Monitorare l'attività di sottoscrizione con il log attività di AzureMonitor Subscription Activity with the Azure Activity Log

Il log attività di Azure è un log delle sottoscrizioni che fornisce informazioni approfondite sugli eventi a livello di sottoscrizione che si sono verificati in Azure.The Azure Activity Log is a subscription log that provides insight into subscription-level events that have occurred in Azure. Ciò include un intervallo di dati che vanno dai dati operativi di Azure Resource Manager agli aggiornamenti sugli eventi di integrità del servizio.This includes a range of data, from Azure Resource Manager operational data to updates on Service Health events. Il log attività era noto in precedenza come "log di controllo" o "log operativo", perché la categoria amministrativa segnala eventi del piano di controllo per le sottoscrizioni.The Activity Log was previously known as “Audit Logs” or “Operational Logs,” since the Administrative category reports control-plane events for your subscriptions. L'uso del log attività permette di acquisire informazioni dettagliate su qualsiasi operazione di scrittura (PUT, POST, DELETE) eseguita sulle risorse nella sottoscrizione.Using the Activity Log, you can determine the ‘what, who, and when’ for any write operations (PUT, POST, DELETE) taken on the resources in your subscription. Consente inoltre di comprendere lo stato dell'operazione e altre proprietà specifiche.You can also understand the status of the operation and other relevant properties. Il log attività non include le operazioni di lettura (GET) o quelle per le risorse che usano il modello classico/"RDFE".The Activity Log does not include read (GET) operations or operations for resources that use the Classic/"RDFE" model.

<span data-ttu-id="437e5-110">Log attività o altri tipi di log</span><span class="sxs-lookup"><span data-stu-id="437e5-110">Activity Logs vs other types of logs</span></span>

Figura 1: Log attività o altri tipi di logFigure 1: Activity Logs vs other types of logs

Il log attività è diverso dal log di diagnostica.The Activity Log differs from Diagnostic Logs. I log attività contengono dati relativi alle operazioni su una risorsa esterna (il "piano di controllo").Activity Logs provide data about the operations on a resource from the outside (the "control plane"). I log di diagnostica vengono generati da una risorsa e contengono informazioni sul funzionamento di tale risorsa (il "piano dati").Diagnostics Logs are emitted by a resource and provide information about the operation of that resource (the "data plane").

Per recuperare eventi dal log attività è possibile usare il portale di Azure, l'interfaccia della riga di comando, i cmdlet di PowerShell e l'API REST di Monitoraggio di Azure.You can retrieve events from your Activity Log using the Azure portal, CLI, PowerShell cmdlets, and Azure Monitor REST API.

Avviso

Il log attività di Azure è destinato principalmente alle attività che si verificano in Azure Resource Manager.The Azure Activity Log is primarily for activities that occur in Azure Resource Manager. Non tiene traccia delle risorse che usano il modello classico/RDFE.It does not track resources using the Classic/RDFE model. Alcuni tipi di risorse classiche dispongono di un provider di risorse proxy in Azure Resource Manager (ad esempio, Microsoft.ClassicCompute).Some Classic resource types have a proxy resource provider in Azure Resource Manager (for example, Microsoft.ClassicCompute). Se un utente interagisce con un tipo di risorsa classica tramite Azure Resource Manager con questi provider di risorse di proxy, le operazioni verranno visualizzate nel log attività.If you interact with a Classic resource type through Azure Resource Manager using these proxy resource providers, the operations appear in the Activity Log. Se si interagisce con un tipo di risorsa all'esterno dei proxy di gestione risorse di Azure classico, le azioni vengono registrate solo nel Log operazioni.If you interact with a Classic resource type outside of the Azure Resource Manager proxies, your actions are only recorded in the Operation Log. È possibile esaminare il log delle operazioni in una sezione distinta del portale.The Operation Log can be browsed in a separate section of the portal.

Guardare il video seguente di introduzione al log attività.View the following video introducing the Activity Log.

Categorie nel log attivitàCategories in the Activity Log

Il log attività contiene diverse categorie di dati.The Activity Log contains several categories of data. Per informazioni dettagliate sugli schemi di queste categorie, vedere questo articolo.For full details on the schemata of these categories, see this article. incluse le seguenti:These include:

  • Amministrativa: questa categoria contiene il record di tutte le operazioni di creazione, aggiornamento, eliminazione e azione eseguite tramite Resource Manager.Administrative - This category contains the record of all create, update, delete, and action operations performed through Resource Manager. Tra gli esempi dei tipi di eventi visualizzati in questa categoria sono inclusi "create virtual machine" e "delete network security group". Ogni azione eseguita da un utente o da un'applicazione usando Resource Manager viene modellata come operazione in un determinato tipo di risorsa.Examples of the types of events you would see in this category include "create virtual machine" and "delete network security group" Every action taken by a user or application using Resource Manager is modeled as an operation on a particular resource type. Se l'operazione è di tipo scrittura, eliminazione o azione, i record di avvio e riuscita o di non riuscita di tale operazione vengono registrati nella categoria amministrativa.If the operation type is Write, Delete, or Action, the records of both the start and success or fail of that operation are recorded in the Administrative category. La categoria amministrativa include anche eventuali modifiche al controllo degli accessi in base al ruolo in una sottoscrizione.The Administrative category also includes any changes to role-based access control in a subscription.
  • Integrità del servizio: questa categoria contiene il record degli eventi imprevisti di integrità del servizio che si sono verificati in Azure.Service Health - This category contains the record of any service health incidents that have occurred in Azure. Un esempio del tipo di evento visualizzato in questa categoria è "SQL Azure in East US is experiencing downtime".An example of the type of event you would see in this category is "SQL Azure in East US is experiencing downtime." Gli eventi di integrità del servizio sono di sei tipi: Action Required, Assisted Recovery, Incident, Maintenance, Information o Security, che vengono visualizzati solo se una risorsa della sottoscrizione è interessata dall'evento.Service health events come in five varieties: Action Required, Assisted Recovery, Incident, Maintenance, Information, or Security, and only appear if you have a resource in the subscription that would be impacted by the event.
  • Avviso: questa categoria contiene il record di tutte le attivazioni degli avvisi di Azure.Alert - This category contains the record of all activations of Azure alerts. Un esempio del tipo di evento visualizzato in questa categoria è "CPU % on myVM has been over 80 for the past 5 minutes".An example of the type of event you would see in this category is "CPU % on myVM has been over 80 for the past 5 minutes." In diversi sistemi Azure il concetto di avviso prevede la possibilità di definire una regola di qualche tipo e di ricevere una notifica quando le condizioni corrispondono a tale regola.A variety of Azure systems have an alerting concept -- you can define a rule of some sort and receive a notification when conditions match that rule. Ogni volta che un tipo di avviso di Azure supportato viene "attivato" o vengono soddisfatte le condizioni per generare una notifica, viene anche eseguito il push di un record dell'attivazione in questa categoria del log attività.Each time a supported Azure alert type 'activates,' or the conditions are met to generate a notification, a record of the activation is also pushed to this category of the Activity Log.
  • Ridimensionamento automatico: questa categoria contiene il record degli eventi correlati all'operazione del motore di ridimensionamento automatico in base alle impostazioni di scalabilità automatica definite nella sottoscrizione.Autoscale - This category contains the record of any events related to the operation of the autoscale engine based on any autoscale settings you have defined in your subscription. Un esempio del tipo di evento visualizzato in questa categoria è "Autoscale scale up action failed".An example of the type of event you would see in this category is "Autoscale scale up action failed." Con il ridimensionamento automatico è possibile aumentare o ridurre automaticamente il numero di istanze in un tipo di risorsa supportato in base all'ora del giorno e/o ai dati di caricamento (metrica) usando un'impostazione di ridimensionamento automatico.Using autoscale, you can automatically scale out or scale in the number of instances in a supported resource type based on time of day and/or load (metric) data using an autoscale setting. Quando vengono soddisfatte le condizioni per aumentare o ridurre le prestazioni, gli eventi di avvio riusciti o quelli non riusciti vengono registrati in questa categoria.When the conditions are met to scale up or down, the start and succeeded or failed events are recorded in this category.
  • Consiglio: questa categoria include gli eventi di raccomandazione da determinati tipi di risorse, ad esempio siti web e server SQL.Recommendation - This category contains recommendation events from certain resource types, such as web sites and SQL servers. Questi eventi offrono indicazioni su come usare al meglio le risorse.These events offer recommendations for how to better utilize your resources. Gli eventi di questo tipo si verificano solo se si hanno risorse che generano consigli.You only receive events of this type if you have resources that emit recommendations.
  • Sicurezza: questa categoria contiene il record degli avvisi generati dal Centro sicurezza di Azure.Security - This category contains the record of any alerts generated by Azure Security Center. Un esempio del tipo di evento visualizzato in questa categoria è "Suspicious double extension file executed".An example of the type of event you would see in this category is "Suspicious double extension file executed."
  • Criterio e Integrità risorse: queste categorie non contengono eventi, ma sono riservate per usi futuri.Policy and Resource Health - These categories do not contain any events; they are reserved for future use.

Schema di eventi per categoriaEvent schema per category

Vedere questo articolo per comprendere lo schema di eventi del log attività per categoria.See this article to understand the Activity Log event schema per category.

Che cosa si può fare con il log attivitàWhat you can do with the Activity Log

Ecco alcune delle attività che è possibile eseguire con il log attività:Here are some of the things you can do with the Activity Log:

Log attività di Azure

Eseguire query sul log attività nel portale di AzureQuery the Activity Log in the Azure portal

Nel portale di Azure è possibile visualizzare il log attività in diverse posizioni:Within the Azure portal you can view your Activity Log in several places:

  • Il pannello Log attività, a cui è possibile accedere cercando Log attività in "Altri servizi" nel riquadro di spostamento sinistro.The Activity Log blade, which you can access by searching for the Activity Log under "More Services" in the left-hand navigation pane.
  • Il pannello Monitoraggio, che per impostazione predefinita viene visualizzato nel riquadro di spostamento sinistro.The Monitor blade, which appears by default in the left-hand navigation pane. Il log attività è una sezione di questo pannello Monitoraggio di Azure.The Activity Log is one section of this Azure Monitor blade.
  • Tutti i pannelli delle risorse, ad esempio il pannello di configurazione di una macchina virtuale.Any resource's resource blade, for example, the configuration blade for a Virtual Machine. Il log attività è una delle sezioni nella maggior parte di questi pannelli delle risorse e, facendovi clic, vengono automaticamente filtrati gli eventi correlati alla risorsa specifica.The Activity Log is be one of the sections on most of these resource blades, and clicking on it automatically filters the events to those related to that specific resource.

Nel portale di Azure è possibile filtrare il log attività in base a questi campi:In the Azure portal, you can filter your Activity Log by these fields:

  • Intervallo di tempo: ora di inizio e di fine degli eventi.Timespan - The start and end time for events.
  • Categoria: la categoria di eventi, come descritto sopra.Category - The event category as described above.
  • Sottoscrizione: uno o più nomi di sottoscrizione di Azure.Subscription - One or more Azure subscription names.
  • Gruppo di risorse: uno o più gruppi di risorse in tali sottoscrizioni.Resource group - One or more resource groups within those subscriptions.
  • Risorsa (nome): nome di una risorsa specifica.Resource (name) - The name of a specific resource.
  • Tipo di risorsa: tipo di risorsa, ad esempio Microsoft.Compute/virtualmachines.Resource type - The type of resource, for example, Microsoft.Compute/virtualmachines.
  • Nome operazione: nome di un'operazione di Azure Resource Manager, ad esempio Microsoft.SQL/servers/Write.Operation name - The name of an Azure Resource Manager operation, for example, Microsoft.SQL/servers/Write.
  • Gravità: livello di gravità dell'evento (informativo, avviso, errore, critico).Severity - The severity level of the event (Informational, Warning, Error, Critical).
  • Evento avviato da: "chiamante" o utente che ha eseguito l'operazione.Event initiated by - The 'caller,' or user who performed the operation.
  • Apri ricerca: casella di ricerca di testo aperta che cerca tale stringa in tutti i campi di tutti gli eventi.Open search - This is an open text search box that searches for that string across all fields in all events.

Dopo avere definito un set di filtri, è possibile salvarlo come query persistente nelle sessioni, in caso fosse necessario eseguire di nuovo la stessa query in futuro con tali filtri applicati.Once you have defined a set of filters, you can save it as a query that is persisted across sessions if you ever need to perform the same query with those filters applied again in the future. È anche possibile aggiungere una query al dashboard di Azure per avere sempre sotto controllo eventi specifici.You can also pin a query to your Azure dashboard to always keep an eye on specific events.

Fare clic su "Applica" per eseguire la query e visualizzare tutti gli eventi corrispondenti.Clicking "Apply" runs your query and show all matching events. Fare clic su un evento dell'elenco per visualizzare il riepilogo di tale evento, oltre al codice JSON non elaborato completo di tale evento.Clicking on any event in the list shows the summary of that event as well as the full raw JSON of that event.

Per eseguire operazioni più avanzate, è possibile fare clic sull'icona Ricerca log, che visualizza i dati del log attività nella soluzione Analisi log attività di Log Analytics.For even more power, you can click the Log Search icon, which displays your Activity Log data in the Log Analytics Activity Log Analytics solution. Il pannello Log attività offre un'esperienza di filtro/esplorazione di base con i log, ma Log Analytics consente di trasformare tramite Pivot, eseguire query e visualizzare i dati in modo più dettagliato.The Activity Log blade offers a basic filter/browse experience on logs, but Log Analytics enables you to pivot, query, and visualize your data in more powerful ways.

Esportare il log attività con un profilo di logExport the Activity Log with a Log Profile

Un profilo di log controlla la modalità di esportazione del log attività.A Log Profile controls how your Activity Log is exported. Un profilo di log permette di configurare quanto segue:Using a Log Profile, you can configure:

  • Destinazione del log attività, ad esempio un account di archiviazione o un hub eventi.Where the Activity Log should be sent (Storage Account or Event Hubs)
  • Categorie di eventi da inviare (scrittura, eliminazione o azione).Which event categories (Write, Delete, Action) should be sent. Il significato di "categoria" nei profili del log è diverso da quello negli eventi del log attività. Nel profilo del log, la "Categoria" rappresenta il tipo di operazione (scrittura, eliminazione, azione). In un evento del log attività, la proprietà "categoria" rappresenta l'origine o il tipo di evento (ad esempio, amministrazione, ServiceHealth, avviso e altro).The meaning of "category" in Log Profiles and Activity Log events is different. In the Log Profile, "Category" represents the operation type (Write, Delete, Action). In an Activity Log event, the "category" property represents the source or type of event (for example, Administration, ServiceHealth, Alert, and more).
  • Aree o località da esportare.Which regions (locations) should be exported. Assicurarsi di includere "global", perché molti eventi del log attività sono eventi globali.Make sure to include "global," as many events in the Activity Log are global events.
  • Per quanto tempo il log attività deve essere mantenuto nell'account di archiviazione.How long the Activity Log should be retained in a Storage Account.
    • Un periodo di conservazione di zero giorni significa che i log vengono conservati all'infinito.A retention of zero days means logs are kept forever. Se impostato su zero giorni, i log vengono conservati all'infinito.Otherwise, the value can be any number of days between 1 and 2147483647.
    • Se i criteri di conservazione sono impostati, ma la memorizzazione dei log in un account di archiviazione è disabilitata, ad esempio se sono selezionate solo le opzioni Hub eventi o OMS, i criteri di conservazione non hanno alcun effetto.If retention policies are set but storing logs in a Storage Account is disabled (for example, if only Event Hubs or OMS options are selected), the retention policies have no effect.
    • I criteri di conservazione vengono applicati su base giornaliera. Al termine della giornata (UTC), i log relativi a tale giornata che non rientrano più nei criteri di conservazione verranno eliminati.Retention policies are applied per-day, so at the end of a day (UTC), logs from the day that is now beyond the retention policy are deleted. Se, ad esempio, è presente un criterio di conservazione di un giorno, all'inizio della giornata vengono eliminati i log relativi al giorno precedente.For example, if you had a retention policy of one day, at the beginning of the day today the logs from the day before yesterday would be deleted.

È possibile usare un account di archiviazione o un hub eventi dello spazio dei nomi che non si trovi nella stessa sottoscrizione di quello che crea i log.You can use a storage account or event hub namespace that is not in the same subscription as the one emitting logs. L'utente che configura l'impostazione deve disporre dell'accesso RBAC appropriato a entrambe le sottoscrizioni.The user who configures the setting must have the appropriate RBAC access to both subscriptions.

Queste impostazioni possono essere configurate tramite l'opzione "Esporta" nel pannello Log attività nel portaleThese settings can be configured via the “Export” option in the Activity Log blade in the portal. oppure a livello di codice tramite l'API REST di Monitoraggio di Azure, i cmdlet di PowerShell o l'interfaccia della riga di comando.They can also be configured programmatically using the Azure Monitor REST API, PowerShell cmdlets, or CLI. Una sottoscrizione può avere un solo profilo di log.A subscription can only have one log profile.

Configurare i profili di log tramite il portale di AzureConfigure log profiles using the Azure portal

È possibile trasmettere il log attività a un hub eventi o memorizzarlo in un account di archiviazione usando l'opzione "Esporta" nel portale di Azure.You can stream the Activity Log to an Event Hub or store them in a Storage Account by using the “Export” option in the Azure portal.

  1. Passare al pannello Log attività usando il menu sul lato sinistro del portale.Navigate to the Activity Log blade using the menu on the left side of the portal.

    Passare al log attività nel portale

  2. Fare clic sul pulsante Esporta nella parte superiore del pannello.Click the Export button at the top of the blade.

    Pulsante Esporta nel portale

  3. Nel pannello visualizzato è possibile selezionare:In the blade that appears, you can select:

    • aree per cui esportare gli eventiregions for which you would like to export events
    • account di archiviazione in cui salvare gli eventithe Storage Account to which you would like to save events
    • numero di giorni di conservazione degli eventi nella risorsa di archiviazionethe number of days you want to retain these events in storage. (se si impostano 0 giorni, i log vengono conservati all'infinito)A setting of 0 days retains the logs forever.
    • spazio dei nomi del bus di servizio in cui creare un hub eventi per la trasmissione di questi eventi.the Service Bus Namespace in which you would like an Event Hub to be created for streaming these events.

      Pannello Esporta log di controllo

  4. Fare clic su Salva per salvare le impostazioni.Click Save to save these settings. Le impostazioni vengono applicate immediatamente alla sottoscrizione.The settings are immediately be applied to your subscription.

Configurare i profili di log tramite i cmdlet di Azure PowerShellConfigure log profiles using the Azure PowerShell Cmdlets

Ottenere un profilo di log esistenteGet existing log profile

Get-AzureRmLogProfile

Aggiungere un profilo di logAdd a log profile

Add-AzureRmLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Locations global,westus,eastus -RetentionInDays 90 -Categories Write,Delete,Action
ProprietàProperty ObbligatoriaRequired DESCRIZIONEDescription
NOMEName Yes Nome del profilo di log.Name of your log profile.
StorageAccountIdStorageAccountId No No ID risorsa dell'account di archiviazione in cui salvare il log attività.Resource ID of the Storage Account to which the Activity Log should be saved.
serviceBusRuleIdserviceBusRuleId No No ID regola del bus di servizio per lo spazio dei nomi del bus di servizio in cui creare gli hub eventi.Service Bus Rule ID for the Service Bus namespace you would like to have event hubs created in. Si tratta di una stringa nel formato seguente: {service bus resource ID}/authorizationrules/{key name}.Is a string with this format: {service bus resource ID}/authorizationrules/{key name}.
LocalitàLocations Yes Elenco delimitato da virgole di aree per cui raccogliere eventi del log attività.Comma-separated list of regions for which you would like to collect Activity Log events.
RetentionInDaysRetentionInDays Yes Numero di giorni per cui gli eventi devono essere mantenuti, compreso tra 1 e 2147483647.Number of days for which events should be retained, between 1 and 2147483647. Se il valore è zero, i log vengono mantenuti per un periodo illimitato.A value of zero stores the logs indefinitely (forever).
CategorieCategories No No Elenco delimitato da virgole di categorie di eventi che devono essere raccolti.Comma-separated list of event categories that should be collected. I valori possibili sono Write, Delete e Action.Possible values are Write, Delete, and Action.

Rimozione di un profilo di logRemove a log profile

Remove-AzureRmLogProfile -name my_log_profile

Configurare i profili di log tramite l'interfaccia della riga di comando multipiattaforma di AzureConfigure log profiles Using the Azure Cross-Platform CLI

Ottenere un profilo di log esistenteGet existing log profile

azure insights logprofile list
azure insights logprofile get --name my_log_profile

La proprietà name deve essere il nome del profilo di log.The name property should be the name of your log profile.

Aggiungere un profilo di logAdd a log profile

azure insights logprofile add --name my_log_profile --storageId /subscriptions/s1/resourceGroups/insights-integration/providers/Microsoft.Storage/storageAccounts/my_storage --serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey --locations global,westus,eastus,northeurope --retentionInDays 90 –categories Write,Delete,Action
ProprietàProperty ObbligatoriaRequired DESCRIZIONEDescription
namename Yes Nome del profilo di log.Name of your log profile.
storageIdstorageId No No ID risorsa dell'account di archiviazione in cui salvare il log attività.Resource ID of the Storage Account to which the Activity Log should be saved.
serviceBusRuleIdserviceBusRuleId No No ID regola del bus di servizio per lo spazio dei nomi del bus di servizio in cui creare gli hub eventi.Service Bus Rule ID for the Service Bus namespace you would like to have event hubs created in. Si tratta di una stringa nel formato seguente: {service bus resource ID}/authorizationrules/{key name}.Is a string with this format: {service bus resource ID}/authorizationrules/{key name}.
locationslocations Yes Elenco delimitato da virgole di aree per cui raccogliere eventi del log attività.Comma-separated list of regions for which you would like to collect Activity Log events.
RetentionInDaysretentionInDays Yes Numero di giorni per cui gli eventi devono essere mantenuti, compreso tra 1 e 2147483647.Number of days for which events should be retained, between 1 and 2147483647. Se il valore è zero, i log vengono mantenuti per un periodo illimitato.A value of zero stores the logs indefinitely (forever).
Categoriecategories No No Elenco delimitato da virgole di categorie di eventi che devono essere raccolti.Comma-separated list of event categories that should be collected. I valori possibili sono Write, Delete e Action.Possible values are Write, Delete, and Action.

Rimozione di un profilo di logRemove a log profile

azure insights logprofile delete --name my_log_profile

Fasi successiveNext Steps