Visualizzare i log attività per controllare le azioni sulle risorseView activity logs to audit actions on resources

Con i log attività è possibile determinare:Through activity logs, you can determine:

  • le operazioni eseguite sulle risorse nella sottoscrizionewhat operations were taken on the resources in your subscription
  • chi ha avviato l'operazione (anche se le operazioni avviate da un servizio back-end non restituiscono un utente come chiamante);who initiated the operation (although operations initiated by a backend service do not return a user as the caller)
  • quando si è verificata l'operazione;when the operation occurred
  • lo stato dell'operazione;the status of the operation
  • i valori delle altre proprietà che potrebbero essere utili per esaminare l'operazione.the values of other properties that might help you research the operation

Il log di attività contiene tutte le operazioni di scrittura (PUT, POST, DELETE) eseguite sulle risorse.The activity log contains all write operations (PUT, POST, DELETE) performed on your resources. Non include le operazioni di lettura (GET).It does not include read operations (GET). È possibile usare i log di controllo per trovare un errore durante la risoluzione dei problemi o per monitorare il modo in cui un utente dell'organizzazione ha modificato una risorsa.You can use the audit logs to find an error when troubleshooting or to monitor how a user in your organization modified a resource.

I registri attività vengono conservati per 90 giorni.Activity logs are retained for 90 days. È possibile eseguire query per qualsiasi intervallo di date, purché la data di inizio non risalga a più di 90 giorni prima.You can query for any range of dates, as long as the starting date is not more than 90 days in the past.

È possibile recuperare le informazioni dai log attività tramite il portale, PowerShell, l'interfaccia della riga di comando di Azure, l'API REST di Insights o la libreria .NET di Insights.You can retrieve information from the activity logs through the portal, PowerShell, Azure CLI, Insights REST API, or Insights .NET Library.

PortalePortal

  1. Per visualizzare i log attività dal portale, selezionare Monitoraggio.To view the activity logs through the portal, select Monitor.

    Selezionare i log di attività

    In alternativa, per filtrare automaticamente il log attività per una determinata risorsa o uno specifico gruppo di risorse, selezionare Log attività nel pannello di tale risorsa.Or, to automatically filter the activity log for a particular resource or resource group, select Activity log from that resource blade. Si noti che il log attività viene automaticamente filtrato in base alla risorsa selezionata.Notice that the activity log is automatically filtered by the selected resource.

    filtrare in base alla risorsa

  2. Nel pannello Log attività viene visualizzato un riepilogo delle operazioni recenti.In the Activity Log blade, you see a summary of recent operations.

    visualizzare le azioni

  3. Per limitare il numero di operazioni visualizzate, selezionare condizioni diverse.To restrict the number of operations displayed, select different conditions. Ad esempio, l'immagine seguente mostra i campi Intervallo di tempo ed Evento avviato da modificati per poter visualizzare le azioni eseguite da un determinato utente o applicazione il mese scorso.For example, the following image shows the Timespan and Event initiated by fields changed to view the actions taken by a particular user or application for the past month. Selezionare Applica per visualizzare i risultati della query.Select Apply to view the results of your query.

    impostare le opzioni di filtro

  4. Se è necessario eseguire ancora la query in un secondo momento, selezionare Salva e assegnare un nome alla query.If you need to run the query again later, select Save and give the query a name.

    Salvare la query

  5. Per eseguire rapidamente una query, è possibile selezionare una query predefinita, ad esempio "distribuzioni non riuscite".To quickly run a query, you can select one of the built-in queries, such as failed deployments.

    Selezionare la query

    La query selezionata imposta automaticamente i valori di filtro necessari.The selected query automatically sets the required filter values.

    Visualizzare gli errori di distribuzione

  6. Selezionare una delle operazioni per visualizzare un riepilogo dell'evento.Select one of the operations to see a summary of the event.

    Visualizzare l'operazione

PowerShellPowerShell

  1. Per recuperare le voci di log, eseguire il comando Get-AzureRmLog .To retrieve log entries, run the Get-AzureRmLog command. Offrire parametri aggiuntivi per filtrare l'elenco di voci.You provide additional parameters to filter the list of entries. Se non si specifica un'ora di inizio e fine, vengono restituite le voci per l'ultima ora.If you do not specify a start and end time, entries for the last hour are returned. Ad esempio, per recuperare le operazioni per un gruppo di risorse durante l'ultima ora, eseguire:For example, to retrieve the operations for a resource group during the past hour run:

    Get-AzureRmLog -ResourceGroup ExampleGroup
    

    L'esempio seguente illustra come usare il log attività per cercare le operazioni eseguite durante un intervallo di tempo specificato.The following example shows how to use the activity log to research operations taken during a specified time. Le date di inizio e fine vengono specificate in un formato Data.The start and end dates are specified in a date format.

    Get-AzureRmLog -ResourceGroup ExampleGroup -StartTime 2015-08-28T06:00 -EndTime 2015-09-10T06:00
    

    In alternativa, è possibile usare funzioni data per specificare l'intervallo di date, ad esempio gli ultimi 14 giorni.Or, you can use date functions to specify the date range, such as the last 14 days.

    Get-AzureRmLog -ResourceGroup ExampleGroup -StartTime (Get-Date).AddDays(-14)
    
  2. A seconda dell'ora di inizio specificata, il comando precedente può restituire un lungo elenco di operazioni per il gruppo di risorse.Depending on the start time you specify, the previous commands can return a long list of operations for the resource group. I risultati possono essere filtrati in base all'elemento da cercare specificando i criteri di ricerca.You can filter the results for what you are looking for by providing search criteria. Se si vuole capire il motivo per cui un'app Web è stata arrestata, ad esempio, è possibile eseguire questo comando:For example, if you are trying to research how a web app was stopped, you could run the following command:

    Get-AzureRmLog -ResourceGroup ExampleGroup -StartTime (Get-Date).AddDays(-14) | Where-Object OperationName -eq Microsoft.Web/sites/stop/action
    

    In questo esempio indica che è stata eseguita un'azione di arresto da someone@contoso.com.Which for this example shows that a stop action was performed by someone@contoso.com.

    Authorization     :
    Scope     : /subscriptions/xxxxx/resourcegroups/ExampleGroup/providers/Microsoft.Web/sites/ExampleSite
    Action    : Microsoft.Web/sites/stop/action
    Role      : Subscription Admin
    Condition :
    Caller            : someone@contoso.com
    CorrelationId     : 84beae59-92aa-4662-a6fc-b6fecc0ff8da
    EventSource       : Administrative
    EventTimestamp    : 8/28/2015 4:08:18 PM
    OperationName     : Microsoft.Web/sites/stop/action
    ResourceGroupName : ExampleGroup
    ResourceId        : /subscriptions/xxxxx/resourcegroups/ExampleGroup/providers/Microsoft.Web/sites/ExampleSite
    Status            : Succeeded
    SubscriptionId    : xxxxx
    SubStatus         : OK
    
  3. È possibile cercare le azioni eseguite da un utente specifico, anche per un gruppo di risorse che non esiste più.You can look up the actions taken by a particular user, even for a resource group that no longer exists.

    Get-AzureRmLog -ResourceGroup deletedgroup -StartTime (Get-Date).AddDays(-14) -Caller someone@contoso.com
    
  4. È possibile filtrare le operazioni non riuscite.You can filter for failed operations.

    Get-AzureRmLog -ResourceGroup ExampleGroup -Status Failed
    
  5. È possibile concentrarsi su un errore esaminando il messaggio di stato per tale voce.You can focus on one error by looking at the status message for that entry.

     ((Get-AzureRmLog -Status Failed -ResourceGroup ExampleGroup -DetailedOutput).Properties[1].Content["statusMessage"] | ConvertFrom-Json).error
    

    Che restituisce:Which returns:

     code           message                                                                        
     ----           -------                                                                        
     DnsRecordInUse DNS record dns.westus.cloudapp.azure.com is already used by another public IP. 
    

Interfaccia della riga di comando di AzureAzure CLI

  • Per recuperare le voci di log, eseguire il comando azure group log show .To retrieve log entries, you run the azure group log show command.

    azure group log show ExampleGroup --json
    

API RESTREST API

Le operazioni REST per l'uso del log attività fanno parte delle Informazioni di riferimento sulle API REST di Azure Insights.The REST operations for working with the activity log are part of the Insights REST API. Per recuperare gli eventi del log attività, vedere Elencare gli eventi di gestione in una sottoscrizione.To retrieve activity log events, see List the management events in a subscription.

Passaggi successiviNext steps