Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.
[Clásico] Buscar en AzureActivity
[Clásico] Busque en AzureActivity para buscar un valor específico en la tabla AzureActivity./nNote que esta consulta requiere actualizar el <parámetro SeachValue> para generar resultados.
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where * contains tostring(SearchValue)
| take 1000
Apagar máquinas virtuales
Las máquinas virtuales se apagaron correctamente en los últimos 10 minutos.
// To create an alert for this query, click '+ New alert rule'
AzureActivity
| where TimeGenerated > ago(10m)
| where OperationName == "Deallocate Virtual Machine" and ActivityStatus == "Succeeded"
Últimos 50 registros
Muestre los registros de actividad de Azure más recientes para este recurso.
AzureActivity
| top 50 by TimeGenerated desc
Estado de las operaciones
Muestra el registro de actividad de Azure más reciente para cada operación.
AzureActivity
| summarize arg_max(TimeGenerated, *) by OperationName
Registros de actividad recientes de Azure
Muestra todos los registros de actividad de Azure de la última hora.
AzureActivity
| where Level == "Error" or Level == "Warning"
| project TimeGenerated, Level, ResourceProvider, ActivityStatus, Caller, Category, Properties, CorrelationId
Operaciones con error
Enumera todos los informes de operación fallida durante la última hora.
AzureActivity
| where TimeGenerated > ago(1h)
| where ActivityStatus == "Failed"
Creación de recursos
Enumerar los recursos de Azure creados. Puede ser útil para la supervisión y las alertas.
AzureActivity
| where OperationNameValue has "Microsoft.Resources/deployments/write"
| where CategoryValue == "Administrative"
| where ActivityStatusValue == "Success"
| project Caller, TimeGenerated, _ResourceId
Buscar en AzureActivity
Busque en AzureActivity para buscar un valor específico en la tabla AzureActivity./nNote que esta consulta requiere actualizar el <parámetro SeachValue> para generar resultados.
// This query requires a parameter to run. Enter value in SearchValue to find in table.
let SearchValue = "<SearchValue>";//Please update term you would like to find in the table.
AzureActivity
| where ResourceProvider == "Microsoft.ContainerService"
| where * contains tostring(SearchValue)
| take 1000
Mostrar registros de tabla de AzureActivity
Enumera los registros más recientes de la tabla AzureActivity, ordenados por hora (primero más reciente).
AzureActivity
| top 10 by TimeGenerated
Mostrar registros de tabla de AzureActivity
Enumera los registros más recientes de la tabla AzureActivity, ordenados por hora (primero más reciente).
AzureActivity
| top 10 by TimeGenerated
Mostrar los 50 eventos principales del registro de actividad
Muestra los 50 eventos principales del registro de actividad.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceGroup,ResourceProviderValue,OperationNameValue,CategoryValue,CorrelationId,ActivityStatusValue, ActivitySubstatusValue, Properties_d, Caller
| top 50 by TimeGenerated
Mostrar eventos administrativos del registro de actividad
Muestra el registro de actividad de la categoría Administrativa.
AzureActivity
| where CategoryValue == "Administrative"
| order by TimeGenerated desc
Creación de la VM
Esta consulta muestra los resultados de cuando se crea una máquina virtual.
AzureActivity
| where TimeGenerated >= ago(1d)
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" and ActivityStatusValue == "Start"
| where Authorization_d.action == "Microsoft.Compute/virtualMachines/write"
| project OperationNameValue, ActivityStatusValue, VM_Name=Properties_d.resource, ResourceGroup, SubscriptionId, Created_By=Caller
Mostrar eventos del registro de actividad generados a partir de la directiva
Muestra los 100 registros principales de todas las operaciones de acción de efecto realizadas por Azure Policy.
AzureActivity
| project TimeGenerated, SubscriptionId, ResourceProviderValue, OperationNameValue, Caller, CategoryValue, CorrelationId, ActivityStatusValue, Properties_d
| where OperationNameValue has "audit"
| top 100 by TimeGenerated desc
Enumerar autores de llamadas y su acción asociada en las últimas 48 horas
Enumera los autores de llamadas y su acción asociada en las últimas 48 horas.
AzureActivity
| where TimeGenerated > ago(2d)
| project Caller, OperationNameValue, ActivityStatusValue, CategoryValue
| where Caller has "@"
Toda la actividad de Azure
La consulta presenta todos los eventos AzureActivity.
AzureActivity
| project TimeGenerated, Caller, OperationName, ActivityStatus, _ResourceId
Actividad de Azure para el usuario
Mostrar la actividad del usuario en Azure Activity.
// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus
Enumeración de clave exitosa
Enumera los usuarios que realizaron la enumeración de claves y su ubicación.
AzureActivity
| where OperationName == "List Storage Account Keys"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, CallerIpAddress, OperationName
Iniciación de JIT de acceso de red
Enumera el inicio de los permisos de acceso a la red JIT.
AzureActivity
| where OperationName == "Initiate JIT Network Access Policy"
| where ActivityStatus == "Started"
Estadísticas de operaciones de actividad de Azure
Estadísticas de operaciones sobre la actividad de Azure.
AzureActivity
| summarize Count=count() by OperationName, _ResourceId
| sort by Count desc nulls last