Azure 平台日志概述

平台日志提供 Azure 资源及其所依赖的 Azure 平台的详细诊断和审核信息。 平台日志会自动生成。 本文概述了平台日志,其中包括它们提供什么信息,以及如何配置它们以方便收集和分析。

平台日志的类型

下表列出了在不同 Azure 层提供的平台日志。

日志 说明
资源日志 Azure 资源 资源日志针对 Azure 资源执行的操作提供见解。 这称为“数据平面”。 示例包括从密钥保管库获取机密或向数据库发出请求。 资源日志的内容因 Azure 服务和资源类型而异。

资源日志以前称为诊断日志。
活动日志 Azure 订阅 活动日志提供对外部(也称为管理平台)订阅中针对各个 Azure 资源操作的见解。 还包括有关服务运行状况事件的更新。 通过活动日志,可确定订阅中资源上执行的任何写入操作 (PUT, POST, DELETE) 的“什么操作、谁操作和操作时间”等信息。 每个 Azure 订阅都具有单个活动日志。
Microsoft Entra 日志 Azure 租户 Microsoft Entra 日志包含登录活动的历史记录,以及特定租户的 Microsoft Entra ID 中所做的更改的审核线索。

注意

Azure 活动日志主要与 Azure 资源管理器中发生的活动相关。 活动日志不跟踪使用经典/RDFE 模型的资源。 某些经典资源类型在资源管理器中具有代理资源提供程序(例如 Microsoft.ClassicCompute)。 如果通过资源管理器使用这些代理资源提供程序来与经典资源类型进行交互,则操作会显示在活动日志中。 如果在资源管理器代理外部与经典资源类型进行交互,则操作只会记录在操作日志中。 可以在门户的一个单独部分中浏览操作日志

A diagram showing the types of platform logs and where the logs can be sent.

查看平台日志

可以通过不同的选项查看和分析不同的 Azure 平台日志:

  • 使用 Azure 门户查看活动日志,并通过 PowerShell 和 Azure CLI 访问事件。 有关详细信息,请参阅查看活动日志
  • 在 Azure 门户中查看 Microsoft Entra 安全性和活动报表。 有关详细信息,请参阅什么是 Microsoft Entra 报表?
  • 资源日志由支持的 Azure 资源自动生成。 必须为要存储和查看日志的资源创建诊断设置

诊断设置

资源日志必须具有要查看的诊断设置。 创建诊断设置,以将平台日志发送到以下目标之一,以便进行分析或其他处理。

目标 说明
Log Analytics 工作区 一起分析所有 Azure 资源的日志,并利用提供给 Azure Monitor 日志的所有功能,包括日志查询日志搜索警报。 将日志查询的结果固定到 Azure 仪表板,或将其作为交互式报表的一部分包含在工作簿中。
事件中心 向 Azure 外部发送平台日志数据,例如,通过事件中心发送到第三方 SIEM 或自定义遥测平台
Azure 存储 将日志存档到 Azure 存储供审核或备份。

定价模型

发送到除 Log Analytics 工作区以外的目标时,将收取特定服务的流日志数据处理费。

虽然将此数据从资源发送到 Log Analytics 工作区时不产生直接费用,但将数据引入工作区时会收取 Log Analytics 费用。 该费用取决于导出的 JSON 格式日志数据中的字节数,按 GB(10^9 字节)计量。

Azure Monitor 定价页中提供了定价。

后续步骤