Azure-aktivitetslogg

Aktivitetsloggen är en plattformslogg i Azure som ger inblick i händelser på prenumerationsnivå. Bland annat loggas information som när en resurs ändras eller när en virtuell dator startas. Du kan visa aktivitetsloggen i Azure Portal eller hämta poster med PowerShell och CLI. Den här artikeln innehåller information om hur du visar aktivitetsloggen och skickar den till olika mål.

För ytterligare funktioner bör du skapa en diagnostikinställning för att skicka aktivitetsloggen till en eller flera av dessa platser av följande skäl:

• för Azure Monitor loggar för mer komplexa frågor och aviseringar och längre kvarhållning (upp till 2 år)
• för Azure Event Hubs att vidarebefordra utanför Azure
• för Azure Storage för billigare och långsiktig arkivering

Mer information om hur du skapar en diagnostikinställning finns i Skapa diagnostikinställningar för att skicka plattformsloggar och mått till olika mål.

Kvarhållningsperiod

Aktivitetslogghändelser sparas i Azure i 90 dagar och tas sedan bort. Poster debiteras inte under den här tiden oavsett volym. För ytterligare funktioner, till exempel längre kvarhållning, bör du skapa en diagnostikinställning och dirigera helheterna till en annan plats baserat på dina behov. Se villkoren i det tidigare avsnittet i den här artikeln.

Visa aktivitetsloggen

Du kan öppna aktivitetsloggen från de flesta menyer i Azure-portalen. Startfiltret beror på vilken meny du öppnar loggen från. Om du öppnar den från menyn Övervaka kommer det enda filtret att finnas i prenumerationen. Om du öppnar den från en resursmeny ställs filtret in på den resursen. Du kan alltid ändra filtret om du vill visa alla andra poster. Klicka på Lägg till filter för att lägga till ytterligare egenskaper i filtret.

En beskrivning av aktivitetsloggkategorier finns i Händelseschema för Azure-aktivitetslogg.

Ladda ned aktivitetsloggen

Välj Ladda ned som CSV för att ladda ned händelserna i den aktuella vyn.

Visa ändringshistorik

För vissa händelser kan du visa ändringshistoriken, som visar vilka ändringar som gjorts under den händelsetiden. Välj en händelse i aktivitetsloggen som du vill titta närmare på. Välj fliken Ändringshistorik (förhandsversion) för att visa eventuella associerade ändringar med händelsen.

Om det finns några associerade ändringar med händelsen visas en lista över ändringar som du kan välja. Då öppnas sidan Ändringshistorik (förhandsversion). På den här sidan visas ändringarna i resursen. I följande exempel kan du inte bara se att den virtuella datorn har ändrat storlek, utan även vad den tidigare VM-storleken var före ändringen och vad den ändrades till. Mer information om ändringshistorik finns i Hämta resursändringar.

Andra metoder för att hämta aktivitetslogghändelser

Du kan också komma åt aktivitetslogghändelser med hjälp av följande metoder.

• Använd cmdleten Get-AzLog för att hämta aktivitetsloggen från PowerShell. Se Azure Monitor PowerShell-exempel.
• Använd az monitor activity-log för att hämta aktivitetsloggen från CLI. Se Azure Monitor CLI-exempel.
• Använd Azure Monitor REST API för att hämta aktivitetsloggen från en REST-klient.

Skicka till Log Analytics-arbetsytan

Skicka aktivitetsloggen till en Log Analytics-arbetsyta för att aktivera funktionerna i Azure Monitor Loggar som innehåller följande:

• Korrelera aktivitetsloggdata med andra övervakningsdata som samlas in av Azure Monitor.
• Konsolidera loggposter från flera Azure-prenumerationer och klienter till en plats för analys tillsammans.
• Använd loggfrågor för att utföra komplexa analyser och få djupgående insikter om aktivitetsloggposter.
• Använd logga aviseringar med aktivitetsposter som möjliggör mer komplex aviseringslogik.
• Lagra aktivitetsloggposter längre än kvarhållningsperioden för aktivitetsloggen.
• Inga avgifter för datainmatning för aktivitetsloggdata som lagras på en Log Analytics-arbetsyta.
• Inga avgifter för datalagring förrän efter kvarhållningsperioden för aktivitetsloggen upphör att gälla för givna helheter.

Skapa en diagnostikinställning för att skicka aktivitetsloggen till en Log Analytics-arbetsyta. Du kan skicka aktivitetsloggen från en enskild prenumeration till upp till fem arbetsytor.

Aktivitetsloggdata på en Log Analytics-arbetsyta lagras i en tabell med namnet AzureActivity som du kan hämta med en loggfråga i Log Analytics. Strukturen för den här tabellen varierar beroende på kategorin för loggposten. En beskrivning av tabellegenskaperna finns i Azure Monitor datareferens.

Om du till exempel vill visa antalet aktivitetsloggposter för varje kategori använder du följande fråga.

AzureActivity
| summarize count() by CategoryValue

Om du vill hämta alla poster i den administrativa kategorin använder du följande fråga.

AzureActivity
| where CategoryValue == "Administrative"

Skicka till Azure Event Hubs

Skicka aktivitetsloggen till Azure Event Hubs att skicka poster utanför Azure, till exempel till en SIEM från tredje part eller andra log analytics-lösningar. Aktivitetslogghändelser från händelsehubbbar förbrukas i JSON-format med ett records element som innehåller posterna i varje nyttolast. Schemat är beroende av kategorin och beskrivs i Schema från lagringskonto och händelsehubbb.

Följande är exempel på utdata från Event Hubs för en aktivitetslogg:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Skicka till Azure-lagring

Skicka aktivitetsloggen till ett Azure Storage konto för granskning, statisk analys eller säkerhetskopiering om du vill behålla dina loggdata längre än kvarhållningsperioden för aktivitetsloggen. Du behöver inte konfigurera Azure Storage om du inte behöver behålla posterna av någon av dessa skäl.

När du skickar aktivitetsloggen till Azure skapas en lagringscontainer i lagringskontot så fort en händelse inträffar. Blobarna i containern använder följande namngivningskonvention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

En viss blob kan till exempel ha ett namn som liknar följande:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Varje PT1H.json-blob innehåller en JSON-blob med händelser som inträffade inom den angivna timmen i blob-URL (till exempel h=12). Under den aktuella timmen läggs händelser till i filen PT1H.json allt eftersom de inträffar. Minutvärdet (m =00) är alltid 00, eftersom resurslogghändelser delas upp i enskilda blobar per timme.

Varje händelse lagras i PT1H.json-filen med följande format som använder ett gemensamt schema på den översta nivån, men som annars är unikt för varje kategori enligt beskrivningen i Schema för aktivitetslogg.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Äldre insamlingsmetoder

I det här avsnittet beskrivs äldre metoder för att samla in aktivitetsloggen som användes före diagnostikinställningarna. Om du använder dessa metoder bör du överväga att övergå till diagnostikinställningar som ger bättre funktionalitet och konsekvens med resursloggar.

Loggprofiler

Loggprofiler är den äldre metoden för att skicka aktivitetsloggen till Azure Storage eller event hubs. Använd följande procedur för att fortsätta arbeta med en loggprofil eller inaktivera den som förberedelse för att migrera till en diagnostikinställning.

1. På Azure Monitor på Azure Portal väljer du Aktivitetslogg.

2. Klicka på Diagnostikinställningar.

   

3. Klicka på den lila banderollen för den äldre upplevelsen.

   

Konfigurera loggprofil med PowerShell

Om det redan finns en loggprofil måste du först ta bort den befintliga loggprofilen och sedan skapa en ny.

1. Används Get-AzLogProfile för att identifiera om det finns en loggprofil. Observera namnegenskapen om det finns en loggprofil.

2. Använd Remove-AzLogProfile för att ta bort loggprofilen med hjälp av värdet från namnegenskapen.

   # For example, if the log profile name is 'default'
   Remove-AzLogProfile -Name "default"
   

3. Använd Add-AzLogProfile för att skapa en ny loggprofil:

   Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
   

   Egenskap	Krävs	Beskrivning
   Name	Yes	Namnet på din loggprofil.
   StorageAccountId	No	Resurs-ID för Storage konto där aktivitetsloggen ska sparas.
   serviceBusRuleId	No	Service Bus Regel-ID för Service Bus namnområde som du vill att händelsehubbbar ska skapas i. Det här är en sträng med formatet : {service bus resource ID}/authorizationrules/{key name} .
   Plats	Ja	Kommaavgränsad lista över regioner som du vill samla in aktivitetslogghändelser för.
   RetentionInDays	Yes	Antal dagar då händelser ska behållas i lagringskontot, mellan 1 och 365. Med värdet noll lagras loggarna på obestämd tid.
   Kategori	No	Kommaavgränsad lista över händelsekategorier som ska samlas in. Möjliga värden är Skriva, Ta bort och Åtgärd.

Exempelskript

Följande är ett PowerShell-exempelskript för att skapa en loggprofil som skriver aktivitetsloggen till både ett lagringskonto och en händelsehubb.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your event hub belongs to>"
$eventHubNamespace = "<event hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the storage account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Konfigurera loggprofil med Azure CLI

Om det redan finns en loggprofil måste du först ta bort den befintliga loggprofilen och sedan skapa en ny loggprofil.

1. Används az monitor log-profiles list för att identifiera om det finns en loggprofil.

2. Använd az monitor log-profiles delete --name "<log profile name> för att ta bort loggprofilen med hjälp av värdet från namnegenskapen.

3. Använd az monitor log-profiles create för att skapa en ny loggprofil:

   az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<EVENT HUB NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
   

   Egenskap	Krävs	Beskrivning
   name	Yes	Namnet på din loggprofil.
   storage-account-id	Yes	Resurs-ID för Storage konto som aktivitetsloggar ska sparas till.
   platser	Yes	Blankstegsavgränsad lista över regioner som du vill samla in aktivitetslogghändelser för. Du kan visa en lista över alla regioner för din prenumeration med hjälp av az account list-locations --query [].name .
   Dagar	Yes	Antal dagar då händelser ska behållas, mellan 1 och 365. Värdet noll lagrar loggarna på obestämd tid (för alltid). Om det är noll ska den aktiverade parametern anges till false.
   enabled	Yes	Sant eller falskt. Används för att aktivera eller inaktivera kvarhållningsprincipen. Om värdet är True måste parametern days vara ett värde som är större än 0.
   kategorier	Yes	Blankstegsavgränsad lista över händelsekategorier som ska samlas in. Möjliga värden är Skriva, Ta bort och Åtgärd.

Log Analytics-arbetsyta

Den äldre metoden för att skicka aktivitetsloggen till en Log Analytics-arbetsyta är att ansluta loggen i arbetsytans konfiguration.

1. På menyn Log Analytics-arbetsytor i Azure Portal väljer du arbetsytan för att samla in aktivitetsloggen.

2. I avsnittet Arbetsytedatakällor på arbetsytans meny väljer du Azure-aktivitetslogg.

3. Klicka på den prenumeration som du vill ansluta till.

   

4. Klicka Anslut att ansluta aktivitetsloggen i prenumerationen till den valda arbetsytan. Om prenumerationen redan är ansluten till en annan arbetsyta klickar du på Koppla från först för att koppla från den.

   

Om du vill inaktivera inställningen utför du samma procedur och klickar på Koppla från för att ta bort prenumerationen från arbetsytan.

Ändringar i datastrukturen

Diagnostikinställningar skickar samma data som den äldre metoden som används för att skicka aktivitetsloggen med vissa ändringar i strukturen för AzureActivity-tabellen.

Kolumnerna i följande tabell har gjorts inaktuella i det uppdaterade schemat. De finns fortfarande i AzureActivity, men de har inga data. Ersättning för dessa kolumner är inte nya, men de innehåller samma data som den inaktuella kolumnen. De har ett annat format, så du kan behöva ändra loggfrågor som använder dem.

Följande kolumn har lagts till i AzureActivity i det uppdaterade schemat:

• Authorization_d
• Claims_d
• Properties_d

Aktivitetslogganalys övervakningslösning

Azure Log Analytics-övervakningslösningen kommer snart att bli inaktuell och ersättas av en arbetsbok med hjälp av det uppdaterade schemat på Log Analytics-arbetsytan. Du kan fortfarande använda lösningen om du redan har aktiverat den, men den kan bara användas om du samlar in aktivitetsloggen med hjälp av äldre inställningar.

Använda lösningen

Övervakningslösningar nås från menyn Övervaka i Azure Portal. Välj Mer i Insights för att öppna sidan Översikt med lösningspanelerna. Panelen Azure-aktivitetsloggar visar antalet AzureActivity-poster på din arbetsyta.

Klicka på panelen Azure-aktivitetsloggar för att öppna vyn Azure-aktivitetsloggar. Vyn innehåller visualiseringsdelarna i följande tabell. Varje del visar upp till 10 objekt som matchar de delarnas kriterier för det angivna tidsperioden. Du kan köra en loggfråga som returnerar alla matchande poster genom att klicka på Visa alla längst ned i delen.

Aktivera lösningen för nya prenumerationer

Du kommer snart inte längre att kunna lägga till lösningen Aktivitetslogganalys i din prenumeration med hjälp av Azure Portal. Du kan lägga till den med hjälp av följande procedur med Resource Manager mall.

1. Kopiera följande json till en fil med namnet ActivityLogTemplate.json.

   {
   "$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
       "workspaceName": {
           "type": "String",
           "defaultValue": "my-workspace",
           "metadata": {
             "description": "Specifies the name of the workspace."
           }
       },
       "location": {
           "type": "String",
           "allowedValues": [
             "east us",
             "west us",
             "australia central",
             "west europe"
           ],
           "defaultValue": "australia central",
           "metadata": {
             "description": "Specifies the location in which to create the workspace."
           }
       }
     },
       "resources": [
       {
           "type": "Microsoft.OperationalInsights/workspaces",
           "name": "[parameters('workspaceName')]",
           "apiVersion": "2015-11-01-preview",
           "location": "[parameters('location')]",
           "properties": {
               "features": {
                   "searchVersion": 2
               }
           }
       },
       {
           "type": "Microsoft.OperationsManagement/solutions",
           "apiVersion": "2015-11-01-preview",
           "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
           "location": "[parameters('location')]",
           "dependsOn": [
               "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
           ],
           "plan": {
               "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
               "promotionCode": "",
               "product": "OMSGallery/AzureActivity",
               "publisher": "Microsoft"
           },
           "properties": {
               "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]",
               "containedResources": [
                   "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName')), '/views/AzureActivity(',parameters('workspaceName'))]"
               ]
           }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/datasources",
         "kind": "AzureActivityLog",
         "name": "[concat(parameters('workspaceName'), '/', subscription().subscriptionId)]",
         "apiVersion": "2015-11-01-preview",
         "location": "[parameters('location')]",
         "dependsOn": [
             "[parameters('WorkspaceName')]"
         ],
         "properties": {
             "linkedResourceId": "[concat(subscription().Id, '/providers/microsoft.insights/eventTypes/management')]"
         }
       }
     ]
   }    
   

2. Distribuera mallen med hjälp av följande PowerShell-kommandon:

   Connect-AzAccount
   Select-AzSubscription <SubscriptionName>
   New-AzResourceGroupDeployment -Name activitysolution -ResourceGroupName <ResourceGroup> -TemplateFile <Path to template file>
   

Nästa steg

• Läs en översikt över plattformsloggar
• Granska händelseschema för aktivitetslogg
• Skapa diagnostikinställning för att skicka aktivitetsloggar till andra mål