Erfassen und Nutzen von Protokolldaten aus Ihren Azure-RessourcenCollect and consume log data from your Azure resources

Azure Monitor-Diagnoseprotokolle: DefinitionWhat are Azure Monitor diagnostic logs

Azure Monitor-Diagnoseprotokolle sind von einem Azure-Dienst ausgegebene Protokolle mit umfangreichen und in kurzen Abständen erfassten Daten zu den Dienstvorgängen.Azure Monitor diagnostic logs are logs emitted by an Azure service that provide rich, frequent data about the operation of that service. Azure Monitor stellt zwei Typen von Diagnoseprotokollen zur Verfügung:Azure Monitor makes available two types of diagnostic logs:

  • Mandantenprotokolle: Diese Protokolle stammen aus Diensten auf Mandantenebene, die außerhalb eines Azure-Abonnements vorhanden sind, z. B. Azure Active Directory-Protokolle.Tenant logs - these logs come from tenant-level services that exist outside of an Azure subscription, such as Azure Active Directory logs.
  • Ressourcenprotokollen: Diese Protokolle stammen aus Azure-Diensten, die Ressourcen in einem Azure-Abonnement bereitstellen, z. B. Netzwerksicherheitsgruppen oder Speicherkonten.Resource logs - these logs come from Azure services that deploy resources within an Azure subscription, such as Network Security Groups or Storage Accounts.

    <span data-ttu-id="73937-109">Ressourcendiagnoseprotokolle im Vergleich zu anderen Protokolltypen</span><span class="sxs-lookup"><span data-stu-id="73937-109">Resource diagnostics logs vs other types of logs</span></span>

Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und Ressourcentyp.The content of these logs varies by the Azure service and resource type. Beispielweise sind Netzwerksicherheitsgruppen-Regelzähler und Key Vault-Überwachungen zwei Typen von Diagnoseprotokollen.For example, Network Security Group rule counters and Key Vault audits are two types of diagnostic logs.

Diese Protokolle unterscheiden sich vom Aktivitätsprotokoll.These logs differ from the Activity Log. Das Aktivitätsprotokoll ermöglicht Einblicke in die Vorgänge, die für Ressourcen Ihres Abonnements mit dem Resource Manager durchgeführt wurden, z.B. das Erstellen eines virtuellen Computers oder das Löschen einer Logik-App.The Activity Log provides insight into the operations that were performed on resources in your subscription using Resource Manager, for example, creating a virtual machine or deleting a logic app. Das Aktivitätsprotokoll ist ein Protokoll auf Abonnementebene.The Activity Log is a subscription-level log. Diagnoseprotokolle auf Ressourcenebene ermöglichen Einblicke in Vorgänge, die für die Ressource selbst durchgeführt wurden, z.B. das Abrufen eines Geheimnisses aus einem Key Vault.Resource-level diagnostic logs provide insight into operations that were performed within that resource itself, for example, getting a secret from a Key Vault.

Diese Protokolle unterscheiden sich auch von Diagnoseprotokollen auf Gastbetriebssystemebene.These logs also differ from guest OS-level diagnostic logs. Diagnoseprotokolle auf Gastbetriebssystemebene werden von einem Agent erfasst, der auf einem virtuellen Computer oder einem anderen Ressourcentyp ausgeführt wird.Guest OS diagnostic logs are those collected by an agent running inside of a virtual machine or other supported resource type. Für Diagnoseprotokolle auf Ressourcenebene ist kein Agent erforderlich, und ressourcenspezifische Daten werden von der Azure-Plattform selbst erfasst. Für Diagnoseprotokolle auf Gastbetriebssystemebene werden Daten dagegen aus dem Betriebssystem und den Anwendungen erfasst, die auf einem virtuellen Computer ausgeführt werden.Resource-level diagnostic logs require no agent and capture resource-specific data from the Azure platform itself, while guest OS-level diagnostic logs capture data from the operating system and applications running on a virtual machine.

Nicht alle Dienste unterstützen die hier beschriebenen Diagnoseprotokolle.Not all services support the diagnostic logs described here. Dieser Artikel bietet eine Übersicht über Dienste, die Diagnoseprotokolle unterstützen.This article contains a section listing which services support diagnostic logs.

Verwenden von DiagnoseprotokollenWhat you can do with diagnostic logs

Hier sind einige Verwendungsmöglichkeiten für Diagnoseprotokolle:Here are some of the things you can do with diagnostic logs:

Logische Position von Diagnoseprotokollen

Sie können ein Speicherkonto oder Event Hubs-Namespace verwenden, das sich nicht im gleichen Abonnement befindet wie das, das Protokolle angibt.You can use a storage account or Event Hubs namespace that is not in the same subscription as the one emitting logs. Der Benutzer, der die Einstellung konfiguriert, benötigt den entsprechenden RBAC-Zugriff auf beide Abonnements.The user who configures the setting must have the appropriate RBAC access to both subscriptions.

Hinweis

Sie können derzeit keine Netzwerkflussprotokolle in einem Speicherkonto archivieren, das sich hinter einem geschützten virtuellen Netzwerk befindet.You cannot currently archive network flow logs to a storage account that is behind a secured virtual network.

Warnung

Das Format der Protokolldaten im Speicherkonto wird am 1. November 2018 in JSON Lines geändert.The format of the log data in the storage account will change to JSON Lines on Nov. 1st, 2018. Dieser Artikel enthält eine Beschreibung der Auswirkungen und der Aktualisierung Ihrer Tools zur Verarbeitung des neuen Formats.See this article for a description of the impact and how to update your tooling to handle the new format.

DiagnoseeinstellungenDiagnostic settings

Ressourcendiagnoseprotokolle werden mithilfe von Diagnoseeinstellungen für Ressourcen konfiguriert.Resource diagnostic logs are configured using resource diagnostic settings. Mandantendiagnoseprotokolle werden mithilfe einer Diagnoseeinstellung für Mandanten konfiguriert.Tenant diagnostic logs are configured using a tenant diagnostic setting. Mit Diagnoseeinstellungen für eine Dienststeuerung können Sie Folgendes festlegen:Diagnostic settings for a service control:

  • Wohin Diagnoseprotokolle und Metriken gesendet werden (Speicherkonto, Event Hubs und/oder Log Analytics).Where diagnostic logs and metrics are sent (Storage Account, Event Hubs, and/or Log Analytics).
  • Welche Protokollkategorien gesendet werden, und ob auch Metrikdaten gesendet werden.Which log categories are sent and whether metric data is also sent.
  • Wie lange die einzelnen Protokollkategorien in einem Speicherkonto beibehalten werden sollenHow long each log category should be retained in a storage account
    • Wenn für die Beibehaltungsdauer 0 Tage festgelegt sind, bedeutet dies, dass Protokolle unbegrenzt beibehalten werden.A retention of zero days means logs are kept forever. Andernfalls kann als Wert die Anzahl von Tagen (1 bis 2.147.483.647) festgelegt werden.Otherwise, the value can be any number of days between 1 and 2147483647.
    • Wenn Aufbewahrungsrichtlinien festgelegt wurden, aber das Speichern von Protokollen in einem Speicherkonto deaktiviert ist (etwa, wenn nur die Optionen „Event Hubs“ oder „Log Analytics“ ausgewählt sind), werden die Aufbewahrungsrichtlinien ignoriert.If retention policies are set but storing logs in a Storage Account is disabled (for example, if only Event Hubs or Log Analytics options are selected), the retention policies have no effect.
    • Aufbewahrungsrichtlinien werden pro Tag angewendet, sodass Protokolle am Ende eines Tages (UTC) ab dem Tag, der nun außerhalb der Aufbewahrungsrichtlinie liegt, gelöscht werden.Retention policies are applied per-day, so at the end of a day (UTC), logs from the day that is now beyond the retention policy are deleted. Beispiel: Wenn Sie eine Aufbewahrungsrichtlinie für einen Tag verwenden, werden heute am Anfang des Tages die Protokolle von vorgestern gelöscht.For example, if you had a retention policy of one day, at the beginning of the day today the logs from the day before yesterday would be deleted. Der Löschvorgang beginnt um Mitternacht (UTC), jedoch kann es bis zu 24 Stunden dauern, bis die Protokolle aus Ihrem Speicherkonto gelöscht werden.The delete process begins at midnight UTC, but note that it can take up to 24 hours for the logs to be deleted from your storage account.

Diese Einstellungen können einfach über die Diagnoseeinstellungen im Portal über Azure PowerShell, CLI-Befehle oder die Azure Monitor-REST-API konfiguriert werden.These settings are easily configured via the diagnostic settings in the portal, via Azure PowerShell and CLI commands, or via the Azure Monitor REST API.

Hinweis

Das Senden mehrdimensionaler Metriken über die Diagnoseeinstellungen wird derzeit nicht unterstützt.Sending multi-dimensional metrics via diagnostic settings is not currently supported. Metriken mit Dimensionen werden als vereinfachte eindimensionale Metriken exportiert und dimensionswertübergreifend aggregiert.Metrics with dimensions are exported as flattened single dimensional metrics, aggregated across dimension values.

Beispiel: Die Metrik „Eingehende Nachrichten“ eines Event Hubs kann auf einer warteschlangenspezifischen Ebene untersucht und in einem Diagramm dargestellt werden.For example: The 'Incoming Messages' metric on an Event Hub can be explored and charted on a per queue level. Wenn Sie die Metrik allerdings über die Diagnoseeinstellungen exportieren, umfasst die Darstellung alle eingehenden Nachrichten für alle Warteschlangen im Event Hub.However, when exported via diagnostic settings the metric will be represented as all incoming messages across all queues in the Event Hub.

Aktivieren der Erfassung von DiagnoseprotokollenHow to enable collection of diagnostic logs

Die Erfassung von Diagnoseprotokollen kann bei der Ressourcenerstellung in einer Resource Manager-Vorlage oder später im Portal über die Seite der Ressource aktiviert werden.Collection of diagnostic logs can be enabled as part of creating a resource in a Resource Manager template or after a resource is created from that resource's page in the portal. Darüber hinaus können Sie die Erfassung jederzeit mithilfe von Azure PowerShell oder CLI-Befehlen oder mithilfe der Azure Monitor-REST-API aktivieren.You can also enable collection at any point using Azure PowerShell or CLI commands, or using the Azure Monitor REST API.

Tipp

Diese Anweisungen lassen sich unter Umständen nicht immer direkt auf jede Ressource anwenden.These instructions may not apply directly to every resource. Informationen zu Sonderschritten, die ggf. für bestimmte Ressourcentypen erforderlich sind, finden Sie unter den Schemalinks am Ende dieser Seite.See the schema links at the bottom of this page to understand special steps that may apply to certain resource types.

Aktivieren der Erfassung von Diagnoseprotokollen im PortalEnable collection of diagnostic logs in the portal

Sie können die Erfassung von Diagnoseprotokollen für Ressourcen nach dem Erstellen einer Ressource im Azure-Portal aktivieren, indem Sie entweder zu einer bestimmten Ressource oder zu Azure Monitor navigieren.You can enable collection of resource diagnostic logs in the Azure portal after a resource has been created either by going to a specific resource or by navigating to Azure Monitor. So aktivieren Sie dies über Azure Monitor:To enable this via Azure Monitor:

  1. Navigieren Sie im Azure-Portal zu Azure Monitor, und klicken Sie auf Diagnoseeinstellungen.In the Azure portal, navigate to Azure Monitor and click on Diagnostic Settings

    Abschnitt „Überwachung“ von Azure Monitor

  2. Filtern Sie optional die Liste nach Ressourcengruppe oder Ressourcentyp, und klicken Sie auf die Ressource, für die Sie eine Diagnoseeinstellung festlegen möchten.Optionally filter the list by resource group or resource type, then click on the resource for which you would like to set a diagnostic setting.

  3. Wenn keine Einstellungen für die Ressource vorhanden sind, die Sie ausgewählt haben, werden Sie aufgefordert, eine Einstellung zu erstellen.If no settings exist on the resource you have selected, you are prompted to create a setting. Klicken Sie auf „Diagnose aktivieren“.Click "Turn on diagnostics."

    Diagnoseeinstellung hinzufügen – keine Einstellungen vorhanden

    Wenn Einstellungen für die Ressource vorhanden sind, sehen Sie eine Liste der Einstellungen, die bereits für diese Ressource konfiguriert sind.If there are existing settings on the resource, you will see a list of settings already configured on this resource. Klicken Sie auf „Diagnoseeinstellung hinzufügen“.Click "Add diagnostic setting."

    Diagnoseeinstellung hinzufügen – Einstellungen vorhanden

  4. Geben Sie Ihrer Einstellung einen Namen, aktivieren Sie die Kontrollkästchen für die einzelnen Ziele, an die Sie Daten senden möchten, und konfigurieren Sie, welche Ressourcen für die einzelnen Ziele verwendet werden.Give your setting a name, check the boxes for each destination to which you would like to send data, and configure which resource is used for each destination. Legen Sie optional eine Anzahl von Tagen für die Aufbewahrung dieser Protokolle fest. Verwenden Sie dazu die Schieberegler unter Aufbewahrung (Tage) (gilt nur für das Speicherkontoziel).Optionally, set a number of days to retain these logs by using the Retention (days) sliders (only applicable to the storage account destination). Bei einer Aufbewahrung von 0 Tagen werden die Protokolle dauerhaft gespeichert.A retention of zero days stores the logs indefinitely.

    Diagnoseeinstellung hinzufügen – Einstellungen vorhanden

  5. Klicken Sie auf Speichern.Click Save.

Nach einigen Augenblicken wird die neue Einstellung in der Liste der Einstellungen für diese Ressource angezeigt, und Diagnoseprotokolle werden an die angegebenen Ziele gesendet, sobald neue Ereignisdaten generiert werden.After a few moments, the new setting appears in your list of settings for this resource, and diagnostic logs are sent to the specified destinations as soon as new event data is generated.

Die Diagnoseeinstellungen für Mandanten können nur im Portal auf dem Blatt für den Mandantendienst konfiguriert werden. Diese Einstellungen werden nicht auf dem Blatt für Azure Monitor-Diagnoseeinstellungen angezeigt.Tenant diagnostic settings can only be configured in the portal blade for the tenant service - these settings do not appear in the Azure Monitor diagnostic settings blade. Beispielsweise können Sie Azure Active Directory-Überwachungsprotokolle konfigurieren, indem Sie auf dem Blatt „Überwachungsprotokolle“ auf Dateneinstellungen exportieren klicken.For example, Azure Active Directory audit logs are configured by clicking on the Data Export Settings in the Audit Logs blade.

AAD-Diagnoseeinstellungen

Aktivieren der Erfassung von Diagnoseprotokollen für Ressourcen mit PowerShellEnable collection of resource diagnostic logs via PowerShell

Verwenden Sie die folgenden Befehle, um die Erfassung von Diagnoseprotokollen für Ressourcen mit Azure PowerShell zu aktivieren:To enable collection of resource diagnostic logs via Azure PowerShell, use the following commands:

Verwenden Sie den folgenden Befehl, um das Speichern von Diagnoseprotokollen in einem Speicherkonto zu aktivieren:To enable storage of diagnostic logs in a storage account, use this command:

Set-AzureRmDiagnosticSetting -ResourceId [your resource id] -StorageAccountId [your storage account id] -Enabled $true

Die Speicherkonto-ID ist die Ressourcen-ID für das Speicherkonto, an das die Protokolle gesendet werden sollen.The storage account ID is the resource ID for the storage account to which you want to send the logs.

Verwenden Sie den folgenden Befehl, um das Streamen von Diagnoseprotokollen an eine Event Hub-Instanz zu aktivieren:To enable streaming of diagnostic logs to an event hub, use this command:

Set-AzureRmDiagnosticSetting -ResourceId [your resource id] -ServiceBusRuleId [your Service Bus rule id] -Enabled $true

Die Service Bus-Regel-ID ist eine Zeichenfolge mit dem folgenden Format: {Service Bus resource ID}/authorizationrules/{key name}.The service bus rule ID is a string with this format: {Service Bus resource ID}/authorizationrules/{key name}.

Verwenden Sie den folgenden Befehl, um das Senden von Diagnoseprotokollen an einen Log Analytics-Arbeitsbereich zu aktivieren:To enable sending of diagnostic logs to a Log Analytics workspace, use this command:

Set-AzureRmDiagnosticSetting -ResourceId [your resource id] -WorkspaceId [resource id of the log analytics workspace] -Enabled $true

Sie können die Ressourcen-ID mit dem folgenden Befehl aus Ihrem Log Analytics-Arbeitsbereich abrufen:You can obtain the resource ID of your Log Analytics workspace using the following command:

(Get-AzureRmOperationalInsightsWorkspace).ResourceId

Sie können diese Parameter miteinander kombinieren, um mehrere Ausgabeoptionen zu aktivieren.You can combine these parameters to enable multiple output options.

Sie können derzeit keine Diagnoseeinstellungen für Mandanten mit Azure PowerShell konfigurieren.You cannot currently configure tenant diagnostic settings using Azure PowerShell.

Aktivieren der Erfassung von Diagnoseprotokollen für Ressourcen über die Azure CLIEnable collection of resource diagnostic logs via the Azure CLI

Zum Aktivieren der Auflistung von Ressourcendiagnoseprotokollen über die Azure CLI verwenden Sie den Befehl az monitor diagnostic-settings create.To enable collection of resource diagnostic logs via the Azure CLI, you use the az monitor diagnostic-settings create command.

Aktivieren der Speicherung von Diagnoseprotokollen in einem Speicherkonto:To enable storage of diagnostic logs in a Storage Account:

az monitor diagnostic-settings create --name <diagnostic name> \
    --storage-account <name or ID of storage account> \
    --resource <target resource object ID> \
    --resource-group <storage account resource group> \
    --logs '[
    {
        "category": <category name>,
        "enabled": true,
        "retentionPolicy": {
            "days": <# days to retain>,
            "enabled": true
        }
    }]'

Das --resource-group-Argument ist nur erforderlich, wenn --storage-account keine Objekt-ID ist.The --resource-group argument is only required if --storage-account is not an object ID.

Aktivieren des Streamings von Diagnoseprotokollen an eine Event Hub-Instanz:To enable streaming of diagnostic logs to an event hub:

az monitor diagnostic-settings create --name <diagnostic name> \
    --event-hub <event hub name> \
    --event-hub-rule <event hub rule ID> \
    --resource <target resource object ID> \
    --logs '[
    {
        "category": <category name>,
        "enabled": true
    }
    ]'

Die Regel-ID ist eine Zeichenfolge in folgendem Format: {Service Bus resource ID}/authorizationrules/{key name}The rule ID is a string with this format: {Service Bus resource ID}/authorizationrules/{key name}.

Aktivieren der Sendung von Diagnoseprotokollen an einen Log Analytics-Arbeitsbereich:To enable sending of diagnostic logs to a Log Analytics workspace:

az monitor diagnostic-settings create --name <diagnostic name> \
    --workspace <log analytics name or object ID> \
    --resource <target resource object ID> \
    --resource-group <log analytics workspace resource group> \
    --logs '[
    {
        "category": <category name>,
        "enabled": true
    }
    ]'

Das --resource-group-Argument ist nur erforderlich, wenn --workspace keine Objekt-ID ist.The --resource-group argument is only required if --workspace is not an object ID

Sie können das Diagnoseprotokoll mithilfe eines beliebigen Befehls mit weiteren Kategorien ergänzen, indem Sie dem JSON-Array, das als der --logs-Parameter übergeben wird, Wörterbücher hinzufügen.With any command, you can add additional categories to the diagnostic log by adding dictionaries to the JSON array passed as the --logs parameter. Sie können Parameter --storage-account, --event-hub und --workspace miteinander kombinieren, um mehrere Ausgabeoptionen zu aktivieren.You can combine the --storage-account, --event-hub, and --workspace parameters to enable multiple output options.

Sie können derzeit keine Diagnoseeinstellungen für Mandanten über die CLI konfigurieren.You cannot currently configure tenant diagnostic settings using the CLI.

Aktivieren der Erfassung von Diagnoseprotokollen für Ressourcen per REST-APIEnable collection of resource diagnostic logs via REST API

Informationen zum Ändern der Diagnoseeinstellungen mithilfe der Azure Monitor-REST-API finden Sie in diesem Dokument.To change diagnostic settings using the Azure Monitor REST API, see this document.

Sie können derzeit keine Diagnoseeinstellungen für Mandanten über die Azure Monitor-REST-API konfigurieren.You cannot currently configure tenant diagnostic settings using the Azure Monitor REST API.

Verwalten von Diagnoseeinstellungen für Ressourcen im PortalManage resource diagnostic settings in the portal

Stellen Sie sicher, dass für alle Ihre Ressourcen Diagnoseeinstellungen festgelegt sind.Ensure that all of your resources are set up with diagnostic settings. Navigieren Sie im Portal zu Überwachen, und öffnen Sie Diagnoseeinstellungen.Navigate to Monitor in the portal and open Diagnostic settings.

Das Blatt „Diagnoseprotokolle“ im Portal

Möglicherweise müssen Sie auf „Alle Dienste“ klicken, um den Abschnitt „Überwachen“ zu finden.You may have to click "All services" to find the Monitor section.

Hier können Sie alle Ressourcen anzeigen und filtern, die Diagnoseeinstellungen unterstützen, um zu ermitteln, ob die Diagnose dafür aktiviert ist.Here you can view and filter all resources that support diagnostic settings to see if they have diagnostics enabled. Sie können auch einen Drilldown ausführen, um zu sehen, ob mehrere Einstellungen für eine Ressource festgelegt sind, und überprüfen, zu welchem Speicherkonto, Event Hubs-Namespace und/oder Log Analytics-Arbeitsbereich die Daten fließen.You can also drill down to see if multiple settings are set on a resource and check which storage account, Event Hubs namespace, and/or Log Analytics workspace that data are flowing to.

Ergebnisse von Diagnoseprotokollen im Portal

Wenn Sie eine Diagnoseeinstellung hinzufügen, wird das Blatt „Diagnoseeinstellungen“ angezeigt, auf dem Sie die Diagnoseeinstellungen für die ausgewählte Ressource aktivieren, deaktivieren oder ändern können.Adding a diagnostic setting brings up the Diagnostic Settings view, where you can enable, disable, or modify your diagnostic settings for the selected resource.

Unterstützte Dienste, Kategorien und Schemas für DiagnoseprotokolleSupported services, categories, and schemas for diagnostic logs

In diesem Artikel finden Sie eine vollständige Liste der unterstützten Dienste, Protokollkategorien und Schemas, die von diesen Diensten verwendet werden.See this article for a complete list of supported services and the log categories and schemas used by those services.

Nächste SchritteNext steps