Monitorar eventos de segurança usando o Azure Monitor
O log de atividades do Azure Monitor é um log de plataforma no Azure que fornece insights sobre eventos no nível da assinatura. O log de atividades inclui informações sobre a alteração de um recurso ou a inicialização de uma máquina virtual. Veja o log de atividades no portal do Azure ou recupere as entradas com o PowerShell e a CLI do Azure. Este artigo fornece informações sobre como exibir o log de atividades e enviá-lo a diferentes destinos.
Para mais funcionalidades, crie uma configuração de diagnóstico para enviar o log de atividades para um ou mais desses locais pelos seguintes motivos:
Envie para Logs do Azure Monitor para consultas e alertas mais complexos e retenção mais longa de até dois anos.
Envie para os Hubs de Eventos do Azure para enviar dados fora do Azure.
Envie para o Armazenamento do Microsoft Azure para arquivamento mais barato e de longo prazo.
As entradas no log de atividades são geradas pelo sistema e não podem ser alteradas ou excluídas.
As entradas no Log de Atividades representam alterações de plano de controle como uma reinicialização de máquina virtual, todas as entradas não relacionadas devem ser gravadas nos Logs de Recursos do Azure.
Período de retenção
Os eventos do log de atividades são mantidos no Azure \por 90 dias e, em seguida, excluídos. Não há nenhum custo para entradas durante esse tempo, independentemente do volume. Para mais funcionalidades, como retenção mais longa, crie uma configuração de diagnóstico e rotear as entradas para outro local com base em suas necessidades. Consulte os critérios da seção anterior.
Exibir o log de atividades
Você pode acessar o log de atividades na maioria dos menus do portal do Azure. O filtro inicial é determinado pelo menu em que você abriu o log de atividades. Se ele for aberto no menu Monitorar, o único filtro está na assinatura. Se você abri-lo no menu de um recurso, o filtro será definido para esse recurso. Você sempre pode alterar o filtro para exibir todas as outras entradas. Selecione Adicionar Filtro para adicionar mais propriedades ao filtro.
Baixar o log de atividades
Selecione Baixar como CSV para baixar os eventos no modo de exibição atual.
Exibir histórico de alterações
Para alguns eventos, é possível exibir o Histórico de Alterações, que mostra as mudanças ocorridas durante um momento de evento específico. Selecione um evento do log de atividades que você deseja examinar melhor. Selecione a guia Histórico de alterações para exibir todas as alterações no recurso até 30 minutos antes e depois do horário da operação.
Se houver alterações associadas ao evento, você verá uma lista de alterações para selecionar. A seleção de uma alteração abre a página Histórico de Alterações. Essa página exibe as alterações no recurso. No exemplo a seguir, você pode ver que a VM alterou os tamanhos.
Outros métodos para recuperar eventos do log de atividades
Você também pode acessar eventos do log de atividades usando os métodos a seguir:
- Use o cmdlet Get-AzLog para recuperar o log de atividades do PowerShell. Consulte Exemplos do Azure Monitor PowerShell.
- Use az monitor activity-log para recuperar o log de atividades da CLI. Consulte Exemplos de CLI do Azure Monitor.
- Use a API REST do Azure Monitor para recuperar o log de atividades de um cliente REST.
Enviar para o workspace do Log Analytics
Envie o log de atividades para um workspace do Log Analytics, para habilitar o recurso de Logs do Azure Monitor, onde é possível:
- Correlacionar dados do log de atividades com outros dados de monitoramento coletados pelo Azure Monitor.
- Consolidar entradas de log de várias assinaturas e locatários do Azure em um único local para análise conjunta.
- Usar consultas de log para executar uma análise complexa e obter informações aprofundadas sobre entradas do log de atividades.
- Usar alertas de log com entradas de Atividade para uma lógica de alerta mais complexa.
- Armazenar entradas do log de atividades por mais tempo do que o período de retenção do Log de Atividades.
- Não há encargos de retenção nem de ingestão de dados para dados de Log de Atividades armazenados em um workspace do Log Analytics.
- O período de retenção padrão na Análise de Logs é de 90 dias.
Selecione Exportar logs de atividades para enviar o log de atividades para um workspace do Log Analytics. Você pode enviar o log de atividades de qualquer assinatura única para até cinco espaços de trabalho.
Os dados do log de atividades em um espaço de trabalho do Log Analytics são armazenados em uma tabela chamada AzureActivity que pode ser recuperada com uma consulta de log no Log Analytics. A estrutura dessa tabela varia dependendo da categoria da entrada de log.
Em alguns cenários, é possível que os valores nos campos do AzureActivity tenham maiúsculas e minúsculas diferentes de valores equivalentes. Ao consultar dados no AzureActivity, tome cuidado para usar operadores que não diferenciam maiúsculas de minúsculas para comparações de cadeia de caracteres ou use uma função escalar para forçar um campo a usar maiúsculas e minúsculas iguais antes de qualquer comparação. Por exemplo, use a função tolower() em um campo para forçá-la a ser sempre minúscula ou o operador =~ ao realizar uma comparação de cadeia de caracteres.
Enviar ao Armazenamento do Azure
Envie o log de atividades para uma conta de Armazenamento do Azure se quiser manter seus dados de log por mais de 90 dias para auditoria, análise estática ou backup. Caso seja necessário reter os eventos por 90 dias ou menos, não será preciso configurar o arquivamento para uma conta de armazenamento. Os eventos do log de atividades são retidos na plataforma do Azure por 90 dias.
Quando você envia o log de atividades para o Azure, é criado um contêiner de armazenamento na conta de armazenamento assim que um evento ocorre.
Cada blob PT1H.json contém um objeto JSON com eventos de arquivos de log recebidos durante a hora especificada na URL do blob. Durante a hora atual, os eventos são acrescentados ao arquivo PT1H.json conforme são recebidos, independentemente de quando foram gerados. O valor de minuto na URL, m=00 é sempre 00, pois os blobs são criados por hora.