Überwachen von sicherheitsrelevanten Ereignissen mithilfe von Azure Monitor

  • 7 Minuten

Das Azure Monitor-Aktivitätsprotokoll ist ein Plattformprotokoll in Azure, das einen Einblick in Ereignisse auf Abonnementebene ermöglicht. Es enthält Informationen wie den Zeitpunkt, zu dem eine Ressource geändert oder ein virtueller Computer gestartet wurde. Sie können das Aktivitätsprotokoll im Azure-Portal anzeigen oder Einträge mit PowerShell und der Azure CLI abrufen. In diesem Artikel erfahren Sie, wie Sie das Aktivitätsprotokoll anzeigen und an verschiedene Ziele senden können.

Weitere Funktionalität erhalten Sie, wenn Sie eine Diagnoseeinstellung so festlegen, dass das Aktivitätsprotokoll an einen oder mehrere dieser Speicherorte aus folgenden Gründen gesendet wird:

  • An Azure Monitor-Protokolle, um von komplexeren Abfragen und Warnungen und einer längeren Aufbewahrungsdauer (von bis zu zwei Jahren) zu profitieren

  • An Azure Event Hubs, um eine Weiterleitung außerhalb von Azure zu ermöglichen

  • An Azure Storage für eine kostengünstigere, langfristige Archivierung

  • Einträge im Aktivitätsprotokoll werden vom System generiert und können nicht geändert oder gelöscht werden.

  • Einträge im Aktivitätsprotokoll stellen Änderungen auf Steuerungsebene wie ein Neustart einer VM dar. Alle nicht verwandten Einträge sollten in Azure-Ressourcenprotokolle geschrieben werden.

Aufbewahrungszeitraum

Aktivitätsprotokollereignisse werden in Azure 90 Tage lang aufbewahrt und dann gelöscht. Für in diesem Zeitraum generierte Einträge fallen unabhängig vom Volumen keine Gebühren an. Um mehr Funktionalität zu erhalten, z. B. eine längere Aufbewahrung, legen Sie eine Diagnoseeinstellung fest, und leiten die Einträge je nach Bedarf an einen anderen Speicherort weiter. Hier helfen Ihnen die Kriterien im vorherigen Abschnitt weiter.

Anzeigen des Aktivitätsprotokolls

Auf das Aktivitätsprotokoll können Sie in den meisten Menüs im Azure-Portal zugreifen. Das Menü, in dem Sie es öffnen, bestimmt seinen anfänglichen Filter. Wenn Sie es über das Menü Überwachen öffnen, wird nur der Filter für das Abonnement verwendet. Wenn Sie es im Menü einer Ressource öffnen, wird der Filter auf die betreffende Ressource festgelegt. Sie können den Filter jederzeit ändern, um alle anderen Einträge anzuzeigen. Wählen Sie Filter hinzufügen aus, um dem Filter weitere Eigenschaften hinzuzufügen.

Herunterladen des Aktivitätsprotokolls

Klicken Sie auf Als CSV-Datei herunterladen, um die Ereignisse in der aktuellen Ansicht herunterzuladen.

Anzeigen des Änderungsverlaufs

Bei einigen Ereignissen können Sie den Änderungsverlauf anzeigen, in dem ersichtlich wird, welche Änderungen während dieses Ereignisses aufgetreten sind. Wählen Sie im Aktivitätsprotokoll ein Ereignis aus, das Sie eingehender untersuchen möchten. Wählen Sie die Registerkarte Änderungsverlauf aus, um alle Änderungen an der Ressource bis zu 30 Minuten vor und nach dem Vorgang anzuzeigen.

Wenn dem Ereignis Änderungen zugeordnet sind, wird eine Liste der Änderungen angezeigt, die Sie auswählen können. Wenn Sie eine Änderung auswählen, wird die Seite Änderungsverlauf geöffnet. Auf dieser Seite werden die Änderungen an der Ressource angezeigt. Im folgenden Beispiel können Sie sehen, dass die VM-Größe geändert wurde.

Weitere Methoden zum Abrufen von Aktivitätsprotokollereignissen

Sie können auch mithilfe der folgenden Methoden auf Aktivitätsprotokollereignisse zugreifen:

  • Rufen Sie mit dem Cmdlet Get-AzLog das Aktivitätsprotokoll über PowerShell ab. Siehe Beispiele zu PowerShell in Azure Monitor.
  • Verwenden Sie az monitor activity-log, um das Aktivitätsprotokoll über die CLI abzurufen. Siehe CLI-Beispiele für Azure Monitor.
  • Verwenden Sie die Azure Monitor-REST-API, um das Aktivitätsprotokoll über einen REST-Client abzurufen.

Senden an den Log Analytics-Arbeitsbereich

Senden Sie das Aktivitätsprotokoll an einen Log Analytics-Arbeitsbereich, um das Feature Azure Monitor-Protokolle zu aktivieren, das Folgendes ermöglicht:

  • Korrelieren von Aktivitätsprotokolldaten mit anderen von Azure Monitor gesammelten Überwachungsdaten
  • Konsolidieren von Protokolleinträgen mehrerer Azure-Abonnements und -Mandanten an einem einzigen Ort zur gemeinsamen Analyse
  • Verwenden von Protokollabfragen zum Ausführen komplexer Analysen und Erhalten tiefer Einblicke in Aktivitätsprotokolleinträge
  • Verwenden von Protokollwarnungen mit Aktivitätseinträgen, die eine komplexere Warnungslogik ermöglichen
  • Speichern von Aktivitätsprotokolleinträgen für einen längeren Zeitraum als den Aufbewahrungszeitraum des Aktivitätsprotokolls
  • Keine Gebühren für Datenerfassung oder Datenaufbewahrung von Aktivitätsprotokolldaten, die in einem Log Analytics-Arbeitsbereich gespeichert sind.
  • Der Standardaufbewahrungszeitraum bei der Protokollanalyse beträgt 90 Tage.

Wählen Sie Aktivitätsprotokolle exportieren aus, um das Aktivitätsprotokoll an einen Log Analytics-Arbeitsbereich zu senden. Sie können das Aktivitätsprotokoll in einem einzelnen Abonnement an bis zu fünf Arbeitsbereiche senden.

Aktivitätsprotokolldaten in einem Log Analytics-Arbeitsbereich werden in der Tabelle AzureActivity gespeichert. Diese können Sie mit einer Protokollabfrage in Log Analytics abrufen. Die Struktur dieser Tabelle ist je nach Kategorie des Protokolleintrags verschieden.

In einigen Szenarien ist es möglich, dass Werte in Feldern von AzureActivity andere Groß- und Kleinschreibungen aufweisen als andernfalls gleichwertige Werte. Achten Sie beim Abfragen von Daten in AzureActivity darauf, Operatoren ohne Berücksichtigung der Groß-/Kleinschreibung für Zeichenfolgenvergleiche zu verwenden, oder verwenden Sie eine Skalarfunktion, um ein Feld vor allen Vergleichen auf eine einheitliche Groß- und Kleinschreibung zu erzwingen. Verwenden Sie z. B. die tolower()-Funktion für ein Feld, um zu erzwingen, dass es immer klein geschrieben wird, oder den Operator =~ beim Durchführen eines Zeichenfolgenvergleichs.

Senden an Azure Storage

Senden Sie das Aktivitätsprotokoll an ein Azure Storage Konto, wenn Sie die Protokolldaten für Überwachung, statische Analyse oder Sicherungszwecke länger als 90 Tage aufbewahren möchten. Wenn Sie Ereignisse höchstens 90 Tage aufbewahren müssen, muss keine Archivierung in einem Speicherkonto eingerichtet werden. Aktivitätsprotokollereignisse werden 90 Tage auf der Azure-Plattform gespeichert.

Wenn Sie das Aktivitätsprotokoll an Azure senden, wird bei Auftreten eines Ereignisses ein Speichercontainer im Speicherkonto erstellt.

Jedes PT1H.json-Blob enthält ein JSON-Objekt mit Ereignissen aus Protokolldateien, die während der in der Blob-URL angegebenen Stunde empfangen wurden. Während der aktuellen Stunde werden die Ereignisse, sobald sie empfangen werden, an die Datei PT1H.json angehängt, unabhängig davon, wann sie erzeugt wurden. Der Minutenwert in der URL m=00 ist immer 00, da Blobs pro Stunde erstellt werden.