Aktivitätsprotokoll in Azure Monitor

Azure Monitor-Aktivitätsprotokolle zeichnen Verwaltungsoperationen in Ihren Azure-Ressourcen auf. Sie erfassen zum Beispiel Vorgänge wie das Erstellen einer virtuellen Maschine, das Ändern einer Zugriffsrichtlinie für den Key Vault oder Fehler bei der Bereitstellung des Resource Managers. Diese Verwaltungsvorgänge werden auch als Steuerungsebenenvorgänge bezeichnet. Verwenden Sie das Aktivitätsprotokoll, um diese Informationen zu überprüfen oder zu überwachen, oder erstellen Sie eine Warnung, die proaktiv benachrichtigt werden soll, wenn ein Ereignis auftritt.

Tipp

Wenn ein Bereitstellungsvorgangsfehler Sie zu diesem Artikel leitet, lesen Sie die Problembehandlung allgemeiner Azure-Bereitstellungsfehler.

Aktivitätsprotokolleinträge

Azure Monitor erfasst Standardmäßig Aktivitätsprotokolleinträge ohne erforderliche Konfiguration. Das System generiert diese Einträge, und Sie können sie nicht ändern oder löschen. Einträge ergeben sich in der Regel aus Änderungen (Erstellen, Aktualisieren, Löschen) oder einer initiierten Aktion. Das Aktivitätsprotokoll erfasst in der Regel keine Lesevorgänge. Aktivitätsprotokolleinträge sind in der Regel für die Analyse und Warnung innerhalb von 3 bis 20 Minuten nach dem Auftreten des Ereignisses verfügbar. Eine Beschreibung der Aktivitätsprotokollkategorien finden Sie unter Azure Aktivitätsprotokollereignisschema.

Hinweis

Azure-Ressourcenprotokolle erfassen Datenebenenvorgänge , die innerhalb einer Ressource ausgeführt werden. Diese Vorgänge umfassen beispielsweise das Abrufen eines Geheimschlüssels aus einem Schlüsseltresor oder das Senden einer Anforderung an eine Datenbank. Ressourcenprotokolle werden standardmäßig nicht erfasst und erfordern eine Diagnoseeinstellung.

Aufbewahrungszeitraum

Azure behält Aktivitätsprotokollereignisse 90 Tage lang bei und löscht sie dann. Sie werden während dieses Zeitraums nicht für Einträge berechnet, unabhängig vom Volumen. Erstellen Sie für weitere Funktionen, z. B. eine längere Aufbewahrung, eine Diagnoseeinstellung, und leiten Sie die Einträge basierend auf Ihren Anforderungen an einen anderen Speicherort weiter. Einer der häufigsten Gründe, den Aufbewahrungszeitraum zu verlängern, besteht darin, Ressourcenerstellerinformationen beizubehalten, die nur im Aktivitätsprotokoll verfügbar sind.

Anzeigen und Abrufen des Aktivitätsprotokolls

Sie können über die meisten Menüs im Azure-Portal auf das Aktivitätsprotokoll zugreifen. Das Menü, in dem Sie es öffnen, bestimmt seinen anfänglichen Filter. Wenn Sie es über das Menü "Monitor" öffnen, befindet sich der einzige Filter im Abonnement. Wenn Sie es im Menü einer Ressource öffnen, wird der Filter auf die betreffende Ressource festgelegt. Sie können den Filter jederzeit ändern, um alle anderen Einträge anzuzeigen. Wählen Sie "Filter hinzufügen" , um dem Filter weitere Eigenschaften hinzuzufügen.

Sie können auch mithilfe der folgenden Methoden auf Aktivitätsprotokollereignisse zugreifen:

Verwenden Sie das Cmdlet "Get-AzLog ", um das Aktivitätsprotokoll aus PowerShell abzurufen. Siehe Azure Monitor PowerShell-Beispiele.
Verwenden Sie az monitor activity-log , um das Aktivitätsprotokoll aus der CLI abzurufen. Siehe Azure Monitor CLI-Beispiele.
Verwenden Sie die Azure Monitor REST-API, um das Aktivitätsprotokoll von einem REST-Client abzurufen.

Abrufen von Aktivitätsprotokollereignissen mithilfe der REST-API

Verwenden Sie die REST-API für Aktivitätsprotokolle , um Aktivitätsprotokollereignisse programmgesteuert abzufragen. Schließen Sie den $filter Parameter ein, und er muss mindestens einen eventTimestamp Startwert enthalten. Standardmäßig behält das Aktivitätsprotokoll Ereignisse für 90 Tage bei. Stellen Sie sicher, dass sowohl der Anfang als auch das Ende des Zeitraums innerhalb dieses 90-Tage-Fensters liegen, es sei denn, Sie konfigurieren einen längeren Aufbewahrungszeitraum.

Unterstützte `$filter` Muster	Einzelheiten
Standardmäßiges Abonnement mit einem Zeitrahmen	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'`
Ressourcengruppe	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceGroupName eq '{resourceGroupName}'`
spezifische Ressource	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceUri eq '{resourceURI}'`
Ressourcenanbieter	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceProvider eq '{resourceProviderName}'`
Korrelations-ID	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and correlationId eq '{correlationID}'`

Verwenden Sie $filter, um Aktivitätsprotokollereignisse für eine Ressourcengruppe aufzulisten.

Fügen Sie resourceGroupName dem Filter hinzu, um Die Ergebnisse einer bestimmten Ressourcengruppe anzuzeigen.

Azure CLI
REST-API

az rest --method get \
  --uri "/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '2026-02-01T00:00:00Z' and eventTimestamp le '2026-02-28T23:59:59Z' and resourceGroupName eq '{resourceGroupName}'"

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-02-01T00:00:00Z' and eventTimestamp le '2026-02-28T23:59:59Z' and resourceGroupName eq '{resourceGroupName}'

Zurückgeben bestimmter Aktivitätsprotokolleigenschaften

Verwenden Sie den $select Parameter, um nur angegebene Eigenschaften zurückzugeben, wodurch die Größe der Antwortnutzlast reduziert wird. Der Wert ist eine durch Trennzeichen getrennte Liste von Eigenschaftennamen. Weitere Informationen finden Sie unter Beschreibungen der Schemaeigenschaften des Aktivitätsprotokolls.

Die Azure CLI kann einen Zeitraum dynamisch berechnen, sodass das Beispiel ein 30-Tage-Fenster aus dem aktuellen Datum zeigt.

Azure CLI
REST-API

startDate=$(date -u -d '30 days ago' '+%Y-%m-%dT00:00:00Z')
endDate=$(date -u '+%Y-%m-%dT23:59:59Z')

az rest --method get \
  --uri "/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '$startDate' and eventTimestamp le '$endDate'&\$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level"

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'&$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level

Aktivitätsprotokoll-Ereignisse für ein Abonnement auflisten

Ereignisse auf Abonnementebene erfassen Ereignisse, die direkt von Ressourcenanbietern erstellt werden. Ereignisse auf Mandantenebene und Managementgruppenebene erfassen nur Azure Resource Manager-Ereignisse innerhalb dieser Hierarchien.

Im folgenden Beispiel werden Aktivitätsprotokollereignisse für ein Abonnement während eines bestimmten Zeitraums abgerufen. Die Azure CLI kann den Zeitraum dynamisch berechnen, sodass das Beispiel ein 14-tägiges Fenster aus dem aktuellen Datum zeigt.

Azure CLI
REST-API

Verwenden Sie zum Auflisten von Aktivitätsprotokollereignissen den Befehl az rest Azure CLI, um die REST-API des Azure Resource Manager aufzurufen:

startDate=$(date -u -d '14 days ago' '+%Y-%m-%dT00:00:00Z')
endDate=$(date -u '+%Y-%m-%dT23:59:59Z')

az rest --method get \
  --uri "/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '$startDate' and eventTimestamp le '$endDate'"

Verwenden Sie diese GET Anforderung, um Aktivitätsprotokollereignisse auflisten zu können:

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-14T23:59:59Z'

Auflistung von Aktivitätsprotokoll-Ereignissen auf Mandantenebene

Aktivitätsprotokolle auf Mandantenebene weisen in der Regel begrenzte Einträge auf, können aber wichtige Ereignisse wie die Erstellung einer Verwaltungsgruppe oder eines Abonnements enthalten. Diese Ereignisse sind von Aktivitätsprotokollen auf Abonnementebene getrennt, können jedoch doppelte Ressourcenverwaltungsereignisse enthalten. Verwenden Sie die REST-API für Mandantenaktivitätsprotokolle , um Ereignisse auf Mandantenebene abzurufen.

Azure CLI
REST-API

Verwenden Sie zum Auflisten von Aktivitätsprotokollereignissen auf Mandantenebene den Befehl "az rest Azure CLI":

az rest --method get \
  --uri "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '2026-01-15T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'"

Zum Auflisten von Aktivitätsprotokollereignissen auf Mandantenebene verwenden Sie diese GET Anforderung:

GET https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-01-15T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'

Aktivitätsprotokollereignisse auf Gruppenebene der Listenverwaltung

Aktivitätsprotokolle auf Verwaltungsgruppenebene erfassen Ereignisse, die auf eine bestimmte Verwaltungsgruppe ausgerichtet sind, z. B. Richtlinienzuweisungen und Änderungen der Verwaltungsgruppenmitgliedschaft.

Azure CLI
REST-API

Um Aktivitätsprotokollereignisse auf Verwaltungsgruppenebene aufzulisten, verwenden Sie den Azure CLI-Befehl az rest:

az rest --method get \
  --uri "/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2017-03-01-preview&\$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'"

Zum Auflisten von Aktivitätsprotokoll-Ereignissen auf Verwaltungsgruppenebene verwenden Sie diese GET Anforderung.

GET https://management.azure.com/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2017-03-01-preview&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'

In der folgenden Tabelle werden die in den vorherigen Beispielen verwendeten Parameter beschrieben.

Parameter	Beschreibung
`{subscriptionId}`	Die ID des Azure-Abonnements.
`{resourceGroupName}`	Der Name der Ressourcengruppe.
`{managementGroupId}`	Die ID der Verwaltungsgruppe.
`eventTimestamp ge` / `le`	Der Anfang und das Ende des Zeitraums im ISO 8601-Format. Das Startdatum darf 90 Tage ab dem aktuellen Datum nicht überschreiten, es sei denn, die Aufbewahrung ist für längere Zeiträume konfiguriert.

Anzeigen des Änderungsverlaufs

Bei einigen Ereignissen können Sie den Änderungsverlauf anzeigen, in dem ersichtlich wird, welche Änderungen während dieses Ereignisses aufgetreten sind. Wählen Sie ein Ereignis aus dem Aktivitätsprotokoll aus, das Sie genauer betrachten möchten. Wählen Sie die Registerkarte " Änderungsverlauf " aus, um alle Änderungen der Ressource bis zu 30 Minuten vor und nach dem Zeitpunkt des Vorgangs anzuzeigen.

Wenn Änderungen mit dem Ereignis verknüpft sind, zeigt ihnen das Portal eine auswählbare Liste mit Änderungen an. Wenn Sie eine Änderung auswählen, wird die Seite " Änderungsverlauf" geöffnet. Auf dieser Seite werden die Änderungen an der Ressource angezeigt.

Das folgende Beispiel zeigt, dass die Größe des virtuellen Computers geändert wurde. Auf der Seite wird die VM-Größe vor der Änderung und nach der Änderung angezeigt. Um mehr über den Änderungsverlauf zu erfahren, sehen Sie Ressourcenänderungen abrufen.

Einblicke in das Aktivitätsprotokoll

Aktivitätsprotokoll-Einblicke ist eine Arbeitsmappe, die eine Reihe von Dashboards bereitstellt, um die Änderungen an Ressourcen und Ressourcengruppen innerhalb eines Abonnements zu überwachen. Die Dashboards enthalten auch Daten darüber, welche Benutzer oder Dienste Aktivitäten im Abonnement und den Status der Aktivitäten ausgeführt haben.

Um Aktivitätsprotokollerkenntnisse zu aktivieren, exportieren Sie das Aktivitätsprotokoll in einen Log Analytics Arbeitsbereich, wie in Exportieren von Aktivitätsprotokoll beschrieben. Dieser Prozess sendet Ereignisse an die AzureActivity Tabelle, die Aktivitätsprotokoll-Einblicke verwendet.

Sie können Erkenntnisse aus dem Aktivitätsprotokoll auf Abonnement- oder Ressourcenebene öffnen. Wählen Sie für das Abonnement unter dem Menü Monitor im Abschnitt Arbeitsmappen die Option Erkenntnisse aus Aktivitätsprotokollen aus.

Wählen Sie für eine einzelne Ressource Einsicht in Aktivitätsprotokolle im Abschnitt Arbeitsmappen des Menüs der Ressource aus.

Aktivitätsprotokoll exportieren

Erstellen Sie eine Diagnoseeinstellung, um Aktivitätsprotokolleinträge für zusätzliche Aufbewahrungszeit und Funktionalität an andere Ziele zu senden.

Wählen Sie im Azure-Portal Aktivitätsprotokoll im Menü Azure Monitor aus, und wählen Sie dann Exportieren von Aktivitätsprotokollen aus. Weitere Informationen und andere Methoden zum Erstellen von Diagnoseeinstellungen finden Sie unter "Diagnoseeinstellungen" in Azure Monitor. Stellen Sie sicher, dass Sie alle Legacy-Konfigurationen für das Aktivitätsprotokoll deaktivieren.

Die folgenden Abschnitte enthalten Details zu jedem konfigurierbaren Ziel für Ressourcenprotokolle.

Hinweis

Die Vorgängermethode zum Exportieren des Aktivitätsprotokolls ist Protokollprofile. Weitere Informationen finden Sie unter Vorgängererfassungsmethoden.

Senden Sie das Aktivitätsprotokoll an einen Log Analytics-Arbeitsbereich für die folgenden Funktionen:

Korrelieren Sie Aktivitätsprotokolle mit anderen Protokolldaten mithilfe von Protokollabfragen.
Erstellen Sie Protokollwarnungen, die komplexere Logik als Aktivitätsprotokollwarnungen verwenden können.
Zugreifen auf Aktivitätsprotokolldaten mit Power BI.
Bewahren Sie Aktivitätsprotokolldaten länger als 90 Tage auf.

Es gibt keine Datenaufnahmegebühren für Aktivitätsprotokolle. Aufbewahrungsgebühren für Aktivitätsprotokolle gelten nur für den Zeitraum, der über den Standardaufbewahrungszeitraum von 90 Tagen verlängert wurde. Sie können den Aufbewahrungszeitraum auf bis zu 12 Jahre erhöhen.

Aktivitätsprotokolldaten in einem Log Analytics Arbeitsbereich werden in einer Tabelle mit dem Namen AzureActivity gespeichert. Die Struktur dieser Tabelle variiert je nach Kategorie des Protokolleintrags.

Zeigen Sie z. B. mit der folgenden Abfrage die Anzahl der Aktivitätsprotokoll-Datensätze für jede Kategorie an:

AzureActivity
| summarize count() by CategoryValue

Verwenden Sie die folgende Abfrage, um alle Datensätze in der Kategorie „Administrativ“ abzurufen:

AzureActivity
| where CategoryValue == "Administrative"

Von Bedeutung

In einigen Szenarien können die Werte in den Feldern von AzureActivity eine andere Groß-/Kleinschreibung haben als die sonst gleichwertigen Werte. Verwenden Sie beim Abfragen von Daten in AzureActivity Operatoren ohne Berücksichtigung der Groß-/Kleinschreibung für Zeichenfolgenvergleiche, oder verwenden Sie eine Skalarfunktion, um für ein Feld vor allen Vergleichen eine einheitliche Groß-/Kleinschreibung zu erzwingen. Verwenden Sie z. B. die tolower()-Funktion in einem Feld, um zu erzwingen, dass es immer in Kleinbuchstaben geschrieben wird, und den =~ Operator, wenn Sie einen Zeichenfolgenvergleich durchführen.

Senden Sie das Aktivitätsprotokoll an Azure Event Hubs, um Einträge außerhalb Azure zu senden, z. B. an ein SIEM eines Drittanbieters oder an andere Protokollanalyselösungen. Aktivitätsprotokollereignisse von Event Hubs-Instanzen werden im JSON-Format mit einem records-Element genutzt, das die Datensätze in den den einzelnen Nutzdaten enthält. Das Schema hängt von der Kategorie ab und wird in Azure Aktivitätsprotokoll-Ereignisschema beschrieben.

Es folgt ein Beispiel für eine Datenausgabe aus Event Hubs-Instanzen für ein Aktivitätsprotokoll:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "aaaa0000-bb11-2222-33cc-444444dddddd",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "1003BFFD8EC002D4",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "bbbb1111-cc22-3333-44dd-555555eeeeee,aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,cccc2222-dd33-4444-55ee-666666ffffff",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "bbbbbbbb-1111-2222-3333-cccccccccccc"
            }
        }
    ]
}

Senden Sie das Aktivitätsprotokoll an ein Azure Storage-Konto, wenn Sie Ihre Protokolldaten länger als 90 Tage für Die Überwachung, statische Analyse oder Sicherung aufbewahren möchten. Wenn Sie Ihre Ereignisse für 90 Tage oder weniger aufbewahren müssen, müssen Sie keine Archivierung für ein Speicherkonto einrichten.

Wenn Sie das Aktivitätsprotokoll an den Speicher senden, wird ein Speichercontainer im Speicherkonto erstellt, sobald ein Ereignis eintritt. Für die Blobs im Container gilt die folgende Benennungskonvention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Ein bestimmtes Blob kann beispielsweise einen Namen aufweisen, der dem Folgenden ähnelt:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Jedes PT1H.json Blob enthält ein JSON-Objekt mit Ereignissen aus Protokolldateien, die während der in der BLOB-URL angegebenen Stunde empfangen wurden. Während der aktuellen Stunde werden die Ereignisse, sobald sie empfangen werden, an die Datei PT1H.json angehängt, unabhängig davon, wann sie erzeugt wurden. Der Minutenwert in der URL, m=00, ist immer 00, da Blobs pro Stunde erstellt werden.

In der Datei „PT1H.json“ wird jedes Ereignis im folgenden Format gespeichert. Dieses Format verwendet ein allgemeines Schema auf oberster Ebene, ist aber ansonsten für jede Kategorie eindeutig, wie im Aktivitätsprotokollschema beschrieben.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exportieren von Verwaltungsgruppen-Aktivitätsprotokollen

Wenn Sie ein Diagnoseeinstellungsprotokoll für eine Verwaltungsgruppe erstellen, werden alle Ereignisse für diese Verwaltungsgruppe zusätzlich zu allen Verwaltungsgruppen in der Hierarchie exportiert. Wenn mehrere Verwaltungsgruppen in der Hierarchie Diagnoseeinstellungen aufweisen, erhalten Sie doppelte Ereignisse. Sie benötigen nur eine Diagnoseeinstellung für die Verwaltungsgruppe der höchsten Ebene, um alle Ereignisse für die Hierarchie zu erfassen.

Die Verwaltungsgruppe sammelt auch viele der gleichen Ereignisse wie alle ihr untergeordneten Abonnements. Wenn sowohl die Abonnement- als auch die Verwaltungsgruppe über Diagnoseeinstellungen verfügen, erhalten Sie duplizierte Ereignisse. Azure Resource Manager enthält eine Hierarchieeigenschaft beim Schreiben von Ereignissen, aber es ist kein erforderliches Feld. Ressourcenanbieter außerhalb des Azure Resource Managers füllen diese nicht aus, sodass ihre Ereignisse nicht in der Hierarchie nach oben weitergeleitet werden. Aus diesem Grund ist das Abrufen doppelter Ereignisse besser als fehlende Ereignisse.

Wenn Sie beispielsweise MG1 haben, das MG2 enthält, das wiederum Subscription1 enthält, erfasst eine Diagnoseeinstellung auf MG1 alle Aktivitätsprotokollereignisse für MG1, MG2 und viele der Ereignisse, die von einer Diagnoseeinstellung auf Subscription1 gesammelt werden. In diesem Fall ist keine Diagnoseeinstellung für MG2 erforderlich, da sie nur doppelte Ereignisse sammeln würde.

Wenn Sie doppelte Ereignisse haben, kombinieren Sie sie mithilfe einer Abfrage, die einen Hash aller Felder verwendet, um eindeutige Datensätze zu identifizieren. Das folgende Beispiel einer Kusto-Abfrage zeigt ein Beispiel für Protokolle, die in einem Log Analytics Arbeitsbereich gesammelt wurden:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Exportieren des Aktivitätsprotokolls in CSV

Wählen Sie "Als CSV herunterladen" aus, um das Aktivitätsprotokoll in eine CSV-Datei im Azure-Portal zu exportieren.

Von Bedeutung

Das Exportieren einer großen Anzahl von Protokolleinträgen kann eine lange Zeit dauern. Um die Leistung zu verbessern, verringern Sie den Zeitraum des Exports. Legen Sie im Azure-Portal die Einstellung "Timespan " fest.

Sie können das Aktivitätsprotokoll auch mithilfe von PowerShell oder der Azure CLI in eine CSV-Datei exportieren, wie in den folgenden Beispielen gezeigt.

Azure CLI
PowerShell

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

Das folgende PowerShell-Skript exportiert das Aktivitätsprotokoll in CSV-Dateien in Intervalle von einer Stunde, die jeweils in einer separaten Datei gespeichert wurden.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Identifizierung der Ressourcenerstellung

Verwenden Sie das Aktivitätsprotokoll, um herauszufinden, wann das System eine Ressource erstellt hat und wer sie erstellt hat. Das Aktivitätsprotokoll ist der einzige Ort, an dem der Ersteller einer Ressource gespeichert wird. Da das Aktivitätsprotokoll daten standardmäßig nur 90 Tage lang aufbewahrt, müssen Sie die Protokolle an einen Speicherort exportieren, mit dem Sie den Aufbewahrungszeitraum wie einen Log Analytics-Arbeitsbereich verlängern können. Suchen Sie dann den Ersteller einer Ressource, indem Sie die AzureActivity Tabelle abfragen. Die Daten werden für die Dauer aufbewahrt, die Sie im Aufbewahrungszeitraum für diese Tabelle angegeben haben.

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-31