日志查询审核日志提供有关在 Azure Monitor 中运行的日志查询的遥测数据。 其中包括诸如运行查询的时间、运行查询的人、使用的工具、查询文本,以及描述查询执行的性能统计信息等。
配置查询审核
Log Analytics工作区通过诊断设置启用了查询审核。 这样,就可以将审核数据发送到当前工作区或订阅中的其他任何工作区,通过 Azure 事件中心 向 Azure 外部发送,或通过 Azure 存储 进行存档。
Azure门户
在以下任一位置访问Azure门户中Log Analytics工作区的诊断设置:
在 Azure Monitor 菜单中,选择 诊断设置,然后找到并选择工作区。
从Log Analytics工作区菜单中选择,然后选择诊断设置。
诊断设置 Log Analytics 工作区的截图。
资源管理器模板
可以从 Log Analytics 工作区的诊断设置获取示例 资源管理器 模板。
审核数据
每次运行查询时都会创建一个审核记录。 如果将数据发送到Log Analytics工作区,则数据存储在名为 LAQueryLogs 的表中。 下表介绍了审核数据每条记录中的属性。
| 领域 | DESCRIPTION |
|---|---|
| TimeGenerated | 提交查询时的 UTC 时间。 |
| CorrelationId | 用于标识查询的唯一 ID。 在联系 Microsoft 寻求帮助时,可用于故障排除场景。 |
| AADObjectId(Azure Active Directory 对象 ID) | 启动查询的用户帐户的 Microsoft Entra ID。 |
| AADTenantId | 启动查询的用户帐户的租户 ID。 |
| AADEmail | 发起查询的用户帐户所属租户的电子邮件地址。 |
| AADClientId | 用于启动查询的应用程序的 ID 和已解析名称。 |
| RequestClientApp | 用于启动查询的应用程序的已解析名称。 有关详细信息,请参阅请求客户端应用。 |
| 查询时间范围开始 | 为查询选择的时间范围的开始日期。 在某些情况下(例如,从Log Analytics启动查询,并在查询中指定时间范围而不是时间选取器),可能无法填充此情况。 |
| 查询时间范围结束 | 为查询选择的时间范围的结束日期。 在某些情况下,例如,从Log Analytics启动查询并在查询(而非时间选取器)中指定时间范围时,此字段可能不会被填充。 |
| 查询文本 (QueryText) | 运行的查询的文本。 |
| RequestTarget | API URL 用于提交查询。 |
| 请求上下文 | 请求对其运行查询的资源列表。 最多包含三个字符串数组:工作区、应用程序和资源。 以订阅或资源组为目标的查询将显示为“资源”。 包括 RequestTarget 暗示的目标。 如果可以解析每个资源的资源 ID,则将包含它们。 如果访问资源时返回错误,则可能无法解析。 在这种情况下,将使用查询中的特定文本。 如果查询使用不明确的名称,例如多个订阅中存在的工作区名称,则将使用此不明确的名称。 |
| RequestContextFilters | 在查询调用中指定的筛选器组。 最多包含三个可能的字符串数组: - ResourceTypes - 用于限制查询范围的资源类型 - Workspaces - 用于限制查询的工作区列表 - WorkspaceRegions - 用于限制查询的工作区区域列表 |
| 响应码 | 提交查询时返回的 HTTP 响应代码。 |
| 响应持续时间毫秒 | 返回响应的时间。 |
| 响应行数 | 查询返回的总行数。 |
| StatsCPUTimeMs | 用于计算、解析和数据获取的总计算时间。 仅当查询返回状态代码 200 时填充。 |
| 统计数据处理KB | 为处理查询而访问的数据量。 受目标表大小、所用时间跨度、已应用筛选器和已引用列数影响。 仅当查询返回状态代码 200 时填充。 |
| 数据处理开始统计 | 处理查询时访问最旧数据的时间。 受查询显式时间跨度和应用的筛选器的影响。 由于数据分区,这可能比显式时间跨度要大。 仅当查询返回状态代码 200 时填充。 |
| 统计数据处理结束 | 处理查询时访问最新数据的时间。 受查询显式时间跨度和应用的筛选器的影响。 由于数据分区,这可能比显式时间跨度要大。 仅当查询返回状态代码 200 时填充。 |
| StatsWorkspaceCount | 查询访问的工作区数。 仅当查询返回状态代码 200 时填充。 |
| 统计区域数量 | 查询访问的区域数。 仅当查询返回状态代码 200 时填充。 |
请求客户端应用
| RequestClientApp | DESCRIPTION |
|---|---|
| AAPBI | Log Analytics 集成到 Power BI。 |
| AppAnalytics(应用分析工具) | Azure 门户中的日志分析体验(如 Logs 面板)。 |
| AppInsightsPortalExtension | 工作簿或 Application insights。 |
| ASC_Portal | Microsoft Defender for Cloud。 |
| ASI_Portal | Sentinel。 |
| Azure Automation (Azure自动化) | Azure 自动化. |
| AzureMonitorLogsConnector | Azure Monitor Logs Connector。 |
| C#软件开发工具包 (csharpsdk) | 日志分析查询 API。 |
| Draft-Monitor | 在 Azure 门户中创建日志搜索警报。 |
| IbizaExtension | Azure门户中的日志分析体验。 |
| infraInsights/容器 | 容器分析。 |
| 日志分析扩展 | Azure仪表盘。 |
| LogAnalyticsPSClient | Log Analytics 查询 API. |
| OmsAnalyticsPBI | Log Analytics与Power BI的集成。 |
| PowerBI连接器 | Log Analytics 与 Power BI 的集成。 |
| Sentinel-Investigation-Queries | Sentinel。 |
| Sentinel-DataCollectionAggregator | Sentinel。 |
| 监测系统-分析管理-客户查询 | Sentinel。 |
| 未知 | Log Analytics 查询 API. |
| UpdateManagement | 更新管理。 |
| M365D_AdvancedHunting | Microsoft Defender中的高级搜寻 |
注意事项
- 仅当在用户上下文中执行查询时,系统才会记录查询。 它不会在Azure中记录任何服务到服务查询。 此排除涵盖两组主要查询:计费计算和自动警报执行。 对于警报,系统不会记录按计划触发的警报查询。 不过,警报创建屏幕中警报的初始执行在用户上下文中运行,并且可用于审核目的。
- 性能统计信息不适用于来自Azure 数据资源管理器代理的查询。 这些查询的所有其他数据仍然被填充。
- 系统现在支持对字符串文本进行混淆的h提示(此前未支持)。
- 对于包含来自多个工作区数据的查询,系统仅捕获你有权访问的那些工作区中的查询。
成本
Azure诊断扩展不收取费用,但可能会因数据摄入而产生收费。 检查要收集数据的目的地的Azure Monitor定价。