Log de atividades no Azure Monitor

2025-07-24

O log de atividades do Azure Monitor é um log de plataforma para eventos do plano de controle dos recursos do Azure. Ele inclui informações como quando um recurso é modificado ou quando ocorre um erro de implantação. Use o log de atividades para examinar ou auditar essas informações quanto aos recursos que você monitora ou criar um alerta para ser notificado proativamente quando um evento for criado.

Dica

Se você foi direcionado para este artigo por meio de um erro de operação de implantação, confira Solucionar problemas de erros comuns de implantação do Azure.

Entradas do log de atividades

As entradas no log de atividades são coletadas por padrão sem nenhuma configuração necessária. Eles são gerados pelo sistema e não podem ser alterados ou excluídos. As entradas normalmente são resultado de alterações (criar, atualizar, excluir operações) ou uma ação que foi iniciada. As operações focadas na leitura de detalhes de um recurso normalmente não são capturadas. Para obter uma descrição das categorias de log de atividades, consulte o esquema de eventos do log de atividades do Azure.

Observação

As operações acima do plano de controle são registradas nos Logs de Recursos do Azure. Eles não são coletados por padrão e exigem uma configuração de diagnóstico para serem coletados.

Período de retenção

Os eventos do log de atividades são mantidos no Azure \por 90 dias e, em seguida, excluídos. Não há nenhum custo para inscrições durante este período, independentemente do volume. Para obter mais funcionalidades, como retenção mais longa, crie uma configuração de diagnóstico e encaminhe as entradas para outro local com base em suas necessidades.

Exibir e recuperar o log de atividades

Você pode acessar o log de atividades na maioria dos menus no portal do Azure. O menu do qual você o abre determina seu filtro inicial. Se você abri-lo no menu Monitor, o único filtro está na assinatura. Se você abri-lo no menu de um recurso, o filtro será definido para esse recurso. Você sempre pode alterar o filtro para exibir todas as outras entradas. Selecione Adicionar Filtro para adicionar mais propriedades ao filtro.

Você também pode acessar eventos do log de atividades usando os métodos a seguir:

Use o cmdlet Get-AzLog para recuperar o log de atividades do PowerShell. Confira os exemplos do PowerShell do Azure Monitor.
Use az monitor activity-log para recuperar o log de atividades da CLI. Confira os exemplos da CLI do Azure Monitor.

Use a API REST do Azure Monitor para recuperar o log de atividades de um cliente REST.

Exibir histórico de alterações

Para alguns eventos, é possível exibir o Histórico de Alterações, que mostra as mudanças ocorridas durante um momento de evento específico. Selecione um evento do log de atividades que você deseja examinar melhor. Selecione a guia Histórico de Alterações para exibir as alterações no recurso até 30 minutos antes e depois da hora da operação.

Se houver alterações associadas ao evento, você verá uma lista de alterações para selecionar. A seleção de uma alteração abre a página Histórico de Alterações. Essa página exibe as alterações no recurso. No exemplo a seguir, você pode ver que a VM mudou de tamanho. A página exibe o tamanho da VM antes da alteração e após a alteração. Para saber mais sobre o histórico de alterações, consulte Obter alterações de recursos.

Insights do log de atividades

Os insights do log de atividades são uma pasta de trabalho que fornece um conjunto de painéis que monitoram as alterações em recursos e grupos de recursos em uma assinatura. Os painéis também apresentam dados sobre quais usuários ou serviços realizaram atividades na assinatura e o status das atividades.

Para habilitar os insights do log de atividades, exporte o log de atividades para um workspace do Log Analytics, conforme descrito em Exportar log de atividades. Isso envia eventos para a tabela AzureActivity, que é usada pelos insights do log de atividades.

É possível abrir insights do log de atividades no nível da assinatura ou do recurso. Para a assinatura, selecione Activity Logs Insights na seção Pastas de Trabalho do menu Monitor.

Para um recurso individual, selecione o Activity Logs Insights na seção Pastas de Trabalho do menu do recurso.

Exportar log de atividades

Crie uma configuração de diagnóstico para enviar entradas de log de atividades para outros destinos para tempo de retenção e funcionalidade adicionais.

No portal do Azure, selecione Log de atividades no menu do Azure Monitor e selecione Exportar Logs de Atividades. Consulte as configurações de diagnóstico no Azure Monitor para obter outros detalhes e outros métodos para criar configurações de diagnóstico. Desabilite qualquer configuração herdada para o log de atividades.

As informações abaixo fornecem mais detalhes sobre os diferentes destinos para os quais os logs de recursos podem ser enviados.

Observação

O método herdado de exportar o log de atividades são perfis de log. Consulte os métodos de coleção herdados.

Envie o log de atividades para um workspace do Log Analytics para a seguinte funcionalidade:

Correlacione logs de atividades com outros dados de log usando consultas de log.
Crie alertas de log que podem usar lógica mais complexa do que alertas de log de atividades.
Acessar dados do log de atividades com o Power BI.
Retenha dados do log de atividades por mais de 90 dias.

Não há encargos de ingestão de dados para logs de atividades. Os encargos de retenção para logs de atividade só são aplicados ao período estendido após o período de retenção padrão de 90 dias. Você pode aumentar o período de retenção para até 12 anos.

Os dados do log de atividades em um workspace do Log Analytics são armazenados em uma tabela chamada AzureActivity. A estrutura dessa tabela varia dependendo da categoria da entrada de log.

Por exemplo, para exibir uma contagem de registros do log de atividades para cada categoria, use a consulta a seguir:

AzureActivity
| summarize count() by CategoryValue

Para recuperar todos os registros na categoria administrativa, use a seguinte consulta:

AzureActivity
| where CategoryValue == "Administrative"

Importante

Em alguns cenários, é possível que os valores em campos de AzureActivity possam ter maiúsculas e minúsculas diferentes de valores equivalentes. Ao consultar dados em AzureActivity, use operadores que não diferenciam maiúsculas de minúsculas para comparações de cadeia de caracteres ou use uma função escalar para forçar um campo a uma capitalização uniforme antes de qualquer comparação. Por exemplo, use a função tolower() em um campo para forçá-la a ser sempre minúscula ou o operador =~ ao executar uma comparação de cadeia de caracteres.

Envie o log de atividades para os Hubs de Eventos do Azure para enviar entradas fora do Azure, por exemplo, para um SIEM de terceiros ou outras soluções de análise de log. Os eventos do log de atividades de hubs de eventos são consumidos no formato JSON com um elemento records que contém os registros em cada carga. O esquema depende da categoria e é descrito no esquema de eventos do log de atividades do Azure.

Os exemplos de dados de saída a seguir são de hubs de eventos para um log de atividades:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "___location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Envie o log de atividades para uma conta de Armazenamento do Azure se quiser manter seus dados de log por mais de 90 dias para auditoria, análise estática ou backup. Caso seja necessário reter os eventos por 90 dias ou menos, não será preciso configurar o arquivamento para uma conta de armazenamento.

Quando você envia o log de atividades para o armazenamento, um contêiner de armazenamento é criado na conta de armazenamento assim que ocorre um evento. Os blobs no contêiner usam esta convenção de nomenclatura:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Por exemplo, um blob específico pode ter um nome semelhante a:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Cada PT1H.json blob contém um objeto JSON com eventos de arquivos de log que foram recebidos durante a hora especificada na URL do blob. Durante a hora atual, os eventos são anexados ao arquivo PT1H.json conforme são recebidos, independentemente de quando foram gerados. O valor de minuto na URL, m=00, é sempre 00, pois os blobs são criados por hora.

Cada evento é armazenado no arquivo PT1H.json neste formato. Esse formato usa um esquema de nível superior comum, mas é exclusivo para cada categoria, conforme descrito no esquema de log de atividades.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exportar para CSV

Selecione Baixar como CSV para exportar o log de atividades para um arquivo CSV usando o portal do Azure.

Importante

A exportação pode levar um tempo excessivo se você tiver um grande número de entradas de log. Para melhorar o desempenho, reduza o intervalo de tempo da exportação. No portal do Azure, isso é definido com a configuração do Timespan .

Você também pode exportar o log de atividades para um arquivo CSV usando o PowerShell ou a CLI do Azure, como nos exemplos a seguir.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

O exemplo de script do PowerShell a seguir exporta o log de atividades para arquivos CSV em intervalos de uma hora, cada um sendo salvo em um arquivo separado.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Próximas etapas

Saiba mais sobre:

Comentários

Esta página foi útil?