Aktivitetslogg i Azure Monitor

2025-08-12

Azure Monitor-aktivitetsloggen är en plattformslogg för kontrollplanshändelser från Azure-resurser. Den innehåller information som när en resurs ändras eller när ett distributionsfel inträffar. Använd aktivitetsloggen för att antingen granska eller granska noggrant den här informationen för resurser som du övervakar, eller skapa en avisering för att få proaktiva meddelanden när en händelse skapas.

Tips/Råd

Om du omdirigerades till den här artikeln från ett distributionsåtgärdsfel kan du läsa Felsöka vanliga Azure-distributionsfel.

Aktivitetsloggposter

Poster i aktivitetsloggen samlas in som standard utan nödvändig konfiguration. De är systemgenererade och kan inte ändras eller tas bort. Poster är vanligtvis ett resultat av ändringar (skapa, uppdatera, ta bort åtgärder) eller en åtgärd som har initierats. Åtgärder som fokuserar på att läsa information om en resurs registreras vanligtvis inte. En beskrivning av aktivitetsloggkategorier finns i Händelseschema för Azure-aktivitetsloggar.

Anmärkning

Åtgärder ovanför kontrollplanet loggas i Azure-resursloggar. Dessa samlas inte in som standard och kräver att en diagnostikinställning samlas in.

Kvarhållningsperiod

Aktivitetslogghändelser behålls i Azure i 90 dagar och tas sedan bort. Det tillkommer ingen avgift för poster under den här tiden oavsett volym. Om du vill ha fler funktioner, till exempel längre kvarhållning, skapar du en diagnostikinställning och dirigerar posterna till en annan plats baserat på dina behov.

Visa och hämta aktivitetsloggen

Du kan komma åt aktivitetsloggen från de flesta menyer i Azure-portalen. Menyn som du öppnar den från avgör dess ursprungliga filter. Om du öppnar den från menyn Övervaka finns det enda filtret i prenumerationen. Om du öppnar den från en resurss meny är filtret inställt på den resursen. Du kan alltid ändra filtret för att visa alla andra poster. Välj Lägg till filter för att lägga till fler egenskaper i filtret.

Du kan också komma åt aktivitetslogghändelser med hjälp av följande metoder:

Hämta aktivitetsloggen från PowerShell med hjälp av cmdleten Get-AzLog. Se Azure Monitor PowerShell-exempel.
Hämta aktivitetsloggen från CLI med az monitor activity-log. Se Azure Monitor CLI-exempel.

Hämta aktivitetsloggen från en REST-klient med hjälp av Azure Monitor REST-API:et.

Visa ändringshistorik

För vissa händelser kan du se ändringshistoriken, som visar vilka ändringar som gjorts under händelsetiden. Välj en händelse från aktivitetsloggen som du vill titta närmare på. Välj fliken Ändra historik för att visa eventuella ändringar på resursen upp till 30 minuter före och efter åtgärdens tid.

Om några ändringar är associerade med händelsen visas en lista med ändringar som du kan välja. Om du väljer en ändring öppnas sidan Ändringshistorik. På den här sidan visas ändringarna i resursen. I följande exempel kan du se att den virtuella datorn har ändrat storlek. Sidan visar storleken på den virtuella datorn före ändringen och efter ändringen. Mer information om ändringshistorik finns i Hämta resursändringar.

Insikter om aktivitetsloggar

Aktivitetslogginsikter är en arbetsbok som tillhandahåller en uppsättning instrumentpaneler för att övervaka ändringar i resurser och resursgrupper inom ett abonnemang. Instrumentpanelerna visar också data om vilka användare eller tjänster som utförde aktiviteter i prenumerationen och aktiviteternas status.

Om du vill aktivera aktivitetslogginsikter exporterar du aktivitetsloggen till en Log Analytics-arbetsyta enligt beskrivningen i Exportera aktivitetslogg. Detta skickar händelser till tabellen AzureActivity som används av aktivitetslogginsikter.

Du kan öppna aktivitetslogginsikter på prenumerations- eller resursnivå. För prenumerationen väljer du Aktivitetsloggar Insikter i avsnittet Arbetsböcker på menyn Övervaka .

För en enskild resurs väljer du Aktivitetsloggar Insikter i avsnittet Arbetsböcker på resursens meny.

Exportera aktivitetslogg

Skapa en diagnostikinställning för att skicka aktivitetsloggposter till andra mål för ytterligare kvarhållningstid och funktioner.

I Azure-portalen väljer du Aktivitetslogg på Azure Monitor-menyn och väljer sedan Exportera aktivitetsloggar. Mer information och andra metoder för att skapa diagnostikinställningar finns i Diagnostikinställningar i Azure Monitor . Se till att du inaktiverar alla äldre konfigurationer för aktivitetsloggen.

Informationen nedan innehåller ytterligare information om de olika mål som resursloggar kan skickas till.

Anmärkning

Den äldre metoden för att exportera aktivitetsloggen är loggprofiler. Se Äldre insamlingsmetoder.

Skicka aktivitetsloggen till en Log Analytics-arbetsyta för följande funktioner:

Korrelera aktivitetsloggar med andra loggdata med hjälp av loggfrågor.
Skapa loggaviseringar som kan använda mer komplex logik än aktivitetsloggaviseringar.
Få åtkomst till aktivitetsloggdata med Power BI.
Behåll aktivitetsloggdata i mer än 90 dagar.

Det finns inga avgifter för datainmatning för aktivitetsloggar. Kvarhållningsavgifter för aktivitetsloggar tillämpas endast på perioden som har förlängts efter standardkvarhållningsperioden på 90 dagar. Du kan öka kvarhållningsperioden till upp till 12 år.

Aktivitetsloggdata på en Log Analytics-arbetsyta lagras i en tabell med namnet AzureActivity. Strukturen i den här tabellen varierar beroende på kategorin för loggposten.

Om du till exempel vill visa antalet aktivitetsloggposter för varje kategori använder du följande fråga:

AzureActivity
| summarize count() by CategoryValue

Om du vill hämta alla poster i den administrativa kategorin använder du följande fråga:

AzureActivity
| where CategoryValue == "Administrative"

Viktigt!

I vissa scenarier är det möjligt att värden i fält i AzureActivity kan ha en annan form av versalisering än annars likvärdiga värden. När du kör frågor mot data i AzureActivityanvänder du skiftlägesokänsliga operatorer för strängjämförelser, eller använder en skalär funktion för att tvinga ett fält till ett enhetligt hölje före jämförelser. Använd till exempel funktionen tolower() i ett fält för att tvinga den att alltid vara gemener eller =~-operatorn när du utför en strängjämförelse.

Skicka aktivitetsloggen till Azure Event Hubs för att skicka poster utanför Azure, till exempel till en SIEM från tredje part eller andra logganalyslösningar. Aktivitetslogghändelser från händelsehubbar används i JSON-format med ett records element som innehåller posterna i varje nyttolast. Schemat beror på kategorin och beskrivs i händelseschemat för Azure-aktivitetsloggen.

Följande exempeldata kommer från händelsehubbar för en aktivitetslogg:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Skicka aktivitetsloggen till ett Azure Storage-konto om du vill behålla dina loggdata längre än 90 dagar för granskning, statisk analys eller säkerhetskopiering. Om du måste behålla dina händelser i minst 90 dagar behöver du inte konfigurera arkivering till ett lagringskonto.

När du skickar aktivitetsloggen till lagring skapas en lagringscontainer i lagringskontot så snart en händelse inträffar. Blobarna i containern använder följande namngivningskonvention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

En viss blob kan till exempel ha ett namn som liknar:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Varje PT1H.json blob innehåller ett JSON-objekt med händelser från loggfiler som togs emot under den timme som anges i blob-URL:en. Under den här timmen läggs händelser till i PT1H.json-filen när de tas emot, oavsett när de genererades. Minutvärdet i URL:en m=00 är alltid 00 eftersom blobar skapas på en timbasis.

Varje händelse lagras i filen PT1H.json med följande format. Det här formatet använder ett vanligt schema på den översta nivån men är i övrigt unikt för varje kategori, enligt beskrivningen i Aktivitetsloggschema.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exportera till CSV

Välj Ladda ned som CSV för att exportera aktivitetsloggen till en CSV-fil med hjälp av Azure-portalen.

Viktigt!

Exporten kan ta för lång tid om du har ett stort antal loggposter. Minska tidsintervallet för exporten för att förbättra prestandan. I Azure-portalen anges detta med inställningen Tidsintervall .

Du kan också exportera aktivitetsloggen till en CSV-fil med hjälp av PowerShell eller Azure CLI som i följande exempel.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

I följande exempel exporterar PowerShell-skript aktivitetsloggen till CSV-filer inom en timmes intervall, var och en sparas i en separat fil.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Nästa steg

Läs mer om:

Feedback

Var den här sidan till hjälp?