Compartir a través de


Esquema de eventos del registro de actividad de Azure

El registro de actividad de Azure proporciona información sobre los eventos de nivel de suscripción que se produjeron en Azure. En este artículo se describen las categorías de registro de actividad y el esquema de cada una.

El esquema varía en función de cómo acceda al registro:

Nivel de gravedad

Cada entrada del registro de actividad tiene un nivel de gravedad. El nivel de gravedad admite cualquiera de los siguientes valores:

severity Descripción
Crítico Eventos que demandan la atención inmediata de un administrador del sistema. Podría indicar que una aplicación o sistema produjo un error o dejó de responder.
Error Eventos que indican un problema, pero no requieren atención inmediata.
Advertencia Eventos que proporcionan avisos anticipados de posibles problemas, aunque no un error real. Indique que un recurso no está en un estado ideal y puede degradarse más adelante en mostrar errores o eventos críticos.
Informativo Eventos que pasan información no crítica al administrador. Es similar a una nota que dice: "Para tu información".

Los desarrolladores de cada proveedor de recursos eligen los niveles de gravedad de sus entradas de recursos. Como resultado, la gravedad real puede variar en función de cómo se compile la aplicación. Por ejemplo, los elementos que son "críticos" para un recurso determinado tomados de forma aislada podrían no ser tan importantes como "errores" en un tipo de recurso que es fundamental para la aplicación de Azure. Asegúrese de tener en cuenta este hecho al decidir sobre qué eventos se debe alertar.

Categorías

Cada evento del registro de actividad tiene una categoría determinada que se describe en la tabla siguiente. Consulte las secciones siguientes para más información sobre cada categoría y su esquema al acceder al registro de actividad desde el portal, PowerShell, la CLI y la API REST. El esquema es diferente cuando el registro de actividad se transmite a Azure Storage o a Event Hubs. En la última sección del artículo, encontrará la correspondencia de las propiedades en el esquema de registros de recursos.

Category Descripción
Administrativas Contiene el registro de todas las operaciones de creación, actualización, eliminación y acción realizadas mediante Resource Manager. Algunos ejemplos de eventos administrativos incluyen la creación de una máquina virtual y la eliminación de un grupo de seguridad de red.

Cada acción realizada por un usuario o aplicación mediante Resource Manager se modela como una operación en un tipo de recurso determinado. Si el tipo de operación es Write, Delete o Action, los registros de inicio y corrección o error de esa operación se registran en la categoría Administrativo. Los eventos de la categoría Administrativo también incluyen los cambios realizados en el control de acceso basado en roles de Azure de una suscripción.
Service Health Contiene el registro de los incidentes de mantenimiento del servicio que se produjeron en Azure. Ejemplo de un evento de Service Health: SQL Azure está experimentando un tiempo de inactividad en la región Este de EE. UU. .

Los eventos de Service Health pueden encuadrarse dentro de seis variedades: Acción requerida, Recuperación asistida, Incidente, Mantenimiento, Información o Seguridad. Estos eventos solo se crean si tiene un recurso en la suscripción afectada por el evento.
Estado de los recursos Contiene el registro de los eventos de estado de los recursos que se produjeron en los recursos de Azure. Ejemplo de un evento de Resource Health: Cambio del estado de mantenimiento de una máquina virtual a No disponible.

Los eventos de Resource Health pueden representar uno de los cuatro estados de mantenimiento siguientes: Disponible, No disponible, Degradado y Desconocido. Además, los eventos de Resource Health se pueden clasificar como iniciados por la plataforma o por el usuario.
Alerta Contiene el registro de activaciones de alertas de Azure. Un ejemplo de un evento de alerta es % de CPU en myVM superior a 80 durante los últimos 5 minutos.
Autoscale Contiene el registro de cualquier evento relacionado con el funcionamiento del motor de escalado automático en función de cualquier configuración de escalado automático que haya definido en la suscripción. Ejemplo de un evento de escalado automático: Error durante la acción de escalado vertical.
Recomendación Contiene eventos de recomendación de Azure Advisor.
Seguridad Contiene el registro de las alertas generadas por Microsoft Defender para la nube. Ejemplo de un evento de seguridad: Se ha ejecutado un archivo de extensión doble.
Directiva Contiene registros de todas las operaciones de acción de efecto realizadas por Azure Policy. Ejemplos de eventos de directiva: Auditar y Denegar. Cada acción llevada a cabo por Azure Policy se modela como una operación en un recurso.

Categoría administrativa

Esta categoría contiene el registro de todas las operaciones de creación, actualización, eliminación y acción realizadas a través de Resource Manager. Algunos ejemplos de los tipos de eventos que verá en esta categoría incluyen "crear máquina virtual" y "eliminar grupo de seguridad de red". Cada acción realizada por un usuario o aplicación mediante Resource Manager se modela como una operación en un tipo de recurso determinado. Si el tipo de operación es Write, Delete o Action, los registros de inicio y corrección o error de esa operación se registran en la categoría Administrativo. La categoría Administrativo también incluye los cambios realizados en el control de acceso basado en roles de Azure de una suscripción.

Evento de ejemplo

{
    "authorization": {
        "action": "Microsoft.Network/networkSecurityGroups/write",
        "scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
    },
    "caller": "rob@contoso.com",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "_claim_names": "{\"groups\":\"src1\"}",
        "_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
        "http://schemas.microsoft.com/claims/authnclassreference": "1",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
        "appid": "355249ed-15d9-460d-8481-84026b065942",
        "appidacr": "2",
        "http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
        "e_exp": "262800",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
        "ipaddr": "111.111.1.111",
        "name": "Rob Robertson",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
        "puid": "18247BBD84827C6D",
        "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
    "eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2018-01-29T20:42:31.3810679Z",
    "id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d/ticks/636528553513810679",
    "level": "Informational",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Network/networkSecurityGroups/write",
        "localizedValue": "Microsoft.Network/networkSecurityGroups/write"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Network",
        "localizedValue": "Microsoft.Network"
    },
    "resourceType": {
        "value": "Microsoft.Network/networkSecurityGroups",
        "localizedValue": "Microsoft.Network/networkSecurityGroups"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "statusCode": "Created",
        "serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
        "responseBody": "",
        "requestbody": ""
    },
    "relatedEvents": []
}

Descripciones de propiedades

Nombre del elemento Descripción
authorization Blob de propiedades Azure RBAC del evento. Normalmente incluye las propiedades "action", "role" y "scope".
caller Dirección de correo electrónico del usuario que ha realizado la operación, la notificación de UPN o la notificación de SPN basada en la disponibilidad.
canales nueva Uno de los valores siguientes: “Admin”, “Operation”
claims Token de JWT que se usa en Active Directory para autenticar el usuario o la aplicación para llevar a cabo esta operación en Resource Manager.
correlationId Normalmente, un GUID en formato de cadena. Los eventos que comparten correlationId pertenecen a la misma acción general.
description Descripción de texto estático de un evento.
eventDataId Identificador único de un evento.
eventName Nombre descriptivo del evento administrativo.
category Siempre "Administrativo"
httpRequest Blob que describe la solicitud HTTP. Por lo general, incluye "clientRequestId", "clientIpAddress" y "method" (el método HTTP; por ejemplo, PUT).
level Nivel de gravedad del evento.
resourceGroupName Nombre del grupo de recursos del recurso afectado.
resourceProviderName Nombre del proveedor de recursos del recurso afectado.
resourceType Tipo de recurso afectado por un evento administrativo.
resourceId Identificador de recurso del recurso afectado.
operationId GUID compartido entre los eventos correspondientes a una sola operación.
operationName Nombre de la operación.
properties Conjunto de pares <Key, Value> (es decir, diccionario) que describen los detalles del evento.
status Cadena que describe el estado de la operación. Entre los valores habituales, se incluyen: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatus Normalmente, el código de estado HTTP de la llamada REST correspondiente, pero también puede incluir otras cadenas que describen un subStatus, como estos valores comunes: Ok (código de estado HTTP: 200), creado (código de estado HTTP: 201), aceptado (código de estado HTTP: 202), sin contenido (código de estado HTTP: 204), solicitud incorrecta (código de estado HTTP: 400), no encontrado (código de estado HTTP: 404), Conflicto (código de estado HTTP: 409), error interno del servidor (código de estado HTTP: 500), servicio no disponible (código de estado HTTP: 503), tiempo de espera de puerta de enlace (código de estado HTTP: 504).
eventTimestamp Marca de tiempo de cuándo el servicio de Azure generó el evento que procesó la solicitud correspondiente al evento.
submissionTimestamp Marca de tiempo de cuándo el evento empezó a estar disponible para las consultas.
subscriptionId Identificador de suscripción de Azure

Categoría de estado del servicio

Esta categoría contiene el registro de los incidentes de mantenimiento del servicio que se produjeron en Azure. Un ejemplo del tipo de evento que vería en esta categoría es "SQL Azure este de EE. UU. está experimentando tiempo de inactividad". Los eventos de mantenimiento del servicio se incluyen en cinco variedades: Acción necesaria, Recuperación asistida, Incidente, Mantenimiento, Información o Seguridad, y solo aparecen si tiene un recurso en la suscripción que se vería afectado por el evento.

Evento de ejemplo

{
  "channels": "Admin",
  "correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
  "description": "Active: Network Infrastructure - UK South",
  "eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
  "eventName": {
      "value": null
  },
  "category": {
      "value": "ServiceHealth",
      "localizedValue": "Service Health"
  },
  "eventTimestamp": "2017-07-20T23:30:14.8022297Z",
  "id": "/subscriptions/<subscription ID>/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
  "level": "Warning",
  "operationName": {
      "value": "Microsoft.ServiceHealth/incident/action",
      "localizedValue": "Microsoft.ServiceHealth/incident/action"
  },
  "resourceProviderName": {
      "value": null
  },
  "resourceType": {
      "value": null,
      "localizedValue": ""
  },
  "resourceId": "/subscriptions/<subscription ID>",
  "status": {
      "value": "Active",
      "localizedValue": "Active"
  },
  "subStatus": {
      "value": null
  },
  "submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
  "subscriptionId": "<subscription ID>",
  "properties": {
    "title": "Network Infrastructure - UK South",
    "service": "Service Fabric",
    "region": "UK South",
    "communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "incidentType": "Incident",
    "trackingId": "NA0F-BJG",
    "impactStartTime": "2017-07-20T21:41:00.0000000Z",
    "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
    "defaultLanguageTitle": "Network Infrastructure - UK South",
    "defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "stage": "Active",
    "communicationId": "636361902146035247",
    "version": "0.1.1"
  }
}

Consulte el artículo sobre las notificaciones de estado de servicio para la documentación sobre los valores de las propiedades.

Categoría de estado de los recursos

Esta categoría contiene el registro de eventos de estado de los recursos que se han producido en los recursos de Azure. Un ejemplo del tipo de evento que vería en esta categoría es "Estado de mantenimiento de la máquina virtual cambiado a no disponible". Los eventos de mantenimiento de recursos pueden representar uno de los cuatro estados de mantenimiento: Disponible, No disponible, Degradado y Desconocido. Además, los eventos de mantenimiento de recursos se pueden clasificar como iniciados por la plataforma o por el usuario.

Un evento de estado de recursos se registra en el registro de actividad cuando:

  • Se envía una anotación, por ejemplo, "ResourceDegraded" o "AccountClientThrottling" para un recurso.
  • Un recurso en transición hacia o desde Incorrecto.
  • Un recurso era Incorrecto durante más de 15 minutos.

Las siguientes transiciones de estado de los recursos no se registran en el registro de actividad:

  • Una transición al estado Desconocido.
  • Una transición del estado Desconocido si:
    • Esta es la primera transición.
    • Si el estado anterior a Desconocido es el mismo que el nuevo estado después. (Por ejemplo, si el recurso ha pasado de Correcto a Desconocido y vuelve a Correcto).
    • Para los recursos de proceso: máquinas virtuales que pasan de Correcto a Incorrecto y vuelven a Correcto, cuando el tiempo incorrecto es inferior a 35 segundos.

Evento de ejemplo

{
    "channels": "Admin, Operation",
    "correlationId": "28f1bfae-56d3-7urb-bff4-194d261248e9",
    "description": "",
    "eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "ResourceHealth",
        "localizedValue": "Resource Health"
    },
    "eventTimestamp": "2018-09-04T15:33:43.65Z",
    "id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/a80024e1-883d-42a5-8b01-7591a1befccb/ticks/636716720236500000",
    "level": "Critical",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Resourcehealth/healthevent/Activated/action",
        "localizedValue": "Health Event Activated"
    },
    "resourceGroupName": "<resource group>",
    "resourceProviderName": {
        "value": "Microsoft.Resourcehealth/healthevent/action",
        "localizedValue": "Microsoft.Resourcehealth/healthevent/action"
    },
    "resourceType": {
        "value": "Microsoft.Compute/virtualMachines",
        "localizedValue": "Microsoft.Compute/virtualMachines"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "stage": "Active",
        "title": "Virtual Machine health status changed to unavailable",
        "details": "Virtual machine has experienced an unexpected event",
        "healthStatus": "Unavailable",
        "healthEventType": "Downtime",
        "healthEventCause": "PlatformInitiated",
        "healthEventCategory": "Unplanned"
    },
    "relatedEvents": []
}

Descripciones de propiedades

Nombre del elemento Descripción
canales nueva Siempre es "Admin, Operation".
correlationId GUID en formato de cadena.
description Descripción de texto estático del evento de alerta.
eventDataId Identificador único del evento de alerta.
category Siempre "Resource Health".
eventTimestamp Marca de tiempo de cuándo el servicio de Azure generó el evento que procesó la solicitud correspondiente al evento.
level Nivel de gravedad del evento.
operationId GUID compartido entre los eventos correspondientes a una sola operación.
operationName Nombre de la operación.
resourceGroupName Nombre del grupo de recursos que contiene el recurso.
resourceProviderName Siempre "Microsoft.Resourcehealth/healthevent/action".
resourceType Tipo de recurso afectado por un evento de Resource Health.
resourceId Id. del recurso afectado.
status Cadena que describe el estado del evento de estado. Los valores pueden ser: Active, Resolved, InProgress, Updated.
subStatus Normalmente es null para las alertas.
submissionTimestamp Marca de tiempo de cuándo el evento empezó a estar disponible para las consultas.
subscriptionId Identificador de suscripción de Azure
properties Conjunto de pares <Key, Value> (es decir, diccionario) que describen los detalles del evento.
properties.title Cadena fácil de usar que describe el estado del recurso.
properties.details Cadena fácil de usar que aporta detalles adicionales sobre el evento.
properties.currentHealthStatus Estado de mantenimiento actual del recurso. Uno de los valores siguientes: "Available", "Unavailable", "Degraded", and "Unknown".
properties.previousHealthStatus Estado de mantenimiento anterior del recurso. Uno de los valores siguientes: "Available", "Unavailable", "Degraded", and "Unknown".
properties.type Descripción del tipo de evento de estado del recurso.
properties.cause Descripción de la causa del evento de estado del recurso. Ya sea "UserInitiated" o "PlatformInitiated".

Categoría de alertas

Esta categoría contiene el registro de todas las activaciones de alertas de Azure clásicas. Un ejemplo del tipo de evento que vería en esta categoría es "el porcentaje de CPU en myVM es superior a 80 durante los últimos 5 minutos". Varios sistemas de Azure tienen un concepto de alerta: puede definir una regla de algún tipo y recibir una notificación cuando las condiciones coincidan con esa regla. Cada vez que un tipo de alerta de Azure compatible "se activa" o se cumplen las condiciones para generar una notificación, también se inserta un registro de la activación en esta categoría del Registro de actividad.

Evento de ejemplo

{
  "caller": "Microsoft.Insights/alertRules",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
  },
  "correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
  "eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
  "eventName": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "category": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "Microsoft.ClassicCompute",
    "localizedValue": "Microsoft.ClassicCompute"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
  "resourceType": {
    "value": "Microsoft.ClassicCompute/domainNames/slots/roles",
    "localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
  },
  "operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "operationName": {
    "value": "Microsoft.Insights/AlertRules/Resolved/Action",
    "localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
  },
  "properties": {
    "RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
    "RuleName": "myalert",
    "RuleDescription": "",
    "Threshold": "100000",
    "WindowSizeInMinutes": "5",
    "Aggregation": "Average",
    "Operator": "LessThan",
    "MetricName": "Disk read",
    "MetricUnit": "Count"
  },
  "status": {
    "value": "Resolved",
    "localizedValue": "Resolved"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T09:24:13.522192Z",
  "submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
  "subscriptionId": "<subscription ID>"
}

Descripciones de propiedades

Nombre del elemento Descripción
caller Siempre es Microsoft.Insights/alertRules.
canales nueva Siempre es "Admin, Operation".
claims Blob JSON con el SPN (nombre de entidad de seguridad de servicio), o tipo de recurso, del motor de alertas.
correlationId GUID en formato de cadena.
description Descripción de texto estático del evento de alerta.
eventDataId Identificador único del evento de alerta.
category Siempre "Alerta"
level Nivel de gravedad del evento.
resourceGroupName Nombre del grupo de recursos del recurso afectado si se trata de una alerta de métrica. Para otros tipos de alertas, es el nombre del grupo de recursos que contiene la propia alerta.
resourceProviderName Nombre del proveedor de recursos para el recurso afectado si se trata de una alerta de métrica. Para otros tipos de alertas, es el nombre del proveedor de recursos para la propia alerta.
resourceId Nombre del identificador de recurso del recurso afectado si se trata de una alerta de métrica. Para otros tipos de alertas, es el identificador de recurso del propio recurso de alerta.
operationId GUID compartido entre los eventos correspondientes a una sola operación.
operationName Nombre de la operación.
properties Conjunto de pares <Key, Value> (es decir, diccionario) que describen los detalles del evento.
status Cadena que describe el estado de la operación. Entre los valores habituales, se incluyen: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatus Normalmente es null para las alertas.
eventTimestamp Marca de tiempo de cuándo el servicio de Azure generó el evento que procesó la solicitud correspondiente al evento.
submissionTimestamp Marca de tiempo de cuándo el evento empezó a estar disponible para las consultas.
subscriptionId Identificador de suscripción de Azure

Campo Propiedades por tipo de alerta

El campo Propiedades contendrá valores diferentes dependiendo del origen del evento de alerta. Dos proveedores de eventos de alerta comunes son las alertas de registro de actividad y las alertas de métrica.

Propiedades de las alertas del registro de actividad

Nombre del elemento Descripción
properties.subscriptionId Identificador de suscripción del evento del registro de actividad que provocó que se activara esta regla de alertas del registro de actividad.
properties.eventDataId Identificador de datos de evento del evento del registro de actividad que provocó que se activara esta regla de alertas del registro de actividad.
properties.resourceGroup El grupo de recursos del evento del registro de actividad que provocó que esta regla de alerta del registro de actividad se activara.
properties.resourceId Identificador de recurso del evento del registro de actividad que provocó que se activara esta regla de alertas del registro de actividad.
properties.eventTimestamp Marca de tiempo del evento del registro de actividad que provocó que se activara esta regla de alertas del registro de actividad.
properties.operationName Nombre de la operación del evento del registro de actividad que provocó que se activara esta regla de alertas del registro de actividad.
properties.status Estado del evento del registro de actividad que provocó que se activara esta regla de alerta del registro de actividad.

Propiedades de las alertas de métrica

Nombre del elemento Descripción
properties.RuleUri Identificador de recurso de la propia regla de alerta de métrica.
properties.RuleName Nombre de la regla de alertas de métrica.
properties.RuleDescription Descripción de la regla de alertas de métrica (tal y como se define en la regla de alertas).
properties.Threshold Valor de umbral que se usa en la evaluación de la regla de alertas de métrica.
properties.WindowSizeInMinutes Tamaño de la ventana que se usa en la evaluación de la regla de alertas de métrica.
properties.Aggregation Tipo de agregación definido en la regla de alertas de métrica.
properties.Operator Operador condicional usado en la evaluación de la regla de alertas de métrica.
properties.MetricName Nombre de la métrica usada en la evaluación de la regla de alertas de métrica.
properties.MetricUnit Unidad de la métrica usada en la evaluación de la regla de alertas de métrica.

Categoría de escalado automático

Esta categoría contiene el registro de los eventos relacionados con el funcionamiento del motor de escalado automático en función de cualquier configuración de escalado automático que haya definido en la suscripción. Un ejemplo del tipo de evento que vería en esta categoría es "Error en la acción de escalado vertical automático". Mediante el escalado automático, puede escalar horizontalmente o reducir horizontalmente automáticamente el número de instancias de un tipo de recurso admitido en función de la hora del día o cargar los datos (de métricas) mediante una configuración de escalado automático. Cuando se cumplen las condiciones para escalar o reducir verticalmente, se registran los eventos de inicio y corrección o error en esta categoría.

Evento de ejemplo

{
  "caller": "Microsoft.Insights/autoscaleSettings",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
  },
  "correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
  "description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
  "eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
  "eventName": {
    "value": "AutoscaleAction",
    "localizedValue": "AutoscaleAction"
  },
  "category": {
    "value": "Autoscale",
    "localizedValue": "Autoscale"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "microsoft.insights",
    "localizedValue": "microsoft.insights"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
  "resourceType": {
    "value": "microsoft.insights/autoscalesettings",
    "localizedValue": "microsoft.insights/autoscalesettings"
  },
  "operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
  "operationName": {
    "value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
    "localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
  },
  "properties": {
    "Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
    "ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
    "OldInstancesCount": "3",
    "NewInstancesCount": "2",
    "LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T01:00:51.8681572Z",
  "submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
  "subscriptionId": "<subscription ID>"
}

Descripciones de propiedades

Nombre del elemento Descripción
caller Siempre es Microsoft.Insights/autoscaleSettings.
canales nueva Siempre es "Admin, Operation".
claims Blob JSON con el SPN (nombre de entidad de seguridad de servicio), o tipo de recurso, del motor de escalado automático.
correlationId GUID en formato de cadena.
description Descripción de texto estático del evento de escalado automático.
eventDataId Identificador único del evento de escalado automático.
level Nivel de gravedad del evento.
resourceGroupName Nombre del grupo de recursos para la configuración del escalado automático.
resourceProviderName Nombre del proveedor de recursos para la configuración del escalado automático.
resourceId Identificador de recurso de la configuración del escalado automático.
operationId GUID compartido entre los eventos correspondientes a una sola operación.
operationName Nombre de la operación.
properties Conjunto de pares <Key, Value> (es decir, diccionario) que describen los detalles del evento.
properties.Description Descripción detallada de lo que hacía el motor de escalado automático.
properties.ResourceName Identificador del recurso afectado (recurso en el que se estaba llevando a cabo la acción de escalado)
properties.OldInstancesCount Número de instancias antes de que tuviera efecto la acción de escalado automático.
properties.NewInstancesCount Número de instancias después de que tuviera efecto la acción de escalado automático.
properties.LastScaleActionTime Marca de tiempo de cuándo se produjo la acción de escalado automático.
status Cadena que describe el estado de la operación. Entre los valores habituales, se incluyen: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatus Normalmente es null para el escalado automático.
eventTimestamp Marca de tiempo de cuándo el servicio de Azure generó el evento que procesó la solicitud correspondiente al evento.
submissionTimestamp Marca de tiempo de cuándo el evento empezó a estar disponible para las consultas.
subscriptionId Identificador de suscripción de Azure

Categoría de seguridad

Esta categoría contiene el registro de las alertas generadas por Microsoft Defender para la nube. Un ejemplo del tipo de evento que vería en esta categoría es "Se ejecutó un archivo de extensión doble sospechoso".

Evento de ejemplo

{
    "channels": "Operation",
    "correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
    "description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
    "eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
    "eventName": {
        "value": "Suspicious double extension file executed",
        "localizedValue": "Suspicious double extension file executed"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2017-10-18T06:02:18.6179339Z",
    "id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
    "level": "Informational",
    "operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Microsoft.Security/locations/alerts/activate/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": null
    },
    "submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "accountLogonId": "0x2r4",
        "commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
        "domainName": "hpc",
        "parentProcess": "unknown",
        "parentProcess id": "0",
        "processId": "6988",
        "processName": "c:\\mydirectory\\doubleetension.pdf.exe",
        "userName": "myUser",
        "UserSID": "S-3-2-12",
        "ActionTaken": "Detected",
        "Severity": "High"
    },
    "relatedEvents": []
}

Descripciones de propiedades

Nombre del elemento Descripción
canales nueva Siempre "Operation"
correlationId GUID en formato de cadena.
description Descripción de texto estático del evento de seguridad.
eventDataId Identificador único del evento de seguridad.
eventName Nombre descriptivo del evento de seguridad.
category Siempre "Seguridad"
ID Identificador único del recurso del evento de seguridad.
level Nivel de gravedad del evento.
resourceGroupName Nombre del grupo de recursos del recurso.
resourceProviderName Nombre del proveedor de recursos para Microsoft Defender para la nube. Siempre "Microsoft.Security".
resourceType Tipo de recurso que generó el evento de seguridad, por ejemplo, "Microsoft.Security/locations/alerts"
resourceId Identificador de recurso de la alerta de seguridad.
operationId GUID compartido entre los eventos correspondientes a una sola operación.
operationName Nombre de la operación.
properties Conjunto de pares <Key, Value> (es decir, diccionario) que describen los detalles del evento. Estas propiedades varían en función del tipo de alerta de seguridad. Vea esta página para obtener una descripción de los tipos de alertas que proceden de Defender para la nube.
properties.Severity Nivel de gravedad. Los valores posibles son "High," "Medium" o "Low".
status Cadena que describe el estado de la operación. Entre los valores habituales, se incluyen: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatus Normalmente es null para los eventos de seguridad.
eventTimestamp Marca de tiempo de cuándo el servicio de Azure generó el evento que procesó la solicitud correspondiente al evento.
submissionTimestamp Marca de tiempo de cuándo el evento empezó a estar disponible para las consultas.
subscriptionId Identificador de suscripción de Azure

Categoría de recomendaciones

Esta categoría contiene el registro de cualquier recomendación nueva que se genere para los servicios. Un ejemplo de recomendación sería "Usar conjuntos de disponibilidad para mejorar la tolerancia a errores". Hay cuatro tipos de eventos de recomendación que se pueden generar: Alta disponibilidad, Rendimiento, Seguridad y Optimización de costos.

Evento de ejemplo

{
    "channels": "Operation",
    "correlationId": "92481dfd-c5bf-4752-b0d6-0ecddaa64776",
    "description": "The action was successful.",
    "eventDataId": "06cb0e44-111b-47c7-a4f2-aa3ee320c9c5",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Recommendation",
        "localizedValue": "Recommendation"
    },
    "eventTimestamp": "2018-06-07T21:30:42.976919Z",
    "id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/06cb0e44-111b-47c7-a4f2-aa3ee320c9c5/ticks/636640038429769190",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Advisor/generateRecommendations/action",
        "localizedValue": "Microsoft.Advisor/generateRecommendations/action"
    },
    "resourceGroupName": "MYRESOURCEGROUP",
    "resourceProviderName": {
        "value": "MICROSOFT.COMPUTE",
        "localizedValue": "MICROSOFT.COMPUTE"
    },
    "resourceType": {
        "value": "MICROSOFT.COMPUTE/virtualmachines",
        "localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
    },
    "resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-06-07T21:30:42.976919Z",
    "subscriptionId": "<Subscription ID>",
    "properties": {
        "recommendationSchemaVersion": "1.0",
        "recommendationCategory": "Security",
        "recommendationImpact": "High",
        "recommendationRisk": "None"
    },
    "relatedEvents": []
}

Descripciones de propiedades

Nombre del elemento Descripción
canales nueva Siempre "Operation"
correlationId GUID en formato de cadena.
description Descripción de texto estático del evento de recomendación
eventDataId Identificador único del evento de recomendación.
category Siempre "Recomendación"
ID Identificador único del recurso del evento de recomendación.
level Nivel de gravedad del evento.
operationName Nombre de la operación. Siempre "Microsoft.Advisor/generateRecommendations/action"
resourceGroupName Nombre del grupo de recursos del recurso.
resourceProviderName Nombre del proveedor de recursos del recurso al que se aplica esta recomendación, como "MICROSOFT.COMPUTE"
resourceType Nombre del tipo de recurso del recurso al que se aplica esta recomendación, como "MICROSOFT.COMPUTE/virtualmachines"
resourceId Identificador de recurso del recurso al que se aplica la recomendación
status Siempre "Activo"
submissionTimestamp Marca de tiempo de cuándo el evento empezó a estar disponible para las consultas.
subscriptionId Identificador de suscripción de Azure
properties Conjunto de pares <Key, Value> (es decir, diccionario) que describe los detalles de la recomendación.
properties.recommendationSchemaVersion Versión de esquema de las propiedades de recomendación publicadas en la entrada Registro de actividad
properties.recommendationCategory Categoría de la recomendación. Los valores posibles son "High Availability", "Performance", "Security" y "Cost"
properties.recommendationImpact Impacto de la recomendación. Los valores posibles son "High", "Medium", "Low"
properties.recommendationRisk Riesgo de la recomendación. Los valores posibles son "Error", "Warning", "None"

Categoría de directivas

Esta categoría contiene registros de todas las operaciones de acción de efecto realizadas por Azure Policy. Algunos ejemplos de los tipos de eventos que aparecen en esta categoría son Auditoría y Denegación. Cada acción llevada a cabo por Azure Policy se modela como una operación en un recurso.

Evento de Azure Policy de ejemplo

{
    "authorization": {
        "action": "Microsoft.Resources/checkPolicyCompliance/read",
        "scope": "/subscriptions/<subscriptionID>"
    },
    "caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.azure.com/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
        "appidacr": "2",
        "http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
    "description": "",
    "eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Policy",
        "localizedValue": "Policy"
    },
    "eventTimestamp": "2019-01-15T13:19:56.1227642Z",
    "id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/13bbf75f-36d5-4e66-b693-725267ff21ce/ticks/636831551961227642",
    "level": "Warning",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Authorization/policies/audit/action",
        "localizedValue": "Microsoft.Authorization/policies/audit/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Sql",
        "localizedValue": "Microsoft SQL"
    },
    "resourceType": {
        "value": "Microsoft.Resources/checkPolicyCompliance",
        "localizedValue": "Microsoft.Resources/checkPolicyCompliance"
    },
    "resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
    "subscriptionId": "<subscriptionID>",
    "properties": {
        "isComplianceCheck": "True",
        "resourceLocation": "westus2",
        "ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
            Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
            onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
            policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
            /policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
            4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
            nmentParameters\":{}}]"
    },
    "relatedEvents": []
}

Descripciones de las propiedades del evento de Azure Policy

Nombre del elemento Descripción
authorization Matriz de propiedades Azure RBAC del evento. Para los nuevos recursos, se trata de la acción y el ámbito de la solicitud que activó la evaluación. Para los recursos existentes, la acción es "Microsoft.Resources/checkPolicyCompliance/read".
caller Para los nuevos recursos, la identidad que ha iniciado una implementación. Para los recursos existentes, el GUID de Microsoft Azure Policy Insights RP.
canales nueva Los eventos de Azure Policy utilizan solo el canal "Operation".
claims Token de JWT que se usa en Active Directory para autenticar el usuario o la aplicación para llevar a cabo esta operación en Resource Manager.
correlationId Normalmente, un GUID en formato de cadena. Los eventos que comparten correlationId pertenecen a la misma acción general.
description Este campo está en blanco para los eventos de Azure Policy.
eventDataId Identificador único de un evento.
eventName "BeginRequest" o "EndRequest". "BeginRequest" se usa para las evaluaciones auditIfNotExists y deployIfNotExists diferidas y cuando un efecto deployIfNotExists inicia una implementación de plantilla. Todas las demás operaciones devuelven "EndRequest".
category Declara que el evento de registro de actividad pertenece a "Azure Policy".
eventTimestamp Marca de tiempo de cuándo el servicio de Azure generó el evento que procesó la solicitud correspondiente al evento.
ID Identificador único del evento en el recurso específico.
level Nivel de gravedad del evento. Auditoría usa "Warning" y la denegación usa "Error". Un error auditIfNotExists o deployIfNotExists puede generar un mensaje "Warning" o "Error" según la gravedad. Todos los demás eventos de Azure Policy utilizan "Informational".
operationId GUID compartido entre los eventos correspondientes a una sola operación.
operationName Nombre de la operación que se correlaciona directamente con el efecto de Azure Policy.
resourceGroupName Nombre del grupo de recursos del recurso evaluado.
resourceProviderName Nombre del proveedor de recursos del recurso evaluado.
resourceType Para los nuevos recursos, es el tipo que se va a evaluar. Para los recursos existentes, devuelve "Microsoft.Resources/checkPolicyCompliance".
resourceId Identificador de recurso del recurso evaluado.
status Cadena que describe el estado del resultado de evaluación de Azure Policy. La mayoría de las evaluaciones de Azure Policy devuelven "Succeeded", pero un efecto de denegación devuelve "Failed". Los errores de auditIfNotExists o deployIfNotExists también devuelven "Failed".
subStatus Este campo está en blanco para los eventos de Policy.
submissionTimestamp Marca de tiempo de cuándo el evento empezó a estar disponible para las consultas.
subscriptionId Identificador de suscripción de Azure
properties.isComplianceCheck Devuelve "False" cuando se implementa un nuevo recurso o se actualizan las propiedades de Resource Manager de un recurso existente. Todos los demás desencadenadores de evaluación dan "True" como resultado.
properties.resourceLocation Región de Azure del recurso que se va a evaluar.
properties.ancestors Lista separada por comas que contiene los grupos de administración primarios ordenados del primario directo al principal más lejano.
properties.policies Incluye detalles sobre la definición, asignación, efecto y parámetros de directiva que ocasionaron esta evaluación de Azure Policy.
relatedEvents Este campo está en blanco para los eventos de Azure Policy.

Esquema de una cuenta de almacenamiento y un centro de eventos

Cuando el registro de actividad de Azure se transmite a una cuenta de almacenamiento o a un centro de eventos, los datos siguen el esquema de registros de recursos. En la tabla siguiente, se muestra la correspondencia de las propiedades entre los esquemas anteriores y el esquema de los registros de recursos.

Importante

El formato de los datos de registro de actividad escritos en una cuenta de almacenamiento cambiaron a Líneas JSON el 1 de noviembre de 2018. Consulte Preparación para el cambio de formato a los registros de recursos de Azure Monitor archivados en una cuenta de almacenamiento para más información sobre este cambio de formato.

Propiedad del esquema de registros de recursos Propiedad del esquema de API REST de registro de actividad Notas
time eventTimestamp
resourceId resourceId subscriptionId, resourceType, resourceGroupName se deducen todos de resourceId.
operationName operationName.value
category Parte del nombre de la operación Interrupción del tipo de operación. "Write", "Delete" o "Action".
resultType status.value
resultSignature substatus.value
resultDescription description
durationMs N/D Siempre 0
callerIpAddress httpRequest.clientIpAddress
correlationId correlationId
identity notificaciones y propiedades de autorización
Nivel Nivel
ubicación N/D Ubicación de donde se procesó el evento. Esta no es la ubicación del recurso, sino donde se procesó el evento. Esta propiedad se quitará en una futura actualización.
Propiedades properties.eventProperties
properties.eventCategory category Si properties.eventCategory no está presente, la categoría es "Administrativa"
properties.eventName eventName
properties.operationId operationId
properties.eventProperties properties

A continuación, se muestra un ejemplo de un evento que utiliza este esquema:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
               "authorization": {
                   "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/       msftstorageaccount",
                   "action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
                   "evidence": {
                       "role": "Azure Eventhubs Service Role",
                       "roleAssignmentScope": "/subscriptions/00000000-0000-0000-0000-000000000000",
                       "roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
                       "roleDefinitionId": "123456789de042a6a64b29b123456789",
                       "principalId": "abcdef038c6444c18f1c31311fabcdef",
                       "principalType": "ServicePrincipal"
                   }
               },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "12345678-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Pasos siguientes