怎么查询Azure用户操作记录

在Azure中，用户操作记录是非常重要的，因为它们可以帮助我们了解谁在何时对资源进行了何种操作，这些记录可以帮助我们进行审计，发现潜在的安全问题，以及解决可能出现的问题，如何查询Azure用户操作记录呢？本文将为您详细介绍。

1. 登录Azure门户

您需要登录到Azure门户，打开浏览器，访问https://portal.azure.com，然后使用您的Azure帐户登录。

2. 导航到Activity Log

登录后，点击左侧菜单栏中的“监视”图标，然后选择“活动日志”，这将打开一个新的页面，显示所有与您的Azure订阅相关的活动日志。

3. 筛选活动日志

在活动日志页面中，您可以使用顶部的筛选器来缩小搜索范围，您可以根据时间范围、资源类型、操作类型等进行筛选，您还可以使用搜索框来查找特定的活动。

4. 查看活动详细信息

点击某个活动，您将看到该活动的详细信息，包括操作类型、执行者、时间戳、资源ID等，您还可以查看与该活动相关的其他信息，如请求ID、状态代码等。

5. 导出活动日志

如果您需要将活动日志导出为CSV文件，可以点击页面底部的“导出”按钮，在弹出的对话框中，选择导出的时间范围和格式，然后点击“下载”按钮。

6. 设置活动日志保留策略

为了确保活动日志不会占用过多的存储空间，您可以设置保留策略，在活动日志页面中，点击页面顶部的“保留策略”链接，在这里，您可以设置活动日志的保留期限、归档选项等。

7. 使用Azure PowerShell查询活动日志

除了在Azure门户中查询活动日志外，您还可以使用Azure PowerShell来查询活动日志，安装并配置Azure PowerShell，运行以下命令：

Get-AzLog -StartTime 2022-01-01 -EndTime 2022-01-31 -ResourceGroupName myResourceGroup -OperationName Microsoft.Storage/storageAccounts/blobs/write -DetailedOutput

这个命令将查询2022年1月1日至2022年1月31日之间，名为myResourceGroup的资源组中，涉及Microsoft.Storage/storageAccounts/blobs/write操作的活动日志。-DetailedOutput参数表示输出详细的活动日志信息。

8. 使用Azure CLI查询活动日志

您还可以使用Azure CLI来查询活动日志，安装并配置Azure CLI，运行以下命令：

az monitor activity-log list --resource-group myResourceGroup --start-time 2022-01-01T00:00:00Z --end-time 2022-01-31T23:59:59Z --operation-name Microsoft.Storage/storageAccounts/blobs/write --query "[].{operationName:name, resourceId:id, eventTimestamp:eventTimestamp}" --output table

这个命令将查询2022年1月1日至2022年1月31日之间，名为myResourceGroup的资源组中，涉及Microsoft.Storage/storageAccounts/blobs/write操作的活动日志。--query参数用于指定输出的字段，--output table参数表示以表格形式输出结果。

9. 使用REST API查询活动日志

您还可以使用Azure REST API来查询活动日志，获取访问令牌，运行以下命令：

curl -X GET -H "Authorization: Bearer <your_access_token>" -G https://management.azure.com/subscriptions/<your_subscription_id>/providers/microsoft.insights/eventtypes/management?api-version=2015-04-01&$filter=eventTimestamp%20ge%20'2022-01-01T00:00:00Z'%20and%20eventTimestamp%20le%20'2022-01-31T23:59:59Z'%20and%20properties/operationName%20eq%20'Microsoft.Storage/storageAccounts/blobs/write'&$expand=properties($select=eventTimestamp)&$format=json; awk -F\" '{print $4}' | sort | uniq > activity_log.txt

这个命令将查询2022年1月1日至2022年1月31日之间，涉及Microsoft.Storage/storageAccounts/blobs/write操作的活动日志。awk命令用于提取事件时间戳，sort和uniq命令用于去除重复的事件时间戳，将结果保存到名为activity_log.txt的文件中。