Log de atividades no Azure Monitor

2025-07-19

O registo de atividades do Azure Monitor é um registo de plataforma para eventos do plano de controlo dos recursos do Azure. Ele inclui informações como quando um recurso é modificado ou quando ocorre um erro de implantação. Use o log de atividades para revisar ou auditar essas informações para os recursos que você monitora ou crie um alerta para ser notificado proativamente quando um evento for criado.

Sugestão

Se você foi direcionado para este artigo a partir de um erro de operação de implantação, consulte Solucionar erros comuns de implantação do Azure.

Entradas do registo de atividades

As entradas no registro de atividades são coletadas por padrão, sem nenhuma configuração necessária. Eles são gerados pelo sistema e não podem ser alterados ou excluídos. As entradas são normalmente o resultado de alterações (criar, atualizar, eliminar operações) ou de uma ação que tenha sido iniciada. As operações focadas na leitura de detalhes de um recurso normalmente não são capturadas. Para obter uma descrição das categorias do log de atividades, consulte Esquema de eventos do log de atividades do Azure.

Observação

As operações acima do plano de controle são registradas nos Logs de Recursos do Azure. Eles não são coletados por padrão e exigem que uma configuração de diagnóstico seja coletada.

Período de retenção

Os eventos do registo de atividades são retidos no Azure durante 90 dias e, depois, eliminados. Não existem custos associados às entradas durante este período, independentemente do volume. Para obter mais funcionalidades, como retenção mais longa, crie uma configuração de diagnóstico e encaminhe as entradas para outro local com base em suas necessidades.

Exibir e recuperar o registro de atividades

Você pode acessar o log de atividades na maioria dos menus no portal do Azure. O menu a partir do qual você o abre determina seu filtro inicial. Se abrir a partir do menu Monitor, o único filtro estará na assinatura. Se você abri-lo no menu de um recurso, o filtro será definido como esse recurso. Pode sempre alterar o filtro para ver todas as outras entradas. Selecione Adicionar Filtro para adicionar mais propriedades ao filtro.

Você também pode acessar eventos de log de atividades usando os seguintes métodos:

Use o cmdlet Get-AzLog para recuperar o log de atividades do PowerShell. Consulte Exemplos do Azure Monitor PowerShell.
Use az monitor activity-log para recuperar o registo de atividades pela CLI. Consulte Exemplos de CLI do Azure Monitor.

Use a API REST do Azure Monitor para recuperar o log de atividades de um cliente REST.

Ver o histórico de alterações

Para alguns eventos, pode ver o histórico de alterações, que mostra as alterações ocorridas durante o tempo desse evento. Selecione um evento no registro de atividades que você deseja examinar mais profundamente. Selecione a guia Histórico de alterações para visualizar quaisquer alterações no recurso até 30 minutos antes e depois do horário da operação.

Se houver alterações associadas ao evento, você verá uma lista de alterações que pode selecionar. Selecionar uma alteração abre a página Histórico de alterações . Esta página exibe as alterações no recurso. No exemplo a seguir, você pode ver que a VM mudou de tamanho. A página exibe o tamanho da VM antes e depois da alteração. Para saber mais sobre o histórico de alterações, consulte Obter alterações de recursos.

Informações sobre o registo de atividades

Informações do log de atividades é uma pasta de trabalho que oferece um conjunto de dashboards que monitorizam as alterações em recursos e grupos de recursos numa assinatura. Os painéis também apresentam dados sobre quais usuários ou serviços realizaram atividades na assinatura e o status das atividades.

Para habilitar as informações do log de atividades, exporte o log de atividades para um espaço de trabalho do Log Analytics, conforme descrito em Exportar log de atividades. Isso envia eventos para a tabela AzureActivity que é usada por análises do registo de atividades.

Você pode abrir os insights de registo de atividades ao nível da subscrição ou do recurso. Para a subscrição, selecione Activity Logs Insights na seção Workbooks do menu Monitor.

Para um recurso individual, selecione Insights de Registos de Atividades na seção Pastas de Trabalho do menu do recurso.

Exportar registo de atividades

Crie uma configuração de diagnóstico para enviar entradas do log de atividades para outros destinos, permitindo retenção adicional de tempo e funcionalidade.

No portal do Azure, selecione Log de atividades no menu Azure Monitor e, em seguida, selecione Exportar logs de atividades. Consulte Configurações de diagnóstico no Azure Monitor para obter outros detalhes e outros métodos para criar configurações de diagnóstico. Certifique-se de desativar qualquer configuração herdada para o registro de atividades.

As informações abaixo fornecem mais detalhes sobre os diferentes destinos para os quais os logs de recursos podem ser enviados.

Observação

O método herdado de exportação do log de atividades são os perfis de log. Consulte Métodos de coleção herdados.

Envie o registro de atividades para um espaço de trabalho do Log Analytics para obter a seguinte funcionalidade:

Correlacione logs de atividade com outros dados de log usando consultas de log.
Crie alertas de log que podem usar uma lógica mais complexa do que os alertas de log de atividades.
Aceda aos dados do registo de atividades com o Power BI.
Retenha os dados do registro de atividades por mais de 90 dias.

Não há taxas de ingestão de dados para registros de atividades. As taxas de retenção para logs de atividades são aplicadas apenas ao período estendido após o período de retenção padrão de 90 dias. Pode aumentar o período de retenção para até 12 anos.

Os dados do log de atividades em um espaço de trabalho do Log Analytics são armazenados em uma tabela chamada AzureActivity. A estrutura desta tabela varia dependendo da categoria da entrada de log.

Por exemplo, para exibir uma contagem de registros de log de atividades para cada categoria, use a seguinte consulta:

AzureActivity
| summarize count() by CategoryValue

Para recuperar todos os registros na categoria administrativa, use a seguinte consulta:

AzureActivity
| where CategoryValue == "Administrative"

Importante

Em alguns cenários, é possível que os valores nos campos de AzureActivity possam ter a diferença de maiúsculas ou minúsculas em comparação com os valores equivalentes. Ao consultar dados no AzureActivity, use operadores que não diferenciam maiúsculas de minúsculas para comparações de cadeia de caracteres ou use uma função escalar para forçar um campo a um invólucro uniforme antes de qualquer comparação. Por exemplo, use a função tolower() em um campo para forçá-lo a ser sempre minúsculo ou o operador =~ ao executar uma comparação de cadeia de caracteres.

Envie o log de atividades para os Hubs de Eventos do Azure para enviar entradas fora do Azure, por exemplo, para um SIEM de terceiros ou outras soluções de análise de log. Os eventos do log de atividades dos hubs de eventos são consumidos no formato JSON com um records elemento que contém os registros em cada carga útil. O esquema depende da categoria e é descrito no esquema de eventos do log de atividades do Azure.

Os seguintes dados de saída de exemplo são de hubs de eventos para um log de atividades:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "___location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Envie o log de atividades para uma conta de Armazenamento do Azure se quiser reter seus dados de log por mais de 90 dias para auditoria, análise estática ou backup. Se for necessário reter seus eventos por 90 dias ou menos, não será necessário configurar o arquivamento em uma conta de armazenamento.

Quando você envia o log de atividades para o armazenamento, um contêiner de armazenamento é criado na conta de armazenamento assim que ocorre um evento. Os blobs no contêiner usam a seguinte convenção de nomenclatura:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Por exemplo, um blob específico pode ter um nome semelhante a:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Cada PT1H.json blob contém um objeto JSON com eventos de arquivos de log que foram recebidos durante a hora especificada na URL do blob. Durante a hora presente, os eventos são anexados ao arquivo PT1H.json à medida que são recebidos, independentemente de quando foram gerados. O valor de minuto na URL m=00 é sempre 00 porque os blobs são criados por hora.

Cada evento é armazenado no arquivo PT1H.json com o seguinte formato. Esse formato usa um esquema de nível superior comum, mas é exclusivo para cada categoria, conforme descrito no esquema do log de atividades.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exportar para CSV

Selecione Baixar como CSV para exportar o log de atividades para um arquivo CSV usando o portal do Azure.

Importante

A exportação pode levar um tempo excessivo se você tiver um grande número de entradas de log. Para melhorar o desempenho, reduza o intervalo de tempo da exportação. No portal do Azure, isso é definido com a configuração Timespan .

Você também pode exportar o log de atividades para um arquivo CSV usando o PowerShell ou a CLI do Azure, como nos exemplos a seguir.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

O exemplo de script PowerShell a seguir exporta o log de atividades para arquivos CSV em intervalos de uma hora, cada um sendo salvo em um arquivo separado.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Próximos passos

Saiba mais sobre:

Comentários

Esta página foi útil?