Log de atividades no Azure Monitor

A atividade do Azure Monitor registra operações de gerenciamento de registros em seus recursos do Azure. Por exemplo, eles registram operações como criar uma máquina virtual, alterar uma política de acesso do cofre de chaves ou erros de implantação do Resource Manager. Essas operações de gerenciamento também são chamadas de operações do plano de controle . Use o log de atividades para examinar ou auditar essas informações ou criar um alerta para ser notificado proativamente quando ocorrer um evento.

Dica

Se um erro de operação de implantação direcionar você para este artigo, consulte Solucionar problemas de erros comuns de implantação do Azure.

Entradas do log de atividades

O Azure Monitor coleta entradas de log de atividades por padrão sem a configuração necessária. O sistema gera essas entradas e você não pode alterá-las ou excluí-las. As entradas normalmente resultam de alterações (criar, atualizar, excluir operações) ou uma ação que está sendo iniciada. O log de atividades normalmente não captura operações de leitura. As entradas do log de atividades geralmente estão disponíveis para análise e alertas dentro de 3 a 20 minutos após o evento ocorrer. Para obter uma descrição das categorias de log de atividades, consulte esquema de eventos do log de atividades do Azure.

Observação

Os logs de recursos do Azure capturam operações de plano de dados executadas em um recurso. Por exemplo, essas operações incluem obter um segredo de um cofre de chaves ou fazer uma solicitação para um banco de dados. Os logs de recursos não são coletados por padrão e exigem uma configuração de diagnóstico.

Período de retenção

O Azure retém eventos de log de atividades por 90 dias e os exclui. Você não será cobrado pelas entradas durante esse período, independentemente do volume. Para obter mais funcionalidades, como retenção mais longa, crie uma configuração de diagnóstico e encaminhe as entradas para outro local com base em suas necessidades. Um dos motivos mais comuns para estender o período de retenção é preservar as informações do criador de recursos, que só estão disponíveis no log de atividades.

Exibir e recuperar o log de atividades

Você pode acessar o log de atividades na maioria dos menus no portal Azure. O menu do qual você o abre determina seu filtro inicial. Se você abri-lo no menu Monitor, o único filtro está na assinatura. Se você abri-lo no menu de um recurso, o filtro será definido para esse recurso. Você sempre pode alterar o filtro para exibir todas as outras entradas. Selecione Adicionar Filtro para adicionar mais propriedades ao filtro.

Você também pode acessar eventos do log de atividades usando os métodos a seguir:

Use o cmdlet Get-AzLog para recuperar o log de atividades do PowerShell. Consulte Exemplos do PowerShell do Azure Monitor.
Use az monitor activity-log para recuperar o log de atividades da CLI. Consulte exemplos da CLI do Azure Monitor.
Use a API REST Azure Monitor para recuperar o log de atividades de um cliente REST.

Recuperar eventos de log de atividades usando a API REST

Use a API REST de logs de atividades para consultar eventos de log de atividades programaticamente. Inclua o $filter parâmetro e ele deve conter pelo menos um eventTimestamp valor inicial. Por padrão, o log de atividades retém eventos por 90 dias. Verifique se o início e o fim do intervalo de tempo estão dentro dessa janela de 90 dias, a menos que você configure um período de retenção mais longo.

Padrões Suportados `$filter`	Detalhes
assinatura padrão com um intervalo de tempo	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'`
grupo de recursos	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceGroupName eq '{resourceGroupName}'`
recurso específico	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceUri eq '{resourceURI}'`
provedor de recursos	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceProvider eq '{resourceProviderName}'`
ID de correlação	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and correlationId eq '{correlationID}'`

Usar o $filter para listar eventos de log de atividades para um grupo de recursos

Adicione resourceGroupName ao filtro para restringir os resultados a um grupo de recursos específico.

Azure CLI
REST API

az rest --method get \
  --uri "/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '2026-02-01T00:00:00Z' and eventTimestamp le '2026-02-28T23:59:59Z' and resourceGroupName eq '{resourceGroupName}'"

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-02-01T00:00:00Z' and eventTimestamp le '2026-02-28T23:59:59Z' and resourceGroupName eq '{resourceGroupName}'

Retornar propriedades específicas do log de atividades

Use o $select parâmetro para retornar apenas as propriedades especificadas, o que reduz o tamanho da carga de resposta. O valor é uma lista separada por vírgulas de nomes de propriedade. Para obter mais informações, consulte descrições de propriedades do esquema de log de atividades.

A CLI do Azure é capaz de calcular dinamicamente um intervalo de tempo, de modo que o exemplo mostra uma janela de 30 dias da data atual.

Azure CLI
REST API

startDate=$(date -u -d '30 days ago' '+%Y-%m-%dT00:00:00Z')
endDate=$(date -u '+%Y-%m-%dT23:59:59Z')

az rest --method get \
  --uri "/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '$startDate' and eventTimestamp le '$endDate'&\$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level"

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'&$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level

Listar eventos do log de atividades para uma assinatura

Eventos de nível de assinatura capturam eventos criados diretamente por provedores de recursos. Eventos no nível do locatário e no nível do grupo de gerenciamento capturam apenas eventos do Azure Resource Manager nessas hierarquias.

O exemplo a seguir recupera eventos de log de atividades para uma assinatura durante um intervalo de tempo específico. A CLI do Azure é capaz de calcular dinamicamente o intervalo de tempo, portanto, o exemplo mostra uma janela de 14 dias da data atual.

Azure CLI
REST API

Para listar eventos de log de atividades, use o comando az rest da CLI do Azure para invocar a API REST do Azure Resource Manager:

startDate=$(date -u -d '14 days ago' '+%Y-%m-%dT00:00:00Z')
endDate=$(date -u '+%Y-%m-%dT23:59:59Z')

az rest --method get \
  --uri "/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '$startDate' and eventTimestamp le '$endDate'"

Para listar eventos de log de atividades, use esta GET solicitação:

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-14T23:59:59Z'

Listar eventos de log de atividades no nível do inquilino

Os logs de atividade no nível do locatário normalmente têm entradas limitadas, mas podem incluir eventos importantes, como criação de grupo de gerenciamento ou assinatura. Esses eventos são separados dos logs de atividades no nível da assinatura, mas podem conter eventos duplicados de gerenciamento de recursos. Use a API REST dos logs de atividades do locatário para recuperar eventos no nível do locatário.

Azure CLI
REST API

Para listar eventos de log de atividades no nível do locatário, use o comando az rest da CLI do Azure:

az rest --method get \
  --uri "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&\$filter=eventTimestamp ge '2026-01-15T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'"

Para listar eventos de log de atividades no nível do inquilino, use esta GET solicitação:

GET https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2026-01-15T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'

Listar eventos de log de atividades no nível do grupo de gerenciamento

Os registos de atividades ao nível do grupo de gestão capturam eventos com âmbito para um grupo de gestão específico, tais como atribuições de políticas e alterações de membros do grupo de gestão.

Azure CLI
REST API

Para listar eventos de log de atividades no nível do grupo de gerenciamento, use o comando az rest da CLI do Azure:

az rest --method get \
  --uri "/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2017-03-01-preview&\$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'"

Para listar eventos de log de atividades no nível do grupo de gerenciamento, use esta GET solicitação:

GET https://management.azure.com/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Insights/eventtypes/management/values?api-version=2017-03-01-preview&$filter=eventTimestamp ge '2026-03-01T00:00:00Z' and eventTimestamp le '2026-03-29T23:59:59Z'

A tabela a seguir descreve os parâmetros usados nos exemplos anteriores.

Parâmetro	Descrição
`{subscriptionId}`	A ID da assinatura do Azure.
`{resourceGroupName}`	O nome do grupo de recursos.
`{managementGroupId}`	O ID do grupo de gerenciamento.
`eventTimestamp ge` / `le`	O início e o fim do intervalo de tempo no formato ISO 8601. A data de início não pode exceder 90 dias a partir da data atual, a menos que a retenção esteja configurada por períodos mais longos.

Exibir histórico de alterações

Para alguns eventos, é possível exibir o Histórico de Alterações, que mostra as mudanças ocorridas durante um momento de evento específico. Selecione um evento no log de atividades que você deseja examinar mais profundamente. Selecione a guia Histórico de Alterações para exibir as alterações no recurso até 30 minutos antes e depois da hora da operação.

Se alguma alteração estiver associada ao evento, o portal mostrará uma lista selecionável de alterações. A seleção de uma alteração abre a página Histórico de Alterações. Essa página exibe as alterações no recurso.

O exemplo a seguir mostra que a VM mudou de tamanho. A página exibe o tamanho da VM antes da alteração e após a alteração. Para saber mais sobre o histórico de alterações, consulte Obter alterações de recursos.

Insights do log de atividades

Os insights do log de atividades são uma pasta de trabalho que fornece um conjunto de painéis que monitoram as alterações em recursos e grupos de recursos em uma assinatura. Os painéis também apresentam dados sobre quais usuários ou serviços realizaram atividades na assinatura e o status das atividades.

Para habilitar os insights do log de atividades, exporte o log de atividades para um workspace do Log Analytics conforme descrito em Export activity log. Esse processo envia eventos para a tabela AzureActivity, que os insights do log de atividades usam.

É possível abrir insights do log de atividades no nível da assinatura ou do recurso. Para a assinatura, selecione Activity Logs Insights na seção Pastas de Trabalho do menu Monitor.

Para um recurso individual, selecione o Activity Logs Insights na seção Pastas de Trabalho do menu do recurso.

Exportar log de atividades

Crie uma configuração de diagnóstico para enviar entradas de log de atividades para outros destinos para obter mais tempo de retenção e funcionalidade.

No portal Azure, selecione Ativeity log no menu Azure Monitor e selecione Export Activity Logs. Para obter mais informações e outros métodos para criar configurações de diagnóstico, consulte as configurações de diagnóstico no Azure Monitor. Desabilite qualquer configuração herdada para o log de atividades.

As seções a seguir fornecem detalhes sobre cada destino configurável para logs de recursos.

Observação

O método herdado de exportar o log de atividades são perfis de log. Consulte Métodos de coleção herdados.

Envie o log de atividades para um workspace Log Analytics para obter a seguinte funcionalidade:

Correlacione logs de atividades com outros dados de log usando consultas de log.
Crie alertas de log, que podem usar lógica mais complexa do que alertas de log de atividades.
Acessar dados do log de atividades com Power BI.
Retenha dados do log de atividades por mais de 90 dias.

Não há encargos de ingestão de dados para logs de atividades. As cobranças de retenção para logs de atividades se aplicam somente ao período estendido além do período de retenção padrão de 90 dias. Você pode aumentar o período de retenção para até 12 anos.

Os dados do log de atividades em um workspace Log Analytics são armazenados em uma tabela chamada AzureActivity. A estrutura dessa tabela varia dependendo da categoria da entrada de log.

Por exemplo, para exibir uma contagem de registros do log de atividades para cada categoria, use a consulta a seguir:

AzureActivity
| summarize count() by CategoryValue

Para recuperar todos os registros na categoria administrativa, use a seguinte consulta:

AzureActivity
| where CategoryValue == "Administrative"

Importante

Em alguns cenários, os valores nos campos de AzureActivity podem ter maiúsculas e minúsculas diferentes dos valores equivalentes. Ao consultar dados em AzureActivity, use operadores que não diferenciam maiúsculas de minúsculas para comparações de cadeia de caracteres ou use uma função escalar para forçar um campo a uma capitalização uniforme antes de qualquer comparação. Por exemplo, use a função tolower() em um campo para forçá-la a ser sempre minúscula ou o operador =~ ao executar uma comparação de cadeia de caracteres.

Envie o log de atividades para o Azure Event Hubs para enviar entradas para fora do Azure, por exemplo, para um SIEM de terceiros ou outras soluções de análise de log. Os eventos do log de atividades de hubs de eventos são consumidos no formato JSON com um elemento records que contém os registros em cada carga. O esquema depende da categoria e é descrito em esquema de evento do log de atividades do Azure.

Os exemplos de dados de saída a seguir são de hubs de eventos para um log de atividades:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "aaaa0000-bb11-2222-33cc-444444dddddd",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "1003BFFD8EC002D4",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "bbbb1111-cc22-3333-44dd-555555eeeeee,aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,cccc2222-dd33-4444-55ee-666666ffffff",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "bbbbbbbb-1111-2222-3333-cccccccccccc"
            }
        }
    ]
}

Envie o log de atividades para uma conta de Armazenamento do Azure se quiser manter seus dados de log por mais de 90 dias para auditoria, análise estática ou backup. Se você precisar reter seus eventos por 90 dias ou menos, não precisará configurar o arquivamento para uma conta de armazenamento.

Quando você envia o log de atividades para o armazenamento, um contêiner de armazenamento é criado na conta de armazenamento assim que ocorre um evento. Os blobs no contêiner usam esta convenção de nomenclatura:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Por exemplo, um blob específico pode ter um nome semelhante a:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Cada PT1H.json blob contém um objeto JSON com eventos de arquivos de log que foram recebidos durante a hora especificada na URL do blob. Durante a hora atual, os eventos são anexados ao arquivo PT1H.json conforme são recebidos, independentemente de quando foram gerados. O valor de minuto na URL, m=00, é sempre 00, pois os blobs são criados por hora.

Cada evento é armazenado no arquivo PT1H.json neste formato. Esse formato usa um esquema de nível superior comum, mas é exclusivo para cada categoria, conforme descrito no esquema de log de atividades.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exportar logs de atividades do grupo de gerenciamento

Quando você cria um log de configuração de diagnóstico para um grupo de gerenciamento, ele exporta todos os eventos para esse grupo de gerenciamento, além de todos os grupos de gerenciamento sob ele na hierarquia. Se vários grupos de gerenciamento na hierarquia tiverem configurações de diagnóstico, você receberá eventos duplicados. Você só precisa de uma configuração de diagnóstico no grupo de gerenciamento de nível mais alto para capturar todos os eventos para a hierarquia.

O grupo de gestão também recolhe muitos dos mesmos eventos que quaisquer subscrições ao abrigo do mesmo. Se a assinatura e o grupo de gerenciamento tiverem configurações de diagnóstico, você receberá eventos duplicados. O Azure Resource Manager inclui uma propriedade de hierarquia ao gravar eventos, mas não é um campo necessário. Os provedores de recursos fora do Azure Resource Manager não o preenchem, portanto, seus eventos não se propagam pela hierarquia. Por causa disso, obter eventos duplicados é melhor do que eventos ausentes.

Por exemplo, se você tiver MG1 que contém MG2 que contém Subscription1, uma configuração de diagnóstico em MG1 captura todos os eventos de log de atividades para MG1, MG2 e muitos dos eventos coletados por uma configuração de diagnóstico em Subscription1. Nesse caso, nenhuma configuração de diagnóstico é necessária no MG2, pois ela apenas coletaria eventos duplicados.

Se você tiver eventos duplicados, combine-os usando uma consulta que usa um hash de todos os campos para identificar registros exclusivos. A consulta Kusto a seguir mostra um exemplo de logs coletados em um workspace do Log Analytics:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Exportar o log de atividades para CSV

Selecione Baixar como CSV para exportar o log de atividades para um arquivo CSV no portal do Azure.

Importante

Exportar um grande número de entradas de log pode levar muito tempo. Para melhorar o desempenho, reduza o intervalo de tempo da exportação. No portal do Azure, defina a configuração do Timespan .

Você também pode exportar o log de atividades para um arquivo CSV usando o PowerShell ou a CLI do Azure, conforme mostrado nos exemplos a seguir.

Azure CLI
PowerShell

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

O exemplo a seguir, o script do PowerShell exporta o log de atividades para arquivos CSV em intervalos de uma hora, cada um salvo em um arquivo separado.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Identificar a criação de recursos

Use o log de atividades para descobrir quando o sistema criou um recurso e quem o criou. O log de atividades é o único local que armazena o criador de um recurso. Como o log de atividades retém dados por 90 dias por padrão, você deve exportar os logs para um local que permita estender o período de retenção, como um workspace do Log Analytics. Em seguida, localize o criador de um recurso consultando a AzureActivity tabela. Os dados são retidos pela duração especificada no período de retenção desta tabela.

Comentários

Esta página foi útil?

Last updated on 2026-04-01