Requêtes pour la table AzureActivity
Pour plus d’informations sur l’utilisation de ces requêtes dans le Portail Azure, consultez le didacticiel Log Analytics. Pour l’API REST, consultez Requête.
[Classique] Rechercher dans AzureActivity
[Classique] Recherchez dans AzureActivity une valeur spécifique dans la table AzureActivity./nNote que cette requête nécessite de mettre à jour le <paramètre SeachValue> pour produire des résultats
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where * contains tostring(SearchValue)
| take 1000
Arrêter Machines Virtuelles
Machines Virtuelles arrêté avec succès au cours des 10 dernières minutes.
// To create an alert for this query, click '+ New alert rule'
AzureActivity
| where TimeGenerated > ago(10m)
| where OperationName == "Deallocate Virtual Machine" and ActivityStatus == "Succeeded"
50 derniers journaux
Affichez les derniers journaux d’activité Azure pour cette ressource.
AzureActivity
| top 50 by TimeGenerated desc
État des opérations
Affichez le dernier journal d’activité Azure pour chaque opération.
AzureActivity
| summarize arg_max(TimeGenerated, *) by OperationName
Journaux d’activité Azure récents
Affichez tous les journaux d’activité Azure à partir de la dernière heure.
AzureActivity
| where Level == "Error" or Level == "Warning"
| project TimeGenerated, Level, ResourceProvider, ActivityStatus, Caller, Category, Properties, CorrelationId
Opérations ayant échoué
Répertoriez tous les rapports d’opérations ayant échoué, au cours de la dernière heure.
AzureActivity
| where TimeGenerated > ago(1h)
| where ActivityStatus == "Failed"
Création de ressources
Répertoriez les ressources Azure créées. Peut être utile pour la surveillance et les alertes.
AzureActivity
| where OperationNameValue has "Microsoft.Resources/deployments/write"
| where CategoryValue == "Administrative"
| where ActivityStatusValue == "Success"
| project Caller, TimeGenerated, _ResourceId
Rechercher dans AzureActivity
Recherchez dans AzureActivity une valeur spécifique dans la table AzureActivity./nNote que cette requête nécessite de mettre à jour le <paramètre SeachValue> pour produire des résultats
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "Microsoft.ContainerService"
| where * contains tostring(SearchValue)
| take 1000
Afficher les journaux de la table AzureActivity
Répertorie les journaux les plus récents dans la table AzureActivity, triés par heure (la plus récente en premier).
AzureActivity
| top 10 by TimeGenerated
Afficher les journaux de la table AzureActivity
Répertorie les journaux les plus récents dans la table AzureActivity, triés par heure (la plus récente en premier).
AzureActivity
| top 10 by TimeGenerated
Afficher les 50 principaux événements du journal d’activité
Affichez les 50 principaux événements du journal d’activité.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceGroup,ResourceProviderValue,OperationNameValue,CategoryValue,CorrelationId,ActivityStatusValue, ActivitySubstatusValue, Properties_d, Caller
| top 50 by TimeGenerated
Afficher les événements d’administration du journal d’activité
Affiche le journal d’activité pour la catégorie Administrative.
AzureActivity
| where CategoryValue == "Administrative"
| order by TimeGenerated desc
Création de machine virtuelle
Cette requête affiche les résultats de la création d’une machine virtuelle.
AzureActivity
| where TimeGenerated >= ago(1d)
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" and ActivityStatusValue == "Start"
| where Authorization_d.action == "Microsoft.Compute/virtualMachines/write"
| project OperationNameValue, ActivityStatusValue, VM_Name=Properties_d.resource, ResourceGroup, SubscriptionId, Created_By=Caller
Afficher les événements du journal d’activité générés à partir de la stratégie
Affichez les 100 premiers enregistrements de toutes les opérations d’action d’effet effectuées par Azure Policy.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceProviderValue, OperationNameValue, Caller, CategoryValue, CorrelationId, ActivityStatusValue, Properties_d
| where OperationNameValue has "audit"
| top 100 by TimeGenerated desc
Répertorier les appelants et leur action associée au cours des 48 dernières heures
Répertorier les appelants et leur action associée au cours des 48 dernières heures.
AzureActivity
| where TimeGenerated > ago(2d)
| project Caller, OperationNameValue, ActivityStatusValue, CategoryValue
| where Caller has "@"
Toute l’activité Azure
La requête présente tous les événements AzureActivity.
AzureActivity
| project TimeGenerated, Caller, OperationName, ActivityStatus, _ResourceId
Activité Azure pour l’utilisateur
Afficher l’activité de l’utilisateur sur l’activité Azure.
// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus
Enumaration de clé réussie
Répertorie les utilisateurs qui ont effectué l’énumération de clé et leur emplacement.
AzureActivity
| where OperationName == "List Storage Account Keys"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, CallerIpAddress, OperationName
Mise en place de l’accès JAT au réseau
Répertorie l’initiation des autorisations d’accès réseau JIT.
AzureActivity
| where OperationName == "Initiate JIT Network Access Policy"
| where ActivityStatus == "Started"
Statistiques des opérations d’activité Azure
Statistiques des opérations sur l’activité Azure.
AzureActivity
| summarize Count=count() by OperationName, _ResourceId
| sort by Count desc nulls last