Azure İzleyici etkinlik günlüğü verilerini gönderme

  • Makale

Azure İzleyici etkinlik günlüğü, abonelik düzeyi olaylar hakkında içgörü sağlayan bir platform günlüğüdür. Etkinlik günlüğü, bir kaynağın ne zaman değiştirildiği veya sanal makinenin ne zaman başlatıldığı gibi bilgileri içerir. Azure portalda etkinlik günlüğünü görüntüleyebilir veya PowerShell ve Azure CLI ile girdileri alabilirsiniz. Bu makalede etkinlik günlüğünü görüntüleme ve farklı hedeflere gönderme hakkında bilgi sağlanır.

Daha fazla işlevsellik için, aşağıdaki nedenlerle etkinlik günlüğünü bu konumlardan birine veya daha fazlasına göndermek için bir tanılama ayarı oluşturun:

Tanılama ayarı oluşturma hakkında ayrıntılı bilgi için bkz . Farklı hedeflere platform günlüklerini ve ölçümlerini göndermek için tanılama ayarları oluşturma.

Not

  • Etkinlik Günlüğündeki girdiler sistem tarafından oluşturulur ve değiştirilemez veya silinemez.
  • Etkinlik Günlüğündeki girdiler, sanal makine yeniden başlatması gibi denetim düzlemi değişikliklerini temsil eder, ilgili olmayan tüm girdiler Azure Kaynak Günlüklerine yazılmalıdır
  • Etkinlik Günlüğündeki girdiler genellikle değişikliklerin (oluşturma, güncelleştirme veya silme işlemlerinin) veya başlatılmış bir eylemin sonucu olur. Bir kaynağın ayrıntılarını okumaya odaklanan işlemler genellikle yakalanmaz.

Log Analytics çalışma alanına gönderme

Etkinlik günlüğünü Log Analytics çalışma alanına göndererek Azure İzleyici Günlükleri özelliğini etkinleştirin. Burada:

  • Etkinlik günlüğü verilerini Azure İzleyici tarafından toplanan diğer izleme verileriyle ilişkilendirin.
  • Birden çok Azure aboneliğinden ve kiracıdan günlük girdilerini birlikte analiz için tek bir konumda birleştirin.
  • Günlük sorgularını kullanarak karmaşık analiz gerçekleştirin ve etkinlik günlüğü girdileri hakkında ayrıntılı içgörüler elde edin.
  • Daha karmaşık uyarı mantığı için etkinlik girdileriyle günlük araması uyarılarını kullanın.
  • Etkinlik günlüğü girdilerini etkinlik günlüğü saklama süresinden daha uzun süre depolayın.
  • Log Analytics çalışma alanında depolanan etkinlik günlüğü verileri için veri alımı veya saklama ücreti alınmaz.
  • Log Analytics'te varsayılan saklama süresi 90 gündür

Etkinlik günlüğünü Log Analytics çalışma alanına göndermek için Etkinlik Günlüklerini Dışarı Aktar'ı seçin.

Screenshot that shows exporting activity logs.

Etkinlik günlüğünü herhangi bir abonelikten en fazla beş çalışma alanına gönderebilirsiniz.

Log Analytics çalışma alanında etkinlik günlüğü verileri, Log Analytics'te bir günlük sorgusuylaalabildiğiniz adlı AzureActivity bir tabloda depolanır. Bu tablonun yapısı günlük girdisinin kategorisine bağlı olarak değişir. Tablo özelliklerinin açıklaması için bkz . Azure İzleyici veri başvurusu.

Örneğin, her kategori için etkinlik günlüğü kayıtlarının sayısını görüntülemek için aşağıdaki sorguyu kullanın:

AzureActivity
| summarize count() by CategoryValue

Yönetim kategorisindeki tüm kayıtları almak için aşağıdaki sorguyu kullanın:

AzureActivity
| where CategoryValue == "Administrative"

Önemli

Bazı senaryolarda, AzureActivity alanlarındaki değerlerin diğer eşdeğer değerlerden farklı büyük/küçük harfe sahip olması mümkündür. Dize karşılaştırmaları için büyük/küçük harfe duyarlı olmayan işleçler kullanmak için AzureActivity'de verileri sorgularken dikkatli olun veya herhangi bir karşılaştırmadan önce bir alanı tekdüzen büyük/küçük harfe zorlamak için bir skaler işlev kullanın. Örneğin, bir dize karşılaştırması gerçekleştirirken her zaman küçük harfe veya =~ işlecine zorlamak için alandaki tolower() işlevini kullanın.

Azure Event Hubs’a gönderme

Etkinlik günlüğünü Azure Event Hubs'a göndererek girdileri Azure'ın dışında, örneğin üçüncü taraf bir SIEM'ye veya diğer log analytics çözümlerine gönderin. Olay hub'larından etkinlik günlüğü olayları, her yükteki kayıtları içeren bir records öğeyle JSON biçiminde tüketilir. Şema kategoriye bağlıdır ve Azure etkinlik günlüğü olay şemasında açıklanmıştır.

Aşağıdaki örnek çıktı verileri etkinlik günlüğü için olay hub'larından alınmaktadır:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Azure Depolama’ya gönderme

Günlük verilerinizi denetim, statik analiz veya yedekleme için 90 günden daha uzun süre saklamak istiyorsanız etkinlik günlüğünü bir Azure Depolama hesabına gönderin. Etkinliklerinizi 90 gün veya daha kısa süre saklamanız gerekiyorsa, depolama hesabına arşivleme ayarlamanız gerekmez. Etkinlik günlüğü olayları Azure platformunda 90 gün boyunca saklanır.

Etkinlik günlüğünü Azure'a gönderdiğinizde, bir olay gerçekleşir gerçekleşmez depolama hesabında bir depolama kapsayıcısı oluşturulur. Kapsayıcıdaki bloblar aşağıdaki adlandırma kuralını kullanır:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Örneğin, belirli bir blob şuna benzer bir ada sahip olabilir:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Her PT1H.json blobu, blob URL'sinde belirtilen saat içinde alınan günlük dosyalarından olaylar içeren bir JSON nesnesi içerir. Şu anda olaylar, ne zaman oluşturulduklarından bağımsız olarak alındıklarında PT1H.json dosyasına eklenir. URL'deki dakika değeri her m=00 zaman 00 blobların saatte bir oluşturulduğu şekildedir.

Her olay aşağıdaki biçimde PT1H.json dosyasında depolanır. Bu biçim ortak bir üst düzey şema kullanır, ancak Etkinlik günlüğü şemasında açıklandığı gibi her kategori için benzersizdir.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Etkinlik günlüğü olaylarını almak için diğer yöntemler

Etkinlik günlüğü olaylarına aşağıdaki yöntemleri kullanarak da erişebilirsiniz:

Eski toplama yöntemleri

Not

  • Etkinlik Günlüklerini Azure Log Analytics'e iletmek için Azure Etkinlik günlükleri çözümü kullanıldı. Bu çözüm 15 Eylül 2026'da kullanımdan kaldırılıyor ve otomatik olarak Tanılama ayarlarına dönüştürülecek.

Eski toplama yöntemini kullanarak etkinlik günlüklerini topluyorsanız etkinlik günlüklerini Log Analytics çalışma alanınıza aktarmanızı ve Veri Kaynakları - Silme API'sini kullanarak eski koleksiyonu devre dışı bırakmanızı öneririz:

  1. Veri Kaynakları - Çalışma Alanına Göre Listele API'sini kullanarak çalışma alanına bağlı tüm veri kaynaklarını listeleyin ve ayarlayarak kind eq 'AzureActivityLog'etkinlik günlüklerini filtreleyin.

    Screenshot showing the configuration of the Data Sources - List By Workspace API.

  2. API yanıtından devre dışı bırakmak istediğiniz bağlantının adını kopyalayın.

    Screenshot showing the connection information you need to copy from the output of the Data Sources - List By Workspace API.

  3. Belirli bir kaynak için etkinlik günlüklerini toplamayı durdurmak için Veri Kaynakları - Silme API'sini kullanın.

    Screenshot of the configuration of the Data Sources - Delete API.

Eski günlük profillerini yönetme

Günlük profilleri, etkinlik günlüğünü depolamaya veya olay hub'larına göndermek için kullanılan eski yöntemdir. Bu yöntemi kullanıyorsanız, kaynak günlükleriyle daha iyi işlevsellik ve tutarlılık sağlayan tanılama ayarlarına geçmeyi göz önünde bulundurun.

Bir günlük profili zaten varsa, önce mevcut günlük profilini kaldırmanız ve ardından yeni bir tane oluşturmanız gerekir.

  1. Bir günlük profili olup olmadığını belirlemek için kullanın Get-AzLogProfile . Günlük profili varsa özelliğini not edin Name .

  2. özelliğindeki Name değerini kullanarak günlük profilini kaldırmak için kullanınRemove-AzLogProfile.

    # For example, if the log profile name is 'default'
Remove-AzLogProfile -Name "default"

  3. Yeni bir günlük profili oluşturmak için kullanın Add-AzLogProfile :

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    Özellik Zorunlu Açıklama
    Adı Yes Günlük profilinizin adı.
    Depolama AccountId Hayır Etkinlik günlüğünün kaydedilmesi gereken depolama hesabının kaynak kimliği.
    serviceBusRuleId Hayır Olay hub'larının oluşturulmasını istediğiniz Service Bus ad alanının Service Bus Kural Kimliği. Bu dize biçimindedir {service bus resource ID}/authorizationrules/{key name}.
    Konum Yes Etkinlik günlüğü olaylarını toplamak istediğiniz bölgelerin virgülle ayrılmış listesi.
    RetentionInDays Yes 1 ile 365 arasında depolama hesabında olayların saklanması gereken gün sayısı. Sıfır değeri günlükleri süresiz olarak depolar.
    Kategori Hayır Toplanacak olay kategorilerinin virgülle ayrılmış listesi. Olası değerler Yazma, Silme ve Eylem'tir.

Örnek betik

Bu örnek PowerShell betiği, etkinlik günlüğünü hem depolama hesabına hem de olay hub'ına yazan bir günlük profili oluşturur.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Veri yapısı değişiklikleri

Dışarı aktarma etkinlik günlükleri deneyimi, tablonun yapısında AzureActivity bazı değişiklikler içeren etkinlik günlüğünü göndermek için kullanılan eski yöntemle aynı verileri gönderir.

Aşağıdaki tablodaki sütunlar güncelleştirilmiş şemada kullanım dışı bırakılmıştır. Bunlar hala içinde AzureActivitybulunur, ancak veriye sahip değildir. Bu sütunların yerine geçenler yeni değildir, ancak kullanım dışı bırakılmış sütunla aynı verileri içerir. Bunlar farklı bir biçimde olduğundan, bunları kullanan günlük sorgularını değiştirmeniz gerekebilir.

Etkinlik günlüğü JSON Log Analytics sütun adı
(eski kullanım dışı)		 Yeni Log Analytics sütun adı Notlar
category Kategori CategoryValue
durum

Değerler başarılı, başlangıç, kabul, başarısızlık		 ActivityStatus

JSON ile aynı değerler		 ActivityStatusValue

Değerler başarılı, başlatıldı, kabul edildi, başarısız olarak değiştirildi		 Geçerli değerler gösterildiği gibi değişir.
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue REST API, işlem adı değerini yerelleştirir. Log Analytics kullanıcı arabirimi her zaman İngilizce gösterir.
resourceProviderName ResourceProvider ResourceProviderValue

Önemli

Bazı durumlarda, bu sütunlardaki değerlerin tümü büyük harf olabilir. Bu sütunları içeren bir sorgunuz varsa, büyük/küçük harfe duyarlı olmayan bir karşılaştırma yapmak için =~ işlecini kullanın.

Güncelleştirilmiş şemaya AzureActivity aşağıdaki sütunlar eklenmiştir:

  • Authorization_d
  • Claims_d
  • Properties_d

Sonraki adımlar

Aşağıdakiler hakkında daha fazla bilgi edinin: