Журнал действий в Azure Monitor

Журнал действий Azure Monitor — это журнал платформы для событий уровня управления из ресурсов #REF!. Она включает сведения о том, когда происходит изменение ресурса или возникает ошибка развертывания. Используйте журнал действий для проверки или аудита этих сведений для ресурсов, которые вы отслеживаете, или создайте оповещение для упреждающего уведомления при создании события.

Подсказка

Если вы были перенаправлены на эту статью из-за ошибки развертывания, см. статью Устранение неполадок распространенных ошибок развертывания #REF!.

Записи журнала действий

Записи в журнале действий собираются по умолчанию без требуемой конфигурации. Они создаются системой и не могут быть изменены или удалены. Записи обычно являются результатом изменений (создание, обновление, удаление операций) или инициирования действия. Операции, ориентированные на чтение сведений о ресурсе, обычно не записываются. Описание категорий журналов действий см. в разделе #REF! схема событий журнала действий.

Замечание

Операции над плоскостью управления регистрируются в журналах ресурсов #REF!. Они не собираются по умолчанию и требуют сбора диагностических параметров .

Период хранения

События журнала действий хранятся в #REF! в течение 90 дней и удаляются. В течение этого периода плата за записи не взимается, независимо от их объема. Для получения дополнительных функций, таких как более длительное хранение, создайте параметр диагностики и перенаправьте записи в другое расположение в зависимости от ваших потребностей.

Просмотр и получение журнала действий

Вы можете получить доступ к журналу действий из большинства меню на портале #REF!. Открываемое меню определяет начальный фильтр. Если открыть его из меню Монитор, единственный фильтр находится в подписке. Если открыть его из меню ресурса, фильтр устанавливается на этот ресурс. Вы всегда можете изменить фильтр, чтобы просмотреть все остальные записи. Нажмите Добавить фильтр, чтобы расширить свойства фильтра.

Снимок экрана: журнал действий.

Вы также можете получить доступ к событиям журнала действий с помощью следующих методов:

Используйте командлет Get-AzLog, чтобы получить журнал действий в PowerShell. См. примеры Azure Monitor PowerShell.
используйте az monitor activity-log, чтобы получить журнал действий из CLI; См. примеры Azure Monitor CLI.

Используйте REST API Azure Monitor REST API для получения журнала действий из клиента REST.

Просмотр журнала изменений

Для некоторых событий можно просмотреть журнал изменений, в котором указывается, какие изменения произошли в течение времени этого события. Выберите в журнале действий событие, которое вам нужно изучить более подробно. Перейдите на вкладку "Журнал изменений ", чтобы просмотреть все изменения ресурса до 30 минут до и после операции.

Снимок экрана: список журнала изменений для события.

Если с событием связаны какие-либо изменения, вы увидите список изменений, которые можно выбрать. При выборе изменения откроется страница журнала изменений. На этой странице отображаются изменения ресурса. В следующем примере видно, что размер виртуальной машины изменен. На странице отображается размер виртуальной машины до изменения и после изменения. Дополнительные сведения о журнале изменений см. в статье Получение изменений ресурсов.

Снимок экрана: страница журнала изменений с различиями.

Инсайты журнала действий

Аналитика журнала действий — это книга, которая предоставляет набор панелей мониторинга, отслеживающих изменения ресурсов и групп ресурсов в подписке. На панелях мониторинга также представлены данные о том, какие пользователи или службы выполняли действия в подписке и состоянии действий.

Чтобы включить аналитику журнала действий, экспортируйте журнал действий в рабочую область #REF!, как описано в журнале действий Export activity log. Это отправляет события в таблицу , которая используется аналитикой журнала действий.

Снимок экрана, показывающий информационные панели журнала активности.

Вы можете открыть аналитические сведения журнала действий на уровне подписки или ресурса. Для подписки выберите "Аналитика журналов действий" из раздела "Рабочие книги" в меню "Монитор".

Снимок экрана, на котором показано, как найти и открыть книгу "Аналитика журналов действий" на уровне масштабирования.

Для отдельного ресурса выберите «Аналитика журналов действий» из раздела Рабочие книги в меню ресурса.

Снимок экрана, на котором показано, как найти и открыть книгу "Аналитика журналов действий" на уровне ресурса.

Экспорт журнала действий

Создайте параметр диагностики для отправки записей журнала действий в другие места назначения для дополнительного времени хранения и функциональных возможностей.

Схема, показывающая коллекцию журналов действий, журналов ресурсов и метрик платформы.

На портале #REF! выберите журнал Activity log в меню Azure Monitor и выберите Export Activity Logs. Дополнительные сведения и другие методы создания параметров диагностики см. в разделе Diagnostic settings in Azure Monitor. Убедитесь, что вы отключите любую устаревшую конфигурацию для журнала действий.

Приведенная ниже информация предоставляет дополнительные сведения о различных местах назначения, в которые можно отправлять журналы ресурсов.

Замечание

Устаревший метод экспорта журнала действий — это профили логов. См. устаревшие методы сбора.

Отправьте журнал действий в рабочую область #REF! для следующих функций:

Сопоставляйте журналы действий с другими данными журнала с помощью запросов журнала.
Создайте оповещения журнала, использующие более сложную логику, чем оповещения журнала активности.
Доступ к данным журнала действий с помощью Power BI.
Сохраняйте данные журнала действий дольше 90 дней.

Плата за прием данных для журналов действий не взимается. Оплата за хранение журналов действий взимается только за период, превышающий стандартный срок хранения в 90 дней. Срок хранения можно увеличить до 12 лет.

Данные журнала действий в рабочей области #REF! хранятся в таблице с именем AzureActivity. Структура этой таблицы зависит от категории записи журнала.

Например, чтобы просмотреть количество записей журнала действий для каждой категории, используйте следующий запрос:

AzureActivity
| summarize count() by CategoryValue

Чтобы получить все записи в административной категории, используйте нижеуказанный запрос.

AzureActivity
| where CategoryValue == "Administrative"

Это важно

В некоторых сценариях возможно, что значения в полях могут отличаться от эквивалентных значений. При запросе данных в , используйте регистронезависимые операторы для сравнения строк или примените скалярную функцию, чтобы привести поле к единому регистру перед любыми сравнениями. Например, используйте функцию tolower() в поле, чтобы принудить ее всегда быть строчным или оператором =~ при выполнении сравнения строк.

Отправьте журнал действий в Центры событий Azure для отправки записей за пределами #REF!, например сторонним siEM или другим решениям анализа журналов. События журнала действий из Event Hubs обрабатываются в формате JSON с элементом , который содержит записи в каждой полезной нагрузке. Схема зависит от категории и описана в схеме событий журнала действий #REF!.

Пример выходных данных из Центров событий для журнала действий:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Отправьте журнал действий в учетную запись служба хранилища Azure, если вы хотите сохранить данные журнала дольше 90 дней для аудита, статического анализа или резервного копирования. Если вам необходимо хранить события не больше 90 дней, вам не нужно настраивать архивацию в учетной записи хранения.

При отправке журнала действий в хранилище контейнер создается в учетной записи сразу после возникновения события. Объекты в контейнере используют следующую схему именования.

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Например, некоторый blob может иметь имя, похожее на:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Каждый блоб содержит объект JSON с событиями, полученными из файлов журнала в течение часа, указанного в URL-адресе блоба. В течение текущего часа события добавляются в файл PT1H.json по мере их получения независимо от того, когда они были созданы. Значение минуты в URL-адресе всегда , так как большие двоичные объекты создаются ежечасно.

В файле PT1H.json каждое событие сохраняется в следующем формате. В этом формате используется общая схема верхнего уровня, но в остальном она уникальна для каждой категории, как описано в статье Схема журнала действий.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Экспорт журналов группы администрирования

При создании журнала параметров диагностики для группы управления он экспортирует все события для этой группы управления в дополнение ко всем группам управления в иерархии. Если в иерархии несколько групп управления имеют параметры диагностики, вы получите повторяющиеся события. Для записи всех событий иерархии требуется только параметр диагностики в группе управления верхнего уровня.

Группа управления также собирает множество таких же событий, как и подписки, находящиеся под ней. Если в подписке и группе управления установлены настройки диагностики, вы получите дублирующие события.

Например, если у вас есть MG1, который содержит MG2, содержащий Subscription1, диагностическая настройка на MG1 будет записывать все события журнала действий для MG1, MG2 и многие события, собранные диагностической настройкой на Subscription1. В этом случае в MG2 не требуется ни один параметр диагностики, так как он просто собирает повторяющиеся события.

При наличии повторяющихся событий их можно объединить с помощью запроса, использующего хэш всех полей для идентификации уникальных записей. В следующем примере запроса Kusto показан пример для журналов, собранных в рабочей области #REF!:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Экспорт в CSV

Выберите Скачать как CSV, чтобы экспортировать журнал действий в CSV-файл в портале #REF!.

Снимок экрана, на котором показан параметр экспорта в CSV-файл.

Это важно

Экспорт может занять слишком много времени, если у вас большое количество записей журнала. Чтобы повысить производительность, уменьшите диапазон времени экспорта. На портале #REF! этот параметр устанавливается с параметром Timespan.

Вы также можете экспортировать журнал действий в CSV-файл с помощью PowerShell или Azure CLI, как показано в следующих примерах.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

В следующем примере скрипт PowerShell экспортирует журнал действий в CSV-файлы за один час, каждый из которых сохраняется в отдельный файл.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Определение создания ресурсов

Одним из распространенных способов использования журнала действий является определение времени создания ресурса и того, кто его создал. Журнал действий — это единственное место, где фиксируется создатель ресурса. Так как журнал действий хранится в течение 90 дней, вы можете найти только создателя ресурса, если он был создан в течение последних 90 дней.

Как описано выше, экспортируйте журнал действий в рабочую область #REF! для длительного хранения. В этом случае вы можете найти создателя ресурса, запрашивая таблицу, и данные сохраняются до тех пор, пока вы указали период хранения для этой таблицы.

Дальнейшие действия

Дополнительные сведения:

Схема событий журнала действий
Журналы ресурсов
Параметры диагностики

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-02-28