Monitorar eventos de segurança usando o Azure Monitor
O registo de atividades do Azure Monitor é um registo de plataformas no Azure que fornece informações sobre os eventos ao nível da subscrição. O registo de atividades inclui informações como quando um recurso é modificado ou uma máquina virtual é iniciada. Pode ver o registo de atividades no portal do Azure ou obter as entradas com o PowerShell e a CLI do Azure. Este artigo apresenta informações sobre como ver o registo de atividades e enviá-lo para diferentes destinos.
Para obter mais funcionalidades, crie uma configuração de diagnóstico para enviar o log de atividades para um ou mais desses locais pelos seguintes motivos:
Envie para os Logs do Azure Monitor para consultas e alertas mais complexos e para retenção mais longa, até dois anos.
Envie para Hubs de Eventos do Azure para encaminhar para fora do Azure.
Envie para o Armazenamento do Azure para obter um arquivamento mais barato e de longo prazo.
As entradas no Registo de Atividades são geradas pelo sistema e não podem ser alteradas ou eliminadas.
As entradas no Log de Atividades estão representando alterações no plano de controle como uma reinicialização de máquina virtual, quaisquer entradas não relacionadas devem ser gravadas nos Logs de Recursos do Azure.
Período de retenção
Os eventos do registo de atividades são retidos no Azure durante 90 dias e, depois, eliminados. Não existem custos associados às entradas durante este período, independentemente do volume. Para obter mais funcionalidades, como uma retenção mais longa, crie uma definição de diagnóstico e encaminhe as entradas para outra localização com base nas suas necessidades. Veja os critérios na secção anterior.
Ver o registo de atividades
Pode aceder ao registo de atividades a partir da maioria dos menus do portal do Azure. O menu a partir do qual abre o Registo de atividades determina o filtro inicial. Se o abrir a partir do menu Monitorizar, o único filtro está na subscrição. Se o abrir a partir do menu de um recurso, o filtro está definido para esse recurso. Pode sempre alterar o filtro para ver todas as outras entradas. Selecione Adicionar Filtro para adicionar mais propriedades ao filtro.
Descarregue o registo de atividades
Selecione Transferir como CSV para transferir os eventos na vista atual.
Ver o histórico de alterações
Para alguns eventos, pode ver o histórico de alterações, que mostra as alterações ocorridas durante o tempo desse evento. Selecione um evento no registro de atividades que você deseja examinar mais profundamente. Selecione a guia Histórico de alterações para visualizar quaisquer alterações no recurso até 30 minutos antes e depois do horário da operação.
Se houver alterações associadas ao evento, você verá uma lista de alterações que pode selecionar. Selecionar uma alteração abre a página Histórico de alterações . Esta página exibe as alterações no recurso. No exemplo a seguir, você pode ver que a VM mudou de tamanho.
Outros métodos para recuperar eventos de log de atividades
Você também pode acessar eventos de log de atividades usando os seguintes métodos:
- Utilize o cmdlet Get-AzLog para obter o registo de atividades do PowerShell. Veja Exemplos de PowerShell do Azure Monitor.
- Utilize az monitor activity-log para obter o registo de atividades da CLI. Veja Exemplos de CLI do Azure Monitor.
- Utilize a API REST do Azure Monitor para obter o registo de atividades de um cliente REST.
Enviar para a área de trabalho do Log Analytics
Envie o log de atividades para um espaço de trabalho do Log Analytics para habilitar o recurso Azure Monitor Logs, onde você:
- Correlacione os dados do log de atividades com outros dados de monitoramento coletados pelo Azure Monitor.
- Consolide entradas de log de várias assinaturas e locatários do Azure em um único local para análise em conjunto.
- Use consultas de log para executar análises complexas e obter insights profundos sobre entradas de log de atividades.
- Use alertas de log com entradas de atividade para uma lógica de alerta mais complexa.
- Armazene as entradas do log de atividades por mais tempo do que o período de retenção do log de atividades.
- Não incorra em nenhuma ingestão de dados ou taxas de retenção para dados de log de atividades armazenados em um espaço de trabalho do Log Analytics.
- O período de retenção padrão no Log Analytics é de 90 dias.
Selecione Exportar registros de atividades para enviar o registro de atividades para um espaço de trabalho do Log Analytics. Você pode enviar o registro de atividades de qualquer assinatura para até cinco espaços de trabalho.
Os dados do log de atividades em um espaço de trabalho do Log Analytics são armazenados em uma tabela chamada AzureActivity que você pode recuperar com uma consulta de log no Log Analytics. A estrutura desta tabela varia dependendo da categoria da entrada de log.
Em alguns cenários, é possível que os valores em campos de AzureActivity possam ter invólucros diferentes de valores equivalentes. Tenha cuidado ao consultar dados no AzureActivity para usar operadores que não diferenciam maiúsculas de minúsculas para comparações de cadeia de caracteres ou use uma função escalar para forçar um campo a um invólucro uniforme antes de qualquer comparação. Por exemplo, use a função tolower() em um campo para forçá-lo a ser sempre minúsculo ou o operador =~ ao executar uma comparação de cadeia de caracteres.
Enviar para o Armazenamento do Azure
Envie o log de atividades para uma conta de Armazenamento do Azure se quiser reter seus dados de log por mais de 90 dias para auditoria, análise estática ou backup. Se for necessário reter seus eventos por 90 dias ou menos, não será necessário configurar o arquivamento em uma conta de armazenamento. Os eventos do log de atividades são mantidos na plataforma Azure por 90 dias.
Quando você envia o log de atividades para o Azure, um contêiner de armazenamento é criado na conta de armazenamento assim que ocorre um evento.
Cada blob PT1H.json contém um objeto JSON com eventos de arquivos de log que foram recebidos durante a hora especificada na URL do blob. Durante a hora presente, os eventos são anexados ao arquivo PT1H.json à medida que são recebidos, independentemente de quando foram gerados. O valor de minuto na URL, m=00 é sempre 00 à medida que os blobs são criados por hora.