Azure-tevékenységnapló

A Tevékenységnapló az Azure előfizetési szintű eseményekkel kapcsolatos megállapításokat biztosító platformnaplója. A tevékenységnapló olyan információkat tartalmaz, mint az erőforrás módosítása vagy a virtuális gép elindítása. Megtekintheti a tevékenységnaplót a Azure Portal, vagy beolvashatja a bejegyzéseket a PowerShell és a parancssori felület használatával. Ez a cikk részletesen ismerteti a tevékenységnapló megtekintését és különböző célhelyekre való küldését.

További funkciókért hozzon létre egy diagnosztikai beállítást, amely a tevékenységnaplót az alábbi helyek egyikére vagy többre küldi a következő okokból:

  • az Azure Monitor-naplókba összetettebb lekérdezésekhez és riasztásokhoz, valamint hosszabb megőrzéshez (legfeljebb két évig)
  • Azure Event Hubs az Azure-on kívülre történő továbbításhoz
  • az Azure Storage-ba olcsóbb, hosszú távú archiváláshoz

A diagnosztikai beállítások létrehozásával kapcsolatos részletekért lásd: Diagnosztikai beállítások létrehozása a platformnaplók és -metrikák különböző célhelyekre való küldéséhez .

Megjegyzés

A Tevékenységnapló bejegyzéseit a rendszer hozza létre, és nem módosíthatók vagy törölhetők.

Megtartási időszak

A tevékenységnapló-események 90 napig megmaradnak az Azure-ban, majd törlődnek. Ez idő alatt a bejegyzések mennyisége nem számít fel díjat. További funkciók, például a hosszabb megőrzés érdekében létre kell hoznia egy diagnosztikai beállítást, és a teljes adatokat az igényeinek megfelelően egy másik helyre kell irányítania. Tekintse meg a cikk korábbi szakaszában található feltételeket.

A tevékenységnapló megtekintése

A Tevékenységnaplót az Azure Portal legtöbb menüjéből elérheti. A megnyitásához használt menü határozza meg a napló kezdeti szűrőjét. Ha a Figyelés menüből nyitja meg, akkor az egyetlen szűrő az előfizetésen lesz. Ha egy erőforrás menüjéből nyitja meg, akkor a szűrő erre az erőforrásra van beállítva. A szűrőt bármikor módosíthatja az összes többi bejegyzés megtekintéséhez. Válassza a Szűrő hozzáadása lehetőséget, ha további tulajdonságokat szeretne hozzáadni a szűrőhöz.

View Activity Log

A tevékenységnapló-kategóriák leírásáért lásd az Azure-tevékenységnapló eseménysémát.

A tevékenységnapló letöltése

Az aktuális nézetben szereplő események letöltéséhez válassza a Letöltés CSV-fájlként lehetőséget.

Download Activity log

Módosítási előzmények megtekintése

Egyes eseményeknél megtekintheti a módosítási előzményeket, amelyek az esemény időpontjában történt módosításokat jelenítik meg. Válassza ki a Tevékenységnaplóból azt az eseményt, amelyet részletesebben meg szeretne tekinteni. Válassza a Változások nyomon követése (előzetes verzió) lapot az eseménnyel társított összes módosítás megtekintéséhez.

Change history list for an event

Ha vannak módosítások társítva az eseménnyel, látni fogja a kijelölhető módosítások listáját. Ekkor megnyílik a Módosítási előzmények (előzetes verzió) lap. Ezen a lapon láthatja az erőforrás módosításait. A következő példában nemcsak azt láthatja, hogy a virtuális gép mérete módosult, hanem azt is, hogy mi volt a virtuális gép mérete a módosítás előtt, és mire módosult. A változáselőzményekről további információt az erőforrás-módosítások lekérése című témakörben talál.

Change history page showing differences

Tevékenységnapló-események lekérésének egyéb módszerei

A tevékenységnapló-eseményeket az alábbi módszerekkel is elérheti:

Küldés a Log Analytics-munkaterületre

Küldje el a tevékenységnaplót egy Log Analytics-munkaterületre az Azure Monitor-naplók funkcióinak engedélyezéséhez, amely a következőket tartalmazza:

  • A tevékenységnapló-adatok korrelálása az Azure Monitor által gyűjtött egyéb monitorozási adatokkal.
  • Több Azure-előfizetésből és -bérlőből származó naplóbejegyzések összesítése egy helyre, ahol együtt elemezhet.
  • Napló lekérdezésekkel összetett elemzéseket végezhet, és részletes elemzéseket kaphat a tevékenységnapló-bejegyzésekről.
  • A naplóriasztások tevékenységbejegyzésekkel való használata összetettebb riasztási logikát tesz lehetővé.
  • A tevékenységnapló-bejegyzések tárolása a tevékenységnapló-megőrzési időtartamnál hosszabb ideig.
  • A Log Analytics-munkaterületen tárolt tevékenységnapló-adatok esetében nincs adatbetöltési díj.
  • A Log Analytics-munkaterületen tárolt tevékenységnapló-adatok esetében az első 90 napban nem kell adatmegőrzési díjat fizetni.

Válassza a Tevékenységnaplók exportálása lehetőséget.

Export activity logs

a tevékenységnapló log analytics-munkaterületre való elküldéséhez. A tevékenységnaplót egyetlen előfizetésből akár öt munkaterületre is elküldheti.

A Log Analytics-munkaterület tevékenységnapló-adatai egy AzureActivity nevű táblában találhatók, amely a Log Analytics napló lekérdezésével kérhető le. A tábla szerkezete a naplóbejegyzés kategóriájától függően változik. A táblatulajdonságok leírását az Azure Monitor-adatreferenciában tekintheti meg.

Az egyes kategóriák tevékenységnapló-rekordjainak számát például a következő lekérdezéssel tekintheti meg:

AzureActivity
| summarize count() by CategoryValue

A felügyeleti kategória összes rekordjának lekéréséhez használja a következő lekérdezést:

AzureActivity
| where CategoryValue == "Administrative"

Küldés a Azure Event Hubs

Küldje el a tevékenységnaplót a Azure Event Hubs, hogy bejegyzéseket küldjön az Azure-on kívül, például egy külső SIEM-nek vagy más log analytics-megoldásnak. Az Event Hubs tevékenységnapló-eseményei JSON formátumban vannak felhasználva, és minden records hasznos adat rekordjait tartalmazó elemet tartalmaznak. A séma a kategóriától függ, és az Storage Fiók és az Event Hubs sémája ismerteti.

Az alábbi minta kimeneti adatok az Event Hubsból egy tevékenységnaplóhoz:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Küldés az Azure Storage-ba

Ha 90 napnál hosszabb ideig szeretné megőrizni naplóadatait naplózás, statikus elemzés vagy biztonsági mentés céljából, küldje el a tevékenységnaplót egy Azure Storage-fióknak. Ha csak 90 napig vagy annál rövidebb ideig kell megőriznie az eseményeket, nem kell archiválnia egy Storage-fiókba, mivel a tevékenységnapló-események 90 napig maradnak meg az Azure platformon.

Amikor elküldi a tevékenységnaplót az Azure-ba, az esemény bekövetkezésekor azonnal létrejön egy tároló a Storage-fiókban. A tárolóban lévő blobok az alábbi elnevezési konvencióval használhatók:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Egy adott blob neve például az alábbihoz hasonló lehet:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Mindegyik PT1H.json blob tartalmazza a blob URL-jében meghatározott órában (például h=12) bekövetkezett események JSON-blobját. Az aktuális órában az események az előfordulásukkor lesznek a PT1H.json fájlhoz fűzve. A percérték (m=00) mindig 00, mivel az erőforrásnapló eseményei óránként külön blobokba vannak bontva.

Minden esemény a PT1H.json fájlban van tárolva a következő formátumban, amely egy közös legfelső szintű sémát használ, de máskülönben egyedi az egyes kategóriákhoz a tevékenységnapló sémájában leírtak szerint.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Örökölt gyűjtési módszerek

Ez a szakasz a diagnosztikai beállítások előtt használt tevékenységnapló gyűjtésének örökölt módszereit ismerteti. Ha ezeket a módszereket használja, érdemes lehet áttérni a diagnosztikai beállításokra, amelyek jobb funkciókat és konzisztenciát biztosítanak az erőforrásnaplókkal.

Naplóprofilok

A naplóprofilok a tevékenységnapló Azure Storage-ba vagy Event Hubsba való küldésének örökölt módjai. Az alábbi eljárással folytathatja a naplóprofillal való munkát, vagy letilthatja azt a diagnosztikai beállításokra való migrálás előkészítése során.

  1. A Azure Portal Azure Monitor menüjében válassza a Tevékenységnapló lehetőséget.

  2. Válassza a Tevékenységnaplók exportálása lehetőséget.

    Export activity logs

  3. Válassza ki a lila szalagcímet az örökölt felülethez.

    Legacy experience

Naplóprofil konfigurálása a PowerShell-lel

Ha már létezik naplóprofil, először el kell távolítania a meglévő naplóprofilt, majd létre kell hoznia egy újat.

  1. Annak azonosítására használható Get-AzLogProfile , hogy létezik-e naplóprofil. Ha létezik naplóprofil, jegyezze fel a név tulajdonságot.

  2. A Remove-AzLogProfilenévtulajdonság értékével eltávolíthatja a naplóprofilt.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Új naplóprofil létrehozásához használható Add-AzLogProfile :

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    Tulajdonság Kötelező Leírás
    Name (Név) Yes A naplóprofil neve.
    StorageAccountId No Annak a Storage-fióknak az erőforrás-azonosítója, ahová a tevékenységnaplót menteni kell.
    serviceBusRuleId No Service Bus azon Service Bus névtér szabályazonosítóját, amelyben létre szeretné hozni az Event Hubsot. Ez egy sztring a következő formátumban: {service bus resource ID}/authorizationrules/{key name}.
    Hely Igen Azoknak a régióknak a vesszővel tagolt listája, amelyekhez tevékenységnapló-eseményeket szeretne gyűjteni.
    RetentionInDays Yes Azoknak a napoknak a száma, amelyeken az eseményeket meg kell őrizni az Storage-fiókban, 1 és 365 között. A nulla érték határozatlan ideig tárolja a naplókat.
    Kategória No Az összegyűjtendő eseménykategóriák vesszővel tagolt listája. Lehetséges értékek: Írás, Törlés és Művelet.

Példaszkript

Az alábbiakban egy PowerShell-példaszkriptet használunk egy naplóprofil létrehozásához, amely egy Storage-fiókba és egy eseményközpontba is beírja a tevékenységnaplót.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Naplóprofil konfigurálása az Azure CLI-vel

Ha már létezik naplóprofil, először el kell távolítania a meglévő naplóprofilt, majd létre kell hoznia egy naplóprofilt.

  1. Annak azonosítására használható az monitor log-profiles list , hogy létezik-e naplóprofil.

  2. A az monitor log-profiles delete --name "<log profile name>névtulajdonság értékével eltávolíthatja a naplóprofilt.

  3. Naplóprofil létrehozásához használható az monitor log-profiles create :

    az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<Event Hub NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
    
    Tulajdonság Kötelező Leírás
    name Yes A naplóprofil neve.
    tárfiók-azonosító Yes Annak a Storage-fióknak az erőforrás-azonosítója, amelybe a tevékenységnaplókat menteni kell.
    Helyek Yes Azoknak a régióknak a szóközzel tagolt listája, amelyekhez tevékenységnapló-eseményeket szeretne gyűjteni. Az előfizetéséhez tartozó összes régió listáját megtekintheti a használatával az account list-locations --query [].name.
    nap Yes Azon napok száma, amelyeken az eseményeket meg kell őrizni, 1 és 365 között. A nulla érték határozatlan ideig (örökre) tárolja a naplókat. Ha nulla, akkor az engedélyezett paramétert false (hamis) értékre kell állítani.
    engedélyezve Yes Igaz vagy hamis? Az adatmegőrzési szabályzat engedélyezésére vagy letiltására szolgál. Ha igaz, akkor a days paraméternek 0-nál nagyobb értéknek kell lennie.
    kategóriák Yes Az összegyűjtendő eseménykategóriák szóközzel elválasztott listája. Lehetséges értékek: Írás, Törlés és Művelet.

Log Analytics-munkaterület

A tevékenységnapló Log Analytics-munkaterületre való küldésének örökölt módszere a munkaterület konfigurációjának bejelentkezése.

  1. A Azure Portal Log Analytics-munkaterületek menüjében válassza ki a munkaterületet a tevékenységnapló gyűjtéséhez.

  2. A munkaterület menüjének Munkaterület-adatforrások szakaszában válassza az Azure-tevékenységnaplót.

  3. Válassza ki a csatlakoztatni kívánt előfizetést.

    Screenshot shows Log Analytics workspace with an Azure Activity log selected.

  4. Válassza a Csatlakozás lehetőséget, ha az előfizetésben lévő tevékenységbejegyzést a kiválasztott munkaterülethez szeretné csatlakoztatni. Ha az előfizetés már csatlakozik egy másik munkaterülethez, válassza a Kapcsolat bontása lehetőséget a kapcsolat bontásához.

    Connect Workspaces

A beállítás letiltásához hajtsa végre ugyanezt az eljárást, és válassza a Leválasztás lehetőséget az előfizetés munkaterületről való eltávolításához.

Adatstruktúra változásai

Az Exportálási tevékenységnaplók felület ugyanazokat az adatokat küldi el, mint az örökölt módszer, amellyel a tevékenységnapló elküldhető az AzureActivity tábla szerkezetének néhány módosításával.

Az alábbi táblázat oszlopai elavultak a frissített sémában. Továbbra is léteznek az AzureActivity-ben , de nincsenek adataik. Ezek az oszlopok nem újak, de ugyanazokat az adatokat tartalmazzák, mint az elavult oszlop. Ezek formátuma eltérő, ezért előfordulhat, hogy módosítania kell az őket használó naplólekérdezéseket.

Tevékenységnapló JSON-fájlja Log Analytics-oszlop neve
(régebbi elavult)
Új Log Analytics-oszlop neve Jegyzetek
category Kategória CategoryValue
status

értékek (sikeres, indítás, elfogadás, hiba)
ActivityStatus

értékek megegyeznek a JSON-fájl értékeivel
ActivityStatusValue

az értékek a következőre módosulnak: (sikeres, elindítva, elfogadva, sikertelen)
Az érvényes értékek az ábrán látható módon változnak
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue A REST API honosítja a műveletnév értékét. A Log Analytics felhasználói felülete mindig angolul jelenik meg.
resourceProviderName ResourceProvider ResourceProviderValue

Fontos

Bizonyos esetekben az ezekben az oszlopokban lévő értékek csupa nagybetűvel jelenhetnek meg. Ha ezeket az oszlopokat tartalmazó lekérdezése van, használja az =~ operátort a kis- és nagybetűket nem megkülönböztető összehasonlításhoz.

A frissített sémában a következő oszlopok lettek hozzáadva az AzureActivity-hez :

  • Authorization_d
  • Claims_d
  • Properties_d

Tevékenységnapló-megállapítások

A tevékenységnapló-elemzésekkel megtekintheti az előfizetés erőforrásainak és erőforráscsoportjainak változásaival kapcsolatos információkat. Az irányítópultok azt is megjelenítik, hogy mely felhasználók vagy szolgáltatások végeztek tevékenységeket az előfizetésben, valamint a tevékenységek állapotát. Ez a cikk bemutatja, hogyan tekintheti meg a tevékenységnapló-megállapításokat a Azure Portal.

A Tevékenységnapló-elemzések használata előtt engedélyeznie kell a naplók Log Analytics-munkaterületre való küldését.

Hogyan működik a tevékenységnapló-megállapítások?

A Log Analytics-munkaterületre küldött tevékenységnaplók egy AzureActivity nevű táblában vannak tárolva.

A tevékenységnapló-elemzések olyan válogatott Log Analytics-munkafüzetek , amelyek irányítópultokkal jelenítik meg az AzureActivity táblában szereplő adatokat. Például hogy mely rendszergazdák töröltek, frissítettek vagy hoztak létre erőforrásokat, és hogy a tevékenységek sikertelenek vagy sikeresek-e.

A screenshot showing Azure Activity logs insights dashboards.

Tevékenységnapló-elemzések megtekintése – Erőforráscsoport/ Előfizetési szint

Tevékenységnapló-elemzések megtekintése erőforráscsoporton vagy előfizetési szinten:

  1. A Azure Portal válassza a MonitorWorkbooks> lehetőséget.

  2. A Elemzések szakaszban válassza a Tevékenységnaplók Elemzések lehetőséget.

    A screenshot showing how to locate and open the Activity logs insights workbook on a scale level.

  3. A Tevékenységnaplók Elemzések lap tetején válassza a következőt:

    1. Egy vagy több előfizetés az Előfizetések legördülő listából.
    2. Erőforrások és erőforráscsoportok a CurrentResource legördülő listából.
    3. Egy időtartomány, amelynek adatait a TimeRange legördülő listából tekintheti meg.

Tevékenységnapló-elemzések megtekintése bármely Azure-erőforráson

Megjegyzés

  • Jelenleg az alkalmazások Elemzések erőforrások nem támogatottak ebben a munkafüzetben.

Tevékenységnapló-elemzések megtekintése erőforrásszinten:

  1. A Azure Portal lépjen az erőforráshoz, és válassza a Munkafüzetek lehetőséget.

  2. Válassza a Tevékenységnaplók Elemzések lehetőséget a Tevékenységnaplók Elemzések szakaszban.

    A screenshot showing how to locate and open the Activity logs insights workbook on a resource level.

  3. A Tevékenységnaplók Elemzések lap tetején válassza a következőt:

    1. Egy időtartomány, amelynek adatait a TimeRange legördülő listából tekintheti meg.
    • Az Azure-tevékenységnapló-bejegyzések az egyes tevékenységnapló-kategóriák tevékenységnapló-rekordjainak számát jelenítik meg.

      Screenshot of Azure Activity Logs by Category Value

    • Az állapot szerinti tevékenységnaplók az egyes állapotokban lévő tevékenységnapló-rekordok számát jelenítik meg.

      Screenshot of Azure Activity Logs by Status

    • Az előfizetés és az erőforráscsoport szintjén az erőforrás- és tevékenységnaplók erőforrás-szolgáltatónkénti tevékenységnaplói az egyes erőforrás- és erőforrás-szolgáltatók tevékenységnapló-rekordjainak számát jelenítik meg.

      Screenshot of Azure Activity Logs by Resource

Következő lépések