没问题，针对你这种情况，Azure提供了几个简单的方式来追踪是谁、在什么时候删除了那个资源组，我给你拆解下具体操作：

方法1：通过Azure门户查看活动日志 #

这是最直观的方式，不用敲命令：

• 登录Azure门户，先找到对应的订阅（你肯定知道这个资源组所属的订阅信息）
• 在订阅的左侧菜单中找到「活动日志」选项
• 在日志筛选器里设置：
  • 操作类型：选择「删除资源组」
  • 资源组名称：填入被删除的DefaultResourceGroup-NEU
  • 时间范围：根据你估计的删除时间调整，比如选「过去7天」或者自定义范围
• 找到对应的删除操作记录后，点击进去就能看到详细信息：包括操作时间、发起者（用户UPN或服务主体名称），甚至还有客户端IP、请求ID这些细节。

方法2：使用Azure CLI快速查询 #

如果你习惯用命令行，这条命令可以直接输出结构化结果：

az monitor activity-log list --resource-group DefaultResourceGroup-NEU --operation-name "Microsoft.Resources/subscriptions/resourceGroups/delete" --output table

即使资源组已经被删除，只要你指定正确的名称，活动日志里的记录依然会被返回。输出的表格里会清晰显示EventTimestamp（操作时间）和Caller（操作人/服务主体）字段。

方法3：使用Azure PowerShell查询 #

如果常用PowerShell管理Azure资源，也可以用这条命令：

Get-AzLog -ResourceGroupName DefaultResourceGroup-NEU -OperationName "Microsoft.Resources/subscriptions/resourceGroups/delete"

返回的结果里，Caller字段就是操作发起者，EventTimestamp就是删除发生的时间，你可以按需提取这些信息。

额外注意事项 #

• Azure活动日志默认保留90天，所以如果删除操作已经超过90天，可能就查不到记录了，不过DEV环境的话大概率还在有效期内。
• 如果是自动化程序（比如CI/CD管道、Azure自动化账户）删除的，Caller字段会显示对应的服务主体ID或名称，你可以去Azure AD里查询这个服务主体对应的应用和权限配置，就能定位到是哪个程序执行的操作。

内容的提问来源于stack exchange，提问作者jjczopek