Журнал действий в Azure Monitor

2025-07-19

Журнал действий Azure Monitor — это системный журнал для событий плоскости управления из ресурсов Azure. Она включает сведения о том, когда происходит изменение ресурса или возникает ошибка развертывания. Используйте журнал действий для проверки или аудита этих сведений для ресурсов, которые вы отслеживаете, или создайте оповещение для упреждающего уведомления при создании события.

Подсказка

Если вы были перенаправлены в эту статью из ошибки операции развертывания, см. статью "Устранение распространенных ошибок развертывания Azure".

Записи журнала действий

Записи в журнале действий собираются по умолчанию без требуемой конфигурации. Они создаются системой и не могут быть изменены или удалены. Записи обычно являются результатом изменений (создание, обновление, удаление операций) или инициирования действия. Операции, ориентированные на чтение сведений о ресурсе, обычно не записываются. Описание категорий журналов действий см. в схеме событий журнала действий Azure.

Замечание

Операции над уровнем управления регистрируются в журналах ресурсов Azure. Они не собираются по умолчанию и требуют сбора диагностических параметров .

Период хранения

События журнала действий сохраняются в Azure в течение 90 дней, а затем удаляются. В течение этого периода плата за записи не взимается, независимо от их объема. Для получения дополнительных функций, таких как более длительное хранение, создайте параметр диагностики и перенаправьте записи в другое расположение в зависимости от ваших потребностей.

Просмотр и получение журнала действий

Вы можете получить доступ к журналу действий из большинства меню на портале Azure. Открываемое меню определяет начальный фильтр. Если открыть его из меню Монитор, единственный фильтр находится в подписке. Если открыть его из меню ресурса, фильтр устанавливается на этот ресурс. Вы всегда можете изменить фильтр, чтобы просмотреть все остальные записи. Нажмите Добавить фильтр, чтобы расширить свойства фильтра.

Вы также можете получить доступ к событиям журнала действий с помощью следующих методов:

Используйте командлет Get-AzLog, чтобы получить журнал действий в PowerShell. См. Примеры для Azure Monitor PowerShell.
используйте az monitor activity-log, чтобы получить журнал действий из CLI; См. примеры CLI для Azure Monitor.

используйте REST API Azure Monitor, чтобы получить журнал действий от клиента REST.

Просмотр журнала изменений

Для некоторых событий можно просмотреть журнал изменений, в котором указывается, какие изменения произошли в течение времени этого события. Выберите в журнале действий событие, которое вам нужно изучить более подробно. Перейдите на вкладку "Журнал изменений ", чтобы просмотреть все изменения ресурса до 30 минут до и после операции.

Если с событием связаны какие-либо изменения, вы увидите список изменений, которые можно выбрать. При выборе изменения откроется страница журнала изменений. На этой странице отображаются изменения ресурса. В следующем примере видно, что размер виртуальной машины изменен. На странице отображается размер виртуальной машины до изменения и после изменения. Дополнительные сведения о журнале изменений см. в статье Получение изменений ресурсов.

Инсайты журнала действий

Аналитика журнала действий — это книга, которая предоставляет набор панелей мониторинга, отслеживающих изменения ресурсов и групп ресурсов в подписке. На панелях мониторинга также представлены данные о том, какие пользователи или службы выполняли действия в подписке и состоянии действий.

Чтобы включить инсайты журнала активности, экспортируйте журнал действий в рабочую область Log Analytics, как описано в Экспорт журнала активности. Это отправляет события в таблицу AzureActivity , которая используется аналитикой журнала действий.

Вы можете открыть аналитические сведения журнала действий на уровне подписки или ресурса. Для подписки выберите "Аналитика журналов действий" из раздела "Рабочие книги" в меню "Монитор".

Для отдельного ресурса выберите «Аналитика журналов действий» из раздела Рабочие книги в меню ресурса.

Экспорт журнала действий

Создайте параметр диагностики для отправки записей журнала действий в другие места назначения для дополнительного времени хранения и функциональных возможностей. Подробные инструкции по созданию параметра диагностики см. в разделе "Параметры диагностики" в Azure Monitor .

Приведенная ниже информация предоставляет дополнительные сведения о различных местах назначения, в которые можно отправлять журналы ресурсов.

Отправьте журнал действий в рабочую область Log Analytics для следующих функций:

Сопоставляйте журналы действий с другими данными журнала с помощью запросов журнала.
Создайте оповещения журнала, использующие более сложную логику, чем оповещения журнала активности.
Доступ к данным журнала действий с помощью Power BI.
Сохраняйте данные журнала действий дольше 90 дней.

Существуют расходы на прием данных или хранение журналов действий за период хранения по умолчанию в течение 90 дней. Срок хранения можно увеличить до 12 лет.

Данные журнала действий в рабочей области Log Analytics хранятся в таблице с именем AzureActivity. Структура этой таблицы зависит от категории записи журнала.

Например, чтобы просмотреть количество записей журнала действий для каждой категории, используйте следующий запрос:

AzureActivity
| summarize count() by CategoryValue

Чтобы получить все записи в административной категории, используйте нижеуказанный запрос.

AzureActivity
| where CategoryValue == "Administrative"

Это важно

В некоторых сценариях возможно, что значения в полях AzureActivity могут отличаться от эквивалентных значений. При запросе данных в AzureActivity, используйте регистронезависимые операторы для сравнения строк или примените скалярную функцию, чтобы привести поле к единому регистру перед любыми сравнениями. Например, используйте функцию tolower() в поле, чтобы принудить ее всегда быть строчным или оператором =~ при выполнении сравнения строк.

Отправьте журнал действий в Центры событий Azure для отправки записей за пределами Azure, например сторонним решениям SIEM или другим решениям анализа журналов. События журнала действий из Event Hubs обрабатываются в формате JSON с элементом records, который содержит записи в каждой полезной нагрузке. Схема зависит от категории; см. статью Схема событий журнала действий Azure.

Пример выходных данных из Центров событий для журнала действий:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "[email protected]",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " [email protected]",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Отправьте журнал действий в учетную запись хранения Azure, если вы хотите сохранить данные журнала дольше 90 дней для аудита, статического анализа или резервного копирования. Если вам необходимо хранить события не больше 90 дней, вам не нужно настраивать архивацию в учетной записи хранения.

При отправке журнала действий в хранилище контейнер создается в учетной записи сразу после возникновения события. Объекты в контейнере используют следующую схему именования.

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Например, некоторый blob может иметь имя, похожее на:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Каждый PT1H.json блоб содержит объект JSON с событиями, полученными из файлов журнала в течение часа, указанного в URL-адресе блоба. В течение текущего часа события добавляются в файл PT1H.json по мере их получения независимо от того, когда они были созданы. Значение минуты в URL-адресе m=00 всегда 00, так как большие двоичные объекты создаются ежечасно.

В файле PT1H.json каждое событие сохраняется в следующем формате. В этом формате используется общая схема верхнего уровня, но в остальном она уникальна для каждой категории, как описано в статье Схема журнала действий.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Экспорт в CSV

Выберите "Скачать как CSV ", чтобы экспортировать журнал действий в CSV-файл с помощью портала Azure.

Это важно

Экспорт может занять слишком много времени, если у вас большое количество записей журнала. Чтобы повысить производительность, уменьшите диапазон времени экспорта. На портале Azure этот параметр устанавливается с параметром Timespan .

Вы также можете экспортировать журнал действий в CSV-файл с помощью PowerShell или Azure CLI, как показано в следующих примерах.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

В следующем примере скрипт PowerShell экспортирует журнал действий в CSV-файлы за один час, каждый из которых сохраняется в отдельный файл.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Дальнейшие действия

Дополнительные сведения: