Monitorar a atividade do provedor de serviços

Os clientes que tiverem assinaturas delegadas para provedores de serviços através do Azure Lighthouse podem exibir o log de atividades do Azure para ver todas as ações realizadas. Esses dados fornecem visibilidade total das ações que os provedores de serviços realizam a respeito dos recursos delegados do cliente. O log de atividades também mostra operações de usuários dentro do próprio locatário do Microsoft Entra do cliente.

Exibir dados do log de atividades

Visualize o log de atividades no menu Monitorar no portal do Azure. Use os filtros se quiser mostrar os resultados de uma assinatura específica.

Você também pode exibir e recuperar eventos do log de atividades programaticamente.

Observação

Os usuários no locatário de um provedor de serviços poderão visualizar os resultados do log de atividades para uma assinatura delegada se houverem sido designados com a função Leitor (ou outra função interna que inclua acesso de Leitor) quando essa assinatura foi integrada ao Azure Lighthouse.

O log de atividades mostra o nome da operação e seu status, juntamente com a data e a hora em que foi executada. O Evento iniciado pela coluna mostra o nome do usuário que executou a operação, seja um usuário no locatário de um provedor de serviços atuando pelo Azure Lighthouse ou um usuário no próprio locatário do cliente. O locatário e a função pertencentes a esse usuário não são mostrados aqui.

Observação

Os usuários do provedor de serviços aparecem no log de atividades. Porém, esses usuários e suas atribuições de função não são mostrados no Controle de Acesso (IAM), ou ao recuperar informações de atribuição de função pelas APIs.

A atividade registrada está disponível no portal do Azure nos últimos 90 dias. Você também pode armazenar esses dados por um período mais longo, se necessário.

Definir alertas para operações críticas

Para se manter ciente das operações críticas que os provedores de serviços (ou usuários do locatário do próprio cliente) estão executando, é recomendável criar alertas do log de atividades. Por exemplo, talvez você queira controlar todas as ações administrativas de uma assinatura ou ser notificado quando qualquer máquina virtual em um grupo de recursos específico for excluída. Quando você criar alertas, eles incluirão ações executadas por usuários no locatário do cliente e em qualquer locatário de gerenciamento.

Para obter mais informações, consulte Criar ou editar um log de atividades, integridade do serviço ou regra de alerta de integridade do recurso.

Criar consultas de log

As consultas de log podem ajudar você a analisar sua atividade registrada ou se concentrar em itens específicos. Por exemplo, talvez uma auditoria exija que você relate todas as ações de nível administrativo executadas em uma assinatura. Você pode criar uma consulta para filtrar apenas essas ações e classificar os resultados por usuário, data ou outro valor.

Para obter mais informações, confira Consultas de log no Azure Monitor.

Exibir atividade do usuário entre domínios

Você pode exibir a atividade de usuários individuais em vários domínios usando a pasta de trabalho de exemplo logs de atividades por domínio.

Os resultados podem ser filtrados por nome de domínio. Você também pode aplicar filtros como categoria, nível ou grupo de recursos.

Próximas etapas

• Saiba como fazer auditorias e restringir delegações.
• Saiba mais sobre o Azure Monitor.
• Saiba como Exibir e gerenciar ofertas de provedor de serviços na portal do Azure.