Protokol aktivit Azure

Protokol aktivit je protokol platformy v Azure, který poskytuje přehled o událostech na úrovni předplatného. Obsahuje například informace o úpravách prostředků nebo spouštění virtuálních počítačů. Protokol aktivit můžete zobrazit v Azure Portal nebo načíst položky pomocí PowerShellu a rozhraní příkazového řádku. Tento článek poskytuje podrobné informace o zobrazení protokolu aktivit a jeho odeslání do různých cílů.

Pro další funkce byste měli vytvořit nastavení diagnostiky k odeslání protokolu aktivit do jednoho nebo více těchto umístění z následujících důvodů:

• Azure monitor protokolů pro složitější dotazování a upozorňování a delší dobu uchovávání (až 2 roky)
• do Azure Event Hubs pro přeposílání mimo Azure
• Azure Storage pro levnější a dlouhodobé archivaci

Podrobnosti o vytvoření nastavení diagnostiky najdete v tématu Vytvoření nastavení diagnostiky pro odesílání protokolů platforem a metrik do různých cílů .

Doba uchování

Události protokolu aktivit se uchovávají v Azure po dobu 90 dnů a pak se odstraní. Během této doby se neúčtují žádné položky bez ohledu na svazek. Pro další funkce, jako je například delší dobu uchování, byste měli vytvořit nastavení diagnostiky a směrovat celé na jiné místo podle vašich potřeb. Podívejte se na kritéria v předchozí části tohoto článku.

Zobrazit protokol aktivit

K protokolu aktivit můžete získat přístup z většiny nabídek na webu Azure Portal. Na základě nabídky, ze které ho otevřete, se určí počáteční filtr. Pokud ho otevřete z nabídky monitor , jediný filtr bude v předplatném. Pokud ho otevřete z nabídky prostředku, filtr se nastaví na tento prostředek. Filtr můžete kdykoli změnit, aby se zobrazily všechny ostatní položky. Kliknutím na Přidat filtr přidejte do filtru další vlastnosti.

Popis kategorií protokolů aktivit najdete v tématu schéma událostí protokolu aktivit Azure.

Stáhnout protokol aktivit

Vyberte Stáhnout jako sdílený svazek clusteru a stáhněte události v aktuálním zobrazení.

Zobrazit historii změn

V případě některých událostí můžete zobrazit historii změn, která ukazuje, jaké změny došlo během této události. Vyberte událost z protokolu aktivit, na kterou chcete hledat hlouběji. Vyberte kartu historie změn (Preview) a zobrazte tak související změny s touto událostí.

Pokud se s událostí nacházejí nějaké přidružené změny, zobrazí se seznam změn, které můžete vybrat. Tím otevřete stránku historie změn (Preview) . Na této stránce se zobrazí změny prostředku. V následujícím příkladu vidíte, že virtuální počítač změnil velikosti, ale předchozí velikost virtuálního počítače byla před změnou a s tím, jak byla změněna. Další informace o historii změn najdete v tématu získání změn prostředků.

Další metody načtení událostí protokolu aktivit

K událostem protokolu aktivit můžete také přistupovat pomocí následujících metod.

• Pomocí rutiny Get-AzLog načtěte protokol aktivit z PowerShellu. Podívejte se na ukázky Azure monitor PowerShellu.
• Pomocí AZ monitor Activity-log načtěte protokol aktivit z CLI. Viz ukázky Azure monitor CLI.
• K načtení protokolu aktivit z klienta REST použijte Azure Monitor REST API .

Odeslání do pracovního prostoru služby Log Analytics

Odešlete protokol aktivit do pracovního prostoru Log Analytics, abyste povolili funkce Azure monitor protokolů , které zahrnují následující:

• Korelujte data protokolu aktivit s dalšími daty monitorování shromážděnými pomocí Azure Monitor.
• Konsolidujte položky protokolu z několika předplatných Azure a klientů do jednoho umístění pro účely analýzy dohromady.
• Pomocí dotazů protokolu můžete provádět komplexní analýzy a získat podrobné přehledy o položkách protokolu aktivit.
• Používejte výstrahy protokolu se záznamy aktivit a umožňují komplexnější logiku výstrahy.
• Ukládat položky protokolu aktivit déle než doba uchování protokolu aktivit.
• Neúčtují se žádné poplatky za příjem dat protokolu aktivit uložené v pracovním prostoru Log Analytics.
• Žádné poplatky za uchovávání dat až po uplynutí doby uchování protokolu aktivit pro dané celé číslo.

Vytvořte nastavení diagnostiky pro odeslání protokolu aktivit do pracovního prostoru Log Analytics. Protokol aktivit můžete odeslat z libovolného jednoho předplatného do pěti pracovních prostorů.

Data protokolu aktivit v Log Analytics pracovním prostoru se ukládají do tabulky s názvem AzureActivity , kterou můžete načíst pomocí dotazu protokolu v Log Analytics. Struktura této tabulky se liší v závislosti na kategorii záznamu protokolu. Popis vlastností tabulky najdete v referenčních informacích o Azure monitor.

Chcete-li například zobrazit počet záznamů protokolu aktivit pro každou kategorii, použijte následující dotaz.

AzureActivity
| summarize count() by CategoryValue

Chcete-li načíst všechny záznamy v kategorii správy, použijte následující dotaz.

AzureActivity
| where CategoryValue == "Administrative"

Odeslat do Azure Event Hubs

Odešlete protokol aktivit do Azure Event Hubs, abyste mohli odesílat položky mimo Azure, například pro SIEM nebo jiná řešení Log Analytics. Události protokolu aktivit z Center událostí se spotřebovávají ve formátu JSON s prvkem, který records obsahuje záznamy v každé datové části. Schéma závisí na kategorii a je popsána ve schématu z účtu úložiště a centra událostí.

Následuje ukázka výstupních dat z Event Hubs pro protokol aktivit:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Odeslání do Azure Storage

pokud chcete uchovávat data protokolu déle než doba uchování protokolu aktivit, odešlete protokol aktivit do účtu Azure Storage pro audit, statickou analýzu nebo zálohování. Není nutné nastavovat službu Azure Storage, pokud nepotřebujete uchovávat záznamy z některého z těchto důvodů.

Když odešlete protokol aktivit do Azure, vytvoří se v účtu úložiště kontejner úložiště hned po výskytu události. Objekty BLOB v kontejneru používají následující konvence vytváření názvů:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Například konkrétní objekt BLOB může mít název podobný následujícímu:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Každý objekt blob PT1H.json obsahuje objekt blob ve formátu JSON událostí, ke kterým došlo během hodiny zadané v adrese URL objektu blob (například h=12). Během aktuální hodiny se události připojují do souboru PT1H.json, když k nim dojde. Hodnota minut (m = 00) je vždy 00, protože události protokolu prostředku jsou v jednotlivých objektech blob za hodinu rozděleny.

Každá událost je uložena v souboru PT1H. JSON s následujícím formátem, který používá společné schéma nejvyšší úrovně, ale je jinak jedinečný pro každou kategorii, jak je popsáno v tématu schéma protokolu aktivit.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Starší metody shromažďování

Tato část popisuje starší metody shromažďování protokolu aktivit, které byly použity před nastavením diagnostiky. Pokud používáte tyto metody, měli byste zvážit přechod na nastavení diagnostiky, která poskytují lepší funkčnost a konzistenci s protokoly prostředků.

Profily protokolů

Profily protokolu představují starší metodu pro posílání protokolu aktivit do služby Azure Storage nebo centra událostí. Pomocí následujícího postupu můžete pokračovat v práci s profilem protokolu nebo ho zakázat při přípravě na migraci na nastavení diagnostiky.

1. V nabídce Azure monitor v Azure Portal vyberte Protokol aktivit.

2. Klikněte na Nastavení diagnostiky.

   

3. Klikněte na fialový banner pro starší verze prostředí.

   

Konfigurace profilu protokolu pomocí PowerShellu

Pokud profil protokolu již existuje, musíte nejprve odebrat existující profil protokolu a pak vytvořit nový.

1. Použijte Get-AzLogProfile k určení, jestli profil protokolu existuje. Pokud profil protokolu existuje, poznamenejte si jeho vlastnost Name .

2. Pomocí Remove-AzLogProfile odeberte profil protokolu pomocí hodnoty z vlastnosti název .

   # For example, if the log profile name is 'default'
   Remove-AzLogProfile -Name "default"
   

3. Použijte Add-AzLogProfile k vytvoření nového profilu protokolu:

   Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
   

   Vlastnost	Povinné	Popis
   Název	Yes	Název vašeho profilu protokolu.
   StorageAccountId	No	ID prostředku Storage účtu, ve kterém se má ukládat protokol aktivit
   serviceBusRuleId	No	Service Bus ID pravidla pro obor názvů Service Bus, ve kterém chcete vytvořit centra událostí. Toto je řetězec ve formátu: {service bus resource ID}/authorizationrules/{key name} .
   Umístění	Ano	Čárkami oddělený seznam oblastí, pro které chcete shromažďovat události protokolu aktivit.
   RetentionInDays	Yes	Počet dní, po které se mají události uchovávat v účtu úložiště v rozmezí od 1 do 365. Hodnota nula ukládá protokoly po neomezenou dobu.
   Kategorie	No	Čárkami oddělený seznam kategorií událostí, které se mají shromáždit. Možné hodnoty jsou Write, Delete a Action.

Ukázkový skript

Následuje ukázkový skript prostředí PowerShell pro vytvoření profilu protokolu aktivit, který zapisuje protokol aktivit do účtu úložiště i centra událostí.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your event hub belongs to>"
$eventHubNamespace = "<event hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the storage account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Konfigurace profilu protokolu pomocí Azure CLI

Pokud profil protokolu již existuje, musíte nejprve odebrat existující profil protokolu a pak vytvořit nový profil protokolu.

1. Použijte az monitor log-profiles list k určení, jestli profil protokolu existuje.

2. Pomocí az monitor log-profiles delete --name "<log profile name> odeberte profil protokolu pomocí hodnoty z vlastnosti název .

3. Použijte az monitor log-profiles create k vytvoření nového profilu protokolu:

   az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<EVENT HUB NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
   

   Vlastnost	Povinné	Popis
   name	Yes	Název vašeho profilu protokolu.
   úložiště – ID účtu	Yes	ID prostředku Storage účtu, na který se mají ukládat protokoly aktivit
   polohy	Yes	Mezerou oddělený seznam oblastí, pro které chcete shromažďovat události protokolu aktivit. Seznam všech oblastí pro vaše předplatné můžete zobrazit pomocí az account list-locations --query [].name .
   denní	Yes	Počet dní, po které se mají uchovávat události v rozmezí od 1 do 365. Hodnota nula bude ukládat protokoly po neomezenou dobu (navždy). Je-li nastavena hodnota nula, parametr Enabled by měl být nastaven na hodnotu false.
   enabled	Yes	Ano nebo ne: Slouží k povolení nebo zakázání zásad uchovávání informací. Pokud je hodnota true, parametr Days musí být hodnota větší než 0.
   categories	Yes	Prostor – seznam kategorií událostí, které mají být shromážděny. Možné hodnoty jsou Write, DELETE a Action.

Pracovní prostor služby Log Analytics

Starší metoda pro odeslání protokolu aktivity do pracovního prostoru Log Analytics připojuje protokol v konfiguraci pracovního prostoru.

1. V nabídce Log Analytics pracovní prostory v Azure Portal vyberte pracovní prostor pro shromáždění protokolu aktivit.

2. V části zdroje dat pracovního prostoru v nabídce pracovního prostoru vyberte Protokol aktivit Azure.

3. Klikněte na předplatné, které chcete připojit.

   

4. kliknutím na Připojení připojte protokol aktivit v předplatném k vybranému pracovnímu prostoru. Pokud je předplatné už připojené k jinému pracovnímu prostoru, odpojte ho kliknutím na Odpojit .

   

Chcete-li nastavení zakázat, proveďte stejný postup a kliknutím na tlačítko Odpojit odeberte odběr z pracovního prostoru.

Změny struktury dat

Nastavení diagnostiky odesílají stejná data jako starší metoda, která se používá k odeslání protokolu aktivit s některými změnami struktury tabulky AzureActivity .

Sloupce v následující tabulce byly zastaralé v aktualizovaném schématu. Stále existují v AzureActivity , ale nebudou mít žádná data. Náhrada pro tyto sloupce není nová, ale obsahuje stejná data jako zastaralé sloupce. Jsou v jiném formátu, takže možná budete muset upravit dotazy protokolů, které je používají.

Do AzureActivity v aktualizovaném schématu byly přidány následující sloupce:

• Authorization_d
• Claims_d
• Properties_d

Řešení monitorování Activity Log Analytics

Řešení Azure Log Analytics monitoring bude brzy zastaralé a nahradí sešit pomocí aktualizovaného schématu v pracovním prostoru Log Analytics. Řešení můžete používat i v případě, že ho už máte povolený, ale dá se použít jenom v případě, že shromažďujete protokol aktivit pomocí nastavení starší verze.

Použití řešení

K monitorování řešení se dostanete z nabídky monitor v Azure Portal. výběrem další v části Přehledy otevřete stránku přehled s dlaždicemi řešení. Dlaždice protokoly aktivit Azure zobrazuje počet záznamů AzureActivity ve vašem pracovním prostoru.

Kliknutím na dlaždici protokoly aktivit Azure otevřete zobrazení protokolů aktivit Azure . Zobrazení obsahuje části vizualizace v následující tabulce. Každá část obsahuje až 10 položek, které odpovídají kritériím této části pro zadaný časový rozsah. Kliknutím na Zobrazit vše v dolní části části můžete spustit dotaz protokolu, který vrátí všechny odpovídající záznamy.

Povolení řešení pro nová předplatná

Brzy už nebudete moct do svého předplatného přidat řešení Activity Logs Analytics pomocí Azure Portal. Můžete ho přidat pomocí následujícího postupu s Resource Manager šablonou.

1. Zkopírujte následující json do souboru s názvem ActivityLogTemplate.json.

   {
   "$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
       "workspaceName": {
           "type": "String",
           "defaultValue": "my-workspace",
           "metadata": {
             "description": "Specifies the name of the workspace."
           }
       },
       "location": {
           "type": "String",
           "allowedValues": [
             "east us",
             "west us",
             "australia central",
             "west europe"
           ],
           "defaultValue": "australia central",
           "metadata": {
             "description": "Specifies the location in which to create the workspace."
           }
       }
     },
       "resources": [
       {
           "type": "Microsoft.OperationalInsights/workspaces",
           "name": "[parameters('workspaceName')]",
           "apiVersion": "2015-11-01-preview",
           "location": "[parameters('location')]",
           "properties": {
               "features": {
                   "searchVersion": 2
               }
           }
       },
       {
           "type": "Microsoft.OperationsManagement/solutions",
           "apiVersion": "2015-11-01-preview",
           "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
           "location": "[parameters('location')]",
           "dependsOn": [
               "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
           ],
           "plan": {
               "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
               "promotionCode": "",
               "product": "OMSGallery/AzureActivity",
               "publisher": "Microsoft"
           },
           "properties": {
               "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]",
               "containedResources": [
                   "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName')), '/views/AzureActivity(',parameters('workspaceName'))]"
               ]
           }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/datasources",
         "kind": "AzureActivityLog",
         "name": "[concat(parameters('workspaceName'), '/', subscription().subscriptionId)]",
         "apiVersion": "2015-11-01-preview",
         "location": "[parameters('location')]",
         "dependsOn": [
             "[parameters('WorkspaceName')]"
         ],
         "properties": {
             "linkedResourceId": "[concat(subscription().Id, '/providers/microsoft.insights/eventTypes/management')]"
         }
       }
     ]
   }    
   

2. Nasaďte šablonu pomocí následujících příkazů PowerShellu:

   Connect-AzAccount
   Select-AzSubscription <SubscriptionName>
   New-AzResourceGroupDeployment -Name activitysolution -ResourceGroupName <ResourceGroup> -TemplateFile <Path to template file>
   

Další kroky

• Čtení přehledu protokolů platformy
• Kontrola schématu událostí protokolu aktivit
• Vytvoření nastavení diagnostiky pro odesílání protokolů aktivit do jiných cílů