查询活动日志
在 Azure 门户中,可以筛选 Azure Monitor 活动日志,以便查看特定信息。 这些筛选器使你能够仅查看符合条件的活动日志数据。 可以设置筛选器,以便查看高峰时段有关主订阅和生产虚拟机的关键事件的监视数据。
有关活动日志筛选器的注意事项
让我们来了解一些筛选器,可以将这些筛选器设置为控制要在活动日志中查看哪些数据:
订阅:显示一个或多个指定的 Azure 订阅名称的数据。
时间跨度:通过选择事件的开始和结束时间(例如 6 小时时间段)来显示指定时间的数据。
事件严重性:显示所选严重性级别的事件,包括信息、警告、错误或严重。
资源组:显示指定订阅中一个或多个指定资源组的数据。
资源(名称):显示指定资源的数据。
资源类型:显示指定类型资源的数据,例如
Microsoft.Compute/virtualmachines
。操作名称:显示所选 Azure 资源管理器操作的数据,例如
Microsoft.SQL/servers/Write
。事件发起者:显示执行操作的指定用户(称为“调用方”)的操作数据。
定义一组筛选器后,可以将筛选器集固定到 Azure Monitor 仪表板。 还可以 CSV 文件格式下载活动日志搜索结果。
除了筛选器,还可以在“搜索”框中输入文本字符串。 Azure Monitor 会尝试将搜索字符串和与筛选器设置相对应的所有事件中的所有字段返回的数据进行匹配。
有关事件类别的注意事项
下表汇总了可在活动日志中查看的事件类别。 针对事件显示的信息基于其他筛选器设置。
事件类别 | 事件数据 | 示例 |
---|---|---|
管理 | 通过 Azure 资源管理器执行的所有创建、更新、删除和操作,以及对筛选订阅中基于角色的访问控制 (RBAC) 的任何更改 | create virtual machine delete network security group |
服务运行状况 | 与筛选订阅相关的 Azure 服务和资源的所有服务运行状况事件,包括“需要操作”、“辅助恢复”、“事件”、“维护”、“信息”或“安全性” | SQL Azure in East US is experiencing downtime Azure SQL Data Warehouse Scheduled Maintence Complete |
资源运行状况 | 筛选的 Azure 资源的所有资源运行状况事件,包括“可用”、“不可用”、“降级”或“未知”,以及标识为“平台发起”或“用户发起” | Virtual Machine health status changed to unavailable Web App health status changed to available |
Alert | 筛选的订阅和资源的所有 Azure 警报激活 | CPU % on devVM001 has been over 80 for the past 5 minutes Disk read LessThan 100000 in the last 5 minutes |
自动缩放 | 基于为筛选订阅定义的任何自动缩放设置的自动缩放引擎操作相关的所有事件 | Autoscale scale up action failed |
建议 | 根据筛选的订阅和资源,针对某些 Azure 资源类型(例如网站和 SQL 服务器)的建议事件 | 有关如何更好地利用资源的建议 |
安全性 | Microsoft Defender for Cloud 生成的影响筛选的订阅和资源的所有警报 | Suspicious double extension file executed |
策略 | Azure Policy 针对筛选的订阅和资源执行的所有效果操作,其中 Azure Policy 执行的每个操作都建模为对资源的操作 | Audit 和 Deny |