Övervaka säkerhetshändelser med hjälp av Azure Monitor
Azure Monitor-aktivitetsloggen är en plattformslogg i Azure som ger information om händelser på prenumerationsnivå. Aktivitetsloggen innehåller till exempel information om när en resurs ändras eller när en virtuell dator startas. Du kan visa aktivitetsloggen i Azure-portalen eller hämta poster med PowerShell och Azure CLI. Den här artikeln innehåller information om hur du visar aktivitetsloggen och skickar den till olika mål.
Om du vill ha fler funktioner skapar du en diagnostikinställning för att skicka aktivitetsloggen till en eller flera av dessa platser av följande skäl:
Skicka till Azure Monitor-loggar för mer komplexa frågor och aviseringar och för längre kvarhållning, upp till två år.
Skicka till Azure Event Hubs för att vidarebefordra utanför Azure.
Skicka till Azure Storage för billigare och långsiktig arkivering.
Poster i aktivitetsloggen genereras system och kan inte ändras eller tas bort.
Poster i aktivitetsloggen representerar kontrollplansändringar som en omstart av en virtuell dator. Alla icke-relaterade poster ska skrivas till Azure-resursloggar.
Kvarhållningsperiod
Aktivitetslogghändelser behålls i Azure i 90 dagar och tas sedan bort. Det tillkommer ingen avgift för poster under den här tiden oavsett volym. Om du vill ha fler funktioner, som längre kvarhållning, så skapa en diagnostikinställning och dirigera posterna till en annan plats baserat på dina behov. Se villkoren i föregående avsnitt.
Visa aktivitetsloggen
Du kan öppna aktivitetsloggen från de flesta menyer i Microsoft Azure-portalen. Startfiltret beror på vilken meny du öppnar loggen från. Om du öppnar den från menyn Övervaka så gäller filtret endast prenumerationen. Om du öppnar den från menyn för en resurs ställs filtret istället in på den resursen. Du kan alltid ändra filtret om du vill visa alla andra poster. Välj Lägg till filter om du vill lägga till ytterligare egenskaper i filtret.
Ladda ned aktivitetsloggen
Välj Ladda ned som CSV för att ladda ned händelserna i den aktuella vyn.
Visa ändringshistorik
För vissa händelser kan du se ändringshistoriken, som visar vilka ändringar som gjorts under händelsetiden. Välj en händelse från aktivitetsloggen som du vill titta närmare på. Välj fliken Ändra historik för att visa eventuella ändringar på resursen upp till 30 minuter före och efter åtgärdens tid.
Om några ändringar är associerade med händelsen visas en lista med ändringar som du kan välja. Om du väljer en ändring öppnas sidan Ändringshistorik. På den här sidan visas ändringarna i resursen. I följande exempel kan du se att den virtuella datorn har ändrat storlek.
Andra metoder för att hämta aktivitetslogghändelser
Du kan också komma åt aktivitetslogghändelser med hjälp av följande metoder:
- Hämta aktivitetsloggen från PowerShell med hjälp av cmdleten Get-AzLog. Se Azure Monitor PowerShell-exempel.
- Hämta aktivitetsloggen från CLI med az monitor activity-log. Se Azure Monitor CLI-exempel.
- Hämta aktivitetsloggen från en REST-klient med hjälp av Azure Monitor REST-API:et.
Skicka till Log Analytics-arbetsytan
Skicka aktivitetsloggen till en Log Analytics-arbetsyta för att aktivera funktionen Azure Monitor-loggar, där du:
- Korrelera aktivitetsloggdata med andra övervakningsdata som samlas in av Azure Monitor.
- Konsolidera loggposter från flera Azure-prenumerationer och klientorganisationer till en plats för analys tillsammans.
- Använd loggfrågor för att utföra komplex analys och få djupgående insikter om aktivitetsloggposter.
- Använd loggaviseringar med aktivitetsposter för mer komplex aviseringslogik.
- Lagra aktivitetsloggposter längre än kvarhållningsperioden för aktivitetsloggen.
- Medför inga datainmatnings- eller kvarhållningsavgifter för aktivitetsloggdata som lagras på en Log Analytics-arbetsyta.
- Standardkvarhållningsperioden i Log Analytics är 90 dagar.
Välj Exportera aktivitetsloggar för att skicka aktivitetsloggen till en Log Analytics-arbetsyta. Du kan skicka aktivitetsloggen från en enskild prenumeration till upp till fem arbetsytor.
Aktivitetsloggdata på en Log Analytics-arbetsyta lagras i en tabell med namnet AzureActivity som du kan hämta med en loggfråga i Log Analytics. Strukturen i den här tabellen varierar beroende på kategorin för loggposten.
I vissa scenarier är det möjligt att värden i fält i AzureActivity kan ha olika höljen från annars likvärdiga värden. Var försiktig när du frågar efter data i AzureActivity för att använda skiftlägesokänsliga operatorer för strängjämförelser, eller använd en skalär funktion för att tvinga ett fält till ett enhetligt hölje före jämförelser. Använd till exempel funktionen tolower() i ett fält för att tvinga den att alltid vara gemener eller =~-operatorn när du utför en strängjämförelse.
Skicka till Azure Storage
Skicka aktivitetsloggen till ett Azure Storage-konto om du vill behålla dina loggdata längre än 90 dagar för granskning, statisk analys eller säkerhetskopiering. Om du måste behålla dina händelser i minst 90 dagar behöver du inte konfigurera arkivering till ett lagringskonto. Aktivitetslogghändelser behålls på Azure-plattformen i 90 dagar.
När du skickar aktivitetsloggen till Azure skapas en lagringscontainer i lagringskontot så snart en händelse inträffar.
Varje PT1H.json blob innehåller ett JSON-objekt med händelser från loggfiler som togs emot under den timme som anges i blob-URL:en. Under den här timmen läggs händelser till i PT1H.json-filen när de tas emot, oavsett när de genererades. Minutvärdet i URL:en, m=00 är alltid 00 eftersom blobar skapas per timme.