LogAnalyticsのアクティビティログからVM起動・停止のログを抽出する

by .

アクティビティログからVMの起動・停止のログを抽出するKQLを紹介します。

 

なお、本KQLは、アクティビティログをLogAnalyticsワークスペースに収集していることを前提としています。アクティビティログがLogAnalyticsに連係されていない場合、ここで紹介するKQLは利用できないのでご注意ください。


以下KQLをコピペで取得可能です。
KQLのコメント( //部分 )に記載したとおり、環境にあわせて適宜修正すれば使えると思います。

 


let LookbackPeriod = 90d;
AzureActivity
| where TimeGenerated >= ago(LookbackPeriod)
| where _ResourceId contains "test-VM001"  //絞り込みたい場合はVM名を指定
| where OperationNameValue in~ (
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/deallocate/action",
    "Microsoft.Compute/virtualMachines/restart/action"
)
| where ActivityStatusValue == "Succeeded"  //ログは複数に分かれるのでSucceededステータスのものだけ抽出

実行例は以下です。最初は絞り込まずにログを把握して、そこから抽出範囲を狭めていくのが良いと思います。

 

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください