Azure-activiteitenlogboekAzure Activity log

Het activiteitenlogboek is een platformlogboek in Azure dat inzicht biedt in gebeurtenissen op abonnementsniveau.The Activity log is a platform log in Azure that provides insight into subscription-level events. Dit geldt ook voor gegevens zoals wanneer een resource wordt gewijzigd of wanneer een virtuele machine wordt gestart.This includes such information as when a resource is modified or when a virtual machine is started. U kunt het activiteitenlogboek weergeven in de Azure-portal, of items ophalen met PowerShell en CLI.You can view the Activity log in the Azure portal or retrieve entries with PowerShell and CLI. Voor aanvullende functionaliteit moet u een diagnostische instelling maken om het activiteiten logboek naar Azure monitor logboekente verzenden naar Azure Event hubs om buiten Azure door te sturen, of om Azure Storage te archiveren.For additional functionality, you should create a diagnostic setting to send the Activity log to Azure Monitor Logs, to Azure Event Hubs to forward outside of Azure, or to Azure Storage for archiving. In dit artikel vindt u informatie over het weer geven van het activiteiten logboek en het verzenden ervan naar verschillende bestemmingen.This article provides details on viewing the Activity log and sending it to different destinations.

Zie Diagnostische instellingen maken om platform logboeken en metrische gegevens naar verschillende bestemmingen te verzenden voor meer informatie over het maken van een diagnostische instelling.See Create diagnostic settings to send platform logs and metrics to different destinations for details on creating a diagnostic setting.

Notitie

Vermeldingen in het activiteitenlogboek worden door het systeem gegenereerd en kunnen niet worden gewijzigd of verwijderd.Entries in the Activity Log are system generated and cannot be changed or deleted.

Het activiteitenlogboek weergevenView the Activity log

U kunt het activiteitenlogboek openen vanuit de meeste menu's in de Azure Portal.You can access the Activity log from most menus in the Azure portal. Het menu waarmee u het opent, bepaalt het aanvankelijke filter.The menu that you open it from determines its initial filter. Als u het opent vanuit het menu monitor , wordt het enige filter voor het abonnement.If you open it from the Monitor menu, then the only filter will be on the subscription. Als u het opent vanuit het menu van een resource, wordt het filter ingesteld op die resource.If you open it from a resource's menu, then the filter will be set to that resource. U kunt het filter altijd wijzigen om alle andere vermeldingen weer te geven.You can always change the filter though to view all other entries. Klik op filter toevoegen om extra eigenschappen toe te voegen aan het filter.Click Add Filter to add additional properties to the filter.

Activiteiten logboek weer geven

Zie Azure activiteiten logboek gebeurtenis schemavoor een beschrijving van de categorieën activiteiten Logboeken.For a description of Activity log categories see Azure Activity Log event schema.

Het activiteiten logboek downloadenDownload the Activity log

Selecteer als CSV-bestand downloaden om de gebeurtenissen in de huidige weer gave te downloaden.Select Download as CSV to download the events in the current view.

Activiteiten logboek downloaden

Wijzigings overzicht weer gevenView change history

Voor sommige gebeurtenissen kunt u de wijzigings geschiedenis bekijken, waarin wordt weer gegeven welke wijzigingen er zijn aangebracht tijdens die gebeurtenis tijd.For some events, you can view the Change history, which shows what changes happened during that event time. Selecteer een gebeurtenis in het activiteiten logboek waarin u wilt zoeken.Select an event from the Activity Log you want to look deeper into. Selecteer het tabblad wijzigings overzicht (preview) om de bijbehorende wijzigingen met die gebeurtenis weer te geven.Select the Change history (Preview) tab to view any associated changes with that event.

Lijst met wijzigings geschiedenis voor een gebeurtenis

Als er wijzigingen zijn aangebracht aan de gebeurtenis, ziet u een lijst met wijzigingen die u kunt selecteren.If there are any associated changes with the event, you'll see a list of changes that you can select. Hiermee opent u de pagina wijzigings overzicht (preview) .This opens up the Change history (Preview) page. Op deze pagina ziet u de wijzigingen van de resource.On this page you see the changes to the resource. In het volgende voor beeld ziet u niet alleen dat de VM de grootte heeft gewijzigd, maar wat de vorige VM-grootte was vóór de wijziging en waar deze is gewijzigd in.In the following example, you can see not only that the VM changed sizes, but what the previous VM size was before the change and what it was changed to. Zie resource wijzigingen ophalenvoor meer informatie over wijzigings geschiedenis.To learn more about change history, see Get resource changes.

Wijzigings geschiedenis pagina met verschillen

Andere methoden om gebeurtenissen in het activiteiten logboek op te halenOther methods to retrieve Activity log events

U kunt activiteiten logboek gebeurtenissen ook openen met behulp van de volgende methoden.You can also access Activity log events using the following methods.

Verzenden naar Log Analytics-werkruimteSend to Log Analytics workspace

Verzend het activiteiten logboek naar een Log Analytics-werk ruimte om de functies van Azure monitor logboeken in te scha kelen. Dit omvat het volgende:Send the Activity log to a Log Analytics workspace to enable the features of Azure Monitor Logs which includes the following:

  • Correleer activiteiten logboek gegevens met andere bewakings gegevens die zijn verzameld door Azure Monitor.Correlate Activity log data with other monitoring data collected by Azure Monitor.
  • Consolideer logboek vermeldingen van meerdere Azure-abonnementen en-tenants naar één locatie voor analyse tegelijk.Consolidate log entries from multiple Azure subscriptions and tenants into one location for analysis together.
  • Gebruik logboek query's om complexe analyses uit te voeren en uitgebreide inzichten te verkrijgen over activiteiten logboek vermeldingen.Use log queries to perform complex analysis and gain deep insights on Activity Log entries.
  • Gebruik logboek waarschuwingen met activiteiten vermeldingen die meer complexe logica voor waarschuwingen toestaan.Use log alerts with Activity entries allowing for more complex alerting logic.
  • Vermeldingen in het activiteiten logboek worden langer dan 90 dagen bewaard.Store Activity log entries for longer than 90 days.
  • Geen kosten voor gegevens opname voor activiteiten logboek gegevens die zijn opgeslagen in een Log Analytics-werk ruimte.No data ingestion charges for Activity log data stored in a Log Analytics workspace.
  • Er worden geen kosten in rekening gebracht tot 90 dagen voor activiteiten logboek gegevens die zijn opgeslagen in een Log Analytics-werk ruimte.No data retention charges till 90 days for Activity log data stored in a Log Analytics workspace.

Een diagnostische instelling maken om het activiteiten logboek naar een log Analytics-werk ruimte te verzenden.Create a diagnostic setting to send the Activity log to a Log Analytics workspace. U kunt het activiteiten logboek vanuit elk abonnement verzenden naar Maxi maal vijf werk ruimten.You can send the Activity log from any single subscription to up to five workspaces. Voor het verzamelen van logboeken tussen tenants is Azure Lighthouse vereist.Collecting logs across tenants requires Azure Lighthouse.

Gegevens van activiteiten logboek in een Log Analytics werkruimte worden opgeslagen in een tabel met de naam AzureActivity die u kunt ophalen met een logboek query in log Analytics.Activity log data in a Log Analytics workspace is stored in a table called AzureActivity that you can retrieve with a log query in Log Analytics. De structuur van deze tabel is afhankelijk van de categorie van de logboek vermelding.The structure of this table varies depending on the category of the log entry. Zie de Azure monitor gegevens referentievoor een beschrijving van de tabel eigenschappen.For a description of the table properties, see the Azure Monitor data reference.

Als u bijvoorbeeld een aantal records in het activiteiten logboek voor elke categorie wilt weer geven, gebruikt u de volgende query.For example, to view a count of Activity log records for each category, use the following query.

AzureActivity
| summarize count() by CategoryValue

Gebruik de volgende query om alle records in de beheer categorie op te halen.To retrieve all records in the administrative category, use the following query.

AzureActivity
| where CategoryValue == "Administrative"

Verzenden naar Azure Event HubsSend to Azure Event Hubs

Verzend het activiteiten logboek naar Azure Event Hubs om vermeldingen buiten Azure te verzenden, bijvoorbeeld naar een SIEM van derden of andere log Analytics-oplossingen.Send the Activity Log to Azure Event Hubs to send entries outside of Azure, for example to a third-party SIEM or other log analytics solutions. Activiteiten logboek gebeurtenissen van Event hubs worden gebruikt in JSON-indeling met een- records element dat de records in elke Payload bevat.Activity log events from event hubs are consumed in JSON format with a records element containing the records in each payload. Het schema is afhankelijk van de categorie en wordt beschreven in schema van opslag account en Event hubs.The schema depends on the category and is described in Schema from storage account and event hubs.

Hieronder ziet u voor beelden van uitvoer gegevens van Event Hubs voor een activiteiten logboek:Following is sample output data from Event Hubs for an Activity log:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Verzenden naar Azure StorageSend to Azure storage

Stuur het activiteiten logboek naar een Azure Storage account als u uw logboek gegevens langer dan 90 dagen wilt bewaren voor controle, statische analyse of back-up.Send the Activity Log to an Azure Storage account if you want to retain your log data longer than 90 days for audit, static analysis, or backup. Als u uw gebeurtenissen gedurende 90 dagen wilt behouden of minder hoeft u geen archief in te stellen op een opslag account, omdat activiteiten in het Azure-platform gedurende 90 dagen worden bewaard.If you only need to retain your events for 90 days or less you do not need to set up archival to a storage account, since Activity Log events are retained in the Azure platform for 90 days.

Wanneer u het activiteiten logboek naar Azure verzendt, wordt er een opslag container gemaakt in het opslag account zodra er een gebeurtenis optreedt.When you send the Activity log to Azure, a storage container is created in the storage account as soon as an event occurs. De blobs in de container gebruiken de volgende naam Conventie:The blobs in the container use the following naming convention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Een bepaalde Blob kan bijvoorbeeld een naam hebben die er ongeveer als volgt uitziet:For example, a particular blob might have a name similar to the following:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Elke PT1H.json-blob bevat een JSON-blob van gebeurtenissen die hebben plaatsgevonden binnen het uur dat is opgegeven in de blob-URL (bijvoorbeeld, h=12).Each PT1H.json blob contains a JSON blob of events that occurred within the hour specified in the blob URL (for example, h=12). Tijdens het huidige uur worden gebeurtenissen toegevoegd aan het bestand PT1H.json wanneer deze zich voordoen.During the present hour, events are appended to the PT1H.json file as they occur. De minuut waarde (m = 00) is altijd 00, omdat de bron logboek gebeurtenissen worden opgesplitst in afzonderlijke blobs per uur.The minute value (m=00) is always 00, since resource log events are broken into individual blobs per hour.

Elke gebeurtenis wordt opgeslagen in het PT1H.jsbestand met de volgende indeling die gebruikmaakt van een algemeen schema op het hoogste niveau, maar is anders uniek voor elke categorie, zoals beschreven in het schema van het activiteiten logboek.Each event is stored in the PT1H.json file with the following format that uses a common top level schema but is otherwise unique for each category as described in Activity log schema.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Verouderde verzamelings methodenLegacy collection methods

In deze sectie worden de verouderde methoden beschreven voor het verzamelen van het activiteiten logboek dat eerder is gebruikt voor Diagnostische instellingen.This section describes legacy methods for collecting the Activity log that were used prior to diagnostic settings. Als u deze methoden gebruikt, kunt u overwegen om over te stappen op Diagnostische instellingen die betere functionaliteit en consistentie met resource logboeken bieden.If you're using these methods, you should consider transitioning to diagnostic settings which provide better functionality and consistency with resource logs.

LogboekprofielenLog profiles

Logboek profielen zijn de verouderde methode voor het verzenden van het activiteiten logboek naar Azure Storage of event hubs.Log profiles are the legacy method for sending the Activity log to Azure storage or event hubs. Gebruik de volgende procedure om met een logboek profiel te blijven werken of om het uit te scha kelen als voor bereiding op het migreren naar een diagnostische instelling.Use the following procedure to continue working with a log profile or to disable it in preparation for migrating to a diagnostic setting.

  1. Selecteer in het menu Azure monitor van de Azure Portal het activiteiten logboek.From the Azure Monitor menu in the Azure portal, select Activity log.

  2. Klik op Diagnostische instellingen.Click Diagnostic settings.

    Diagnostische instellingen

  3. Klik op de banner paars voor de oude ervaring.Click the purple banner for the legacy experience.

    Verouderde ervaring

Logboek profiel configureren met Power shellConfigure log profile using PowerShell

Als er al een logboek profiel bestaat, moet u eerst het bestaande logboek profiel verwijderen en vervolgens een nieuwe maken.If a log profile already exists, you first need to remove the existing log profile and then create a new one.

  1. Gebruiken Get-AzLogProfile om te bepalen of er een logboek profiel bestaat.Use Get-AzLogProfile to identify if a log profile exists. Als er een logboek profiel bestaat, noteert u de eigenschap name .If a log profile does exist, note the name property.

  2. Gebruik Remove-AzLogProfile om het logboek profiel te verwijderen met de waarde van de eigenschap name .Use Remove-AzLogProfile to remove the log profile using the value from the name property.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Gebruiken Add-AzLogProfile om een nieuw logboek profiel te maken:Use Add-AzLogProfile to create a new log profile:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    EigenschapProperty VereistRequired BeschrijvingDescription
    NameName YesYes De naam van het logboek profiel.Name of your log profile.
    StorageAccountIdStorageAccountId NoNo De resource-ID van het opslag account waarin het activiteiten logboek moet worden opgeslagen.Resource ID of the Storage Account where the Activity Log should be saved.
    Servicebusruleid kunnenserviceBusRuleId NoNo Service Bus regel-ID voor de Service Bus naam ruimte waarin u Event hubs wilt maken.Service Bus Rule ID for the Service Bus namespace you would like to have event hubs created in. Dit is een teken reeks met de volgende indeling: {service bus resource ID}/authorizationrules/{key name} .This is a string with the format: {service bus resource ID}/authorizationrules/{key name}.
    LocatieLocation JaYes Een door komma's gescheiden lijst met regio's waarvoor u activiteiten logboek gebeurtenissen wilt verzamelen.Comma-separated list of regions for which you would like to collect Activity Log events.
    RetentionInDaysRetentionInDays YesYes Aantal dagen dat gebeurtenissen moeten worden bewaard in het opslag account, tussen 1 en 365.Number of days for which events should be retained in the storage account, between 1 and 365. Met de waarde nul worden de logboeken voor onbepaalde tijd opgeslagen.A value of zero stores the logs indefinitely.
    CategorieCategory NoNo Een door komma's gescheiden lijst met gebeurtenis categorieën die moeten worden verzameld.Comma-separated list of event categories that should be collected. Mogelijke waarden zijn schrijven, verwijderen en actie.Possible values are Write, Delete, and Action.

VoorbeeldscriptExample script

Hier volgt een voor beeld van een Power shell-script voor het maken van een logboek profiel waarmee het activiteiten logboek naar zowel een opslag account als Event Hub wordt geschreven.Following is a sample PowerShell script to create a log profile that writes the Activity Log to both a storage account and event hub.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your event hub belongs to>"
$eventHubNamespace = "<event hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the storage account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Logboek profiel configureren met behulp van Azure CLIConfigure log profile using Azure CLI

Als er al een logboek profiel bestaat, moet u eerst het bestaande logboek profiel verwijderen en vervolgens een nieuw logboek profiel maken.If a log profile already exists, you first need to remove the existing log profile and then create a new log profile.

  1. Gebruiken az monitor log-profiles list om te bepalen of er een logboek profiel bestaat.Use az monitor log-profiles list to identify if a log profile exists.

  2. Gebruik az monitor log-profiles delete --name "<log profile name> om het logboek profiel te verwijderen met de waarde van de eigenschap name .Use az monitor log-profiles delete --name "<log profile name> to remove the log profile using the value from the name property.

  3. Gebruiken az monitor log-profiles create om een nieuw logboek profiel te maken:Use az monitor log-profiles create to create a new log profile:

    az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<EVENT HUB NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
    
    EigenschapProperty VereistRequired BeschrijvingDescription
    naamname YesYes De naam van het logboek profiel.Name of your log profile.
    Storage-account-idstorage-account-id YesYes De resource-ID van het opslag account waarnaar de activiteiten logboeken moeten worden opgeslagen.Resource ID of the Storage Account to which Activity Logs should be saved.
    locatieslocations YesYes Een door spaties gescheiden lijst met regio's waarvoor u activiteiten logboek gebeurtenissen wilt verzamelen.Space-separated list of regions for which you would like to collect Activity Log events. U kunt een lijst weer geven met alle regio's voor uw abonnement met behulp van az account list-locations --query [].name .You can view a list of all regions for your subscription using az account list-locations --query [].name.
    resterendedays YesYes Aantal dagen dat gebeurtenissen moeten worden bewaard, tussen 1 en 365.Number of days for which events should be retained, between 1 and 365. Met de waarde nul worden de logboeken voor onbepaalde tijd opgeslagen (permanent).A value of zero will store the logs indefinitely (forever). Als de waarde nul is, moet de para meter ingeschakeld worden ingesteld op ONWAAR.If zero, then the enabled parameter should be set to false.
    enabledenabled YesYes Waar of Niet waar.True or False. Wordt gebruikt om het Bewaar beleid in of uit te scha kelen.Used to enable or disable the retention policy. Indien waar, moet de para meter Days een waarde zijn die groter is dan 0.If True, then the days parameter must be a value greater than 0.
    categorieëncategories YesYes Een door spaties gescheiden lijst met gebeurtenis categorieën die moeten worden verzameld.Space-separated list of event categories that should be collected. Mogelijke waarden zijn schrijven, verwijderen en actie.Possible values are Write, Delete, and Action.

Log Analytics-werkruimteLog Analytics workspace

De verouderde methode voor het verzenden van het activiteiten logboek naar een Log Analytics-werk ruimte is het koppelen van het logboek in de werkruimte configuratie.The legacy method for sending the Activity log into a Log Analytics workspace is connecting the log in the workspace configuration.

  1. Selecteer in het menu log Analytics werk ruimten in de Azure Portal de werk ruimte om het activiteiten logboek te verzamelen.From the Log Analytics workspaces menu in the Azure portal, select the workspace to collect the Activity Log.

  2. Selecteer in de sectie werkruimte gegevens bronnen van het menu van de werk ruimte Azure-activiteiten logboek.In the Workspace Data Sources section of the workspace's menu, select Azure Activity log.

  3. Klik op het abonnement dat u wilt verbinden.Click the subscription you want to connect.

    Scherm opname toont Log Analytics-werk ruimte waarvoor een Azure-activiteiten logboek is geselecteerd.

  4. Klik op verbinden om het activiteiten logboek in het abonnement te verbinden met de geselecteerde werk ruimte.Click Connect to connect the Activity log in the subscription to the selected workspace. Als het abonnement al is verbonden met een andere werk ruimte, klikt u eerst op verbinding verbreken om de verbinding te verbreken.If the subscription is already connected to another workspace, click Disconnect first to disconnect it.

    Werk ruimten verbinden

Als u de instelling wilt uitschakelen, voert u dezelfde procedure uit en klikt u op verbinding verbreken om het abonnement uit de werk ruimte te verwijderen.To disable the setting, perform the same procedure and click Disconnect to remove the subscription from the workspace.

Wijzigingen in de gegevens structuurData structure changes

Diagnostische instellingen verzenden dezelfde gegevens als de verouderde methode die wordt gebruikt om het activiteiten logboek te verzenden met enkele wijzigingen in de structuur van de tabel AzureActivity .Diagnostic settings send the same data as the legacy method used to send the Activity log with some changes to the structure of the AzureActivity table.

De kolommen in de volgende tabel zijn afgeschaft in het bijgewerkte schema.The columns in the following table have been deprecated in the updated schema. Ze zijn nog steeds aanwezig in AzureActivity , maar ze hebben geen gegevens.They still exist in AzureActivity but they will have no data. De vervanging voor deze kolommen is niet nieuw, maar bevat dezelfde gegevens als de afgeschafte kolom.The replacement for these columns are not new, but they contain the same data as the deprecated column. Ze hebben een andere indeling, dus u moet mogelijk logboek query's wijzigen die deze gebruiken.They are in a different format, so you may need to modify log queries that use them.

Afgeschafte kolomDeprecated column Vervangende kolomReplacement column
Activity statusActivityStatus ActivityStatusValueActivityStatusValue
ActivitySubstatusActivitySubstatus ActivitySubstatusValueActivitySubstatusValue
CategorieCategory CategoryValueCategoryValue
OperationNameOperationName OperationNameValueOperationNameValue
ResourceProviderResourceProvider ResourceProviderValueResourceProviderValue

Belangrijk

In sommige gevallen kunnen de waarden in deze kolommen in hoofdletters zijn getypt.In some cases, the values in these columns may be in all uppercase. Als u een query hebt die deze kolommen bevat, moet u de operator =~ gebruiken om een niet-hoofdletter gevoelige vergelijking te maken.If you have a query that includes these columns, you should use the =~ operator to do a case insensitive comparison.

De volgende kolom zijn toegevoegd aan AzureActivity in het bijgewerkte schema:The following column have been added to AzureActivity in the updated schema:

  • Authorization_dAuthorization_d
  • Claims_dClaims_d
  • Properties_dProperties_d

Bewakings oplossing Analyse van activiteitenlogboekActivity Log Analytics monitoring solution

De bewakings oplossing voor Azure Log Analytics wordt binnenkort afgeschaft en vervangen door een werkmap met het bijgewerkte schema in de Log Analytics-werk ruimte.The Azure Log Analytics monitoring solution will be deprecated soon and replaced by a workbook using the updated schema in the Log Analytics workspace. U kunt de oplossing blijven gebruiken als u deze al hebt ingeschakeld, maar deze kan alleen worden gebruikt als u het activiteiten logboek verzamelt met behulp van verouderde instellingen.You can still use the solution if you already have it enabled, but it can only be used if you're collecting the Activity log using legacy settings.

De oplossing gebruikenUse the solution

Bewakings oplossingen zijn toegankelijk via het menu monitor in de Azure Portal.Monitoring solutions are accessed from the Monitor menu in the Azure portal. Selecteer meer in het gedeelte inzichten om de overzichts pagina te openen met de oplossings tegels.Select More in the Insights section to open the Overview page with the solution tiles. De tegel activiteiten logboeken van Azure bevat een telling van het aantal AzureActivity -records in uw werk ruimte.The Azure Activity Logs tile displays a count of the number of AzureActivity records in your workspace.

Tegel Azure-activiteiten logboeken

Klik op de tegel Azure-activiteiten logboeken om de weer gave Azure-activiteiten logboeken te openen.Click the Azure Activity Logs tile to open the Azure Activity Logs view. De weer gave bevat de visualisatie onderdelen in de volgende tabel.The view includes the visualization parts in the following table. Elk onderdeel bevat Maxi maal 10 items die overeenkomen met de criteria van die onderdelen voor het opgegeven tijds bereik.Each part lists up to 10 items matching that parts's criteria for the specified time range. U kunt een logboek query uitvoeren waarmee alle overeenkomende records worden geretourneerd door te klikken op Alles bekijken onder aan het onderdeel.You can run a log query that returns all matching records by clicking See all at the bottom of the part.

Dash board Azure-activiteiten logboeken

De oplossing voor nieuwe abonnementen inschakelenEnable the solution for new subscriptions

U kunt de activiteiten logboek analyse niet meer aan uw abonnement toevoegen met behulp van de Azure Portal.You will soon no longer be able to add the Activity Logs Analytics solution to your subscription using the Azure portal. U kunt deze toevoegen aan de hand van de volgende procedure met een resource manager-sjabloon.You can add it using the following procedure with a Resource Manager template.

  1. Kopieer de volgende JSON naar een bestand met de naam ActivityLogTemplate. json.Copy the following json into a file called ActivityLogTemplate.json.

    {
    "$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "type": "String",
            "defaultValue": "my-workspace",
            "metadata": {
              "description": "Specifies the name of the workspace."
            }
        },
        "location": {
            "type": "String",
            "allowedValues": [
              "east us",
              "west us",
              "australia central",
              "west europe"
            ],
            "defaultValue": "australia central",
            "metadata": {
              "description": "Specifies the location in which to create the workspace."
            }
        }
      },
        "resources": [
        {
            "type": "Microsoft.OperationalInsights/workspaces",
            "name": "[parameters('workspaceName')]",
            "apiVersion": "2015-11-01-preview",
            "location": "[parameters('location')]",
            "properties": {
                "features": {
                    "searchVersion": 2
                }
            }
        },
        {
            "type": "Microsoft.OperationsManagement/solutions",
            "apiVersion": "2015-11-01-preview",
            "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
            ],
            "plan": {
                "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
                "promotionCode": "",
                "product": "OMSGallery/AzureActivity",
                "publisher": "Microsoft"
            },
            "properties": {
                "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]",
                "containedResources": [
                    "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName')), '/views/AzureActivity(',parameters('workspaceName'))]"
                ]
            }
        },
        {
          "type": "Microsoft.OperationalInsights/workspaces/datasources",
          "kind": "AzureActivityLog",
          "name": "[concat(parameters('workspaceName'), '/', subscription().subscriptionId)]",
          "apiVersion": "2015-11-01-preview",
          "location": "[parameters('location')]",
          "dependsOn": [
              "[parameters('WorkspaceName')]"
          ],
          "properties": {
              "linkedResourceId": "[concat(subscription().Id, '/providers/microsoft.insights/eventTypes/management')]"
          }
        }
      ]
    }    
    
  2. Implementeer de sjabloon met behulp van de volgende Power shell-opdrachten:Deploy the template using the following PowerShell commands:

    Connect-AzAccount
    Select-AzSubscription <SubscriptionName>
    New-AzResourceGroupDeployment -Name activitysolution -ResourceGroupName <ResourceGroup> -TemplateFile <Path to template file>
    

Volgende stappenNext steps