Abrufen von Aktivitätsprotokolldaten mithilfe der Azure Monitor-REST-API

  • Artikel

Das Azure-Aktivitätsprotokoll bietet Einblicke in Vorgänge, die für Ressourcen Ihres Abonnements durchgeführt wurden. Vorgänge umfassen das Erstellen, Aktualisieren, Löschen und andere Aktionen, die für Ressourcen ausgeführt werden. Das Aktivitätsprotokoll ist ein plattformweites Protokoll und ist nicht auf einen bestimmten Dienst beschränkt. In diesem Artikel erfahren Sie, wie Sie Aktivitätsprotokolldaten mithilfe der Azure Monitor-REST-API abrufen. Weitere Informationen zum Aktivitätsprotokoll finden Sie unter Ereignisschema des Azure-Aktivitätsprotokolls.

Authentifizierung

Zum Abrufen von Ressourcenprotokollen müssen Sie sich mit Microsoft Entra authentifizieren. Weitere Informationen finden Sie in der Anleitung zur Azure Monitor-REST-API.

Abrufen von Aktivitätsprotokolldaten

Verwenden Sie die Azure Monitor-REST-API, um Aktivitätsprotokolldaten abzufragen.

Das folgende Anforderungsformat wird verwendet, um Aktivitätsprotokolldaten anzufordern.

GET /subscriptions/<subscriptionId>/providers/Microsoft.Insights/eventtypes/management/values \
?api-version=2015-04-01 \
&$filter=<filter> \
&$select=<select>
host: management.azure.com
authorization: Bearer <token>

$filter

$filter reduziert den gesammelten Datensatz. Dieses Argument ist erforderlich und erfordert mindestens das Startdatum/die Startzeit. Das Argument $filter akzeptiert die folgenden Muster:

  • Auflisten von Ereignissen für eine Ressourcengruppe: $filter=eventTimestamp ge '2014-07-16T04:36:37.6407898Z' and eventTimestamp le '2014-07-20T04:36:37.6407898Z' and resourceGroupName eq <resourceGroupName>.
  • Auflisten von Ereignissen für eine bestimmte Ressource: $filter=eventTimestamp ge '2014-07-16T04:36:37.6407898Z' and eventTimestamp le '2014-07-20T04:36:37.6407898Z' and resourceUri eq <resourceURI>.
  • Auflisten von Ereignissen für ein Abonnement in einem Zeitraum: $filter=eventTimestamp ge '2014-07-16T04:36:37.6407898Z' and eventTimestamp le '2014-07-20T04:36:37.6407898Z'.
  • Auflisten von Ereignissen für eine Ressourcenanbieter: $filter=eventTimestamp ge '2014-07-16T04:36:37.6407898Z' and eventTimestamp le '2014-07-20T04:36:37.6407898Z' and resourceProvider eq <resourceProviderName>.
  • Auflisten von Ereignissen für eine Korrelations-ID: $filter=eventTimestamp ge '2014-07-16T04:36:37.6407898Z' and eventTimestamp le '2014-07-20T04:36:37.6407898Z' and correlationId eq '<correlationID>.

$select

$select ruft eine bestimmte Liste von Eigenschaften für die zurückgegebenen Ereignisse ab. Das Argument $select ist eine durch Kommata getrennte Liste von Eigenschaftennamen, die zurückgegeben werden sollen. Gültige Werte sind authorization, claims, correlationId, description, eventDataId, eventName, eventTimestamp, httpRequest, level, operationId, operationName, properties, resourceGroupName, resourceProviderName, resourceId, status, submissionTimestamp, subStatus und subscriptionId.

Die folgenden Beispielanforderungen verwenden die Azure Monitor-REST-API zum Abfragen des Aktivitätsprotokolls.

Abrufen von Aktivitätsprotokollen mit Filter:

Das folgende Beispiel ruft die Aktivitätsprotokolle für die Ressourcengruppe MSSupportGroup zwischen den Daten 2023-03-21T20:00:00Z und 2023-03-24T20:00:00Z ab.

GET https://management.azure.com/subscriptions/12345678-abcd-98765432-abcdef012345/providers/microsoft.insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2023-03-21T20:00:00Z' and eventTimestamp le '2023-03-24T20:00:00Z' and resourceGroupName eq 'MSSupportGroup'

Abrufen von Aktivitätsprotokollen mit Filter und Auswahlfunktion:

Im folgenden Beispiel werden die Aktivitätsprotokolle für die Ressourcengruppe MSSupportGroup zwischen den Daten 2023-03-21T20:00:00Z und 2023-03-24T20:00:00Z abgerufen, wobei die Elemente eventName, operationName, status, eventTimestamp, correlationId, submissionTimestamp und level zurückgegeben werden.

GET https://management.azure.com/subscriptions/12345678-abcd-98765432-abcdef012345/providers/microsoft.insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2023-03-21T20:00:00Z' and eventTimestamp le '2023-03-24T20:00:00Z'and resourceGroupName eq 'MSSupportGroup'&$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level

Nächste Schritte

Streamen von Azure Monitor-Aktivitätsprotokolldaten Ereignisschema des Azure-Aktivitätsprotokolls