Schéma událostí protokolu aktivit Azure
Protokol aktivit Azure poskytuje přehled o všech událostech na úrovni předplatného, ke kterým došlo v Azure. Tento článek popisuje kategorie protokolu aktivit a schéma pro každý z nich.
Schéma se liší v závislosti na tom, jak přistupujete k protokolu:
- Schémata popsaná v tomto článku jsou, když přistupujete k protokolu aktivit z rozhraní REST API. Schéma se používá také při výběru možnosti JSON při prohlížení události na webu Azure Portal.
- Pokud použijete nastavení diagnostiky k odeslání protokolu aktivit do služby Azure Storage nebo Azure Event Hubs, přečtěte si poslední část Schéma z účtu úložiště a centra událostí.
- Pokud k odeslání protokolu aktivit do pracovního prostoru služby Log Analytics použijete nastavení diagnostiky, přečtěte si referenční informace k datům služby Azure Monitor pro schéma.
Úroveň závažnosti
Každá položka v protokolu aktivit má úroveň závažnosti. Úroveň závažnosti může mít jednu z následujících hodnot:
Závažnost | Popis |
---|---|
Kritické | Události, které vyžadují okamžitou pozornost správce systému. Může znamenat, že aplikace nebo systém selhaly nebo přestaly reagovat. |
Chyba | Události, které značí problém, ale nevyžadují okamžitou pozornost. |
Upozorňující | Události, které poskytují forewarning potenciálních problémů, i když ne skutečnou chybu. Označuje, že prostředek není v ideálním stavu a může později snížit výkon zobrazení chyb nebo kritických událostí. |
Informační | Události, které předávají nekritické informace správci. Podobá se poznámce, která říká: "For your information" (Vaše informace). |
Vývojáři jednotlivých poskytovatelů prostředků vyberou úrovně závažnosti svých položek prostředků. V důsledku toho se skutečná závažnost pro vás může lišit v závislosti na tom, jak je vaše aplikace sestavená. Například položky, které jsou "kritické" pro určitý prostředek přijatý izolovaně, nemusí být tak důležité jako "chyby" v typu prostředku, který je centrální pro vaši aplikaci Azure. Při rozhodování o událostech, na které se mají upozornit, nezapomeňte vzít v úvahu tento fakt.
Kategorie
Každá událost v protokolu aktivit má určitou kategorii popsanou v následující tabulce. Další podrobnosti o jednotlivých kategoriích a jeho schématu najdete v následujících částech, když přistupujete k protokolu aktivit z portálu, PowerShellu, rozhraní příkazového řádku a rozhraní REST API. Schéma se liší při streamování protokolu aktivit do úložiště nebo služby Event Hubs. Mapování vlastností na schéma protokolů prostředků najdete v poslední části článku.
Kategorie | Popis |
---|---|
Administrativní | Obsahuje záznam všech operací vytvoření, aktualizace, odstranění a akcí provedených prostřednictvím Resource Manageru. Mezi příklady událostí správy patří vytvoření virtuálního počítače a odstranění skupiny zabezpečení sítě. Každá akce, kterou uživatel nebo aplikace provádí pomocí Resource Manageru, se modeluje jako operace pro konkrétní typ prostředku. Pokud je typ operace Zapisovat, Odstranit nebo Akce, zaznamenávají se záznamy spuštění i úspěchu nebo selhání této operace v kategorii Správa. Události správy zahrnují také všechny změny řízení přístupu na základě role v Azure v předplatném. |
Service Health | Obsahuje záznam všech incidentů stavu služeb, ke kterým došlo v Azure. Příkladem události služby Service Health v Azure v oblasti USA – východ dochází k výpadku. Události služby Service Health mají šest variant: Akce povinná, asistovaná obnova, incident, údržba, informace nebo zabezpečení. Tyto události se vytvoří jenom v případě, že máte prostředek v předplatném ovlivněné událostí. |
Resource Health | Obsahuje záznam všech událostí stavu prostředků, ke kterým došlo u vašich prostředků Azure. Příkladem události Resource Health je změna stavu virtuálního počítače na nedostupnost. Události služby Resource Health můžou představovat jeden ze čtyř stavů: Dostupný, Nedostupný, Degradovaný a Neznámý. Kromě toho je možné události služby Resource Health zařadit do kategorií jako iniciované platformou nebo iniciované uživatelem. |
Upozornění | Obsahuje záznam aktivací pro výstrahy Azure. Příkladem události upozornění je využití procesoru na virtuálním počítači myVM nad 80 za posledních 5 minut. |
Automatické škálování | Obsahuje záznam všech událostí souvisejících s provozem modulu automatického škálování na základě všech nastavení automatického škálování, která jste definovali ve svém předplatném. Příkladem události automatického škálování je selhání akce automatického škálování vertikálního navýšení kapacity. |
Doporučení | Obsahuje události doporučení z Azure Advisoru. |
Zabezpečení | Obsahuje záznam všech výstrah vygenerovaných programem Microsoft Defender for Cloud. Příkladem události zabezpečení je spuštěný podezřelý soubor s dvojitou příponou. |
Zásady | Obsahuje záznamy o všech operacích akcí účinku provedených službou Azure Policy. Mezi příklady událostí zásad patří Audit a Odepřít. Každá akce přijatá zásadou se modeluje jako operace u prostředku. |
Kategorie pro správu
Tato kategorie obsahuje záznam všech operací vytvoření, aktualizace, odstranění a akcí provedených prostřednictvím Resource Manageru. Příklady typů událostí, které byste viděli v této kategorii, zahrnují "vytvoření virtuálního počítače" a "odstranění skupiny zabezpečení sítě". Každá akce, kterou uživatel nebo aplikace provádí pomocí Resource Manageru, se modeluje jako operace pro konkrétní typ prostředku. Pokud je typ operace Zapisovat, Odstranit nebo Akce, zaznamenávají se záznamy spuštění i úspěchu nebo selhání této operace v kategorii Správa. Kategorie Správa také zahrnuje všechny změny řízení přístupu na základě role v Azure v předplatném.
Ukázková událost
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Popisy vlastností
Název prvku | Popis |
---|---|
autorizace | Objekt blob vlastnosti Azure RBAC události Obvykle zahrnuje vlastnosti "action", "role" a "scope". |
volající | E-mailová adresa uživatele, který provedl operaci, deklaraci hlavního názvu uživatele (UPN) nebo deklaraci identity hlavního názvu uživatele (SPN) na základě dostupnosti. |
kanály | Jedna z následujících hodnot: Admin, Operation |
deklarace identity | Token JWT používaný službou Active Directory k ověření uživatele nebo aplikace k provedení této operace v Resource Manageru. |
correlationId | Obvykle identifikátor GUID ve formátu řetězce. Události, které sdílejí ID korelace, patří do stejné akce uberu. |
description | Statický textový popis události |
eventDataId | Jedinečný identifikátor události. |
eventName | Popisný název události Pro správu |
category | Vždy "Správa" |
HttpRequest | Objekt blob popisující požadavek HTTP Obvykle zahrnuje "clientRequestId", "clientIpAddress" a "method" (metoda HTTP). Například PUT). |
úroveň | Úroveň závažnosti události |
resourceGroupName | Název skupiny prostředků pro ovlivněný prostředek |
resourceProviderName | Název poskytovatele prostředků pro ovlivněný prostředek |
resourceType | Typ prostředku ovlivněného událostí správy. |
resourceId | ID prostředku ovlivněného prostředku |
operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
operationName | Název operace. |
vlastnosti | <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. |
stav | Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno. |
subStatus | Stavový kód HTTP odpovídajícího volání REST, ale může obsahovat i další řetězce popisující dílčí stav, například tyto běžné hodnoty: OK (stavový kód HTTP: 200), vytvořeno (stavový kód HTTP: 201), přijato (stavový kód HTTP: 202), žádný obsah (stavový kód HTTP: 204), chybný požadavek (stavový kód HTTP: 400), nenalezen (stavový kód HTTP: 404), konflikt (stavový kód HTTP: 409), vnitřní chyba serveru (stavový kód HTTP: 500), nedostupná služba (stavový kód HTTP: 503), vypršení časového limitu brány (stavový kód HTTP: 504). |
eventTimestamp | Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události. |
submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazování. |
subscriptionId | ID předplatného Azure. |
kategorie Stav služby
Tato kategorie obsahuje záznam všech incidentů stavu služeb, ke kterým došlo v Azure. Příkladem typu události, kterou byste viděli v této kategorii, je SQL Azure v oblasti USA – východ dochází k výpadkům. Stav služby události přicházejí v pěti variantách: Akce požadovaná, incident, údržba, informace nebo zabezpečení a zobrazí se pouze v případě, že máte prostředek v předplatném, na který by událost měla vliv.
Ukázková událost
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Informace o hodnotách ve vlastnostech najdete v článku oznámení o stavu služby.
Kategorie Resource Health
Tato kategorie obsahuje záznam událostí stavu prostředků, ke kterým došlo u vašich prostředků Azure. Příkladem typu události, kterou byste viděli v této kategorii, je stav virtuálního počítače změněn na nedostupný. Události služby Resource Health můžou představovat jeden ze čtyř stavů: Dostupný, Nedostupný, Snížený výkon a Neznámý. Kromě toho je možné události služby Resource Health zařadit do kategorií jako iniciované platformou nebo iniciované uživatelem.
Událost služby Resource Health se zaznamenává v protokolu aktivit v následujících případech:
- Pro prostředek se odešle poznámka, například ResourceDegraded nebo AccountClientThrottling.
- Prostředek se převést na nebo z není v pořádku.
- Prostředek nebyl v pořádku déle než 15 minut.
Následující přechody stavu prostředků se v protokolu aktivit nezaznamenají:
- Přechod do neznámého stavu
- Přechod z neznámého stavu, pokud:
- Toto je první přechod.
- Pokud je stav před neznámým stavem stejný jako nový stav po. (Pokud například prostředek přecháděl ze stavu V pořádku na Neznámý a zpět do stavu V pořádku).
- Pro výpočetní prostředky: Virtuální počítače, které přecházejí ze stavu V pořádku na V pořádku, a zpět do stavu V pořádku, pokud je doba, která není v pořádku, kratší než 35 sekund.
Ukázková událost
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Popisy vlastností
Název prvku | Popis |
---|---|
kanály | Vždy "Admin, Operation" |
correlationId | Identifikátor GUID ve formátu řetězce. |
description | Statický textový popis události upozornění |
eventDataId | Jedinečný identifikátor události výstrahy. |
category | Vždy "ResourceHealth" |
eventTimestamp | Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události. |
úroveň | Úroveň závažnosti události |
operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
operationName | Název operace. |
resourceGroupName | Název skupiny prostředků, která prostředek obsahuje. |
resourceProviderName | Vždy "Microsoft.Resourcehealth/healthevent/action". |
resourceType | Typ prostředku ovlivněného událostí Resource Health. |
resourceId | Název ID prostředku pro ovlivněný prostředek |
stav | Řetězec popisující stav události stavu Hodnoty mohou být: Aktivní, Vyřešeno, InProgress, Aktualizováno. |
subStatus | Obvykle null pro výstrahy. |
submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazování. |
subscriptionId | ID předplatného Azure. |
vlastnosti | <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. |
properties.title | Uživatelsky přívětivý řetězec, který popisuje stav prostředku. |
properties.details | Uživatelsky přívětivý řetězec, který popisuje další podrobnosti o události. |
properties.currentHealthStatus | Aktuální stav prostředku. Jedna z následujících hodnot: "Available", "Unavailable", "Degraded" a "Unknown". |
properties.previousHealthStatus | Předchozí stav prostředku. Jedna z následujících hodnot: "Available", "Unavailable", "Degraded" a "Unknown". |
properties.type | Popis typu události resource health. |
properties.cause | Popis příčiny události resource health. Buď "UserInitiated" a "PlatformInitiated". |
Kategorie upozornění
Tato kategorie obsahuje záznam všech aktivací klasických upozornění Azure. Příkladem typu události, kterou byste viděli v této kategorii, je "CPU % na myVM je za posledních 5 minut více než 80". Různé systémy Azure mají koncept upozorňování: můžete definovat pravidlo určitého druhu a dostávat oznámení, když podmínky odpovídají danému pravidlu. Pokaždé, když se aktivuje podporovaný typ upozornění Azure nebo jsou splněné podmínky pro vygenerování oznámení, do této kategorie protokolu aktivit se odešle také záznam o aktivaci.
Ukázková událost
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Popisy vlastností
Název prvku | Popis |
---|---|
volající | Vždy Microsoft.Insights/alertRules |
kanály | Vždy "Admin, Operation" |
deklarace identity | Objekt blob JSON s hlavním názvem služby (instančním názvem) nebo typem prostředku modulu upozornění |
correlationId | Identifikátor GUID ve formátu řetězce. |
description | Statický textový popis události upozornění |
eventDataId | Jedinečný identifikátor události výstrahy. |
category | Vždy "Výstraha" |
úroveň | Úroveň závažnosti události |
resourceGroupName | Název skupiny prostředků ovlivněného prostředku, pokud se jedná o upozornění na metriku. U jiných typů výstrah se jedná o název skupiny prostředků, která obsahuje samotnou výstrahu. |
resourceProviderName | Název poskytovatele prostředků pro ovlivněný prostředek, pokud se jedná o upozornění na metriku. U jiných typů výstrah se jedná o název poskytovatele prostředků pro samotnou výstrahu. |
resourceId | Název ID prostředku ovlivněného prostředku, pokud se jedná o upozornění na metriku. U jiných typů upozornění se jedná o ID prostředku samotného prostředku upozornění. |
operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
operationName | Název operace. |
vlastnosti | <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. |
stav | Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno. |
subStatus | Obvykle null pro výstrahy. |
eventTimestamp | Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události. |
submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazování. |
subscriptionId | ID předplatného Azure. |
Pole Vlastnosti na typ výstrahy
Pole vlastnosti bude obsahovat různé hodnoty v závislosti na zdroji události výstrahy. Dvěma běžnými poskytovateli událostí upozornění jsou upozornění protokolu aktivit a upozornění na metriky.
Vlastnosti pro upozornění protokolu aktivit
Název prvku | Popis |
---|---|
properties.subscriptionId | ID předplatného z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
properties.eventDataId | ID dat události z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
properties.resourceGroup | Skupina prostředků z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
properties.resourceId | ID prostředku z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
properties.eventTimestamp | Časové razítko události protokolu aktivit, které způsobilo aktivaci tohoto pravidla upozornění protokolu aktivit. |
properties.operationName | Název operace z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
properties.status | Stav z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
Vlastnosti pro upozornění metrik
Název prvku | Popis |
---|---|
vlastnosti. RuleUri | ID prostředku samotného pravidla upozornění na metriku |
vlastnosti. RuleName | Název pravidla upozornění na metriku |
vlastnosti. RuleDescription | Popis pravidla upozornění metriky (jak je definováno v pravidle upozornění). |
vlastnosti. Práh | Prahová hodnota použitá při vyhodnocení pravidla upozornění metriky. |
vlastnosti. WindowSizeInMinutes | Velikost okna použitá při vyhodnocení pravidla upozornění metriky. |
vlastnosti. Agregace | Typ agregace definovaný v pravidle upozornění metriky. |
vlastnosti. Operátor | Podmíněný operátor použitý při vyhodnocení pravidla upozornění metriky. |
vlastnosti. Název metriky | Název metriky použité při vyhodnocení pravidla upozornění metriky. |
vlastnosti. MetricUnit | Jednotka metriky pro metriku použitou při vyhodnocování pravidla upozornění metriky. |
Kategorie automatického škálování
Tato kategorie obsahuje záznam všech událostí souvisejících s provozem modulu automatického škálování na základě všech nastavení automatického škálování, která jste definovali ve svém předplatném. Příkladem typu události, kterou byste viděli v této kategorii, je chyba akce automatického škálování vertikálního navýšení kapacity. Pomocí automatického škálování můžete pomocí nastavení automatického škálování automaticky škálovat nebo škálovat počet instancí v podporovaném typu prostředku na základě denních a/nebo zátěžových dat (metrik). Pokud jsou splněné podmínky pro vertikální navýšení nebo snížení kapacity, události zahájení a úspěšné nebo neúspěšné události se zaznamenávají v této kategorii.
Ukázková událost
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Popisy vlastností
Název prvku | Popis |
---|---|
volající | Always Microsoft.Insights/autoscaleSettings |
kanály | Vždy "Admin, Operation" |
deklarace identity | Objekt blob JSON s hlavním názvem služby (instančním názvem) nebo typem prostředku modulu automatického škálování |
correlationId | Identifikátor GUID ve formátu řetězce. |
description | Statický textový popis události automatického škálování |
eventDataId | Jedinečný identifikátor události automatického škálování |
úroveň | Úroveň závažnosti události |
resourceGroupName | Název skupiny prostředků pro nastavení automatického škálování |
resourceProviderName | Název poskytovatele prostředků pro nastavení automatického škálování |
resourceId | ID prostředku nastavení automatického škálování |
operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
operationName | Název operace. |
vlastnosti | <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. |
vlastnosti. Popis | Podrobný popis toho, co modul automatického škálování dělal. |
vlastnosti. ResourceName | ID prostředku ovlivněného prostředku (prostředek, na kterém se prováděla akce škálování) |
vlastnosti. OldInstancesCount | Početinstancíchch |
vlastnosti. NewInstancesCount | Početinstancích |
vlastnosti. LastScaleActionTime | Časové razítko, kdy došlo k akci automatického škálování. |
stav | Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno. |
subStatus | Obvykle má hodnotu null pro automatické škálování. |
eventTimestamp | Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události. |
submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazování. |
subscriptionId | ID předplatného Azure. |
Kategorie zabezpečení
Tato kategorie obsahuje záznam všech výstrah vygenerovaných programem Microsoft Defender for Cloud. Příkladem typu události, kterou byste viděli v této kategorii, je "Podezřelý soubor s dvojitou příponou byl proveden".
Ukázková událost
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Popisy vlastností
Název prvku | Popis |
---|---|
kanály | Vždy "Operace" |
correlationId | Identifikátor GUID ve formátu řetězce. |
description | Statický textový popis události zabezpečení |
eventDataId | Jedinečný identifikátor události zabezpečení. |
eventName | Popisný název události zabezpečení |
category | Vždy "Zabezpečení" |
ID | Jedinečný identifikátor prostředku události zabezpečení. |
úroveň | Úroveň závažnosti události |
resourceGroupName | Název skupiny prostředků pro prostředek |
resourceProviderName | Název poskytovatele prostředků pro Microsoft Defender for Cloud Vždy "Microsoft.Security". |
resourceType | Typ prostředku, který vygeneroval událost zabezpečení, například Microsoft.Security/locations/alerts |
resourceId | ID prostředku výstrahy zabezpečení |
operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
operationName | Název operace. |
vlastnosti | <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. Tyto vlastnosti se liší v závislosti na typu výstrahy zabezpečení. Na této stránce najdete popis typů výstrah, které pocházejí z Defenderu pro cloud. |
vlastnosti. Závažnost | Úroveň závažnosti. Možné hodnoty jsou "Vysoká", "Střední", nebo "Nízká". |
stav | Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno. |
subStatus | Obvykle null pro události zabezpečení. |
eventTimestamp | Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události. |
submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazování. |
subscriptionId | ID předplatného Azure. |
Kategorie doporučení
Tato kategorie obsahuje záznam všech nových doporučení generovaných pro vaše služby. Příkladem doporučení je použití skupin dostupnosti pro lepší odolnost proti chybám. Existují čtyři typy událostí doporučení, které lze vygenerovat: vysokou dostupnost, výkon, zabezpečení a optimalizaci nákladů.
Ukázková událost
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Popisy vlastností
Název prvku | Popis |
---|---|
kanály | Vždy "Operace" |
correlationId | Identifikátor GUID ve formátu řetězce. |
description | Statický textový popis události doporučení |
eventDataId | Jedinečný identifikátor události doporučení. |
category | Vždy "Doporučení" |
ID | Jedinečný identifikátor prostředku události doporučení. |
úroveň | Úroveň závažnosti události |
operationName | Název operace. Vždy Microsoft.Advisor/generateRecommendations/action |
resourceGroupName | Název skupiny prostředků pro prostředek |
resourceProviderName | Název poskytovatele prostředků pro prostředek, na který se toto doporučení vztahuje, například "MICROSOFT". COMPUTE" |
resourceType | Název typu prostředku pro prostředek, na který se toto doporučení vztahuje, například "MICROSOFT". COMPUTE/virtualmachines" |
resourceId | ID prostředku, na který se doporučení vztahuje |
stav | Vždy aktivní |
submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazování. |
subscriptionId | ID předplatného Azure. |
vlastnosti | <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti doporučení. |
properties.recommendationSchemaVersion | Verze schématu vlastností doporučení publikovaných v položce protokolu aktivit |
properties.recommendationCategory | Kategorie doporučení Možné hodnoty jsou "Vysoká dostupnost", "Výkon", "Zabezpečení" a "Náklady". |
properties.recommendationImpact | Dopad doporučení. Možné hodnoty jsou "Vysoká", "Střední", "Nízká" |
properties.recommendationRisk | Riziko doporučení Možné hodnoty jsou Error, Warning, None. |
Kategorie zásad
Tato kategorie obsahuje záznamy o všech operacích akcí účinku provedených službou Azure Policy. Mezi příklady typů událostí, které byste viděli v této kategorii, patří Audit a Odepřít. Každá akce přijatá zásadou se modeluje jako operace u prostředku.
Ukázková událost zásad
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Popisy vlastností události zásad
Název prvku | Popis |
---|---|
autorizace | Pole vlastností Azure RBAC události U nových prostředků se jedná o akci a rozsah požadavku, který aktivoval vyhodnocení. U existujících prostředků je akce Microsoft.Resources/checkPolicyCompliance/read. |
volající | U nových prostředků identita, která iniciovala nasazení. U existujících prostředků identifikátor GUID poskytovatele prostředků Microsoft Azure Policy Insights. |
kanály | Události zásad používají pouze kanál Operace. |
deklarace identity | Token JWT používaný službou Active Directory k ověření uživatele nebo aplikace k provedení této operace v Resource Manageru. |
correlationId | Obvykle identifikátor GUID ve formátu řetězce. Události, které sdílejí ID korelace, patří do stejné akce uberu. |
description | Toto pole je prázdné pro události zásad. |
eventDataId | Jedinečný identifikátor události. |
eventName | Buď "BeginRequest" nebo "EndRequest". Výraz BeginRequest se používá pro zpožděné auditIfNotExists a nasazuje vyhodnoceníIfNotExists a při spuštění nasazení efektu deployIfNotExists. Všechny ostatní operace vrátí "EndRequest". |
category | Deklaruje událost protokolu aktivit, která patří do "Policy". |
eventTimestamp | Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události. |
ID | Jedinečný identifikátor události pro konkrétní prostředek. |
úroveň | Úroveň závažnosti události Audit používá upozornění a zamítnutí používá chybu. Chyba auditIfNotExists nebo deployIfNotExists může v závislosti na závažnosti generovat upozornění nebo chybu. Všechny ostatní události zásad používají "informační". |
operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
operationName | Název operace a přímo koreluje s efektem zásady. |
resourceGroupName | Název skupiny prostředků pro vyhodnocený prostředek |
resourceProviderName | Název poskytovatele prostředků pro vyhodnocený prostředek |
resourceType | U nových prostředků je to typ, který se vyhodnocuje. U existujících prostředků vrátí hodnotu Microsoft.Resources/checkPolicyCompliance. |
resourceId | ID prostředku vyhodnoceného prostředku |
stav | Řetězec popisující stav výsledku vyhodnocení zásad Většina vyhodnocení zásad vrací úspěch, ale efekt Zamítnutí vrátí chybu. Chyby v auditIfNotExists nebo deployIfNotExists také vrací chybu Failed. |
subStatus | Pole je prázdné pro události zásad. |
submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazování. |
subscriptionId | ID předplatného Azure. |
properties.isComplianceCheck | Vrátí hodnotu False při nasazení nového prostředku nebo aktualizaci vlastností Resource Manageru existujícího prostředku. Výsledkem všech ostatních aktivačních událostí vyhodnocení je pravda. |
properties.resourceLocation | Oblast Azure prostředku, který se vyhodnocuje. |
properties.ancestors | Čárkami oddělený seznam nadřazených skupin pro správu seřazených od přímého nadřazeného po nejdůchožnějšího děda. |
properties.policies | Obsahuje podrobnosti o definici zásady, přiřazení, efektu a parametrech, které toto vyhodnocení zásad představuje. |
relatedEvents | Toto pole je prázdné pro události zásad. |
Schéma z účtu úložiště a center událostí
Při streamování protokolu aktivit Azure do účtu úložiště nebo centra událostí se data řídí schématem protokolu prostředků. Následující tabulka obsahuje mapování vlastností z výše uvedených schémat na schéma protokolů prostředků.
Důležité
Formát dat protokolu aktivit zapsaných do účtu úložiště se od 1. listopadu 2018 změnil na řádky JSON. Podrobnosti o této změně formátu najdete v tématu Příprava na změny formátu protokolů prostředků služby Azure Monitor archivovaných do účtu úložiště.
Vlastnost schématu protokolů prostředků | Vlastnost schématu rozhraní REST API protokolu aktivit | Notes |
---|---|---|
čas | eventTimestamp | |
resourceId | resourceId | subscriptionId, resourceType, resourceGroupName jsou odvozeny z id prostředku. |
operationName | operationName.value | |
category | Část názvu operace | Vždy "Správa" |
resultType | status.value | |
resultSignature | substatus.value | |
resultDescription | description | |
durationMs | – | Vždy 0 |
callerIpAddress | httpRequest.clientIpAddress | |
correlationId | correlationId | |
Identity | deklarace identity a vlastnosti autorizace | |
Level | Level | |
location | – | Umístění, kde byla událost zpracována. Toto není umístění prostředku, ale místo zpracování události. Tato vlastnost bude odebrána v budoucí aktualizaci. |
Vlastnosti | properties.eventProperties | |
properties.eventCategory | category | Pokud vlastnost.eventCategory není k dispozici, kategorie je "Správa". |
properties.eventName | eventName | |
properties.operationId | operationId | |
properties.eventProperties | vlastnosti |
Následuje příklad události, která používá toto schéma:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}