Azure-aktivitetslogg

Aktivitetsloggen är en plattformslogg i Azure som ger inblick i händelser på prenumerationsnivå. Aktivitetsloggen innehåller sådan information som när en resurs ändras eller när en virtuell dator startas. Du kan visa aktivitetsloggen i Azure Portal eller hämta poster med PowerShell och CLI. Den här artikeln innehåller information om hur du visar aktivitetsloggen och skickar den till olika mål.

Om du vill ha fler funktioner bör du skapa en diagnostikinställning för att skicka aktivitetsloggen till en eller flera av dessa platser av följande skäl:

  • till Azure Monitor-loggar för mer komplexa frågor och aviseringar och längre kvarhållning (upp till två år)
  • för att Azure Event Hubs att vidarebefordra utanför Azure
  • för att Azure Storage för billigare, långsiktig arkivering

Mer information om hur du skapar en diagnostikinställning finns i Skapa diagnostikinställningar för att skicka plattformsloggar och mått till olika mål .

Anteckning

Posterna i aktivitetsloggen skapas i systemet och kan inte ändras eller tas bort.

Kvarhållningsperiod

Aktivitetslogghändelser behålls i Azure i 90 dagar och tas sedan bort. Det tillkommer ingen avgift för poster under den här tiden oavsett volym. Om du vill ha fler funktioner, till exempel längre kvarhållning, bör du skapa en diagnostikinställning och dirigera hela till en annan plats baserat på dina behov. Se kriterierna i det tidigare avsnittet i den här artikeln.

Visa aktivitetsloggen

Du kan öppna aktivitetsloggen från de flesta menyer i Azure-portalen. Startfiltret beror på vilken meny du öppnar loggen från. Om du öppnar den från menyn Övervaka är filtret inställt på prenumerationen. Om du öppnar den från en resurs meny anges filtret till den resursen. Du kan dock alltid ändra filtret för att visa alla andra poster. Välj Lägg till filter för att lägga till fler egenskaper i filtret.

View Activity Log

En beskrivning av aktivitetsloggkategorier finns i Händelseschema för Azure-aktivitetslogg.

Ladda ned aktivitetsloggen

Välj Ladda ned som CSV för att ladda ned händelserna i den aktuella vyn.

Download Activity log

Visa ändringshistorik

För vissa händelser kan du visa ändringshistoriken, som visar vilka ändringar som gjorts under händelsetiden. Välj en händelse i aktivitetsloggen som du vill titta närmare på. Välj fliken Ändringshistorik (förhandsversion) om du vill visa eventuella ändringar som är associerade med händelsen.

Change history list for an event

Om det finns ändringar som är associerade med händelsen visas en lista över ändringar som du kan välja. Då öppnas sidan Ändringshistorik (förhandsversion). På den här sidan visas ändringarna i resursen. I följande exempel ser du inte bara att den virtuella datorn har ändrat storlek, utan även vilken VM-storlek den hade före ändringen och den nya storleken. Mer information om ändringshistorik finns i Hämta resursändringar.

Change history page showing differences

Andra metoder för att hämta aktivitetslogghändelser

Du kan också komma åt aktivitetslogghändelser med hjälp av följande metoder:

Skicka till Log Analytics-arbetsytan

Skicka aktivitetsloggen till en Log Analytics-arbetsyta för att aktivera funktionerna i Azure Monitor-loggar som innehåller följande:

  • Korrelera aktivitetsloggdata med andra övervakningsdata som samlas in av Azure Monitor.
  • Konsolidera loggposter från flera Azure-prenumerationer och klientorganisationer till en plats för analys tillsammans.
  • Använd loggfrågor för att utföra komplex analys och få djupgående insikter om aktivitetsloggposter.
  • Använd loggaviseringar med aktivitetsposter som möjliggör mer komplex aviseringslogik.
  • Lagra aktivitetsloggposter längre än kvarhållningsperioden för aktivitetsloggen.
  • Inga datainmatningsavgifter för aktivitetsloggdata som lagras på en Log Analytics-arbetsyta.
  • Inga kostnader för datakvarhållning under de första 90 dagarna för aktivitetsloggdata som lagras på en Log Analytics-arbetsyta.

Välj Exportera aktivitetsloggar.

Export activity logs

för att skicka aktivitetsloggen till en Log Analytics-arbetsyta. Du kan skicka aktivitetsloggen från en enskild prenumeration till upp till fem arbetsytor.

Aktivitetsloggdata på en Log Analytics-arbetsyta lagras i en tabell med namnet AzureActivity som du kan hämta med en loggfråga i Log Analytics. Tabellens struktur varierar beroende på kategorin för loggposten. En beskrivning av tabellegenskaperna finns i datareferensen för Azure Monitor.

Om du till exempel vill visa antalet aktivitetsloggposter för varje kategori använder du följande fråga:

AzureActivity
| summarize count() by CategoryValue

Om du vill hämta alla poster i den administrativa kategorin använder du följande fråga:

AzureActivity
| where CategoryValue == "Administrative"

Skicka till Azure Event Hubs

Skicka aktivitetsloggen till Azure Event Hubs för att skicka poster utanför Azure, till exempel till en SIEM från tredje part eller andra log analytics-lösningar. Aktivitetslogghändelser från Event Hubs används i JSON-format med ett records element som innehåller posterna i varje nyttolast. Schemat beror på kategorin och beskrivs i Schema från Storage-konto och Event Hubs.

Följande är exempel på utdata från Event Hubs för en aktivitetslogg:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Skicka till Azure-lagring

Skicka aktivitetsloggen till ett Azure Storage-konto om du vill behålla dina loggdata längre än 90 dagar för granskning, statisk analys eller säkerhetskopiering. Om du bara måste behålla dina händelser i 90 dagar eller mindre behöver du inte konfigurera arkivering till ett Storage konto, eftersom aktivitetslogghändelser behålls på Azure-plattformen i 90 dagar.

När du skickar aktivitetsloggen till Azure skapas en lagringscontainer i Storage-kontot så snart en händelse inträffar. Blobarna i containern använder följande namngivningskonvention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

En viss blob kan till exempel ha ett namn som liknar följande:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Varje PT1H.json-blob innehåller en JSON-blob med händelser som inträffade inom den angivna timmen i blob-URL (till exempel h=12). Under den aktuella timmen läggs händelser till i filen PT1H.json allt eftersom de inträffar. Minutvärdet (m=00) är alltid 00, eftersom resurslogghändelser delas upp i enskilda blobar per timme.

Varje händelse lagras i filen PT1H.json med följande format som använder ett gemensamt schema på den översta nivån, men som annars är unikt för varje kategori enligt beskrivningen i Aktivitetsloggschema.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Äldre insamlingsmetoder

I det här avsnittet beskrivs äldre metoder för att samla in aktivitetsloggen som användes före diagnostikinställningarna. Om du använder de här metoderna bör du överväga att övergå till diagnostikinställningar som ger bättre funktioner och konsekvens med resursloggar.

Loggprofiler

Loggprofiler är den äldre metoden för att skicka aktivitetsloggen till Azure Storage eller Event Hubs. Använd följande procedur om du vill fortsätta arbeta med en loggprofil eller inaktivera den som förberedelse för migrering till en diagnostikinställning.

  1. Menyn Azure Monitor i Azure Portal väljer du Aktivitetslogg.

  2. Välj Exportera aktivitetsloggar.

    Export activity logs

  3. Välj den lila banderollen för den äldre upplevelsen.

    Legacy experience

Konfigurera loggprofil med PowerShell

Om det redan finns en loggprofil måste du först ta bort den befintliga loggprofilen och sedan skapa en ny.

  1. Använd Get-AzLogProfile för att identifiera om det finns en loggprofil. Observera namnegenskapen om det finns en loggprofil.

  2. Använd Remove-AzLogProfile för att ta bort loggprofilen med hjälp av värdet från namnegenskapen.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Använd Add-AzLogProfile för att skapa en ny loggprofil:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    Egenskap Krävs Beskrivning
    Name Yes Namnet på din loggprofil.
    StorageAccountId No Resurs-ID för det Storage konto där aktivitetsloggen ska sparas.
    serviceBusRuleId No Service Bus regel-ID för Service Bus namnrymd som du vill att Event Hubs ska skapas i. Det här är en sträng med formatet: {service bus resource ID}/authorizationrules/{key name}.
    Plats Ja Kommaavgränsad lista över regioner som du vill samla in aktivitetslogghändelser för.
    RetentionInDays Yes Antal dagar som händelser ska behållas i Storage-kontot, från 1 till 365. Värdet noll lagrar loggarna på obestämd tid.
    Kategori No Kommaavgränsad lista över händelsekategorier som ska samlas in. Möjliga värden är Skriv, Ta bort och Åtgärd.

Exempelskript

Följande är ett PowerShell-exempelskript för att skapa en loggprofil som skriver aktivitetsloggen till både ett Storage-konto och en händelsehubb.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Konfigurera loggprofilen med Hjälp av Azure CLI

Om det redan finns en loggprofil måste du först ta bort den befintliga loggprofilen och sedan skapa en loggprofil.

  1. Använd az monitor log-profiles list för att identifiera om det finns en loggprofil.

  2. Använd az monitor log-profiles delete --name "<log profile name> för att ta bort loggprofilen med hjälp av värdet från namnegenskapen.

  3. Använd az monitor log-profiles create för att skapa en loggprofil:

    az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<Event Hub NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
    
    Egenskap Krävs Beskrivning
    name Yes Namnet på din loggprofil.
    storage-account-id Yes Resurs-ID för det Storage konto där aktivitetsloggar ska sparas.
    platser Yes Blankstegsavgränsad lista över regioner som du vill samla in aktivitetslogghändelser för. Du kan visa en lista över alla regioner för din prenumeration med hjälp av az account list-locations --query [].name.
    Dagar Yes Antal dagar som händelser ska behållas från 1 till 365. Värdet noll lagrar loggarna på obestämd tid (för alltid). Om värdet är noll ska den aktiverade parametern anges till false.
    enabled Yes Sant eller falskt. Används för att aktivera eller inaktivera kvarhållningsprincipen. Om värdet är Sant måste parametern days vara ett värde som är större än 0.
    kategorier Yes Utrymmesavgränsad lista över händelsekategorier som ska samlas in. Möjliga värden är Skriv, Ta bort och Åtgärd.

Log Analytics-arbetsyta

Den äldre metoden för att skicka aktivitetsloggen till en Log Analytics-arbetsyta ansluter inloggningen i konfigurationen av arbetsytan.

  1. På menyn Log Analytics-arbetsytor i Azure Portal väljer du arbetsytan för att samla in aktivitetsloggen.

  2. I avsnittet Datakällor för arbetsyta på arbetsytans meny väljer du Azure-aktivitetslogg.

  3. Välj den prenumeration som du vill ansluta till.

    Screenshot shows Log Analytics workspace with an Azure Activity log selected.

  4. Välj Anslut för att ansluta aktivitetsloggen i prenumerationen till den valda arbetsytan. Om prenumerationen redan är ansluten till en annan arbetsyta väljer du Koppla från först för att koppla från den.

    Connect Workspaces

Om du vill inaktivera inställningen utför du samma procedur och väljer Koppla från för att ta bort prenumerationen från arbetsytan.

Ändringar i datastrukturen

Funktionen Exportera aktivitetsloggar skickar samma data som den äldre metoden som används för att skicka aktivitetsloggen med några ändringar i strukturen i AzureActivity-tabellen .

Kolumnerna i följande tabell har blivit inaktuella i det uppdaterade schemat. De finns fortfarande i AzureActivity , men de har inga data. Ersättningarna för dessa kolumner är inte nya, men de innehåller samma data som den inaktuella kolumnen. De har ett annat format, så du kan behöva ändra loggfrågor som använder dem.

JSON för aktivitetslogg Log Analytics-kolumnnamn
(äldre inaktuell)
Nytt Log Analytics-kolumnnamn Kommentarer
category Kategori CategoryValue
status

värdena är (lyckades, startade, accepterade, misslyckades)
ActivityStatus

värden som är samma som JSON
ActivityStatusValue

värden ändras till (lyckades, startades, accepterades, misslyckades)
Giltiga värden ändras som det visas
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue REST API lokaliserar värdet för åtgärdsnamn. Log Analytics-användargränssnittet visar alltid engelska.
resourceProviderName ResourceProvider ResourceProviderValue

Viktigt

I vissa fall kan värdena i de här kolumnerna anges med versaler. Om du har en fråga där de här kolumnerna ingår ska du använda operatorn =~ så att jämförelsen blir skiftlägesokänslig.

Följande kolumner har lagts till i AzureActivity i det uppdaterade schemat:

  • Authorization_d
  • Claims_d
  • Properties_d

Aktivitetslogginsikter

Med aktivitetslogginsikter kan du visa information om ändringar i resurser och resursgrupper i en prenumeration. Instrumentpanelerna visar också data om vilka användare eller tjänster som utfört aktiviteter i prenumerationen och aktiviteternas status. Den här artikeln beskriver hur du visar aktivitetslogginsikter i Azure Portal.

Innan du använder aktivitetslogginsikter måste du aktivera sändning av loggar till Log Analytics-arbetsytan.

Hur fungerar aktivitetslogginsikter?

Aktivitetsloggar som du skickar till en Log Analytics-arbetsyta lagras i en tabell med namnet AzureActivity.

Aktivitetslogginsikter är en kuraterad Log Analytics-arbetsbok med instrumentpaneler som visualiserar data i AzureActivity-tabellen. Till exempel vilka administratörer som har tagit bort, uppdaterat eller skapat resurser och om aktiviteterna misslyckades eller lyckades.

A screenshot showing Azure Activity logs insights dashboards.

Visa aktivitetslogginsikter – resursgrupp/prenumerationsnivå

Så här visar du aktivitetslogginsikter på en resursgrupp eller prenumerationsnivå:

  1. I Azure Portal väljer du ÖvervakaArbetsböcker>.

  2. Välj Aktivitetsloggar Insights i avsnittet Insights.

    A screenshot showing how to locate and open the Activity logs insights workbook on a scale level.

  3. Längst upp på sidan Aktivitetsloggar Insights väljer du:

    1. En eller flera prenumerationer från listrutan Prenumerationer .
    2. Resurser och resursgrupper från listrutan CurrentResource .
    3. Ett tidsintervall för vilket du vill visa data från listrutan TimeRange .

Visa aktivitetslogginsikter på valfri Azure-resurs

Anteckning

  • För närvarande stöds inte program Insights resurser för den här arbetsboken.

Så här visar du aktivitetslogginsikter på resursnivå:

  1. I Azure Portal går du till resursen och väljer Arbetsböcker.

  2. Välj Aktivitetsloggar Insights i avsnittet Aktivitetsloggar Insights.

    A screenshot showing how to locate and open the Activity logs insights workbook on a resource level.

  3. Längst upp på sidan Aktivitetsloggar Insights väljer du:

    1. Ett tidsintervall för vilket du vill visa data från listrutan TimeRange .
    • Azure-aktivitetsloggposter visar antalet aktivitetsloggposter i varje aktivitetsloggkategori.

      Screenshot of Azure Activity Logs by Category Value

    • Aktivitetsloggar efter status visar antalet aktivitetsloggposter i varje status.

      Screenshot of Azure Activity Logs by Status

    • På prenumerations- och resursgruppsnivå visar aktivitetsloggar efter resurs - och aktivitetsloggar efter resursprovider antalet aktivitetsloggposter för varje resurs och resursprovider.

      Screenshot of Azure Activity Logs by Resource

Nästa steg