Monitorare gli eventi di sicurezza usando Monitoraggio di Azure
Il log attività di Monitoraggio di Azure è un log della piattaforma presente in Azure che contiene informazioni sugli eventi a livello di sottoscrizione. Il log attività include informazioni relative, ad esempio, alla modifica di una risorsa o all'avvio di una macchina virtuale. È possibile visualizzare il log attività nel portale di Azure o recuperarne le voci con PowerShell e l'interfaccia della riga di comando di Azure. Questo articolo fornisce informazioni su come visualizzare il log attività e inviarlo a destinazioni diverse.
Per altre funzionalità, creare un'impostazione di diagnostica per inviare il log attività a una o più di queste posizioni per i motivi seguenti:
Inviare a log di Monitoraggio di Azure per query e avvisi più complessi e per un periodo di conservazione più lungo (fino a due anni)
Inviare a Hub eventi di Azure per l'inoltro all'esterno di Azure.
Inviare ad Archiviazione di Azure per l'archiviazione a lungo termine più conveniente.
Le voci nel log attività sono generate dal sistema e non possono essere modificate o eliminate.
Le voci nel Log attività rappresentano modifiche del piano di controllo, ad esempio il riavvio di una macchina virtuale; tutte le voci non correlate devono essere scritte nei Log risorse di Azure.
Periodo di memorizzazione
Gli eventi del log attività vengono conservati in Azure per 90 giorni e quindi eliminati. Non sono previsti costi per le voci durante questo periodo indipendentemente dal volume. Per altre funzionalità, ad esempio la conservazione dei dati per un periodo più lungo, creare un'impostazione di diagnostica e instradare le voci a un'altra posizione in base alle esigenze. Vedere i criteri nella sezione precedente.
Visualizzare il log attività
È possibile accedere al log attività dalla maggior parte dei menu nel portale di Azure. Il menu da cui viene aperto ne determina il filtro iniziale. Se lo si apre dal menu Monitoraggio, l'unico filtro disponibile è per la sottoscrizione. Se lo si apre dal menu di una risorsa, il filtro è impostato su tale risorsa. È sempre possibile modificare il filtro per visualizzare tutte le altre voci. Selezionare Aggiungi filtro per aggiungere altre proprietà al filtro.
Scaricare il log attività
Selezionare Scarica come CSV per scaricare gli eventi nella vista corrente.
Visualizzare la cronologia modifiche
Per alcuni eventi è possibile visualizzare la cronologia modifiche, che mostra le modifiche apportate durante un dato momento dell'evento. Selezionare un evento dal log attività da esaminare in modo più approfondito. Selezionare la scheda Cronologia modifiche per visualizzare le modifiche apportate alla risorsa fino a 30 minuti prima e dopo l'ora dell'operazione.
Se sono presenti modifiche associate all'evento, viene visualizzato un elenco di modifiche da poter selezionare. Se si seleziona una modifica, viene aperta la pagina Cronologia modifiche. In questa pagina vengono visualizzate le modifiche apportate alla risorsa. Nell'esempio seguente, è possibile osservare che le dimensioni della macchina virtuale sono state modificate.
Altri metodi per recuperare gli eventi del log attività
È anche possibile accedere agli eventi del log attività usando i metodi seguenti:
- Usare il cmdlet Get-AzLog per recuperare il log attività da PowerShell. Vedere Esempi di PowerShell in Monitoraggio di Azure.
- Usare az monitor activity-log per recuperare il log attività dall'interfaccia della riga di comando. Vedere gli esempi dell'interfaccia della riga di comando di Monitoraggio di Azure.
- Usare l'API REST di Monitoraggio di Azure per recuperare il log attività da un client REST.
Inviare all'area di lavoro Log Analytics
Inviare il log attività a un'area di lavoro Log Analytics per abilitare la funzionalità log di Monitoraggio di Azure, in cui:
- Correlare i dati del log attività con altri dati di monitoraggio raccolti da Monitoraggio di Azure.
- Consolidare le voci di log da più sottoscrizioni e tenant di Azure in un'unica posizione per l'analisi.
- Usare le query sui log per eseguire analisi complesse e ottenere informazioni dettagliate approfondite sulle voci del log attività.
- Usare gli avvisi di log con le voci attività per una logica di gestione degli avvisi più complessa.
- Archiviare le voci del log attività per più tempo rispetto al periodo di conservazione del log attività.
- Non sono previsti inserimen to dati o addebiti per la conservazione dei dati dei log attività archiviati in un'area di lavoro Log Analytics.
- Il periodo di conservazione predefinito in Log Analytics è di 90 giorni.
Selezionare Esportare i log attività per inviare il log attività a un'area di lavoro Log Analytics. È possibile inviare il log attività da qualsiasi singola sottoscrizione a un massimo di cinque aree di lavoro.
I dati del log attività in un'area di lavoro Log Analytics vengono archiviati in una tabella denominata AzureActivity che è possibile recuperare con una query sui log in Log Analytics. La struttura di questa tabella varia a seconda della categoria della voce di log.
In alcuni scenari, è possibile che i valori nei campi di AzureActivity abbiano maiuscole e minuscole diverse rispetto a valori equivalenti in caso contrario. Prestare attenzione quando si eseguono query sui dati in AzureActivity per usare operatori senza distinzione tra maiuscole e minuscole per i confronti di stringhe o usare una funzione scalare per forzare un campo a una combinazione di maiuscole e minuscole uniformi prima di qualsiasi confronto. Ad esempio, usare la funzione tolower() su un campo per forzarlo a essere sempre minuscolo o l'operatore =~ durante l'esecuzione di un confronto tra stringhe.
Inviare ad Archiviazione di Azure
Inviare il log attività a un account di Archiviazione di Azure se si vogliono conservare i dati di log più di 90 giorni per il controllo, l'analisi statica o il backup. Se è necessario conservare gli eventi per 90 giorni o meno, non è necessario configurare l'archiviazione in un account di archiviazione. Gli eventi del log attività vengono conservati nella piattaforma Azure per 90 giorni.
Quando si invia il log attività ad Azure, viene creato un contenitore di archiviazione nell'account di archiviazione non appena si verifica un evento.
Ogni BLOB PT1H.JSON contiene un oggetto JSON con eventi dei file di log ricevuti durante l'ora specificata nell'URL del BLOB. All'ora presente, gli eventi vengono aggiunti al file PT1H.json non appena vengono ricevuti, indipendentemente dal momento in cui siano stati generati. Il valore del minuto nell'URL, m=00, è sempre 00 perché i BLOB vengono creati su base oraria.