稽核 Azure 監視器記錄中的查詢
記錄查詢稽核記錄提供有關在 Azure 監視器中執行的記錄查詢遙測。 這包括執行查詢的時間、執行查詢的人員、使用的工具、查詢文字,以及描述查詢執行效能統計資料等資訊。
設定查詢稽核
使用 Log Analytics 工作區上的診斷設定來啟用查詢稽核。 這可讓您將稽核資料傳送到您訂用帳戶中的目前工作區或任何其他工作區,傳送至 Azure 事件中樞以傳送到 Azure 外部,或傳送至 Azure 儲存體進行封存。
Azure 入口網站
在下列任一位置的 Azure 入口網站中存取 Log Analytics 工作區的診斷設定:
從 [Azure 監視器] 功能表中,選取 [診斷設定],然後找出並選取工作區。
從 [Log Analytics 工作區] 功能表中,選取工作區,然後選取 [診斷設定]。
Resource Manager 範本
您可以從 Log Analytics 工作區的診斷設定取得範例 Resource Manager 範本。
稽核資料
每次執行查詢時都會建立稽核記錄。 如果您將資料傳送至 Log Analytics 工作區,則會儲存在名為 LAQueryLogs 的資料表中。 下表描述稽核資料每個記錄中的屬性。
| 欄位 | 描述 |
|---|---|
| TimeGenerated | 提交查詢的 UTC 時間。 |
| CorrelationId | 用來識別查詢的唯一識別碼。 在連絡 Microsoft 尋求協助時,可用於疑難排解案例。 |
| AADObjectId | 啟動查詢的使用者帳戶 Microsoft Entra ID。 |
| AADTenantId | 啟動查詢的使用者帳戶租用戶識別碼。 |
| AADEmail | 啟動查詢的使用者帳戶租用戶電子郵件。 |
| AADClientId | 用來啟動查詢的應用程式識別碼和解析名稱。 |
| RequestClientApp | 用來啟動查詢的應用程式解析名稱。 如需詳細資訊,請參閱要求用戶端應用程式。 |
| QueryTimeRangeStart | 針對查詢選取的時間範圍開頭。 在某些情況下,可能不會填入此項目,例如從 Log Analytics 啟動查詢時,時間範圍是在查詢內指定,而不是時間選擇器。 |
| QueryTimeRangeEnd | 針對查詢選取的時間範圍結尾。 在某些情況下,可能不會填入此項目,例如從 Log Analytics 啟動查詢時,時間範圍是在查詢內指定,而不是時間選擇器。 |
| QueryText | 已執行的查詢文字。 |
| RequestTarget | API URL 是用來提交查詢。 |
| RequestContext | 要求對其執行查詢的資源清單。 包含最多三個字串陣列:工作區、應用程式和資源。 訂用帳戶或資源群組目標查詢會顯示為資源。 包含 RequestTarget 暗示的目標。 如果可以解析,則會包含每個資源的資源識別碼。 如果存取資源時傳回錯誤,可能無法解析。 在此情況下,將會使用查詢中的特定文字。 如果查詢使用不明確的名稱,例如存在於多個訂用帳戶中的工作區名稱,則會使用這個不明確的名稱。 |
| RequestContextFilters | 指定為查詢叫用一部分的篩選集。 包含最多三個可能的字串陣列: - ResourceTypes - 用於限制查詢範圍的資源類型 - Workspaces - 用於限制查詢的工作區清單 - WorkspaceRegions - 用於限制查詢的工作區區域 |
| ResponseCode | 提交查詢時傳回的 HTTP 回應碼。 |
| ResponseDurationMs | 傳回回應的時間。 |
| ResponseRowCount | 查詢傳回的資料列總數。 |
| StatsCPUTimeMs | 用於計算、剖析和資料擷取的總計算時間。 只有在查詢傳回狀態碼 200 時才會填入。 |
| StatsDataProcessedKB | 存取以處理查詢的資料量。 受到目標資料表大小、使用的時間範圍、套用的篩選條件,以及所參考資料行數目的影響。 只有在查詢傳回狀態碼 200 時才會填入。 |
| StatsDataProcessedStart | 用來處理查詢的最舊資料時間。 受套用的查詢明確時間範圍和篩選條件所影響。 這可能是因為資料分割而大於明確時間範圍。 只有在查詢傳回狀態碼 200 時才會填入。 |
| StatsDataProcessedEnd | 用來處理查詢的最新資料時間。 受套用的查詢明確時間範圍和篩選條件所影響。 這可能是因為資料分割而大於明確時間範圍。 只有在查詢傳回狀態碼 200 時才會填入。 |
| StatsWorkspaceCount | 查詢所存取的工作區數目。 只有在查詢傳回狀態碼 200 時才會填入。 |
| StatsRegionCount | 查詢所存取的區域數目。 只有在查詢傳回狀態碼 200 時才會填入。 |
要求用戶端應用程式
| RequestClientApp | 描述 |
|---|---|
| AAPBI | Log Analytics 與 Power BI 整合。 |
| AppAnalytics | Azure 入口網站中的 Log Analytics 體驗。 |
| AppInsightsPortalExtension | Workbooks 或 Application insights. |
| ASC_Portal | 適用於雲端的 Microsoft Defender。 |
| ASI_Portal | Sentinel。 |
| AzureAutomation | Azure 自動化。 |
| AzureMonitorLogsConnector | Azure 監視器記錄連接器。 |
| csharpsdk | Log Analytics 查詢 API。 |
| Draft-Monitor | 在 Azure 入口網站中建立記錄搜尋警示。 |
| Grafana | Grafana 連接器。 |
| IbizaExtension | Azure 入口網站中的 Log Analytics 體驗。 |
| infraInsights/container | 容器深入解析。 |
| infraInsights/vm | VM 深入解析。 |
| LogAnalyticsExtension | Azure 儀表板。 |
| LogAnalyticsPSClient | Log Analytics 查詢 API。 |
| OmsAnalyticsPBI | Log Analytics 與 Power BI 整合。 |
| PowerBIConnector | Log Analytics 與 Power BI 整合。 |
| Sentinel-Investigation-Queries | Sentinel。 |
| Sentinel-DataCollectionAggregator | Sentinel。 |
| Sentinel-analyticsManagement-customerQuery | Sentinel。 |
| 未知 | Log Analytics 查詢 API。 |
| UpdateManagement | 更新管理。 |
考量
- 只有在使用者內容中執行時,才會記錄查詢。 不會記錄 Azure 內的服務對服務。 此排除的兩個主要查詢集會針對計算和自動化警示執行計費。 在警示的情況下,不會記錄排程的警示查詢本身;警示建立畫面中的初始執行會在使用者內容中執行,並可供稽核之用。
- 效能統計資料不適用於來自 Azure 資料總管 Proxy 的查詢。 這些查詢的所有其他資料仍會填入。
- 混淆字串常值之字串的 h 提示不會影響查詢稽核記錄。 查詢的擷取方式與提交完全相同,而不會混淆字串。 您應該確保只有具備可查看此資料的合規性權限使用者,才能使用 Log Analytics 工作區中可用的各種 Kubernetes RBAC 或 Azure RBAC 模式來執行此操作。
- 對於包含多個工作區資料的查詢,查詢只會擷取到使用者可存取的工作區中。
成本
Azure 診斷延伸模組無須付費,但內嵌資料可能會產生費用。 針對將要收集資料的目的地,請查看 Azure 監視器定價。