在Azure中,用户操作记录是非常重要的,因为它们可以帮助我们了解谁在何时对资源进行了何种操作,这些记录可以帮助我们进行审计,发现潜在的安全问题,以及解决可能出现的问题,如何查询Azure用户操作记录呢?本文将为您详细介绍。
1. 登录Azure门户
您需要登录到Azure门户,打开浏览器,访问https://portal.azure.com,然后使用您的Azure帐户登录。
2. 导航到Activity Log
登录后,点击左侧菜单栏中的“监视”图标,然后选择“活动日志”,这将打开一个新的页面,显示所有与您的Azure订阅相关的活动日志。
3. 筛选活动日志
在活动日志页面中,您可以使用顶部的筛选器来缩小搜索范围,您可以根据时间范围、资源类型、操作类型等进行筛选,您还可以使用搜索框来查找特定的活动。
4. 查看活动详细信息
点击某个活动,您将看到该活动的详细信息,包括操作类型、执行者、时间戳、资源ID等,您还可以查看与该活动相关的其他信息,如请求ID、状态代码等。
5. 导出活动日志
如果您需要将活动日志导出为CSV文件,可以点击页面底部的“导出”按钮,在弹出的对话框中,选择导出的时间范围和格式,然后点击“下载”按钮。
6. 设置活动日志保留策略
为了确保活动日志不会占用过多的存储空间,您可以设置保留策略,在活动日志页面中,点击页面顶部的“保留策略”链接,在这里,您可以设置活动日志的保留期限、归档选项等。
7. 使用Azure PowerShell查询活动日志
除了在Azure门户中查询活动日志外,您还可以使用Azure PowerShell来查询活动日志,安装并配置Azure PowerShell,运行以下命令:
Get-AzLog -StartTime 2022-01-01 -EndTime 2022-01-31 -ResourceGroupName myResourceGroup -OperationName Microsoft.Storage/storageAccounts/blobs/write -DetailedOutput
这个命令将查询2022年1月1日至2022年1月31日之间,名为myResourceGroup的资源组中,涉及Microsoft.Storage/storageAccounts/blobs/write操作的活动日志。-DetailedOutput参数表示输出详细的活动日志信息。
8. 使用Azure CLI查询活动日志
您还可以使用Azure CLI来查询活动日志,安装并配置Azure CLI,运行以下命令:
az monitor activity-log list --resource-group myResourceGroup --start-time 2022-01-01T00:00:00Z --end-time 2022-01-31T23:59:59Z --operation-name Microsoft.Storage/storageAccounts/blobs/write --query "[].{operationName:name, resourceId:id, eventTimestamp:eventTimestamp}" --output table
这个命令将查询2022年1月1日至2022年1月31日之间,名为myResourceGroup的资源组中,涉及Microsoft.Storage/storageAccounts/blobs/write操作的活动日志。--query参数用于指定输出的字段,--output table参数表示以表格形式输出结果。
9. 使用REST API查询活动日志
您还可以使用Azure REST API来查询活动日志,获取访问令牌,运行以下命令:
curl -X GET -H "Authorization: Bearer <your_access_token>" -G https://management.azure.com/subscriptions/<your_subscription_id>/providers/microsoft.insights/eventtypes/management?api-version=2015-04-01&$filter=eventTimestamp%20ge%20'2022-01-01T00:00:00Z'%20and%20eventTimestamp%20le%20'2022-01-31T23:59:59Z'%20and%20properties/operationName%20eq%20'Microsoft.Storage/storageAccounts/blobs/write'&$expand=properties($select=eventTimestamp)&$format=json; awk -F\" '{print $4}' | sort | uniq > activity_log.txt
这个命令将查询2022年1月1日至2022年1月31日之间,涉及Microsoft.Storage/storageAccounts/blobs/write操作的活动日志。awk命令用于提取事件时间戳,sort和uniq命令用于去除重复的事件时间戳,将结果保存到名为activity_log.txt的文件中。
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/183593.html
微信扫一扫 