Поделиться через

Отправка данных журнала действий Azure Monitor

  • Статья

Журнал действий Azure Monitor — это журнал платформы, предоставляющий представление о событиях уровня подписки. Журнал действий содержит информацию, например, когда изменяется ресурс и когда запускается виртуальная машина. Журнал действий можно просмотреть на портале Azure или получить записи с использованием PowerShell и Azure CLI. В этой статье содержатся сведения о том, как просмотреть журнал действий и отправить его в разные места назначения.

Создайте параметр диагностики для отправки журнала действий в одно или несколько из следующих расположений:

Дополнительные сведения о том, как создать параметр диагностики, см. в статье Создание параметров диагностики для отправки журналов и метрик платформы в разные назначения.

Подсказка

Отправьте журналы действий в рабочую область Log Analytics, чтобы извлечь следующие преимущества:

  • Отправка журналов в рабочую область Log Analytics не требует оплаты в течение периода хранения по умолчанию.
  • Для более длительного срока хранения, до 12 лет, отправляйте журналы в рабочую область Log Analytics.
  • Журналы, экспортированные в рабочую область Log Analytics, можно просмотреть в Power BI.
  • Аналитические сведения предоставляются для журналов действий, экспортированных в Log Analytics.

Замечание

  • Записи в журнале действий создаются системой и не могут быть изменены или удалены.
  • Записи в журнале действий представляют изменения уровня управления, такие как перезапуск виртуальной машины, все не связанные записи должны быть записаны в журналы ресурсов Azure.
  • Записи в журнале действий обычно являются результатом изменений (создания, обновления или удаления) или инициированных действий. Операции, ориентированные на чтение сведений о ресурсе, обычно не фиксируются.

Отправить в рабочую область Log Analytics

Отправьте журнал действий в рабочую область Log Analytics, чтобы включить функцию Журналы Azure Monitor, где можно:

  • Сопоставляйте данные журнала действий с другими данными мониторинга, собранными Azure Monitor.
  • Консолидация записей журнала из нескольких подписок и арендаторов Azure в одном расположении для их совместного анализа.
  • Используйте запросы журнала для выполнения сложного анализа и получения подробных сведений о записях журнала действий.
  • Используйте оповещения поиска по журналам с записями действий для более сложной логики оповещений.
  • Храните записи журнала действий дольше, чем период их хранения.
  • Не возникает затрат на поглощение или хранение данных журнала активности, хранящихся в рабочей области Log Analytics.
  • В Log Analytics период хранения по умолчанию составляет 90 дней.

Выберите Экспорт журналов действий, чтобы отправить журнал действий в рабочую область Log Analytics.

Снимок экрана: экспорт журналов действий.

Журнал действий можно отправить из любой подписки в максимум пять рабочих областей.

Данные журнала действий в рабочей области Log Analytics хранятся в таблице под названием AzureActivity, которую можно извлечь с помощью запроса журнала в Log Analytics. Структура этой таблицы зависит от категории записи журнала. Описание свойств таблицы см. в Справочнике по данным Azure Monitor.

Например, чтобы просмотреть количество записей журнала действий для каждой категории, используйте следующий запрос:

AzureActivity
| summarize count() by CategoryValue

Чтобы получить все записи в административной категории, используйте нижеуказанный запрос.

AzureActivity
| where CategoryValue == "Administrative"

Это важно

В некоторых сценариях возможно, что значения в полях AzureActivity могут иметь разные регистры от других эквивалентных значений. При запросе данных в AzureActivity следует использовать регистронезависимые операторы для сравнения строк или использовать скалярную функцию для приведения поля к единому регистру перед любыми сравнениями. Например, используйте функцию tolower() в поле, чтобы принудить ее всегда быть строчным или оператором =~ при выполнении сравнения строк.

Отправка в Центры событий Azure

Отправьте журнал действий в Центры событий Azure, чтобы передать записи за пределы Azure, например в сторонние SIEM или другие решения для анализа журналов. События журнала действий из Event Hubs обрабатываются в формате JSON с элементом records, который содержит записи в каждой полезной нагрузке. Схема зависит от категории; см. статью Схема событий журнала действий Azure.

Пример выходных данных из Центров событий для журнала действий:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "[email protected]",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " [email protected]",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Отправка в службу хранилища Azure

Отправьте журнал действий в учетную запись хранения Azure, если вы хотите сохранить данные журнала дольше 90 дней для аудита, статического анализа или резервного копирования. Если вам необходимо хранить события не больше 90 дней, вам не нужно настраивать архивацию в учетной записи хранения. События в журнале действий хранятся на платформе Azure 90 дней.

При отправке журнала действий в Azure контейнер хранилища создается в учетной записи хранения сразу после возникновения события. Объекты в контейнере используют следующую схему именования.

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Например, некоторый blob может иметь имя, похожее на:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Каждый blob-файл PT1H.json содержит JSON-объект с событиями из файлов журнала, полученных в течение часа, указанного в URL-адресе этого blob. В течение текущего часа события добавляются в файл PT1H.json по мере их получения независимо от того, когда они были созданы. Значение минуты в URL-адресе m=00 всегда 00, так как большие двоичные объекты создаются ежечасно.

В файле PT1H.json каждое событие сохраняется в следующем формате. В этом формате используется общая схема верхнего уровня, но в остальном она уникальна для каждой категории, как описано в статье Схема журнала действий.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Другие методы получения событий журнала действий

Вы также можете получить доступ к событиям журнала действий с помощью следующих методов:

Устаревшие методы сбора

Замечание

  • Решение журналов действий Azure использовалось для пересылки журналов действий в Azure Log Analytics. Это решение снимается с использования с 15 сентября 2026 г. и автоматически преобразуется в параметры диагностики.

Если вы собираете журналы действий с помощью устаревшего метода сбора, мы рекомендуем экспортировать журналы действий в рабочую область Log Analytics и отключить устаревший метод сбора через API удаления для источников данных, как описано ниже.

  1. Получите полный список источников данных, подключенных к рабочей области, с помощью API списка по рабочим областям для источников данных, и отфильтруйте журналы действий, задав параметр kind eq 'AzureActivityLog'.

    Снимок экрана: настройка API списка по рабочим областям для источников данных.

  2. Скопируйте из ответа API имя подключения, которое вам нужно отключить.

    Снимок экрана, показывающий сведения о подключении, которые необходимо скопировать из вывода API 'Источники данных - список по рабочей области'.

  3. Примените API удаления для источников данных, чтобы прекратить сбор журналов действий для конкретного ресурса.

    Скриншот конфигурации источников данных — API удаления.

Управление устаревшими профилями журналов — вывод из использования

Замечание

  • Профили журналов использовались для пересылки журналов действий в учетные записи хранения и Центры событий. Этот метод отменяется на 15 сентября 2026 года.
  • Если вы используете этот метод, перейдите к Параметрам Диагностики до 15 сентября 2025 года, когда мы перестанем разрешать создавать новые профили журналов.

Профили журнала — это устаревший метод отправки журнала действий в хранилище или концентраторы событий. Если вы используете этот метод, перейдите к параметрам диагностики, которые обеспечивают лучшую функциональность и согласованность с журналами ресурсов.

Если профиль журнала уже существует, сначала необходимо его удалить, а затем создать новый.

  1. Используйте Get-AzLogProfile, чтобы проверить, существует ли профиль журнала. Если профиль журнала существует, найдите свойство Name.

  2. Используйте Remove-AzLogProfile, чтобы удалить профиль журнала с помощью значения из свойства Name.

    # For example, if the log profile name is 'default'
Remove-AzLogProfile -Name "default"

  3. Создайте профиль журнала с помощью Add-AzLogProfile:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    Недвижимость Обязательно Описание
    Имя Да Имя профиля журнала.
    StorageAccountId нет Идентификатор ресурса для учетной записи хранения, где будет храниться журнал действий.
    serviceBusRuleId нет Идентификатор правила служебной шины для пространства имен Служебной шины, где вы хотите создать концентраторы событий. Эта строка имеет формат {service bus resource ID}/authorizationrules/{key name}.
    Местоположение Да Разделенный запятыми список регионов, для которых будут собираться события журнала действий.
    RetentionInDays Да Количество дней, в течение которых будут храниться события в учетной записи хранения составляет от 1 до 365. Нулевое значение означает, что журналы хранятся неограниченно долго.
    Категория нет Разделенный запятыми список категорий событий, которые будут собираться. Возможные значения: Write, Delete и Action.

Пример скрипта

В этом примере скрипта PowerShell создается профиль журнала, который записывает журнал действий в учетную запись хранения и концентратор событий.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"
$storageAccountName = "<Storage Account name>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Изменения структуры данных

Экспорт журналов действий отправляет те же данные, что и устаревший метод, используемый для отправки журнала действий, с некоторыми изменениями в структуре таблицы AzureActivity.

Столбцы, которые приведены в следующей таблице, считаются устаревшими в обновленной схеме. Они по-прежнему существуют в AzureActivity, но не содержат данных. При замене этих столбцов новая информация не добавляется, поскольку они содержат те же данные, что и устаревший столбец. Они имеют другой формат, поэтому может потребоваться изменить запросы к журналу, в которых они используются.

JSON журнала действий Имя столбца Log Analytics
(устаревшая версия)		 Имя нового столбца Log Analytics Примечания.
категория Категория ЗначениеКатегории
статус

Значения: успех, старт, принятие, неудача		 ActivityStatus

Значения, совпадающие с JSON		 ЗначениеСтатусаАктивности

Значения изменяются на выполнено, начато, принято, не удалось.		 Допустимые значения изменяются, как показано.
субстатус Подстатус активности ЗначениеПодстатусаАктивности
ИмяОперации Наименование операции OperationNameValue REST API локализует значение имени операции. В пользовательском интерфейсе Log Analytics всегда отображается английский язык.
Имя поставщика ресурса Поставщик ресурсов ResourceProviderValue

Это важно

В некоторых случаях значения в этих столбцах могут быть заданы в верхнем регистре. Если ваш запрос содержит эти столбцы, используйте оператор =~ для сравнения без учета регистра.

В обновленную схему добавлены следующие столбцы: AzureActivity

  • Авторизация_d
  • Заявления_d
  • Свойства_d

Дальнейшие действия

Дополнительные сведения: