Abfragen für die AzureActivity-Tabelle
Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".
[Klassisch] Suchen in AzureActivity
[Klassisch] Suchen Sie in AzureActivity, um nach einem bestimmten Wert in der AzureActivity-Tabelle zu suchen./nNote, dass für diese Abfrage eine Aktualisierung des <SeachValue-Parameters> erforderlich ist, um Ergebnisse zu erzielen.
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where * contains tostring(SearchValue)
| take 1000
Herunterfahren virtueller Computer
Virtuelle Computer werden in den letzten 10 Minuten erfolgreich heruntergefahren.
// To create an alert for this query, click '+ New alert rule'
AzureActivity
| where TimeGenerated > ago(10m)
| where OperationName == "Deallocate Virtual Machine" and ActivityStatus == "Succeeded"
Letzte 50 Protokolle
Zeigen Sie die neuesten Azure-Aktivitätsprotokolle für diese Ressource an.
AzureActivity
| top 50 by TimeGenerated desc
Betriebsstatus
Zeigt das neueste Azure-Aktivitätsprotokoll für jeden Vorgang an.
AzureActivity
| summarize arg_max(TimeGenerated, *) by OperationName
Letzte Azure-Aktivitätsprotokolle
Alle Azure-Aktivitätsprotokolle aus der letzten Stunde anzeigen.
AzureActivity
| where Level == "Error" or Level == "Warning"
| project TimeGenerated, Level, ResourceProvider, ActivityStatus, Caller, Category, Properties, CorrelationId
Failed operations
Listet alle Berichte von fehlgeschlagenen Vorgängen in der letzten Stunde auf.
AzureActivity
| where TimeGenerated > ago(1h)
| where ActivityStatus == "Failed"
Ressourcenerstellung
Liste erstellter Azure-Ressourcen. Kann für überwachung und Warnungen nützlich sein.
AzureActivity
| where OperationNameValue has "Microsoft.Resources/deployments/write"
| where CategoryValue == "Administrative"
| where ActivityStatusValue == "Success"
| project Caller, TimeGenerated, _ResourceId
Suchen in AzureActivity
Suchen Sie in AzureActivity, um nach einem bestimmten Wert in der AzureActivity-Tabelle zu suchen./nNote, dass für diese Abfrage eine Aktualisierung des <SeachValue-Parameters> erforderlich ist, um Ergebnisse zu erzielen.
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "Microsoft.ContainerService"
| where * contains tostring(SearchValue)
| take 1000
Protokolle aus der AzureActivity-Tabelle anzeigen
Listet die neuesten Protokolle in der AzureActivity-Tabelle auf, sortiert nach Uhrzeit (neuestes zuerst).
AzureActivity
| top 10 by TimeGenerated
Protokolle aus der AzureActivity-Tabelle anzeigen
Listet die neuesten Protokolle in der AzureActivity-Tabelle auf, sortiert nach Uhrzeit (neuestes zuerst).
AzureActivity
| top 10 by TimeGenerated
Anzeigen der 50 wichtigsten Aktivitätsprotokollereignisse
Anzeigen der 50 wichtigsten Aktivitätsprotokollereignisse.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceGroup,ResourceProviderValue,OperationNameValue,CategoryValue,CorrelationId,ActivityStatusValue, ActivitySubstatusValue, Properties_d, Caller
| top 50 by TimeGenerated
Anzeigen von Administrativen Ereignissen im Aktivitätsprotokoll
Zeigt das Aktivitätsprotokoll für die Kategorie "Administrative" an.
AzureActivity
| where CategoryValue == "Administrative"
| order by TimeGenerated desc
VM-Erstellung
Diese Abfrage zeigt Ergebnisse an, wenn eine VM erstellt wird.
AzureActivity
| where TimeGenerated >= ago(1d)
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" and ActivityStatusValue == "Start"
| where Authorization_d.action == "Microsoft.Compute/virtualMachines/write"
| project OperationNameValue, ActivityStatusValue, VM_Name=Properties_d.resource, ResourceGroup, SubscriptionId, Created_By=Caller
Anzeigen von Aktivitätsprotokollereignissen, die aus der Richtlinie generiert wurden
Zeigt top 100 Datensätze aller Effektaktionsvorgänge an, die von Azure Policy ausgeführt werden.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceProviderValue, OperationNameValue, Caller, CategoryValue, CorrelationId, ActivityStatusValue, Properties_d
| where OperationNameValue has "audit"
| top 100 by TimeGenerated desc
Auflisten von Anrufern und ihrer zugehörigen Aktion in den letzten 48 Stunden
Listen Sie Anrufer und deren zugehörige Aktion in den letzten 48 Stunden auf.
AzureActivity
| where TimeGenerated > ago(2d)
| project Caller, OperationNameValue, ActivityStatusValue, CategoryValue
| where Caller has "@"
Alle Azure-Aktivitäten
Die Abfrage stellt alle AzureActivity-Ereignisse dar.
AzureActivity
| project TimeGenerated, Caller, OperationName, ActivityStatus, _ResourceId
Azure-Aktivität für Benutzer
Zeigen Sie die Aktivität des Benutzers über Azure Activity an.
// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus
Erfolgreiche Schlüsselumumaration
Listet Benutzer auf, die eine Schlüsselenumeration und deren Position ausgeführt haben.
AzureActivity
| where OperationName == "List Storage Account Keys"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, CallerIpAddress, OperationName
JIT-Initiierung für Netzwerkzugriff
Listet die Initiierung von JIT-Netzwerkzugriffsberechtigungen auf.
AzureActivity
| where OperationName == "Initiate JIT Network Access Policy"
| where ActivityStatus == "Started"
Azure Activity Operation Statistics
Statistiken zu Vorgängen über Azure Activity.
AzureActivity
| summarize Count=count() by OperationName, _ResourceId
| sort by Count desc nulls last