Log attività di Azure

Il log attività è un log della piattaforma presente in Azure che fornisce informazioni sugli eventi a livello di sottoscrizione. Il log attività include informazioni come quando una risorsa viene modificata o quando viene avviata una macchina virtuale. È possibile visualizzare il log attività nel portale di Azure o recuperarne le voci con PowerShell e l'interfaccia della riga di comando. Questo articolo fornisce informazioni dettagliate sulla visualizzazione del log attività e sull'invio a destinazioni diverse.

Per altre funzionalità, è necessario creare un'impostazione di diagnostica per inviare il log attività a una o più di queste posizioni per i motivi seguenti:

  • ai log di Monitoraggio di Azure per query e avvisi più complessi e conservazione più lunga (fino a due anni)
  • per Hub eventi di Azure inoltrare all'esterno di Azure
  • per Archiviazione di Azure per l'archiviazione a lungo termine più economico

Per informazioni dettagliate sulla creazione di un'impostazione di diagnostica, vedere Creare impostazioni di diagnostica per inviare log e metriche della piattaforma a destinazioni diverse .

Nota

Le voci nel log attività sono generate dal sistema e non possono essere modificate o eliminate.

Periodo di fidelizzazione

Gli eventi del log attività vengono conservati in Azure per 90 giorni e quindi eliminati. Non sono previsti addebiti per le voci durante questo periodo, indipendentemente dal volume. Per altre funzionalità, ad esempio la conservazione più lunga, è necessario creare un'impostazione di diagnostica e instradare l'intero a un'altra posizione in base alle esigenze. Vedere i criteri nella sezione precedente di questo articolo.

Visualizzare il log attività

È possibile accedere al log attività dalla maggior parte dei menu nel portale di Azure. Il menu da cui viene aperto ne determina il filtro iniziale. Se lo si apre dal menu Monitoraggio, l'unico filtro sarà nella sottoscrizione. Se la si apre dal menu di una risorsa, il filtro viene impostato su tale risorsa. È sempre possibile modificare il filtro per visualizzare tutte le altre voci. Selezionare Aggiungi filtro per aggiungere altre proprietà al filtro.

View Activity Log

Per una descrizione delle categorie di log attività, vedere Schema degli eventi del log attività di Azure.

Scaricare il log attività

Selezionare Scarica come CSV per scaricare gli eventi nella vista corrente.

Download Activity log

Visualizzare la cronologia modifiche

Per alcuni eventi è possibile visualizzare la cronologia modifiche, che mostra le modifiche apportate durante un dato momento dell'evento. Selezionare un evento nel log attività di cui si desidera visualizzare maggiori dettagli. Selezionare la scheda Cronologia modifiche (anteprima) per visualizzare eventuali modifiche associate a tale evento.

Change history list for an event

Se sono presenti modifiche associate all'evento, viene visualizzato un elenco di modifiche che è possibile selezionare. Viene visualizzata la pagina Cronologia modifiche (anteprima) . In questa pagina vengono visualizzate le modifiche apportate alla risorsa. Nell'esempio seguente è possibile vedere non solo che le dimensioni della macchina virtuale sono cambiate, ma anche la dimensione precedente alla modifica e la nuova dimensione. Per altre informazioni sulla cronologia delle modifiche, vedere Ottenere le modifiche alle risorse.

Change history page showing differences

Altri metodi per recuperare gli eventi del log attività

È anche possibile accedere agli eventi del log attività usando i metodi seguenti:

Inviare all'area di lavoro Log Analytics

Inviare il log attività a un'area di lavoro Log Analytics per abilitare le funzionalità dei log di Monitoraggio di Azure che includono quanto segue:

  • Correlare i dati del log attività con altri dati di monitoraggio raccolti da Monitoraggio di Azure.
  • Consolidare le voci di log da più sottoscrizioni e tenant di Azure in un'unica posizione per l'analisi.
  • Usare le query di log per eseguire analisi complesse e ottenere informazioni approfondite sulle voci del log attività.
  • Usare gli avvisi del log con le voci attività che consentono una logica di avviso più complessa.
  • Archiviare le voci del log attività per più tempo rispetto al periodo di conservazione del log attività.
  • Nessun addebito per l'inserimento dati per i dati del log attività archiviati in un'area di lavoro Log Analytics.
  • Nessun addebito per la conservazione dei dati per i primi 90 giorni per i dati del log attività archiviati in un'area di lavoro Log Analytics.

Selezionare Esporta log attività.

Export activity logs

per inviare il log attività a un'area di lavoro Log Analytics. È possibile inviare il log attività da qualsiasi singola sottoscrizione a un massimo di cinque aree di lavoro.

I dati del log attività in un'area di lavoro Log Analytics vengono archiviati in una tabella denominata AzureActivity che è possibile recuperare con una query di log in Log Analytics. La struttura di questa tabella varia a seconda della categoria della voce di log. Per una descrizione delle proprietà della tabella, vedere informazioni di riferimento sui dati di Monitoraggio di Azure.

Ad esempio, per visualizzare un conteggio dei record del log attività per ogni categoria, usare la query seguente:

AzureActivity
| summarize count() by CategoryValue

Per recuperare tutti i record nella categoria amministrativa, usare la query seguente:

AzureActivity
| where CategoryValue == "Administrative"

Invia a Hub eventi di Azure

Inviare il log attività a Hub eventi di Azure per inviare voci all'esterno di Azure, ad esempio a una soluzione SIEM di terze parti o ad altre soluzioni di log analytics. Gli eventi del log attività di Hub eventi vengono utilizzati in formato JSON con un records elemento contenente i record in ogni payload. Lo schema dipende dalla categoria e viene descritto in Schema da Archiviazione Account e Hub eventi.

Di seguito sono riportati i dati di output di esempio di Hub eventi per un log attività:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Inviare ad Archiviazione di Azure

Inviare il log attività a un account Archiviazione di Azure se si desidera conservare i dati di log più di 90 giorni per il controllo, l'analisi statica o il backup. Se è necessario conservare gli eventi solo per 90 giorni o meno, non è necessario configurare l'archiviazione in un account Archiviazione, poiché gli eventi del log attività vengono conservati nella piattaforma Azure per 90 giorni.

Quando si invia il log attività ad Azure, viene creato un contenitore di archiviazione nell'account Archiviazione non appena si verifica un evento. I BLOB nel contenitore usano la convenzione di denominazione seguente:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Ad esempio, un BLOB specifico potrebbe avere un nome simile al seguente:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Ogni BLOB PT1H.json contiene un BLOB JSON di eventi che si sono verificati nell'ora specificata nell'URL BLOB (ad esempio, h=12). Durante l'ora attuale, gli eventi vengono aggiunti al file PT1H.json man mano che si verificano. Il valore del minuto (m=00) è sempre 00, poiché gli eventi del log delle risorse vengono suddivisi in singoli BLOB all'ora.

Ogni evento viene archiviato nel file PT1H.json con il formato seguente che usa uno schema di primo livello comune, ma è altrimenti univoco per ogni categoria, come descritto in Schema del log attività.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Metodi di raccolta legacy

Questa sezione descrive i metodi legacy per la raccolta del log attività usato prima delle impostazioni di diagnostica. Se si usano questi metodi, è consigliabile passare alle impostazioni di diagnostica che offrono funzionalità e coerenza migliori con i log delle risorse.

Profili dei log

I profili di log sono il metodo legacy per l'invio del log attività ad Archiviazione di Azure o a Hub eventi. Utilizzare la procedura seguente per continuare a usare un profilo di log o disabilitarlo in preparazione alla migrazione a un'impostazione di diagnostica.

  1. Nel menu Monitoraggio di Azure nella portale di Azure selezionare Log attività.

  2. Selezionare Esporta log attività.

    Export activity logs

  3. Selezionare il banner viola per l'esperienza legacy.

    Legacy experience

Configurare il profilo di log con PowerShell

Se esiste già un profilo di log, è prima necessario rimuovere il profilo di log esistente e quindi crearne uno nuovo.

  1. Usare Get-AzLogProfile per determinare se esiste già un profilo di log. Se esiste un profilo di log, prendere nota della proprietà name .

  2. Usare Remove-AzLogProfile per rimuovere il profilo di log usando il valore della proprietà name.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Usare Add-AzLogProfile per creare un nuovo profilo di log:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    Proprietà Obbligatoria Descrizione
    Nome Nome del profilo di log.
    StorageAccountId No ID risorsa dell'account Archiviazione in cui deve essere salvato il log attività.
    serviceBusRuleId No bus di servizio ID regola per lo spazio dei nomi bus di servizio in cui si desidera creare Hub eventi. Si tratta di una stringa con il formato: {service bus resource ID}/authorizationrules/{key name}.
    Posizione Elenco delimitato da virgole di aree per cui raccogliere eventi del log attività.
    RetentionInDays Numero di giorni per i quali gli eventi devono essere conservati nell'account Archiviazione, da 1 a 365. Se il valore è zero, i log vengono conservati all'infinito.
    Category No Elenco delimitato da virgole di categorie di eventi che devono essere raccolti. I valori possibili sono Write, Delete e Action.

Script di esempio

Di seguito è riportato uno script di PowerShell di esempio per creare un profilo di log che scrive il log attività in un account Archiviazione e in un hub eventi.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Configurare il profilo di log con l'interfaccia della riga di comando di Azure

Se esiste già un profilo di log, è prima necessario rimuovere il profilo di log esistente e quindi creare un profilo di log.

  1. Usare az monitor log-profiles list per determinare se esiste già un profilo di log.

  2. Usare az monitor log-profiles delete --name "<log profile name> per rimuovere il profilo di log usando il valore della proprietà name.

  3. Usare az monitor log-profiles create per creare un profilo di log:

    az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<Event Hub NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
    
    Proprietà Obbligatoria Descrizione
    name Nome del profilo di log.
    storage-account-id ID risorsa dell'account di archiviazione in cui salvare i log attività.
    locations Elenco delimitato da spazi di aree per cui raccogliere eventi del log attività. È possibile visualizzare un elenco di tutte le aree per la sottoscrizione tramite az account list-locations --query [].name.
    days Numero di giorni per i quali gli eventi devono essere conservati, da 1 a 365. Se il valore è zero, i log vengono archiviati per un periodo illimitato. Se zero, il parametro abilitato deve essere impostato su false.
    Enabled Vero o falso. Consente di abilitare o disabilitare i criteri di conservazione. Se True, il parametro days deve essere un valore maggiore di 0.
    Categorie Elenco delimitato da spazi di categorie di eventi che devono essere raccolti. I valori possibili sono Write, Delete e Action.

Area di lavoro Log Analytics

Il metodo legacy per l'invio del log attività in un'area di lavoro Log Analytics connette l'accesso alla configurazione dell'area di lavoro.

  1. Dal menu Aree di lavoro Log Analytics nella portale di Azure selezionare l'area di lavoro per raccogliere il log attività.

  2. Nella sezione Origini dati dell'area di lavoro del menu dell'area di lavoro selezionare Registro attività di Azure.

  3. Selezionare la sottoscrizione che si vuole connettere.

    Screenshot shows Log Analytics workspace with an Azure Activity log selected.

  4. Selezionare Connessione per connettere l'accesso attività alla sottoscrizione selezionata. Se la sottoscrizione è già connessa a un'altra area di lavoro, selezionare Disconnetti prima di disconnetterla.

    Connect Workspaces

Per disabilitare l'impostazione, eseguire la stessa procedura e selezionare Disconnetti per rimuovere la sottoscrizione dall'area di lavoro.

Modifiche alla struttura dei dati

L'esperienza Esporta log attività invia gli stessi dati del metodo legacy usato per inviare il log attività con alcune modifiche alla struttura della tabella AzureActivity .

Le colonne della tabella seguente sono state deprecate nello schema aggiornato. Esistono ancora in AzureActivity , ma non hanno dati. Le sostituzioni per queste colonne non sono nuove, ma contengono gli stessi dati della colonna deprecata. Sono in un formato diverso, quindi potrebbe essere necessario modificare le query di log che li usano.

JSON del log attività Nome colonna Log Analytics
(deprecato precedente)
Nuovo nome di colonna di Log Analytics Note
category Category CategoryValue
status

i valori sono (esito positivo, avviare, accettare, errore)
ActivityStatus

valori uguali a JSON
ActivityStatusValue

valori cambiano in (riuscito, avviato, accettato, non riuscito)
I valori validi cambiano come illustrato
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue L'API REST localizza il valore del nome dell'operazione. L'interfaccia utente di Log Analytics mostra sempre l'inglese.
resourceProviderName ResourceProvider ResourceProviderValue

Importante

In alcuni casi i valori in queste colonne saranno tutti in maiuscolo. In presenza di una query che include queste colonne, è necessario usare l'operatore =~ per eseguire un confronto senza distinzione tra maiuscole e minuscole.

Le colonne seguenti sono state aggiunte ad AzureActivity nello schema aggiornato:

  • Authorization_d
  • Claims_d
  • Properties_d

Informazioni dettagliate sui log attività

Le informazioni dettagliate sui log attività consentono di visualizzare informazioni sulle modifiche apportate alle risorse e ai gruppi di risorse in una sottoscrizione. I dashboard presentano anche i dati relativi agli utenti o ai servizi che hanno eseguito attività nella sottoscrizione e allo stato delle attività. Questo articolo illustra come visualizzare le informazioni dettagliate sui log attività nell'portale di Azure.

Prima di usare le informazioni dettagliate sul log attività, è necessario abilitare l'invio dei log all'area di lavoro Log Analytics.

Come funzionano le informazioni dettagliate sui log attività?

I log attività inviati a un'area di lavoro Log Analytics vengono archiviati in una tabella denominata AzureActivity.

Le informazioni dettagliate sui log attività sono una cartella di lavoro di Log Analytics curato con dashboard che visualizzano i dati nella tabella AzureActivity. Ad esempio, quali amministratori hanno eliminato, aggiornato o creato risorse e se le attività non sono riuscite o hanno avuto esito positivo.

A screenshot showing Azure Activity logs insights dashboards.

Visualizzare informazioni dettagliate sul log attività - Gruppo di risorse/Livello di sottoscrizione

Per visualizzare informazioni dettagliate sui log attività in un gruppo di risorse o in un livello di sottoscrizione:

  1. Nella portale di Azure selezionare MonitorWorkbook>.

  2. Selezionare Log attività Insights nella sezione Insights.

    A screenshot showing how to locate and open the Activity logs insights workbook on a scale level.

  3. Nella parte superiore della pagina Log attività Insights selezionare:

    1. Una o più sottoscrizioni dall'elenco a discesa Sottoscrizioni .
    2. Risorse e gruppi di risorse dall'elenco a discesa CurrentResource .
    3. Intervallo di tempo per cui visualizzare i dati dall'elenco a discesa TimeRange .

Visualizzare informazioni dettagliate sui log attività in qualsiasi risorsa di Azure

Nota

  • Attualmente le applicazioni Insights risorse non sono supportate per questa cartella di lavoro.

Per visualizzare informazioni dettagliate sui log attività a livello di risorsa:

  1. Nella portale di Azure passare alla risorsa, selezionare Cartelle di lavoro.

  2. Selezionare Log attività Insights nella sezione Log attività Insights.

    A screenshot showing how to locate and open the Activity logs insights workbook on a resource level.

  3. Nella parte superiore della pagina Log attività Insights selezionare:

    1. Intervallo di tempo per cui visualizzare i dati dall'elenco a discesa TimeRange .
    • Le voci del log attività di Azure mostrano il conteggio dei record del log attività in ogni categoria del log attività.

      Screenshot of Azure Activity Logs by Category Value

    • I log attività per stato mostrano il conteggio dei record del log attività in ogni stato.

      Screenshot of Azure Activity Logs by Status

    • A livello di sottoscrizione e gruppo di risorse, i log attività in base alle risorse e ai log attività del provider di risorse mostrano il conteggio dei record del log attività per ogni risorsa e provider di risorse.

      Screenshot of Azure Activity Logs by Resource

Passaggi successivi