Azure Monitor-tevékenységnapló-adatok küldése

  • Cikk

Az Azure Monitor tevékenységnaplója egy platformnapló, amely betekintést nyújt az előfizetési szintű eseményekbe. A tevékenységnapló olyan információkat tartalmaz, mint az erőforrások módosításának vagy a virtuális gépek indításának az időpontja. A tevékenységnaplót megtekintheti az Azure Portalon, vagy lekérheti a bejegyzéseket a PowerShell-lel vagy az Azure CLI-vel. Ez a cikk a tevékenységnapló megtekintésének és különböző célhelyekre történő elküldésének módját ismerteti.

További funkciók érdekében hozzon létre egy diagnosztikai beállítást a tevékenységnapló egy vagy több ilyen helyre való elküldéséhez az alábbi okokból:

  • Küldje el az Azure Monitor-naplókba összetettebb lekérdezésekhez és riasztásokhoz, valamint akár tizenkét évig tartó hosszabb megőrzéshez.
  • Küldés az Azure Event Hubsba az Azure-on kívüli továbbításhoz.
  • Küldés az Azure Storage-ba olcsóbb, hosszú távú archiváláshoz.

A diagnosztikai beállítások létrehozásáról további információt a platformnaplók és metrikák különböző célhelyekre történő küldéséhez szükséges diagnosztikai beállítások létrehozása című témakörben talál.

Feljegyzés

  • A tevékenységnapló bejegyzései rendszerszintűek, és nem módosíthatók és nem törölhetők.
  • A tevékenységnapló bejegyzései olyan vezérlősík-módosításokat jelölnek, mint a virtuális gép újraindítása, a nem kapcsolódó bejegyzéseket az Azure-erőforrásnaplókba kell írni
  • A tevékenységnapló bejegyzései általában módosítások (létrehozási, frissítési vagy törlési műveletek) vagy egy műveletet kezdeményeztek. Az erőforrások adatainak olvasására összpontosító műveletek általában nem rögzítve vannak.

Küldés Log Analytics-munkaterületre

Küldje el a tevékenységnaplót egy Log Analytics-munkaterületre az Azure Monitor Naplók funkció engedélyezéséhez, ahol:

  • A tevékenységnapló adatainak korrelálása az Azure Monitor által gyűjtött egyéb monitorozási adatokkal.
  • Több Azure-előfizetésből és bérlőből származó naplóbejegyzések összesítése egy helyre elemzés céljából.
  • Napló lekérdezésekkel összetett elemzéseket végezhet, és mély elemzéseket végezhet a tevékenységnapló-bejegyzésekről.
  • A naplókeresési riasztásokat tevékenységbejegyzésekkel használva összetettebb riasztási logikát használhat.
  • A tevékenységnapló bejegyzéseit a tevékenységnapló megőrzési időszakánál hosszabb ideig tárolja.
  • A Log Analytics-munkaterületen tárolt tevékenységnapló-adatok nem merülnek fel adatbetöltési vagy adatmegőrzési költségekkel.
  • A Log Analytics alapértelmezett megőrzési ideje 90 nap

Válassza a Tevékenységnaplók exportálása lehetőséget a tevékenységnapló Log Analytics-munkaterületre való küldéséhez.

Screenshot that shows exporting activity logs.

A tevékenységnaplót egyetlen előfizetésből legfeljebb öt munkaterületre küldheti el.

A Log Analytics-munkaterület tevékenységnapló-adatait egy olyan táblában AzureActivity tárolja a rendszer, amely a Log Analytics napló lekérdezésével kérhető le. A tábla felépítése a naplóbejegyzés kategóriájától függően változik. A táblatulajdonságok leírásáért tekintse meg az Azure Monitor adatreferenciáját.

Ha például az egyes kategóriák tevékenységnapló-rekordjainak számát szeretné megtekinteni, használja a következő lekérdezést:

AzureActivity
| summarize count() by CategoryValue

A felügyeleti kategória összes rekordjának lekéréséhez használja a következő lekérdezést:

AzureActivity
| where CategoryValue == "Administrative"

Fontos

Bizonyos esetekben előfordulhat, hogy az AzureActivity mezőinek értékei eltérő burkolattal rendelkeznek az egyébként egyenértékű értékektől. Az AzureActivity adatainak lekérdezésekor ügyeljen arra, hogy sztring-összehasonlításokhoz használjon kis- és nagybetűket érzéketlen operátorokat, vagy használjon skaláris függvényt, hogy az összehasonlítás előtt egységes burkolatra kényszerítsen egy mezőt. Egy mező tolower() függvényével például kényszerítheti, hogy mindig kisbetűs legyen, vagy a =~ operátort sztring-összehasonlítás végrehajtásakor.

Küldés az Azure Event Hubsba

Küldje el a tevékenységnaplót az Azure Event Hubsnak, hogy az Azure-on kívüli bejegyzéseket küldjön, például egy külső SIEM-nek vagy más log analytics-megoldásnak. Az eseményközpontokból származó tevékenységnapló-események JSON formátumban vannak felhasználva, és az records egyes hasznos adatok rekordjait tartalmazó elemet tartalmaznak. A séma a kategóriától függ, és az Azure-tevékenységnapló eseménysémában van leírva.

A következő kimeneti mintaadatok egy tevékenységnapló eseményközpontjaiból származnak:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Küldés az Azure Storage-be

Ha 90 napnál hosszabb ideig szeretné megőrizni naplóadatait naplózás, statikus elemzés vagy biztonsági mentés céljából, küldje el a tevékenységnaplót egy Azure Storage-fióknak. Ha legalább 90 napig meg kell őriznie az eseményeket, akkor nem kell archiválásokat beállítania egy tárfiókhoz. A tevékenységnapló-események 90 napig maradnak meg az Azure-platformon.

Amikor elküldi a tevékenységnaplót az Azure-ba, egy tároló jön létre a tárfiókban, amint esemény történik. A tárolóban lévő blobok a következő elnevezési konvenciót használják:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Egy adott blob neve például a következőhöz hasonló lehet:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Minden PT1H.json blob tartalmaz egy JSON-objektumot, amely a blob URL-címében megadott órában fogadott naplófájlokból származó eseményeket tartalmazza. A jelen órában az eseményeket a rendszer hozzáfűzi a PT1H.json fájlhoz, függetlenül attól, hogy mikor lettek létrehozva. Az URL-cím m=00 percértéke mindig 00 a blobok óránkénti létrehozása.

A rendszer minden eseményt a PT1H.json fájlban tárol az alábbi formátumban. Ez a formátum általános legfelső szintű sémát használ, de egyébként minden kategóriához egyedi, a Tevékenységnapló sémájában leírtak szerint.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Tevékenységnapló-események lekérésének egyéb módszerei

A tevékenységnapló-eseményeket az alábbi módszerekkel is elérheti:

Örökölt gyűjtési módszerek

Feljegyzés

  • Az Azure Activity Logs megoldással a tevékenységnaplókat továbbíthatták az Azure Log Analyticsnek. Ez a megoldás 2026. szeptember 15-én megszűnik, és automatikusan diagnosztikai beállításokká lesz konvertálva.

Ha tevékenységnaplókat gyűjt az örökölt gyűjtési módszerrel, javasoljuk, hogy exportálja a tevékenységnaplókat a Log Analytics-munkaterületre, és tiltsa le az örökölt gyűjteményt az adatforrások használatával – Az API törlése az alábbiak szerint:

  1. Listázhatja a munkaterülethez csatlakoztatott összes adatforrást az Adatforrások – Listázás munkaterület szerint API használatával, és a beállítással kind eq 'AzureActivityLog'szűrheti a tevékenységnaplókat.

    Screenshot showing the configuration of the Data Sources - List By Workspace API.

  2. Másolja ki a letiltani kívánt kapcsolat nevét az API-válaszból.

    Screenshot showing the connection information you need to copy from the output of the Data Sources - List By Workspace API.

  3. Az adatforrások – Az API törlése funkcióval állítsa le az adott erőforrás tevékenységnaplóinak gyűjtését.

    Screenshot of the configuration of the Data Sources - Delete API.

Régi naplóprofilok kezelése

A naplóprofilok a tevékenységnapló tárolási vagy eseményközpontokba való küldésének régi módszerei. Ha ezt a módszert használja, fontolja meg a diagnosztikai beállításokra való áttérést, amely jobb funkcionalitást és konzisztenciát biztosít az erőforrásnaplókkal.

Ha már létezik naplóprofil, először el kell távolítania a meglévő naplóprofilt, majd létre kell hoznia egy újat.

  1. Naplóprofil meglétének azonosítására használható Get-AzLogProfile . Ha létezik naplóprofil, jegyezze fel a tulajdonságot Name .

  2. A Remove-AzLogProfile naplóprofil eltávolításához használja az értéket a Name tulajdonságból.

    # For example, if the log profile name is 'default'
Remove-AzLogProfile -Name "default"

  3. Új Add-AzLogProfile naplóprofil létrehozása:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    Tulajdonság Kötelező Leírás
    Név Igen A naplóprofil neve.
    StorageAccountId Nem Annak a tárfióknak az erőforrás-azonosítója, amelyben a tevékenységnaplót menteni kell.
    serviceBusRuleId Nem Service Bus-szabályazonosító annak a Service Bus-névtérnek, ahol létre szeretné hozni az eseményközpontokat. Ez a sztring formátuma {service bus resource ID}/authorizationrules/{key name}.
    Hely Igen Vesszővel tagolt lista azon régiókról, amelyekhez tevékenységnapló-eseményeket szeretne gyűjteni.
    RetentionInDays Igen Azon napok száma, amelyeken az eseményeket meg kell őrizni a tárfiókban, 1 és 365 között. A nulla érték korlátlan ideig tárolja a naplókat.
    Kategória Nem Az összegyűjtendő eseménykategóriák vesszővel tagolt listája. A lehetséges értékek az Írás, a Törlés és a Művelet.

Példaszkript

Ez a PowerShell-példaszkript létrehoz egy naplóprofilt, amely a tevékenységnaplót egy tárfiókba és egy eseményközpontba is írja.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Adatszerkezet-változások

Az Exportálási tevékenységnaplók felület ugyanazokat az adatokat küldi el, mint a tevékenységnapló elküldéséhez használt régi módszer, néhány módosítással a AzureActivity tábla szerkezetében.

Az alábbi táblázat oszlopai elavultak a frissített sémában. Még mindig léteznek, AzureActivityde nincsenek adataik. Ezek az oszlopok nem újak, de ugyanazokat az adatokat tartalmazzák, mint az elavult oszlop. Más formátumban vannak, ezért előfordulhat, hogy módosítania kell az őket használó naplólekérdezéseket.

Tevékenységnapló JSON Log Analytics-oszlop neve
(régebbi elavult)		 Új Log Analytics-oszlop neve Jegyzetek
kategória Kategória KategóriaÉrtéke
status

Az értékek a siker, az indítás, az elfogadás, a hiba		 ActivityStatus

A JSON értékeivel megegyező értékek		 ActivityStatusValue

Az értékek sikeresek, elindítva, elfogadva, sikertelenek		 Az érvényes értékek az ábrán látható módon változnak.
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue A REST API honosítja a műveletnév értékét. A Log Analytics felhasználói felülete mindig angolul jelenik meg.
resourceProviderName ResourceProvider ResourceProviderValue

Fontos

Bizonyos esetekben előfordulhat, hogy az oszlopok értékei nagybetűsek. Ha rendelkezik olyan lekérdezéssel, amely ezeket az oszlopokat tartalmazza, a =~ operátorral végezze el a kis- és nagybetűk érzéketlen összehasonlítását.

A frissített sémában a következő oszlopok lettek hozzáadva AzureActivity :

  • Authorization_d
  • Claims_d
  • Properties_d

Következő lépések

További információk: