Sdílet prostřednictvím


Schéma událostí protokolu aktivit Azure

Protokol aktivit Azure poskytuje přehled o všech událostech na úrovni předplatného, ke kterým došlo v Azure. Tento článek popisuje kategorie protokolu aktivit a schéma pro každý z nich.

Schéma se liší v závislosti na tom, jak přistupujete k protokolu:

Úroveň závažnosti

Každá položka v protokolu aktivit má úroveň závažnosti. Úroveň závažnosti může mít jednu z následujících hodnot:

Závažnost Popis
Kritické Události, které vyžadují okamžitou pozornost správce systému. Může znamenat, že aplikace nebo systém selhaly nebo přestaly reagovat.
Chyba Události, které značí problém, ale nevyžadují okamžitou pozornost.
Upozorňující Události, které poskytují forewarning potenciálních problémů, i když ne skutečnou chybu. Označuje, že prostředek není v ideálním stavu a může později snížit výkon zobrazení chyb nebo kritických událostí.
Informační Události, které předávají nekritické informace správci. Podobá se poznámce, která říká: "For your information" (Vaše informace).

Vývojáři jednotlivých poskytovatelů prostředků vyberou úrovně závažnosti svých položek prostředků. V důsledku toho se skutečná závažnost pro vás může lišit v závislosti na tom, jak je vaše aplikace sestavená. Například položky, které jsou "kritické" pro určitý prostředek přijatý izolovaně, nemusí být tak důležité jako "chyby" v typu prostředku, který je centrální pro vaši aplikaci Azure. Při rozhodování o událostech, na které se mají upozornit, nezapomeňte vzít v úvahu tento fakt.

Kategorie

Každá událost v protokolu aktivit má určitou kategorii popsanou v následující tabulce. Další podrobnosti o jednotlivých kategoriích a jeho schématu najdete v následujících částech, když přistupujete k protokolu aktivit z portálu, PowerShellu, rozhraní příkazového řádku a rozhraní REST API. Schéma se liší při streamování protokolu aktivit do úložiště nebo služby Event Hubs. Mapování vlastností na schéma protokolů prostředků najdete v poslední části článku.

Kategorie Popis
Administrativní Obsahuje záznam všech operací vytvoření, aktualizace, odstranění a akcí provedených prostřednictvím Resource Manageru. Mezi příklady událostí správy patří vytvoření virtuálního počítače a odstranění skupiny zabezpečení sítě.

Každá akce, kterou uživatel nebo aplikace provádí pomocí Resource Manageru, se modeluje jako operace pro konkrétní typ prostředku. Pokud je typ operace Zapisovat, Odstranit nebo Akce, zaznamenávají se záznamy spuštění i úspěchu nebo selhání této operace v kategorii Správa. Události správy zahrnují také všechny změny řízení přístupu na základě role v Azure v předplatném.
Service Health Obsahuje záznam všech incidentů stavu služeb, ke kterým došlo v Azure. Příkladem události služby Service Health v Azure v oblasti USA – východ dochází k výpadku.

Události služby Service Health mají šest variant: Akce povinná, asistovaná obnova, incident, údržba, informace nebo zabezpečení. Tyto události se vytvoří jenom v případě, že máte prostředek v předplatném ovlivněné událostí.
Resource Health Obsahuje záznam všech událostí stavu prostředků, ke kterým došlo u vašich prostředků Azure. Příkladem události Resource Health je změna stavu virtuálního počítače na nedostupnost.

Události služby Resource Health můžou představovat jeden ze čtyř stavů: Dostupný, Nedostupný, Degradovaný a Neznámý. Kromě toho je možné události služby Resource Health zařadit do kategorií jako iniciované platformou nebo iniciované uživatelem.
Upozornění Obsahuje záznam aktivací pro výstrahy Azure. Příkladem události upozornění je využití procesoru na virtuálním počítači myVM nad 80 za posledních 5 minut.
Automatické škálování Obsahuje záznam všech událostí souvisejících s provozem modulu automatického škálování na základě všech nastavení automatického škálování, která jste definovali ve svém předplatném. Příkladem události automatického škálování je selhání akce automatického škálování vertikálního navýšení kapacity.
Doporučení Obsahuje události doporučení z Azure Advisoru.
Zabezpečení Obsahuje záznam všech výstrah vygenerovaných programem Microsoft Defender for Cloud. Příkladem události zabezpečení je spuštěný podezřelý soubor s dvojitou příponou.
Zásady Obsahuje záznamy o všech operacích akcí účinku provedených službou Azure Policy. Mezi příklady událostí zásad patří Audit a Odepřít. Každá akce přijatá zásadou se modeluje jako operace u prostředku.

Kategorie pro správu

Tato kategorie obsahuje záznam všech operací vytvoření, aktualizace, odstranění a akcí provedených prostřednictvím Resource Manageru. Příklady typů událostí, které byste viděli v této kategorii, zahrnují "vytvoření virtuálního počítače" a "odstranění skupiny zabezpečení sítě". Každá akce, kterou uživatel nebo aplikace provádí pomocí Resource Manageru, se modeluje jako operace pro konkrétní typ prostředku. Pokud je typ operace Zapisovat, Odstranit nebo Akce, zaznamenávají se záznamy spuštění i úspěchu nebo selhání této operace v kategorii Správa. Kategorie Správa také zahrnuje všechny změny řízení přístupu na základě role v Azure v předplatném.

Ukázková událost

{
    "authorization": {
        "action": "Microsoft.Network/networkSecurityGroups/write",
        "scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
    },
    "caller": "rob@contoso.com",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "_claim_names": "{\"groups\":\"src1\"}",
        "_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
        "http://schemas.microsoft.com/claims/authnclassreference": "1",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
        "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "appidacr": "2",
        "http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
        "e_exp": "262800",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
        "ipaddr": "111.111.1.111",
        "name": "Rob Robertson",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
        "puid": "18247BBD84827C6D",
        "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2018-01-29T20:42:31.3810679Z",
    "id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
    "level": "Informational",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Network/networkSecurityGroups/write",
        "localizedValue": "Microsoft.Network/networkSecurityGroups/write"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Network",
        "localizedValue": "Microsoft.Network"
    },
    "resourceType": {
        "value": "Microsoft.Network/networkSecurityGroups",
        "localizedValue": "Microsoft.Network/networkSecurityGroups"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "statusCode": "Created",
        "serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
        "responseBody": "",
        "requestbody": ""
    },
    "relatedEvents": []
}

Popisy vlastností

Název prvku Popis
autorizace Objekt blob vlastnosti Azure RBAC události Obvykle zahrnuje vlastnosti "action", "role" a "scope".
volající E-mailová adresa uživatele, který provedl operaci, deklaraci hlavního názvu uživatele (UPN) nebo deklaraci identity hlavního názvu uživatele (SPN) na základě dostupnosti.
kanály Jedna z následujících hodnot: Admin, Operation
deklarace identity Token JWT používaný službou Active Directory k ověření uživatele nebo aplikace k provedení této operace v Resource Manageru.
correlationId Obvykle identifikátor GUID ve formátu řetězce. Události, které sdílejí ID korelace, patří do stejné akce uberu.
description Statický textový popis události
eventDataId Jedinečný identifikátor události.
eventName Popisný název události Pro správu
category Vždy "Správa"
HttpRequest Objekt blob popisující požadavek HTTP Obvykle zahrnuje "clientRequestId", "clientIpAddress" a "method" (metoda HTTP). Například PUT).
úroveň Úroveň závažnosti události
resourceGroupName Název skupiny prostředků pro ovlivněný prostředek
resourceProviderName Název poskytovatele prostředků pro ovlivněný prostředek
resourceType Typ prostředku ovlivněného událostí správy.
resourceId ID prostředku ovlivněného prostředku
operationId Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci.
operationName Název operace.
vlastnosti <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události.
stav Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno.
subStatus Stavový kód HTTP odpovídajícího volání REST, ale může obsahovat i další řetězce popisující dílčí stav, například tyto běžné hodnoty: OK (stavový kód HTTP: 200), vytvořeno (stavový kód HTTP: 201), přijato (stavový kód HTTP: 202), žádný obsah (stavový kód HTTP: 204), chybný požadavek (stavový kód HTTP: 400), nenalezen (stavový kód HTTP: 404), konflikt (stavový kód HTTP: 409), vnitřní chyba serveru (stavový kód HTTP: 500), nedostupná služba (stavový kód HTTP: 503), vypršení časového limitu brány (stavový kód HTTP: 504).
eventTimestamp Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události.
submissionTimestamp Časové razítko, kdy byla událost k dispozici pro dotazování.
subscriptionId ID předplatného Azure.

kategorie Stav služby

Tato kategorie obsahuje záznam všech incidentů stavu služeb, ke kterým došlo v Azure. Příkladem typu události, kterou byste viděli v této kategorii, je SQL Azure v oblasti USA – východ dochází k výpadkům. Stav služby události přicházejí v pěti variantách: Akce požadovaná, incident, údržba, informace nebo zabezpečení a zobrazí se pouze v případě, že máte prostředek v předplatném, na který by událost měla vliv.

Ukázková událost

{
  "channels": "Admin",
  "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
  "description": "Active: Network Infrastructure - UK South",
  "eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
  "eventName": {
      "value": null
  },
  "category": {
      "value": "ServiceHealth",
      "localizedValue": "Service Health"
  },
  "eventTimestamp": "2017-07-20T23:30:14.8022297Z",
  "id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
  "level": "Warning",
  "operationName": {
      "value": "Microsoft.ServiceHealth/incident/action",
      "localizedValue": "Microsoft.ServiceHealth/incident/action"
  },
  "resourceProviderName": {
      "value": null
  },
  "resourceType": {
      "value": null,
      "localizedValue": ""
  },
  "resourceId": "/subscriptions/<subscription ID>",
  "status": {
      "value": "Active",
      "localizedValue": "Active"
  },
  "subStatus": {
      "value": null
  },
  "submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
  "subscriptionId": "<subscription ID>",
  "properties": {
    "title": "Network Infrastructure - UK South",
    "service": "Service Fabric",
    "region": "UK South",
    "communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "incidentType": "Incident",
    "trackingId": "NA0F-BJG",
    "impactStartTime": "2017-07-20T21:41:00.0000000Z",
    "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
    "defaultLanguageTitle": "Network Infrastructure - UK South",
    "defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "stage": "Active",
    "communicationId": "636361902146035247",
    "version": "0.1.1"
  }
}

Informace o hodnotách ve vlastnostech najdete v článku oznámení o stavu služby.

Kategorie Resource Health

Tato kategorie obsahuje záznam událostí stavu prostředků, ke kterým došlo u vašich prostředků Azure. Příkladem typu události, kterou byste viděli v této kategorii, je stav virtuálního počítače změněn na nedostupný. Události služby Resource Health můžou představovat jeden ze čtyř stavů: Dostupný, Nedostupný, Snížený výkon a Neznámý. Kromě toho je možné události služby Resource Health zařadit do kategorií jako iniciované platformou nebo iniciované uživatelem.

Událost služby Resource Health se zaznamenává v protokolu aktivit v následujících případech:

  • Pro prostředek se odešle poznámka, například ResourceDegraded nebo AccountClientThrottling.
  • Prostředek se převést na nebo z není v pořádku.
  • Prostředek nebyl v pořádku déle než 15 minut.

Následující přechody stavu prostředků se v protokolu aktivit nezaznamenají:

  • Přechod do neznámého stavu
  • Přechod z neznámého stavu, pokud:
    • Toto je první přechod.
    • Pokud je stav před neznámým stavem stejný jako nový stav po. (Pokud například prostředek přecháděl ze stavu V pořádku na Neznámý a zpět do stavu V pořádku).
    • Pro výpočetní prostředky: Virtuální počítače, které přecházejí ze stavu V pořádku na V pořádku, a zpět do stavu V pořádku, pokud je doba, která není v pořádku, kratší než 35 sekund.

Ukázková událost

{
    "channels": "Admin, Operation",
    "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
    "description": "",
    "eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "ResourceHealth",
        "localizedValue": "Resource Health"
    },
    "eventTimestamp": "2018-09-04T15:33:43.65Z",
    "id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
    "level": "Critical",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Resourcehealth/healthevent/Activated/action",
        "localizedValue": "Health Event Activated"
    },
    "resourceGroupName": "<resource group>",
    "resourceProviderName": {
        "value": "Microsoft.Resourcehealth/healthevent/action",
        "localizedValue": "Microsoft.Resourcehealth/healthevent/action"
    },
    "resourceType": {
        "value": "Microsoft.Compute/virtualMachines",
        "localizedValue": "Microsoft.Compute/virtualMachines"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "stage": "Active",
        "title": "Virtual Machine health status changed to unavailable",
        "details": "Virtual machine has experienced an unexpected event",
        "healthStatus": "Unavailable",
        "healthEventType": "Downtime",
        "healthEventCause": "PlatformInitiated",
        "healthEventCategory": "Unplanned"
    },
    "relatedEvents": []
}

Popisy vlastností

Název prvku Popis
kanály Vždy "Admin, Operation"
correlationId Identifikátor GUID ve formátu řetězce.
description Statický textový popis události upozornění
eventDataId Jedinečný identifikátor události výstrahy.
category Vždy "ResourceHealth"
eventTimestamp Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události.
úroveň Úroveň závažnosti události
operationId Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci.
operationName Název operace.
resourceGroupName Název skupiny prostředků, která prostředek obsahuje.
resourceProviderName Vždy "Microsoft.Resourcehealth/healthevent/action".
resourceType Typ prostředku ovlivněného událostí Resource Health.
resourceId Název ID prostředku pro ovlivněný prostředek
stav Řetězec popisující stav události stavu Hodnoty mohou být: Aktivní, Vyřešeno, InProgress, Aktualizováno.
subStatus Obvykle null pro výstrahy.
submissionTimestamp Časové razítko, kdy byla událost k dispozici pro dotazování.
subscriptionId ID předplatného Azure.
vlastnosti <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události.
properties.title Uživatelsky přívětivý řetězec, který popisuje stav prostředku.
properties.details Uživatelsky přívětivý řetězec, který popisuje další podrobnosti o události.
properties.currentHealthStatus Aktuální stav prostředku. Jedna z následujících hodnot: "Available", "Unavailable", "Degraded" a "Unknown".
properties.previousHealthStatus Předchozí stav prostředku. Jedna z následujících hodnot: "Available", "Unavailable", "Degraded" a "Unknown".
properties.type Popis typu události resource health.
properties.cause Popis příčiny události resource health. Buď "UserInitiated" a "PlatformInitiated".

Kategorie upozornění

Tato kategorie obsahuje záznam všech aktivací klasických upozornění Azure. Příkladem typu události, kterou byste viděli v této kategorii, je "CPU % na myVM je za posledních 5 minut více než 80". Různé systémy Azure mají koncept upozorňování: můžete definovat pravidlo určitého druhu a dostávat oznámení, když podmínky odpovídají danému pravidlu. Pokaždé, když se aktivuje podporovaný typ upozornění Azure nebo jsou splněné podmínky pro vygenerování oznámení, do této kategorie protokolu aktivit se odešle také záznam o aktivaci.

Ukázková událost

{
  "caller": "Microsoft.Insights/alertRules",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
  },
  "correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
  "eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
  "eventName": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "category": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "Microsoft.ClassicCompute",
    "localizedValue": "Microsoft.ClassicCompute"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
  "resourceType": {
    "value": "Microsoft.ClassicCompute/domainNames/slots/roles",
    "localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
  },
  "operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "operationName": {
    "value": "Microsoft.Insights/AlertRules/Resolved/Action",
    "localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
  },
  "properties": {
    "RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
    "RuleName": "myalert",
    "RuleDescription": "",
    "Threshold": "100000",
    "WindowSizeInMinutes": "5",
    "Aggregation": "Average",
    "Operator": "LessThan",
    "MetricName": "Disk read",
    "MetricUnit": "Count"
  },
  "status": {
    "value": "Resolved",
    "localizedValue": "Resolved"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T09:24:13.522192Z",
  "submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
  "subscriptionId": "<subscription ID>"
}

Popisy vlastností

Název prvku Popis
volající Vždy Microsoft.Insights/alertRules
kanály Vždy "Admin, Operation"
deklarace identity Objekt blob JSON s hlavním názvem služby (instančním názvem) nebo typem prostředku modulu upozornění
correlationId Identifikátor GUID ve formátu řetězce.
description Statický textový popis události upozornění
eventDataId Jedinečný identifikátor události výstrahy.
category Vždy "Výstraha"
úroveň Úroveň závažnosti události
resourceGroupName Název skupiny prostředků ovlivněného prostředku, pokud se jedná o upozornění na metriku. U jiných typů výstrah se jedná o název skupiny prostředků, která obsahuje samotnou výstrahu.
resourceProviderName Název poskytovatele prostředků pro ovlivněný prostředek, pokud se jedná o upozornění na metriku. U jiných typů výstrah se jedná o název poskytovatele prostředků pro samotnou výstrahu.
resourceId Název ID prostředku ovlivněného prostředku, pokud se jedná o upozornění na metriku. U jiných typů upozornění se jedná o ID prostředku samotného prostředku upozornění.
operationId Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci.
operationName Název operace.
vlastnosti <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události.
stav Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno.
subStatus Obvykle null pro výstrahy.
eventTimestamp Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události.
submissionTimestamp Časové razítko, kdy byla událost k dispozici pro dotazování.
subscriptionId ID předplatného Azure.

Pole Vlastnosti na typ výstrahy

Pole vlastnosti bude obsahovat různé hodnoty v závislosti na zdroji události výstrahy. Dvěma běžnými poskytovateli událostí upozornění jsou upozornění protokolu aktivit a upozornění na metriky.

Vlastnosti pro upozornění protokolu aktivit

Název prvku Popis
properties.subscriptionId ID předplatného z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit.
properties.eventDataId ID dat události z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit.
properties.resourceGroup Skupina prostředků z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit.
properties.resourceId ID prostředku z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit.
properties.eventTimestamp Časové razítko události protokolu aktivit, které způsobilo aktivaci tohoto pravidla upozornění protokolu aktivit.
properties.operationName Název operace z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit.
properties.status Stav z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit.

Vlastnosti pro upozornění metrik

Název prvku Popis
vlastnosti. RuleUri ID prostředku samotného pravidla upozornění na metriku
vlastnosti. RuleName Název pravidla upozornění na metriku
vlastnosti. RuleDescription Popis pravidla upozornění metriky (jak je definováno v pravidle upozornění).
vlastnosti. Práh Prahová hodnota použitá při vyhodnocení pravidla upozornění metriky.
vlastnosti. WindowSizeInMinutes Velikost okna použitá při vyhodnocení pravidla upozornění metriky.
vlastnosti. Agregace Typ agregace definovaný v pravidle upozornění metriky.
vlastnosti. Operátor Podmíněný operátor použitý při vyhodnocení pravidla upozornění metriky.
vlastnosti. Název metriky Název metriky použité při vyhodnocení pravidla upozornění metriky.
vlastnosti. MetricUnit Jednotka metriky pro metriku použitou při vyhodnocování pravidla upozornění metriky.

Kategorie automatického škálování

Tato kategorie obsahuje záznam všech událostí souvisejících s provozem modulu automatického škálování na základě všech nastavení automatického škálování, která jste definovali ve svém předplatném. Příkladem typu události, kterou byste viděli v této kategorii, je chyba akce automatického škálování vertikálního navýšení kapacity. Pomocí automatického škálování můžete pomocí nastavení automatického škálování automaticky škálovat nebo škálovat počet instancí v podporovaném typu prostředku na základě denních a/nebo zátěžových dat (metrik). Pokud jsou splněné podmínky pro vertikální navýšení nebo snížení kapacity, události zahájení a úspěšné nebo neúspěšné události se zaznamenávají v této kategorii.

Ukázková událost

{
  "caller": "Microsoft.Insights/autoscaleSettings",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
  },
  "correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
  "eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
  "eventName": {
    "value": "AutoscaleAction",
    "localizedValue": "AutoscaleAction"
  },
  "category": {
    "value": "Autoscale",
    "localizedValue": "Autoscale"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "microsoft.insights",
    "localizedValue": "microsoft.insights"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
  "resourceType": {
    "value": "microsoft.insights/autoscalesettings",
    "localizedValue": "microsoft.insights/autoscalesettings"
  },
  "operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "operationName": {
    "value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
    "localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
  },
  "properties": {
    "Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
    "ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
    "OldInstancesCount": "3",
    "NewInstancesCount": "2",
    "LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T01:00:51.8681572Z",
  "submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
  "subscriptionId": "<subscription ID>"
}

Popisy vlastností

Název prvku Popis
volající Always Microsoft.Insights/autoscaleSettings
kanály Vždy "Admin, Operation"
deklarace identity Objekt blob JSON s hlavním názvem služby (instančním názvem) nebo typem prostředku modulu automatického škálování
correlationId Identifikátor GUID ve formátu řetězce.
description Statický textový popis události automatického škálování
eventDataId Jedinečný identifikátor události automatického škálování
úroveň Úroveň závažnosti události
resourceGroupName Název skupiny prostředků pro nastavení automatického škálování
resourceProviderName Název poskytovatele prostředků pro nastavení automatického škálování
resourceId ID prostředku nastavení automatického škálování
operationId Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci.
operationName Název operace.
vlastnosti <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události.
vlastnosti. Popis Podrobný popis toho, co modul automatického škálování dělal.
vlastnosti. ResourceName ID prostředku ovlivněného prostředku (prostředek, na kterém se prováděla akce škálování)
vlastnosti. OldInstancesCount Početinstancíchch
vlastnosti. NewInstancesCount Početinstancích
vlastnosti. LastScaleActionTime Časové razítko, kdy došlo k akci automatického škálování.
stav Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno.
subStatus Obvykle má hodnotu null pro automatické škálování.
eventTimestamp Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události.
submissionTimestamp Časové razítko, kdy byla událost k dispozici pro dotazování.
subscriptionId ID předplatného Azure.

Kategorie zabezpečení

Tato kategorie obsahuje záznam všech výstrah vygenerovaných programem Microsoft Defender for Cloud. Příkladem typu události, kterou byste viděli v této kategorii, je "Podezřelý soubor s dvojitou příponou byl proveden".

Ukázková událost

{
    "channels": "Operation",
    "correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
    "eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "eventName": {
        "value": "Suspicious double extension file executed",
        "localizedValue": "Suspicious double extension file executed"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2017-10-18T06:02:18.6179339Z",
    "id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
    "level": "Informational",
    "operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Microsoft.Security/locations/alerts/activate/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": null
    },
    "submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "accountLogonId": "0x2r4",
        "commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
        "domainName": "hpc",
        "parentProcess": "unknown",
        "parentProcess id": "0",
        "processId": "6988",
        "processName": "c:\\mydirectory\\doubleetension.pdf.exe",
        "userName": "myUser",
        "UserSID": "S-3-2-12",
        "ActionTaken": "Detected",
        "Severity": "High"
    },
    "relatedEvents": []
}

Popisy vlastností

Název prvku Popis
kanály Vždy "Operace"
correlationId Identifikátor GUID ve formátu řetězce.
description Statický textový popis události zabezpečení
eventDataId Jedinečný identifikátor události zabezpečení.
eventName Popisný název události zabezpečení
category Vždy "Zabezpečení"
ID Jedinečný identifikátor prostředku události zabezpečení.
úroveň Úroveň závažnosti události
resourceGroupName Název skupiny prostředků pro prostředek
resourceProviderName Název poskytovatele prostředků pro Microsoft Defender for Cloud Vždy "Microsoft.Security".
resourceType Typ prostředku, který vygeneroval událost zabezpečení, například Microsoft.Security/locations/alerts
resourceId ID prostředku výstrahy zabezpečení
operationId Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci.
operationName Název operace.
vlastnosti <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. Tyto vlastnosti se liší v závislosti na typu výstrahy zabezpečení. Na této stránce najdete popis typů výstrah, které pocházejí z Defenderu pro cloud.
vlastnosti. Závažnost Úroveň závažnosti. Možné hodnoty jsou "Vysoká", "Střední", nebo "Nízká".
stav Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno.
subStatus Obvykle null pro události zabezpečení.
eventTimestamp Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události.
submissionTimestamp Časové razítko, kdy byla událost k dispozici pro dotazování.
subscriptionId ID předplatného Azure.

Kategorie doporučení

Tato kategorie obsahuje záznam všech nových doporučení generovaných pro vaše služby. Příkladem doporučení je použití skupin dostupnosti pro lepší odolnost proti chybám. Existují čtyři typy událostí doporučení, které lze vygenerovat: vysokou dostupnost, výkon, zabezpečení a optimalizaci nákladů.

Ukázková událost

{
    "channels": "Operation",
    "correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
    "description": "The action was successful.",
    "eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Recommendation",
        "localizedValue": "Recommendation"
    },
    "eventTimestamp": "2018-06-07T21:30:42.976919Z",
    "id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Advisor/generateRecommendations/action",
        "localizedValue": "Microsoft.Advisor/generateRecommendations/action"
    },
    "resourceGroupName": "MYRESOURCEGROUP",
    "resourceProviderName": {
        "value": "MICROSOFT.COMPUTE",
        "localizedValue": "MICROSOFT.COMPUTE"
    },
    "resourceType": {
        "value": "MICROSOFT.COMPUTE/virtualmachines",
        "localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
    },
    "resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-06-07T21:30:42.976919Z",
    "subscriptionId": "<Subscription ID>",
    "properties": {
        "recommendationSchemaVersion": "1.0",
        "recommendationCategory": "Security",
        "recommendationImpact": "High",
        "recommendationRisk": "None"
    },
    "relatedEvents": []
}

Popisy vlastností

Název prvku Popis
kanály Vždy "Operace"
correlationId Identifikátor GUID ve formátu řetězce.
description Statický textový popis události doporučení
eventDataId Jedinečný identifikátor události doporučení.
category Vždy "Doporučení"
ID Jedinečný identifikátor prostředku události doporučení.
úroveň Úroveň závažnosti události
operationName Název operace. Vždy Microsoft.Advisor/generateRecommendations/action
resourceGroupName Název skupiny prostředků pro prostředek
resourceProviderName Název poskytovatele prostředků pro prostředek, na který se toto doporučení vztahuje, například "MICROSOFT". COMPUTE"
resourceType Název typu prostředku pro prostředek, na který se toto doporučení vztahuje, například "MICROSOFT". COMPUTE/virtualmachines"
resourceId ID prostředku, na který se doporučení vztahuje
stav Vždy aktivní
submissionTimestamp Časové razítko, kdy byla událost k dispozici pro dotazování.
subscriptionId ID předplatného Azure.
vlastnosti <Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti doporučení.
properties.recommendationSchemaVersion Verze schématu vlastností doporučení publikovaných v položce protokolu aktivit
properties.recommendationCategory Kategorie doporučení Možné hodnoty jsou "Vysoká dostupnost", "Výkon", "Zabezpečení" a "Náklady".
properties.recommendationImpact Dopad doporučení. Možné hodnoty jsou "Vysoká", "Střední", "Nízká"
properties.recommendationRisk Riziko doporučení Možné hodnoty jsou Error, Warning, None.

Kategorie zásad

Tato kategorie obsahuje záznamy o všech operacích akcí účinku provedených službou Azure Policy. Mezi příklady typů událostí, které byste viděli v této kategorii, patří Audit a Odepřít. Každá akce přijatá zásadou se modeluje jako operace u prostředku.

Ukázková událost zásad

{
    "authorization": {
        "action": "Microsoft.Resources/checkPolicyCompliance/read",
        "scope": "/subscriptions/<subscriptionID>"
    },
    "caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.azure.com/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
        "appidacr": "2",
        "http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "description": "",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Policy",
        "localizedValue": "Policy"
    },
    "eventTimestamp": "2019-01-15T13:19:56.1227642Z",
    "id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
    "level": "Warning",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Authorization/policies/audit/action",
        "localizedValue": "Microsoft.Authorization/policies/audit/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Sql",
        "localizedValue": "Microsoft SQL"
    },
    "resourceType": {
        "value": "Microsoft.Resources/checkPolicyCompliance",
        "localizedValue": "Microsoft.Resources/checkPolicyCompliance"
    },
    "resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
    "subscriptionId": "<subscriptionID>",
    "properties": {
        "isComplianceCheck": "True",
        "resourceLocation": "westus2",
        "ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
            Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
            onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
            policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
            /policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
            4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
            nmentParameters\":{}}]"
    },
    "relatedEvents": []
}

Popisy vlastností události zásad

Název prvku Popis
autorizace Pole vlastností Azure RBAC události U nových prostředků se jedná o akci a rozsah požadavku, který aktivoval vyhodnocení. U existujících prostředků je akce Microsoft.Resources/checkPolicyCompliance/read.
volající U nových prostředků identita, která iniciovala nasazení. U existujících prostředků identifikátor GUID poskytovatele prostředků Microsoft Azure Policy Insights.
kanály Události zásad používají pouze kanál Operace.
deklarace identity Token JWT používaný službou Active Directory k ověření uživatele nebo aplikace k provedení této operace v Resource Manageru.
correlationId Obvykle identifikátor GUID ve formátu řetězce. Události, které sdílejí ID korelace, patří do stejné akce uberu.
description Toto pole je prázdné pro události zásad.
eventDataId Jedinečný identifikátor události.
eventName Buď "BeginRequest" nebo "EndRequest". Výraz BeginRequest se používá pro zpožděné auditIfNotExists a nasazuje vyhodnoceníIfNotExists a při spuštění nasazení efektu deployIfNotExists. Všechny ostatní operace vrátí "EndRequest".
category Deklaruje událost protokolu aktivit, která patří do "Policy".
eventTimestamp Časové razítko, kdy událost vygenerovala služba Azure, zpracovává požadavek odpovídající události.
ID Jedinečný identifikátor události pro konkrétní prostředek.
úroveň Úroveň závažnosti události Audit používá upozornění a zamítnutí používá chybu. Chyba auditIfNotExists nebo deployIfNotExists může v závislosti na závažnosti generovat upozornění nebo chybu. Všechny ostatní události zásad používají "informační".
operationId Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci.
operationName Název operace a přímo koreluje s efektem zásady.
resourceGroupName Název skupiny prostředků pro vyhodnocený prostředek
resourceProviderName Název poskytovatele prostředků pro vyhodnocený prostředek
resourceType U nových prostředků je to typ, který se vyhodnocuje. U existujících prostředků vrátí hodnotu Microsoft.Resources/checkPolicyCompliance.
resourceId ID prostředku vyhodnoceného prostředku
stav Řetězec popisující stav výsledku vyhodnocení zásad Většina vyhodnocení zásad vrací úspěch, ale efekt Zamítnutí vrátí chybu. Chyby v auditIfNotExists nebo deployIfNotExists také vrací chybu Failed.
subStatus Pole je prázdné pro události zásad.
submissionTimestamp Časové razítko, kdy byla událost k dispozici pro dotazování.
subscriptionId ID předplatného Azure.
properties.isComplianceCheck Vrátí hodnotu False při nasazení nového prostředku nebo aktualizaci vlastností Resource Manageru existujícího prostředku. Výsledkem všech ostatních aktivačních událostí vyhodnocení je pravda.
properties.resourceLocation Oblast Azure prostředku, který se vyhodnocuje.
properties.ancestors Čárkami oddělený seznam nadřazených skupin pro správu seřazených od přímého nadřazeného po nejdůchožnějšího děda.
properties.policies Obsahuje podrobnosti o definici zásady, přiřazení, efektu a parametrech, které toto vyhodnocení zásad představuje.
relatedEvents Toto pole je prázdné pro události zásad.

Schéma z účtu úložiště a center událostí

Při streamování protokolu aktivit Azure do účtu úložiště nebo centra událostí se data řídí schématem protokolu prostředků. Následující tabulka obsahuje mapování vlastností z výše uvedených schémat na schéma protokolů prostředků.

Důležité

Formát dat protokolu aktivit zapsaných do účtu úložiště se od 1. listopadu 2018 změnil na řádky JSON. Podrobnosti o této změně formátu najdete v tématu Příprava na změny formátu protokolů prostředků služby Azure Monitor archivovaných do účtu úložiště.

Vlastnost schématu protokolů prostředků Vlastnost schématu rozhraní REST API protokolu aktivit Notes
čas eventTimestamp
resourceId resourceId subscriptionId, resourceType, resourceGroupName jsou odvozeny z id prostředku.
operationName operationName.value
category Část názvu operace Vždy "Správa"
resultType status.value
resultSignature substatus.value
resultDescription description
durationMs Vždy 0
callerIpAddress httpRequest.clientIpAddress
correlationId correlationId
Identity deklarace identity a vlastnosti autorizace
Level Level
location Umístění, kde byla událost zpracována. Toto není umístění prostředku, ale místo zpracování události. Tato vlastnost bude odebrána v budoucí aktualizaci.
Vlastnosti properties.eventProperties
properties.eventCategory category Pokud vlastnost.eventCategory není k dispozici, kategorie je "Správa".
properties.eventName eventName
properties.operationId operationId
properties.eventProperties vlastnosti

Následuje příklad události, která používá toto schéma:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
            "identity": {
               "authorization": {
                   "scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/       msftstorageaccount",
                   "action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
                   "evidence": {
                       "role": "Azure Eventhubs Service Role",
                       "roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
                       "roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
                       "roleDefinitionId": "123456789de042a6a64b29b123456789",
                       "principalId": "abcdef038c6444c18f1c31311fabcdef",
                       "principalType": "ServicePrincipal"
                   }
               },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "11112222-bbbb-3333-cccc-4444dddd5555",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Další kroky