Monitorowanie zdarzeń zabezpieczeń przy użyciu usługi Azure Monitor
Dziennik aktywności usługi Azure Monitor jest to dziennik platformy Azure, który zapewnia wgląd w zdarzenia na poziomie subskrypcji. Dziennik aktywności zawiera takie informacje, jak czas modyfikacji zasobu lub uruchomienia maszyny wirtualnej. Dziennik aktywności można wyświetlić w witrynie Azure Portal lub pobrać jego wpisy za pomocą programu PowerShell i interfejsu wiersza polecenia platformy Azure. Ten artykuł zawiera informacje na temat sposobu wyświetlania dziennika aktywności i wysyłania go do różnych miejsc docelowych.
Aby uzyskać więcej funkcji, utwórz ustawienie diagnostyczne, aby wysłać dziennik aktywności do co najmniej jednej z tych lokalizacji z następujących powodów:
Wysyłanie do dzienników usługi Azure Monitor w celu uzyskania bardziej złożonych zapytań i alertów oraz dłuższego przechowywania do dwóch lat.
Wyślij do usługi Azure Event Hubs, aby przekazywać dalej poza platformę Azure.
Wyślij do usługi Azure Storage, aby uzyskać tańsze, długoterminowe archiwizowanie.
Wpisy w dzienniku aktywności są generowane przez system i nie można ich zmienić ani usunąć.
Wpisy w dzienniku aktywności reprezentują zmiany płaszczyzny sterowania, takie jak ponowne uruchomienie maszyny wirtualnej, wszelkie niezwiązane wpisy powinny być zapisywane w dziennikach zasobów platformy Azure.
Okres przechowywania
Zdarzenia dziennika aktywności są przechowywane na platformie Azure przez 90 dni, a następnie usuwane. W tym czasie nie są naliczane opłaty za wpisy niezależnie od wielkości. Aby skorzystać z dodatkowych możliwości, takich jak dłuższy czas przechowywania, utwórz ustawienie diagnostyczne i skieruj wpisy do innej lokalizacji w zależności od swoich potrzeb. Zobacz kryteria w poprzedniej sekcji.
Wyświetlanie dziennika aktywności
Dostęp do dziennika aktywności można uzyskać z poziomu większości menu w witrynie Azure Portal. Menu, z poziomu którego jest otwierany, określa jego filtr początkowy. Jeśli otworzysz go z poziomu menu Monitorowanie, będzie zastosowany tylko filtr subskrypcji. Jeśli otworzysz go z poziomu menu zasobu, filtr zostanie ustawiony na ten zasób. Zawsze możesz zmienić filtr, aby wyświetlić wszystkie pozostałe wpisy. Wybierz pozycję Dodaj filtr, aby dodać do filtru więcej właściwości.
Pobieranie dziennika aktywności
Wybierz pozycję Pobierz jako plik CSV, aby pobrać zdarzenia uwzględnione w bieżącym widoku.
Wyświetlanie historii zmian
W przypadku niektórych zdarzeń można wyświetlić historię zmian, która pokazuje, jakie zmiany wystąpiły w czasie zdarzenia. Wybierz zdarzenie z dziennika aktywności, które chcesz dokładniej przejrzeć. Wybierz kartę Historia zmian, aby wyświetlić wszelkie zmiany w zasobie do 30 minut przed i po czasie operacji.
Jeśli jakiekolwiek zmiany są skojarzone ze zdarzeniem, zostanie wyświetlona lista zmian, które można wybrać. Wybranie zmiany powoduje otwarcie strony Historia zmian . Na tej stronie zostaną wyświetlone zmiany w zasobie. W poniższym przykładzie widać, że maszyna wirtualna zmieniła rozmiary.
Inne metody pobierania zdarzeń dziennika aktywności
Dostęp do zdarzeń dziennika aktywności można również uzyskać przy użyciu następujących metod:
- Użyj polecenia cmdlet Get-AzLog, aby pobrać dziennik aktywności za pomocą programu PowerShell. Zobacz Przykłady poleceń programu PowerShell usługi Azure Monitor.
- Użyj polecenia az monitor activity-log, aby pobrać dziennik aktywności za pomocą interfejsu wiersza polecenia. Zobacz Przykłady poleceń interfejsu wiersza polecenia usługi Azure Monitor.
- Użyj interfejsu API REST usługi Azure Monitor, aby pobrać dziennik aktywności za pomocą klienta REST.
Wysyłanie do obszaru roboczego usługi Log Analytics
Wyślij dziennik aktywności do obszaru roboczego usługi Log Analytics, aby włączyć funkcję Dzienniki usługi Azure Monitor, w której:
- Korelowanie danych dziennika aktywności z innymi danymi monitorowania zebranymi przez usługę Azure Monitor.
- Skonsoliduj wpisy dziennika z wielu subskrypcji i dzierżaw platformy Azure w jedną lokalizację na potrzeby analizy razem.
- Użyj zapytań dziennika do wykonywania złożonej analizy i uzyskiwania szczegółowych informacji na temat wpisów dziennika aktywności.
- Użyj alertów dziennika z wpisami działań, aby uzyskać bardziej złożoną logikę alertów.
- Przechowuj wpisy dziennika aktywności dłużej niż okres przechowywania dziennika aktywności.
- Nie naliczaj opłat za pozyskiwanie danych ani przechowywanie danych dziennika aktywności przechowywanych w obszarze roboczym usługi Log Analytics.
- Domyślny okres przechowywania w usłudze Log Analytics wynosi 90 dni.
Wybierz pozycję Eksportuj dzienniki aktywności, aby wysłać dziennik aktywności do obszaru roboczego usługi Log Analytics. Dziennik aktywności można wysłać z dowolnej subskrypcji do maksymalnie pięciu obszarów roboczych.
Dane dziennika aktywności w obszarze roboczym usługi Log Analytics są przechowywane w tabeli o nazwie AzureActivity, którą można pobrać za pomocą zapytania dziennika w usłudze Log Analytics. Struktura tej tabeli różni się w zależności od kategorii wpisu dziennika.
W niektórych scenariuszach możliwe jest, że wartości w polach usługi AzureActivity mogą mieć różne wielkości liter niż w przeciwnym razie równoważne wartości. Podczas wykonywania zapytań dotyczących danych w usłudze AzureActivity należy używać operatorów bez uwzględniania wielkości liter na potrzeby porównań ciągów lub użyć funkcji skalarnej, aby wymusić użycie pola do jednolitej wielkości liter przed wszelkimi porównaniami. Na przykład użyj funkcji tolower() w polu, aby wymusić, że będzie ona zawsze małą literą lub operatorem =~ podczas porównywania ciągów.
Wysyłanie do usługi Azure Storage
Wyślij dziennik aktywności do konta usługi Azure Storage, jeśli chcesz przechowywać dane dziennika dłużej niż 90 dni na potrzeby inspekcji, analizy statycznej lub tworzenia kopii zapasowej. Jeśli musisz zachować zdarzenia przez 90 dni lub mniej, nie musisz konfigurować archiwizacji na koncie magazynu. Zdarzenia dziennika aktywności są zachowywane na platformie Azure przez 90 dni.
Po wysłaniu dziennika aktywności na platformę Azure kontener magazynu jest tworzony na koncie magazynu natychmiast po wystąpieniu zdarzenia.
Każdy obiekt blob PT1H.json zawiera obiekt JSON ze zdarzeniami z plików dziennika, które zostały odebrane w ciągu godziny określonej w adresie URL obiektu blob. W ciągu obecnej godziny zdarzenia są dołączane do pliku PT1H.json podczas ich odbierania, niezależnie od tego, kiedy zostały wygenerowane. Wartość minuty w adresie URL, m=00 jest zawsze 00, ponieważ obiekty blob są tworzone na godzinę.