你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 平台日志概述

平台日志提供 Azure 资源及其所依赖的 Azure 平台的详细诊断和审核信息。 尽管它们是自动生成的,但你需要配置特定的平台日志,以便将其转发到一个或多个目标进行保留。 本文概述了平台日志,其中包括它们提供什么信息,以及如何配置它们以方便收集和分析。

平台日志的类型

下表列出了在不同 Azure 层提供的特定的平台日志。

日志 说明
资源日志 Azure 资源 针对 Azure 资源(数据平面)中执行的操作提供见解。 示例包括从密钥保管库获取机密或向数据库发出请求。 资源日志的内容因 Azure 服务和资源类型而异。

资源日志以前称为诊断日志。
活动日志 Azure 订阅 针对从外部(管理平面)对订阅中的每个 Azure 资源执行的操作,以及对服务运行状况事件进行的更新提供见解。 使用活动日志可以确定针对 Azure 订阅中的资源执行的任何写入操作(PUT、POST、DELETE)的操作内容、操作者和操作时间。 每个 Azure 订阅都具有单个活动日志。
Azure Active Directory (Azure AD) 日志 Azure 租户 包含特定租户的 Azure AD 中的登录活动和更改审核日志的历史记录。

注意

Azure 活动日志主要与 Azure 资源管理器中发生的活动相关。 它不跟踪使用经典/RDFE 模型的资源。 某些经典资源类型在资源管理器中具有代理资源提供程序(例如 Microsoft.ClassicCompute)。 如果通过资源管理器使用这些代理资源提供程序来与经典资源类型进行交互,则操作会显示在活动日志中。 如果在资源管理器代理外部与经典资源类型进行交互,则操作只会记录在操作日志中。 可以在门户的一个单独部分中浏览操作日志。

显示平台日志概述的示意图。

查看平台日志

可以通过不同的选项查看和分析不同的 Azure 平台日志:

  • 查看 Azure 门户中的活动日志,并通过 PowerShell 和 Azure CLI 访问事件。 有关详细信息,请参阅查看活动日志
  • 在 Azure 门户中查看 Azure AD 安全和活动报告。 有关详细信息,请参阅什么是 Azure AD 报告?
  • 资源日志由支持的 Azure 资源自动生成。 除非创建诊断设置,否则无法查看这些日志。

诊断设置

创建诊断设置,以将平台日志发送到以下目标之一,以便进行分析或其他处理。 必须为资源日志创建一个诊断设置,因为无法通过其他方式查看它们。

目标 说明
Log Analytics 工作区 一起分析所有 Azure 资源的日志,并利用提供给 Azure Monitor 日志的所有功能,包括日志查询日志警报。 将日志查询的结果固定到 Azure 仪表板,或将其作为交互式报表的一部分包含在工作簿中。
事件中心 向 Azure 外部发送平台日志数据,例如,发送到第三方 SIEM 或自定义遥测平台。
Azure 存储 将日志存档供审核或备份。
Azure 监视器合作伙伴集成 Azure Monitor 和其他非 Microsoft 监视平台之间的专用集成。 在已使用某个合作伙伴时非常有用。

定价模型

发送到除 Log Analytics 工作区以外的目标时,将收取特定服务的流日志数据处理费。 将此数据发送到 Log Analytics 工作区不会产生直接费用。 将数据引入工作区会产生 Log Analytics 费用。

该费用取决于导出的 JSON 格式日志数据中的字节数,按 GB(10^9 字节)计量。

Azure Monitor 定价页中提供了定价。

后续步骤