Azure İzleyici Etkinlik günlüğü verilerini gönderme
Azure İzleyici Etkinlik Günlüğü, abonelik düzeyi olaylar hakkında içgörü sağlayan bir platform günlüğüdür. Etkinlik Günlüğü, bir kaynağın ne zaman değiştirildiği veya sanal makinenin başlatılmış olduğu gibi bilgileri içerir. Etkinlik Günlüğünü Azure portalında görüntüleyebilir veya PowerShell ve Azure CLI ile girdileri alabilirsiniz. Bu makalede, Etkinlik Günlüğü'nü görüntüleme ve farklı hedeflere gönderme hakkında bilgi sağlanır.
Etkinlik Günlüğünü şu konumlardan birine veya daha fazlasına göndermek için bir tanılama ayarı oluşturun:
- Daha karmaşık sorgulama ve uyarı için Log Analytics çalışma alanı
- Azure Event Hubs, günlükleri Azure dışında iletmeye yöneliktir.
- Daha ucuz, uzun süreli arşivleme için Azure Depolama .
Tanılama ayarı oluşturma hakkında ayrıntılı bilgi için bkz . Farklı hedeflere platform günlüklerini ve ölçümlerini göndermek için tanılama ayarları oluşturma.
İpucu
Aşağıdaki avantajlar için Etkinlik Günlüklerini Log Analytics çalışma alanına gönderin:
- Günlükleri Log Analytics çalışma alanına göndermek, varsayılan saklama süresi için ücretsizdir.
- 12 yıla kadar daha uzun süre bekletmek için günlükleri Log Analytics çalışma alanına gönderin.
- Log Analytics çalışma alanına aktarılan günlükler Power BI'da gösterilebilir
- Log Analytics'e dışarı aktarılan Etkinlik Günlükleri için içgörüler sağlanır.
Not
- Etkinlik Günlüğündeki girdiler sistem tarafından oluşturulur ve değiştirilemez veya silinemez.
- Etkinlik Günlüğündeki girdiler, sanal makine yeniden başlatması gibi denetim düzlemi değişikliklerini temsil eder, ilgili olmayan tüm girdiler Azure Kaynak Günlüklerine yazılmalıdır
- Etkinlik Günlüğündeki girdiler genellikle değişikliklerin (oluşturma, güncelleştirme veya silme işlemlerinin) veya başlatılmış bir eylemin sonucu olur. Bir kaynağın ayrıntılarını okumaya odaklanan işlemler genellikle yakalanmaz.
Log Analytics çalışma alanına gönderme
Etkinlik günlüğünü Log Analytics çalışma alanına göndererek Azure İzleyici Günlükleri özelliğini etkinleştirin. Burada:
- Etkinlik günlüğü verilerini Azure İzleyici tarafından toplanan diğer izleme verileriyle ilişkilendirin.
- Birden çok Azure aboneliğinden ve kiracıdan günlük girdilerini birlikte analiz için tek bir konumda birleştirin.
- Günlük sorgularını kullanarak karmaşık analiz gerçekleştirin ve etkinlik günlüğü girdileri hakkında ayrıntılı içgörüler elde edin.
- Daha karmaşık uyarı mantığı için etkinlik girdileriyle günlük araması uyarılarını kullanın.
- Etkinlik günlüğü girdilerini etkinlik günlüğü saklama süresinden daha uzun süre depolayın.
- Log Analytics çalışma alanında depolanan etkinlik günlüğü verileri için veri alımı veya saklama ücreti alınmaz.
- Log Analytics'te varsayılan saklama süresi 90 gündür
Etkinlik günlüğünü Log Analytics çalışma alanına göndermek için Etkinlik Günlüklerini Dışarı Aktar'ı seçin.
Etkinlik günlüğünü herhangi bir abonelikten en fazla beş çalışma alanına gönderebilirsiniz.
Log Analytics çalışma alanında etkinlik günlüğü verileri, Log Analytics'te bir günlük sorgusuyla alabildiğiniz adlı AzureActivity
bir tabloda depolanır. Bu tablonun yapısı günlük girdisinin kategorisine bağlı olarak değişir. Tablo özelliklerinin açıklaması için bkz . Azure İzleyici veri başvurusu.
Örneğin, her kategori için etkinlik günlüğü kayıtlarının sayısını görüntülemek için aşağıdaki sorguyu kullanın:
AzureActivity
| summarize count() by CategoryValue
Yönetim kategorisindeki tüm kayıtları almak için aşağıdaki sorguyu kullanın:
AzureActivity
| where CategoryValue == "Administrative"
Önemli
Bazı senaryolarda, AzureActivity alanlarındaki değerlerin diğer eşdeğer değerlerden farklı büyük/küçük harfe sahip olması mümkündür. Dize karşılaştırmaları için büyük/küçük harfe duyarlı olmayan işleçler kullanmak için AzureActivity'de verileri sorgularken dikkatli olun veya herhangi bir karşılaştırmadan önce bir alanı tekdüzen büyük/küçük harfe zorlamak için bir skaler işlev kullanın. Örneğin, bir dize karşılaştırması gerçekleştirirken her zaman küçük harfe veya =~ işlecine zorlamak için alandaki tolower() işlevini kullanın.
Azure Event Hubs’a gönderme
Etkinlik günlüğünü Azure Event Hubs'a göndererek girdileri Azure'ın dışında, örneğin üçüncü taraf bir SIEM'ye veya diğer log analytics çözümlerine gönderin. Olay hub'larından etkinlik günlüğü olayları, her yükteki kayıtları içeren bir records
öğeyle JSON biçiminde tüketilir. Şema kategoriye bağlıdır ve Azure etkinlik günlüğü olay şemasında açıklanmıştır.
Aşağıdaki örnek çıktı verileri etkinlik günlüğü için olay hub'larından alınmaktadır:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
"identity": {
"authorization": {
"scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
"action": "microsoft.support/supporttickets/write",
"evidence": {
"role": "Subscription Admin"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}
Azure Depolama’ya gönderme
Günlük verilerinizi denetim, statik analiz veya yedekleme için 90 günden daha uzun süre saklamak istiyorsanız etkinlik günlüğünü bir Azure Depolama hesabına gönderin. Etkinliklerinizi 90 gün veya daha kısa süre saklamanız gerekiyorsa, depolama hesabına arşivleme ayarlamanız gerekmez. Etkinlik günlüğü olayları Azure platformunda 90 gün boyunca saklanır.
Etkinlik günlüğünü Azure'a gönderdiğinizde, bir olay gerçekleşir gerçekleşmez depolama hesabında bir depolama kapsayıcısı oluşturulur. Kapsayıcıdaki bloblar aşağıdaki adlandırma kuralını kullanır:
insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json
Örneğin, belirli bir blob şuna benzer bir ada sahip olabilir:
insights-activity-logs/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json
Her PT1H.json blobu, blob URL'sinde belirtilen saat içinde alınan günlük dosyalarından olaylar içeren bir JSON nesnesi içerir. Şu anda olaylar, ne zaman oluşturulduklarından bağımsız olarak alındıklarında PT1H.json dosyasına eklenir. URL'deki dakika değeri her m=00
zaman 00
blobların saatte bir oluşturulduğu şekildedir.
Her olay aşağıdaki biçimde PT1H.json dosyasında depolanır. Bu biçim ortak bir üst düzey şema kullanır, ancak Etkinlik günlüğü şemasında açıklandığı gibi her kategori için benzersizdir.
{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}
Etkinlik günlüğü olaylarını almak için diğer yöntemler
Etkinlik günlüğü olaylarına aşağıdaki yöntemleri kullanarak da erişebilirsiniz:
- PowerShell'den etkinlik günlüğünü almak için Get-AzLog cmdlet'ini kullanın. Bkz. Azure İzleyici PowerShell örnekleri.
- CLI'dan etkinlik günlüğünü almak için az monitor activity-log komutunu kullanın. Bkz. Azure İzleyici CLI örnekleri.
- REST istemcilerinden etkinlik günlüğünü almak için Azure İzleyici REST API'sini kullanın.
Eski toplama yöntemleri
Not
- Etkinlik Günlüklerini Azure Log Analytics'e iletmek için Azure Etkinlik günlükleri çözümü kullanıldı. Bu çözüm 15 Eylül 2026'da kullanımdan kaldırılıyor ve otomatik olarak Tanılama ayarlarına dönüştürülecek.
Eski toplama yöntemini kullanarak etkinlik günlüklerini topluyorsanız etkinlik günlüklerini Log Analytics çalışma alanınıza aktarmanızı ve Veri Kaynakları - Silme API'sini kullanarak eski koleksiyonu devre dışı bırakmanızı öneririz:
Veri Kaynakları - Çalışma Alanına Göre Listele API'sini kullanarak çalışma alanına bağlı tüm veri kaynaklarını listeleyin ve ayarlayarak
kind eq 'AzureActivityLog'
etkinlik günlüklerini filtreleyin.API yanıtından devre dışı bırakmak istediğiniz bağlantının adını kopyalayın.
Eski Günlük Profillerini Yönetme - geri alma
Not
- Günlük Profilleri, Etkinlik Günlüklerini depolama hesaplarına ve Event Hubs'a iletmek için kullanılır. Bu yöntem 15 Eylül 2026'da kullanımdan kaldırılıyor.
- Bu yöntemi kullanıyorsanız, Yeni Günlük Profilleri oluşturmasına izin vermemeye başladığımızda 15 Eylül 2025'in öncesinde Tanılama Ayarları'na geçin.
Günlük profilleri, etkinlik günlüğünü depolamaya veya olay hub'larına göndermek için kullanılan eski yöntemdir. Bu yöntemi kullanıyorsanız, kaynak günlükleriyle daha iyi işlevsellik ve tutarlılık sağlayan Tanılama Ayarları'na geçin.
Bir günlük profili zaten varsa, önce mevcut günlük profilini kaldırmanız ve ardından yeni bir tane oluşturmanız gerekir.
Bir günlük profili olup olmadığını belirlemek için kullanın
Get-AzLogProfile
. Günlük profili varsa özelliğini not edinName
.özelliğindeki
Name
değerini kullanarak günlük profilini kaldırmak için kullanınRemove-AzLogProfile
.# For example, if the log profile name is 'default' Remove-AzLogProfile -Name "default"
Yeni bir günlük profili oluşturmak için kullanın
Add-AzLogProfile
:Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
Özellik Zorunlu Açıklama Adı Yes Günlük profilinizin adı. StorageAccountId Hayır Etkinlik günlüğünün kaydedilmesi gereken depolama hesabının kaynak kimliği. serviceBusRuleId Hayır Olay hub'larının oluşturulmasını istediğiniz Service Bus ad alanının Service Bus Kural Kimliği. Bu dize biçimindedir {service bus resource ID}/authorizationrules/{key name}
.Konum Yes Etkinlik günlüğü olaylarını toplamak istediğiniz bölgelerin virgülle ayrılmış listesi. RetentionInDays Yes 1 ile 365 arasında depolama hesabında olayların saklanması gereken gün sayısı. Sıfır değeri günlükleri süresiz olarak depolar. Kategori Hayır Toplanacak olay kategorilerinin virgülle ayrılmış listesi. Olası değerler Yazma, Silme ve Eylem'tir.
Örnek betik
Bu örnek PowerShell betiği, etkinlik günlüğünü hem depolama hesabına hem de olay hub'ına yazan bir günlük profili oluşturur.
# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"
# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"
# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"
Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId $storageAccountId -ServiceBusRuleId $serviceBusRuleId
Veri yapısı değişiklikleri
Dışarı aktarma etkinlik günlükleri deneyimi, tablonun yapısında AzureActivity
bazı değişiklikler içeren etkinlik günlüğünü göndermek için kullanılan eski yöntemle aynı verileri gönderir.
Aşağıdaki tablodaki sütunlar güncelleştirilmiş şemada kullanım dışı bırakılmıştır. Bunlar hala içinde AzureActivity
bulunur, ancak veriye sahip değildir. Bu sütunların yerine geçenler yeni değildir, ancak kullanım dışı bırakılmış sütunla aynı verileri içerir. Bunlar farklı bir biçimde olduğundan, bunları kullanan günlük sorgularını değiştirmeniz gerekebilir.
Etkinlik günlüğü JSON | Log Analytics sütun adı (eski kullanım dışı) |
Yeni Log Analytics sütun adı | Notlar |
---|---|---|---|
category | Kategori | CategoryValue | |
durum Değerler başarılı, başlangıç, kabul, başarısızlık |
ActivityStatus JSON ile aynı değerler |
ActivityStatusValue Değerler başarılı, başlatıldı, kabul edildi, başarısız olarak değiştirildi |
Geçerli değerler gösterildiği gibi değişir. |
subStatus | ActivitySubstatus | ActivitySubstatusValue | |
operationName | OperationName | OperationNameValue | REST API, işlem adı değerini yerelleştirir. Log Analytics kullanıcı arabirimi her zaman İngilizce gösterir. |
resourceProviderName | ResourceProvider | ResourceProviderValue |
Önemli
Bazı durumlarda, bu sütunlardaki değerlerin tümü büyük harf olabilir. Bu sütunları içeren bir sorgunuz varsa, büyük/küçük harfe duyarlı olmayan bir karşılaştırma yapmak için =~ işlecini kullanın.
Güncelleştirilmiş şemaya AzureActivity
aşağıdaki sütunlar eklenmiştir:
- Authorization_d
- Claims_d
- Properties_d
Sonraki adımlar
Aşağıdakiler hakkında daha fazla bilgi edinin: