler.
Kaynak türü : Sanal makineler, web uygulamaları veya veritabanları gibi bir kaynağın ait olduğu kategori.
Operation - Oluşturma, silme ve yazma gibi Azure Resource Manager kaynakları etkileyen bir eylem veya komut.
Tarafından başlatılan olay – Olayları olayı başlatan kimliğe göre filtreleyin.
Olay kategorisi – Belirli işlemler için olay türlerini filtreleyin.

Bir kaynak grubu kapsamındaki etkinlik günlüğü olaylarını almak için az monitor activity-log list komutunu kullanın. Belirli Azure CLI komutları eşdeğer REST API çağrısının karmaşıklığını azaltır. Bu örnek varsayılan abonelik bağlamını kullanır. Komutun kapsamını belirli bir abonelikle sınırlamak için --subscription parametresini ekleyin.

az monitor activity-log list \
  --subscription "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" \
  --resource-group "myResourceGroup" \
  --offset 30d \
  --select "eventName operationName"

Azure Resource Manager REST API'sini kullanarak bir kaynak grubu kapsamındaki etkinlik günlüğü olaylarını listelemek için, hem zaman aralığını hem de GET özelliğini içeren bir $filter ile resourceGroupName isteği kullanın. İsteğe bağlı olarak, istek için belirli bir zaman aşımı belirtmek için Prefer üst bilgisini ekleyin (en fazla 75 saniye bekleme süresi).

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-02-01T00:00:00Z' and eventTimestamp le '2026-02-28T23:59:59Z' and resourceGroupName eq '{resourceGroupName}'
Prefer: wait=75

Azure PowerShell, belirtilen zaman aralığında bir kaynak grubu kapsamındaki etkinlik günlüğü olaylarını almak için Get-AzActivityLog cmdlet'ini sağlar.

$subscriptionId = 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
Set-AzContext -Subscription $subscriptionId

$activityLogParams = @{
    ResourceGroupName = 'myResourceGroup'
    StartTime         = (Get-Date).AddDays(-30)
    EndTime           = Get-Date
}

Get-AzActivityLog @activityLogParams

Belirli etkinlik günlüğü özelliklerini döndürme

Yalnızca belirtilen özellikleri döndürerek yanıt yükü boyutunu azaltan bir parametre kullanın. Daha fazla bilgi için bkz . Etkinlik günlüğü şeması özellik açıklamaları.

Azure portalı, etkinlik günlüğü olaylarından döndürülen özellikleri doğrudan sınırlamak için bir yol sağlamaz. Görüntülenen veri miktarını azaltmak için Etkinlik günlüğü dikey penceresindeki Sütunları düzenle seçeneğini kullanarak portal görünümünde hangi sütunların görüntüleneceğini seçin.

Hangi özelliklerin etkinlik günlüğü olaylarından döndürüleceğini belirtmek için az monitor activity-log list komutunu --select kullanın.

az monitor activity-log list \
  --offset 30d \
  --select "eventName operationName status eventTimestamp correlationId submissionTimestamp level"

yalnızca Azure Resource Manager REST API kullanılarak döndürülen belirli özelliklere sahip etkinlik günlüğü olaylarını listelemek için, $select isteğine, döndürülmesini istediğiniz özelliklerin virgülle ayrılmış listesiyle GET sorgu parametresini ekleyin.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'&$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level

Get-AzActivityLog sonuçlarını Select-Object'a ekleyerek ve döndürülmesini istediğiniz özellikleri belirterek Azure PowerShell etkinlik günlüğü olaylarından döndürülen özellikleri sınırlayın. Bu, YALNıZCA PowerShell'in görüntülediği çıktıdaki özellikleri filtrelediğinden Select-Object API yanıt boyutunu azaltmaz.

-MaxRecord Döndürülen kayıt sayısını sınırlamak için parametresini Get-AzActivityLog kullanın. Bu, döndürülen veri miktarını azaltır.

$subscriptionId = 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
Set-AzContext -Subscription $subscriptionId

$activityLogParams = @{
    StartTime      = (Get-Date).AddDays(-30)
    EndTime        = Get-Date
    DetailedOutput = $true
    MaxRecordCount = 100
}

Get-AzActivityLog @activityLogParams | Select-Object EventName, OperationName, Status, EventTimestamp, CorrelationId, SubmissionTimestamp, Level

Kiracı düzeyinde etkinlik günlüğü olaylarını listeleme

Kiracı düzeyinde etkinlik günlüğü olayları genellikle sınırlı girişlere sahiptir, ancak yönetim grubu veya abonelik oluşturma gibi önemli olayları içerebilir. Bu olaylar abonelik düzeyi etkinlik günlüğü olaylarından ayrıdır, ancak yinelenen kaynak yönetimi olayları içerebilir.

Bu kapsamda sorgulama, abonelik düzeyi etkinlik günlüğü olayları API'sinden farklı bir REST API kullanır. Azure CLI ve Azure PowerShell ayrılmış komutlar sağlamaz.

Azure portalında Monitor>Activity log gidin. Etkinlik açılan menüsünü değiştirin ve Dizin Etkinliği'ni seçin.

Kiracı düzeyinde etkinlik günlüğü olaylarını listelemek için az rest Azure CLI komutunu kullanın:

apiVersion="2015-04-01"
filter="\$filter=eventTimestamp ge '2026-01-15T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'"
providers="Microsoft.Insights/eventtypes/management/values"

az rest --method get \
  --uri "/providers/$providers?api-version=$apiVersion&$filter" \
  --headers "Prefer=wait=75"

Kiracı düzeyinde etkinlik günlüğü olaylarını listelemek için bu GET isteği kullanın. Bu isteğin abonelik düzeyi etkinlik günlüğü API'sinden farklı olan kiracı düzeyinde etkinlik günlüğü uç noktasını hedeflediğini unutmayın.

GET https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-01-15T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'

Kiracı düzeyli etkinlik günlüğü olayları için özel bir PowerShell cmdlet'i mevcut değildir. Aşağıdaki örnek, Invoke-AzRestMethod kullanarak ile REST API'yi doğrudan çağırır.

$apiVersion = '2015-04-01'
$startTime = '2026-01-15T00:00:00Z'
$endTime = '2026-03-29T23:59:59Z'
$providers = 'Microsoft.Insights/eventtypes/management/values'

$restParams = @{
    Method = 'GET'
    Path   = "/providers/$providers?api-version=$apiVersion" +
             "&`$filter=eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"
}

Invoke-AzRestMethod @restParams

Yönetim grubu düzeyinde etkinlik günlüğü olaylarını listeleme

Yönetim grubu düzeyinde etkinlik günlüğü olayları, ilke atamaları ve yönetim grubu üyeliği değişiklikleri gibi belirli bir yönetim grubu kapsamındaki olayları yakalar.

Azure portalında yönetim grubu düzeyinde etkinlik günlüğü olaylarını görüntülemek için Management groups>>Activity log yönetim grubu seçin.

Yönetim grubu düzeyinde etkinlik günlüğü olaylarını listelemek için az rest Azure CLI komutunu kullanın. Bu komut, 2017-03-01-preview API sürümüyle belirtilen yönetim grubu kapsamındaki etkinlik günlüğü olaylarını almak için Azure Resource Manager REST API'sini doğrudan çağırır.

managementGroupId="myManagementGroup"
apiVersion="2017-03-01-preview"
filter="\$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'"
providers="Microsoft.Insights/eventtypes/management/values"
resourceId="/providers/Microsoft.Management/managementGroups/$managementGroupId/providers/$providers"

az rest --method get --uri "$resourceId?api-version=$apiVersion&$filter" --headers "Prefer=wait=75"

Yönetim grubu düzeyinde etkinlik günlüğü olaylarını listelemek için bu GET isteğini Azure Resource Manager REST API'sine karşı kullanın. Yönetim grubunun sorgulamak istediğiniz kimliğini {managementGroupId} ile değiştirin ve sorgu parametresinde $filter zaman aralığını belirtin. Yönetim grubu düzeyinde etkinlik günlüğü sorguları için gereken API sürümünün kullanımına 2017-03-01-preview dikkat edin.

GET https://management.azure.com/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2017-03-01-preview&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'

Yönetim grubu düzeyinde etkinlik günlüğü olayları için ayrılmış bir PowerShell cmdlet'i kullanılamaz. Aşağıdaki örnek, Invoke-AzRestMethod kullanarak REST API'yi doğrudan çağırır.

$managementGroupId = 'myManagementGroup'
$apiVersion = '2017-03-01-preview'
$startTime = '2026-03-01T00:00:00Z'
$endTime = '2026-03-29T23:59:59Z'
$providers = 'Microsoft.Insights/eventtypes/management/values'
$resourceId = "/providers/Microsoft.Management/managementGroups/$managementGroupId/providers/$providers"

$restParams = @{
    Method = 'GET'
    Path   = "$resourceId?api-version=$apiVersion" +
             "&`$filter=eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"
}

Invoke-AzRestMethod @restParams

Aşağıdaki tabloda, önceki örneklerde kullanılan parametreler açıklanmaktadır.

Parametre	Açıklama
`{subscriptionId}`	Azure aboneliğinin kimliği.
`{resourceGroupName}`	Kaynak grubunun adı.
`{managementGroupId}`	Yönetim grubunun kimliği.
`eventTimestamp ge` / `le`	Iso 8601 biçiminde zaman aralığının başlangıcı ve sonu. Bekletme daha uzun süreler için yapılandırılmadığı sürece başlangıç tarihi geçerli tarihten itibaren 90 günü aşamaz.

Değişiklik geçmişini görüntüleme

Bazı olaylar için, söz konusu olay süresince hangi değişikliklerin olduğunu gösteren değişiklik geçmişini görüntüleyebilirsiniz. Etkinlik günlüğünden daha derine bakmak istediğiniz bir olayı seçin. Kaynakta işlem saatinden 30 dakika öncesine ve sonrasına kadar olan değişiklikleri görüntülemek için Değişiklik geçmişi sekmesini seçin.

Olayla ilişkili değişiklikler varsa portal size seçilebilir bir değişiklik listesi gösterir. Değişiklik seçildiğinde Değişiklik geçmişi sayfası açılır. Bu sayfada kaynakta yapılan değişiklikler görüntülenir.

Aşağıdaki örnekte VM'nin boyutları değiştirdiği gösterilmektedir. Sayfada, değişiklik öncesinde ve değişiklik sonrasında VM boyutu görüntülenir. Değişiklik geçmişi hakkında daha fazla bilgi edinmek için bkz. Kaynak değişikliklerini alma.

Etkinlik günlüğü içgörüleri

Etkinlik günlüğü içgörüleri, abonelikteki kaynak ve kaynak gruplarında yapılan değişiklikleri izleyen bir dizi pano sağlayan bir Azure İzleyici çalışma kitabıdır. Panolar ayrıca abonelikte hangi kullanıcıların veya hizmetlerin etkinlik gerçekleştirdiğini ve etkinliklerin durumunu da gösterir.

Etkinlik günlüğü içgörülerini etkinleştirmek için etkinlik günlüğünü Export etkinlik günlüğü bölümünde açıklandığı gibi Log Analytics çalışma alanına aktarın. Bu işlem, etkinlik günlüğü içgörüleri tarafından kullanılan AzureActivity tablosuna olayları gönderir.

Etkinlik günlüğü içgörülerini abonelik veya kaynak düzeyinde açabilirsiniz. Abonelik için, İzleyici menüsünün Çalışma Kitapları bölümünden Etkinlik Günlükleri İçgörüleri'ni seçin.

Tek bir kaynak için, kaynağın menüsünün Çalışma Kitapları bölümünde Etkinlik Günlükleri İçgörüleri'ni seçin.

Etkinlik günlüğünü dışarı aktarma

Ek saklama süresi ve işlevselliği için etkinlik günlüğü girdilerini diğer hedeflere göndermek için bir tanılama ayarı oluşturun.

Azure portalında Azure İzleyici menüsünden Activity log öğesini seçin ve Export Etkinlik Günlükleri'yi seçin. Tanılama ayarları oluşturmaya yönelik daha fazla bilgi ve diğer yöntemler için bkz. Azure İzleyici'de tanılama ayarları. Etkinlik günlüğü için eski yapılandırmaları devre dışı bıraktığınıza emin olun.

Aşağıdaki bölümlerde, kaynak günlükleri için yapılandırılabilir her hedefle ilgili ayrıntılar sağlanır.

Uyarı

Etkinlik günlüğünü dışarı aktarmanın eski yöntemi günlük profilleridir. Bkz. Eski koleksiyon yöntemleri

Aşağıdaki işlevler için etkinlik günlüğünü bir Log Analytics çalışma alanına gönderin:

Günlük sorgularını kullanarak etkinlik günlüklerini diğer günlük verileriyle ilişkilendirin.
Günlük uyarıları oluşturun, bunlar etkinlik günlüğü uyarılarından daha karmaşık mantık kullanabilir.
Power BI ile etkinlik günlüğü verilerine erişin.
Etkinlik günlüğü verilerini 90 günden daha uzun süre tutun.

Etkinlik günlükleri için veri alımı ücreti yoktur. Etkinlik günlükleri için bekletme ücretleri yalnızca 90 günlük varsayılan saklama süresinden sonra uzatılan süre için geçerlidir. Saklama süresini 12 yıla kadar artırabilirsiniz .

Log Analytics çalışma alanında etkinlik günlüğü verileri AzureActivity adlı bir tabloda depolanır. Bu tablonun yapısı günlük girdisinin kategorisine bağlı olarak değişir.

Örneğin, her kategori için etkinlik günlüğü kayıtlarının sayısını görüntülemek için aşağıdaki sorguyu kullanın:

AzureActivity
| summarize count() by CategoryValue

Yönetim kategorisindeki tüm kayıtları almak için aşağıdaki sorguyu kullanın:

AzureActivity
| where CategoryValue == "Administrative"

Önemli

Bazı senaryolarda, alanlarındaki AzureActivity değerler, aksi takdirde eşdeğer değerlerden farklı bir büyük/küçük harfe sahip olabilir. içinde AzureActivityverileri sorgularken, dize karşılaştırmaları için büyük/küçük harfe duyarsız işleçler kullanın veya herhangi bir karşılaştırmadan önce bir alanı tekdüzen büyük/küçük harfe zorlamak için skaler işlev kullanın. Örneğin, bir alanın her zaman küçük harfli olmasını sağlamak için tolower() işlevini veya bir dize karşılaştırması gerçekleştirirken =~ operatörünü kullanın.

Etkinlik günlüğünü Azure Event Hubs göndererek Azure dışındaki girdileri, örneğin üçüncü taraf bir SIEM'ye veya diğer günlük çözümleme çözümlerine gönderin. Olay hub'larından etkinlik günlüğü olayları, her yükteki kayıtları içeren bir records öğeyle JSON biçiminde tüketilir. Şema kategoriye bağlıdır ve Azure etkinlik günlüğü olay şeması açıklanmıştır.

Aşağıdaki örnek çıktı verileri etkinlik günlüğü için olay hub'larından alınmaktadır:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "aaaa0000-bb11-2222-33cc-444444dddddd",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "1003BFFD8EC002D4",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "bbbb1111-cc22-3333-44dd-555555eeeeee,aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,cccc2222-dd33-4444-55ee-666666ffffff",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "bbbbbbbb-1111-2222-3333-cccccccccccc"
            }
        }
    ]
}

Günlük verilerinizi denetim, statik analiz veya yedekleme için 90 günden daha uzun süre saklamak istiyorsanız etkinlik günlüğünü bir Azure Depolama hesabına gönderin. Etkinliklerinizi 90 gün veya daha kısa süre saklamanız gerekiyorsa, depolama hesabına arşivleme ayarlamanız gerekmez.

Etkinlik günlüğünü depolama alanına gönderdiğinizde, bir olay gerçekleşir gerçekleşmez depolama hesabında bir depolama kapsayıcısı oluşturulur. Kapsayıcıdaki bloblar aşağıdaki adlandırma kuralını kullanır:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Örneğin, belirli bir blob şuna benzer bir adı olabilir.

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Her PT1H.json blob, blob URL'sinde belirtilen saat içinde alınan günlük dosyalarından olaylar içeren bir JSON nesnesi içerir. Şu saat içinde olaylar, oluşturulma zamanlarından bağımsız olarak alındıklarında PT1H.json dosyasına eklenir. URL'deki dakika değeri, bloblar her saat başı oluşturulduğundan dolayı daima m=00 olarak 00 şeklindedir.

Her olay aşağıdaki biçimde PT1H.json dosyasında depolanır. Bu biçim ortak bir üst düzey şema kullanır, ancak Etkinlik günlüğü şemasında açıklandığı gibi her kategori için benzersizdir.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Yönetim grubu etkinlik günlüklerini dışarı aktarma

Bir yönetim grubu için tanılama ayarı oluşturduğunuzda, hiyerarşideki altındaki tüm yönetim gruplarına ek olarak bu yönetim grubu için Azure İzleyici etkinlik günlüğü olaylarını dışarı aktarır. Hiyerarşideki birden çok yönetim grubunun tanılama ayarları varsa, yinelenen olaylar alırsınız. Hiyerarşinin tüm olaylarını yakalamak için yalnızca en üst düzey yönetim grubunda bir tanılama ayarına ihtiyacınız vardır.

Yönetim grubu ayrıca, kendisine bağlı aboneliklerle aynı olayların çoğunu toplar. Hem abonelik hem de yönetim grubunun tanılama ayarları varsa, yinelenen olaylar alırsınız. Azure Resource Manager, olayları yazarken bir hiyerarşi özelliği içerir, ancak gerekli bir alan değildir. Azure Resource Manager dışındaki kaynak sağlayıcıları bunu doldurmaz, bu nedenle olayları hiyerarşide yukarı iletilmez. Bu nedenle, yinelenen olayları almak eksik olaylardan daha iyidir.

Örneğin, Subscription1 içeren MG2'nin bir parçası olan MG1'e sahipseniz, MG1 üzerindeki bir tanılama ayarı, MG1 ve MG2 için tüm etkinlik günlüğü olaylarını ve Subscription1'deki bir tanılama ayarı tarafından toplanan birçok olayı yakalar. Bu durumda, yinelenen olayları toplayabileceğinden MG2'de tanılama ayarı gerekmez.

Yinelenen olaylarınız varsa, benzersiz kayıtları tanımlamak için tüm alanların karması kullanan bir sorgu kullanarak bunları birleştirin. Aşağıdaki örnek Kusto sorgusu, Log Analytics çalışma alanında toplanan günlükler için bir örnek gösterir:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Etkinlik günlüğünü CSV'ye aktarma

Etkinlik günlüğünü Azure portalındaki bir CSV dosyasına aktarmak için CSV olarak indir'i seçin.

Önemli

Çok sayıda günlük girdisinin dışarı aktarılması uzun sürebilir. Performansı geliştirmek için dışarı aktarmanın zaman aralığını azaltın. Azure portalında Zaman aralığı ayarını yapın.

Ayrıca, aşağıdaki örneklerde gösterildiği gibi PowerShell veya Azure CLI kullanarak etkinlik günlüğünü bir CSV dosyasına aktarabilirsiniz.

Azure CLI
PowerShell

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Aşağıdaki örnek PowerShell betiği, etkinlik günlüğünü her biri ayrı bir dosyaya kaydedilmiş bir saatlik aralıklarla CSV dosyalarına aktarır.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Kaynak oluşturmayı tanımlama

Sistemin ne zaman kaynak oluşturduğunu ve kaynağı kimin oluşturduğunu öğrenmek için etkinlik günlüğünü kullanın. Etkinlik günlüğü, kaynağı oluşturanı depolayan tek yerdir. Etkinlik günlüğü varsayılan olarak yalnızca 90 gün boyunca veri tuttuğundan, günlükleri Log Analytics çalışma alanı gibi bekletme süresini uzatmanıza olanak tanıyan bir konuma aktarmanız gerekir. Ardından tabloyu sorgulayarak kaynağın oluşturucusunu AzureActivity bulun. Veriler, bu tablonun saklama süresinde belirttiğiniz süre boyunca saklanır.

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2026-05-05