Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.
[Klassisk] Sök i AzureActivity
[Klassisk] Sök i AzureActivity för att söka efter ett specifikt värde i tabellen AzureActivity./nAnteckning om att den här frågan kräver att seachValue-parametern< uppdateras >för att ge resultat
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where * contains tostring(SearchValue)
| take 1000
Stäng av virtuella datorer
De virtuella maskinerna lyckades stängas av under de senaste 10 minuterna.
// To create an alert for this query, click '+ New alert rule'
AzureActivity
| where TimeGenerated > ago(10m)
| where OperationName == "Deallocate Virtual Machine" and ActivityStatus == "Succeeded"
Senaste 50 loggarna
Visa de senaste Azure-aktivitetsloggarna för den här resursen.
AzureActivity
| top 50 by TimeGenerated desc
Driftsstatus
Visa den senaste Azure-aktivitetsloggen för varje åtgärd.
AzureActivity
| summarize arg_max(TimeGenerated, *) by OperationName
Senaste Azure-aktivitetsloggar
Visa alla Azure-aktivitetsloggar från den senaste timmen.
AzureActivity
| where Level == "Error" or Level == "Warning"
| project TimeGenerated, Level, ResourceProvider, ActivityStatus, Caller, Category, Properties, CorrelationId
Misslyckade åtgärder
Visa en lista över alla rapporter om misslyckade åtgärder under den senaste timmen.
AzureActivity
| where TimeGenerated > ago(1h)
| where ActivityStatus == "Failed"
Skapa resurser
Lista skapade Azure-resurser. Kan vara användbart för övervakning och aviseringar.
AzureActivity
| where OperationNameValue has "Microsoft.Resources/deployments/write"
| where CategoryValue == "Administrative"
| where ActivityStatusValue == "Success"
| project Caller, TimeGenerated, _ResourceId
Sök i AzureActivity
Sök i AzureActivity för att söka efter ett specifikt värde i tabellen AzureActivity./nAnteckning om att den här frågan kräver att seachValue-parametern< uppdateras >för att ge resultat
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "Microsoft.ContainerService"
| where * contains tostring(SearchValue)
| take 1000
Visa loggar från AzureActivity-tabellen
Visar de senaste loggarna i AzureActivity-tabellen, sorterade efter tid (senaste först).
AzureActivity
| top 10 by TimeGenerated
Visa loggar från AzureActivity-tabellen
Visar de senaste loggarna i AzureActivity-tabellen, sorterade efter tid (senaste först).
AzureActivity
| top 10 by TimeGenerated
Visa de 50 viktigaste aktivitetslogghändelserna
Visa de 50 viktigaste aktivitetslogghändelserna.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceGroup,ResourceProviderValue,OperationNameValue,CategoryValue,CorrelationId,ActivityStatusValue, ActivitySubstatusValue, Properties_d, Caller
| top 50 by TimeGenerated
Visa aktivitetslogg Administrativa händelser
Visar aktivitetslogg för administrativ kategori.
AzureActivity
| where CategoryValue == "Administrative"
| order by TimeGenerated desc
Skapa virtuell dator
Den här frågan visar resultatet av när en virtuell dator skapas.
AzureActivity
| where TimeGenerated >= ago(1d)
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" and ActivityStatusValue == "Start"
| where Authorization_d.action == "Microsoft.Compute/virtualMachines/write"
| project OperationNameValue, ActivityStatusValue, VM_Name=Properties_d.resource, ResourceGroup, SubscriptionId, Created_By=Caller
Visa aktivitetslogghändelser som genererats från principen
Visa de 100 främsta posterna över alla effektåtgärder som utförts av Azure Policy.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceProviderValue, OperationNameValue, Caller, CategoryValue, CorrelationId, ActivityStatusValue, Properties_d
| where OperationNameValue has "audit"
| top 100 by TimeGenerated desc
Lista över uppringare och deras associerade åtgärd under de senaste 48 timmarna
Lista uppringare och deras tillhörande åtgärd under de senaste 48 timmarna.
AzureActivity
| where TimeGenerated > ago(2d)
| project Caller, OperationNameValue, ActivityStatusValue, CategoryValue
| where Caller has "@"
Alla Azure-aktiviteter
Frågan visar alla AzureActivity-händelser.
AzureActivity
| project TimeGenerated, Caller, OperationName, ActivityStatus, _ResourceId
Azure-aktivitet för användare
Visa användarens aktivitet över Azure-aktivitet.
// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus
Lyckad nyckeluppräkning
Visar en lista över användare som utförde nyckeluppräkning och deras plats.
AzureActivity
| where OperationName == "List Storage Account Keys"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, CallerIpAddress, OperationName
Initiering av JIT för nätverksåtkomst
Visar en lista över initiering av JIT-nätverksåtkomstbehörigheter.
AzureActivity
| where OperationName == "Initiate JIT Network Access Policy"
| where ActivityStatus == "Started"
Statistik över Azure-aktivitetsåtgärder
Statistik över operationer i Azure-aktivitet.
AzureActivity
| summarize Count=count() by OperationName, _ResourceId
| sort by Count desc nulls last