Schéma d’événements du journal d’activité
Le journal d’activité Azure fournit des informations sur les événements au niveau de l’abonnement qui se sont produits dans Azure. Cet article décrit les catégories du journal d’activité et le schéma de chacune d’elles.
Le schéma varie selon la façon dont vous accédez au journal :
- Les schémas décrits dans cet article sont ceux utilisés quand vous accédez au journal d’activité à partir de l’API REST. Le schéma est également utilisé lorsque vous sélectionnez l’option JSON lors de l’affichage d’un événement dans le Portail Azure.
- Consultez la section finale Schéma du compte de stockage et des hubs d’événements pour connaître le schéma utilisé quand vous envoyez le journal d’activité à Stockage Azure ou Azure Event Hubs à l’aide d’un paramètre de diagnostic.
- Consultez Informations de référence sur Azure Monitor pour connaître le schéma utilisé quand vous envoyez le journal d’activité vers un espace de travail Log Analytics à l’aide d’un paramètre de diagnostic .
Niveau de gravité
Chaque entrée du journal d’activité a un niveau de gravité. Un niveau de gravité peut être défini sur l’une des valeurs suivantes :
Gravité | Description |
---|---|
Critique | Événements qui demandent l’attention immédiate d’un administrateur système. Peut indiquer qu’une application ou un système a échoué ou arrêté de répondre. |
Error | Événements qui indiquent un problème, mais ne nécessitent pas d’attention immédiate. |
Avertissement | Événements qui indiquent des problèmes potentiels, bien qu’il ne s’agisse pas d’une erreur réelle. Indiquez qu’une ressource n’est pas dans un état idéal et peut se dégrader ultérieurement en affichant des erreurs ou des événements critiques. |
Informationnel | Événements qui transmettent des informations non critiques à l’administrateur. Semblable à une note qui indique : « Pour votre information ». |
Les développeurs de chaque fournisseur de ressources choisissent les niveaux de gravité pour leurs entrées de ressources. Par conséquent, le niveau de gravité réel peut varier en fonction de la façon dont votre application est générée. Par exemple, les éléments qui sont « critiques » pour une ressource particulière prise en isolation peuvent ne pas être aussi importants que les « erreurs » dans un type de ressource qui est central à votre application Azure. N’oubliez pas de tenir compte de ce fait lorsque vous décidez des événements pour lesquels générer des alertes.
Catégories
Chaque événement dans le journal d’activité est associé à l’une des catégories décrites dans le tableau suivant. Consultez les sections ci-dessous pour obtenir des détails supplémentaires sur chaque catégorie et sur le schéma qu’elles utilisent quand vous accédez au journal d’activité depuis le portail, PowerShell, l’interface CLI et l’API REST. Le schéma est différent lorsque vous diffusez le journal d’activité vers le stockage ou Event Hubs. Un mappage des propriétés au schéma des journaux de ressources est fourni dans la dernière section de l’article.
Catégorie | Description |
---|---|
Administrative | Contient l’enregistrement de toutes les opérations de création, mise à jour, suppression et action effectuées par le biais de Resource Manager. Les événements créer une machine virtuelle et supprimer un groupe de sécurité réseau sont deux exemples d’événements Administratif. Chaque action effectuée par un utilisateur ou une application avec Resource Manager est modélisée comme une opération effectuée sur un type de ressource spécifique. Si le type d’opération est Écrire, Supprimer ou Action, les enregistrements de début et de réussite ou d’échec de cette opération sont enregistrés dans la catégorie Administratif. Les événements de la catégorie Administratif incluent également les changements apportés au contrôle d’accès Azure en fonction du rôle dans un abonnement. |
Service Health | Contient l’enregistrement des incidents d’intégrité de service qui se sont produits dans Azure. L’événement SQL Azure dans la région USA Est rencontre des temps d’arrêt est un exemple d’événement d’intégrité du service. Les événements Service Health se présentent sous six types : Action requise, Récupération assistée, Incident, Maintenance, Information ou Sécurité. Ces événements sont créés uniquement si vous disposez d’une ressource dans l’abonnement affecté par l’événement. |
Resource Health | Contient l’enregistrement des événements d’intégrité des ressources qui se sont produits sur vos ressources Azure. L’événement L’état d’intégrité de la machine virtuelle est passé à Indisponible est un exemple d’événement d’intégrité de ressource. Les événements d’intégrité de ressource peuvent représenter l’un de ces quatre états d’intégrité : Disponible, Indisponible, Détérioré et Inconnu. En outre, les événements d’intégrité de ressource peuvent être classés dans la catégorie Lancé par la plateforme ou Lancé par l’utilisateur. |
Alert | Contient l’enregistrement des activations d’alertes Azure. Un exemple d’événement d’alerte est le pourcentage d’UC sur myVM supérieur à 80 au cours des 5 dernières minutes. |
Autoscale | Contient l’enregistrement de tous les événements liés au fonctionnement du moteur de mise à l’échelle automatique en fonction des paramètres de mise à l’échelle automatique que vous avez définis dans votre abonnement. L’événement Échec de l’action de scale-up de la mise à l’échelle automatique est un exemple d’événement de mise à l’échelle automatique. |
Recommandation | Contient les événements de recommandation d’Azure Advisor. |
Sécurité | Contient l’enregistrement de toutes les alertes générées par Microsoft Defender pour le cloud. L’événement Fichier à extension double suspect exécuté est un exemple d’événement de sécurité. |
Stratégie | Contient les enregistrements de toutes les opérations d’action à effet effectuées par Azure Policy. Les événements Audit et Refuser sont des exemples d’événements de stratégie. Chaque action effectuée par Policy est modélisée en tant qu’opération sur une ressource. |
Catégorie Administrative
Cette catégorie contient l’enregistrement de toutes les opérations de création, mise à jour, suppression et action effectuées par le biais du gestionnaire de ressources. Voici quelques exemples de types d’événements que vous verrez dans cette catégorie : « créer une machine virtuelle » et « supprimer un groupe de sécurité réseau ». Chaque action effectuée par un utilisateur ou une application avec Resource Manager est modélisée comme une opération effectuée sur un type de ressource spécifique. Si le type d’opération est Écrire, Supprimer ou Action, les enregistrements de début et de réussite ou d’échec de cette opération sont enregistrés dans la catégorie Administrative. La catégorie Administrative inclut également toute modification apportée à un contrôle d’accès Azure en fonction du rôle dans un abonnement.
Exemple d’événement
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Description des propriétés
Nom de l’élément | Description |
---|---|
autorisation | Objet blob des propriétés Azure RBAC de l’événement. Inclut généralement les propriétés « action », « role » et « scope ». |
caller | Adresse e-mail de l’utilisateur qui a effectué l’opération, la revendication UPN ou la revendication SPN basée sur la disponibilité. |
channels | L’une des valeurs suivantes : « Admin », « Opération » |
réclamations | Le jeton JWT utilisé par Active Directory pour authentifier l’utilisateur ou l’application afin d’effectuer cette opération dans Resource Manager. |
correlationId | Généralement un GUID au format chaîne. Les événements qui partagent un correlationId appartiennent à la même action uber. |
description | Description textuelle statique d’un événement. |
eventDataId | Identificateur unique d’un événement. |
eventName | Nom convivial de l’événement administratif. |
catégorie | Toujours « Administrative » |
httpRequest | Objet blob décrivant la requête Http. Inclut généralement « clientRequestId », « clientIpAddress » et « method » (méthode HTTP, par exemple, PUT). |
level | Niveau de gravité de l’événement. |
resourceGroupName | Nom du groupe de ressources de la ressource affectée. |
resourceProviderName | Nom du fournisseur de ressources de la ressource affectée. |
resourceType | Type de ressource affectée par un événement d’administration. |
resourceId | ID de ressource de la ressource affectée. |
operationId | Un GUID partagé par les événements correspondant à une opération unique. |
operationName | Nom de l’opération. |
properties | Jeu de paires <Key, Value> (c’est-à-dire Dictionary) décrivant les détails de l’événement. |
status | Chaîne décrivant l’état de l’opération. Voici plusieurs valeurs courantes : « Started », « In Progress », « Succeeded », « Failed », « Active », « Resolved ». |
subStatus | Généralement, le code d’état HTTP de l’appel REST correspondant, mais peut également inclure d’autres chaînes décrivant un sous-état, comme ces valeurs courantes : OK (Code d’état HTTP : 200), Créé (Code d’état HTTP : 201), Accepté (Code d’état HTTP : 202), Aucun contenu (Code d’état HTTP : 204), Demande incorrecte (Code d’état HTTP : 400), Introuvable (Code d’état HTTP : 404), Conflit (code d’état HTTP : 409), erreur interne du serveur (code d’état HTTP : 500), service indisponible (code d’état HTTP : 503), délai d’expiration de la passerelle (code d’état HTTP : 504). |
eventTimestamp | Horodatage lorsque l’événement a été généré par le service Azure traitant la demande correspondant à l’événement. |
submissionTimestamp | Horodatage lorsque l’événement est devenu disponible pour l’interrogation. |
subscriptionId | ID d’abonnement Azure. |
Catégorie Service Health
Cette catégorie contient l’enregistrement des incidents d’intégrité de service qui se sont produits dans Azure. Un exemple du type d’événement que vous pouvez voir dans cette catégorie est « SQL Azure dans la région USA Est subit un temps d’arrêt ». Les événements de l’état d’intégrité du service se présentent sous cinq variétés : Action requise, Incident, Maintenance, Informations ou Sécurité, et n’apparaissent que si une ressource de votre abonnement est impactée par l’événement.
Exemple d’événement
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Reportez-vous à l’article Notifications d’intégrité du service pour plus d’informations sur les valeurs dans les propriétés.
Catégorie Resource Health
Cette catégorie contient l’enregistrement des événements d’intégrité des ressources qui se sont produits sur vos ressources Azure. Par exemple, cette catégorie peut comporter le type d’événement suivant : « L’état d’intégrité de la machine virtuelle est passé à Indisponible ». Les événements d’intégrité de ressource peuvent représenter l’un des quatre états d’intégrité : Disponible, Indisponible, Détérioré et Inconnu. En outre, les événements d’intégrité de ressource peuvent être initiés par la plateforme ou initiés par l’utilisateur.
Un événement Resource Health est enregistré dans le journal d’activité lorsque :
- Une annotation, par exemple « ResourceDegrad » ou « AccountClientThrottling », est envoyée pour une ressource.
- Ressource transférée vers ou à partir d’une ressource non saine.
- Une ressource n’était pas saine pendant plus de 15 minutes.
Les transitions d’intégrité des ressources suivantes ne sont pas enregistrées dans le journal d’activité :
- Transition vers un état inconnu.
- Transition de l’état Inconnu si :
- Il s’agit de la première transition.
- Si l’état antérieur à l’Inconnu est identique au nouvel état après. (Par exemple, si la ressource est passée de Sain à l’Inconnu et de retour à Sain).
- Pour les ressources de calcul : les machines virtuelles qui passent de Sain à Non sain, et retournent à Sain, lorsque le temps non sain est inférieur à 35 secondes.
Exemple d’événement
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Description des propriétés
Nom de l’élément | Description |
---|---|
channels | Toujours « Admin, opération » |
correlationId | Un GUID au format chaîne. |
description | Description textuelle statique de l’événement d’alerte. |
eventDataId | Identificateur unique de l'événement d’alerte. |
catégorie | Toujours « ResourceHealth » |
eventTimestamp | Horodatage lorsque l’événement a été généré par le service Azure traitant la demande correspondant à l’événement. |
level | Niveau de gravité de l’événement. |
operationId | Un GUID partagé par les événements correspondant à une opération unique. |
operationName | Nom de l’opération. |
resourceGroupName | Nom du groupe de ressources qui contient la ressource. |
resourceProviderName | Toujours « Microsoft.Resourcehealth/healthevent/action ». |
resourceType | Type de ressource affecté par un événement Resource Health. |
resourceId | Nom de l’ID de ressource de la ressource affectée. |
status | Chaîne décrivant l’état de l’événement d’intégrité. Les valeurs peuvent être les suivantes : Active, Resolved, InProgress, Updated. |
subStatus | Généralement, nul pour les alertes. |
submissionTimestamp | Horodatage lorsque l’événement est devenu disponible pour l’interrogation. |
subscriptionId | ID d’abonnement Azure. |
properties | Jeu de paires <Key, Value> (c’est-à-dire Dictionary) décrivant les détails de l’événement. |
properties.title | Chaîne conviviale qui décrit l’état d’intégrité de la ressource. |
properties.details | Chaîne conviviale qui fournit des informations supplémentaires sur l’événement. |
properties.currentHealthStatus | État d’intégrité actuel de la ressource. L’une des valeurs suivantes : « Available », « Unavailable », « Available » et « Unknown ». |
properties.previousHealthStatus | État d’intégrité précédent de la ressource. L’une des valeurs suivantes : « Available », « Unavailable », « Available » et « Unknown ». |
properties.type | Description du type d’événement d’intégrité de la ressource. |
properties.cause | Description de la cause de l’événement d’intégrité de la ressource. « UserInitiated » ou « PlatformInitiated ». |
Catégorie Alert
Cette catégorie contient l’enregistrement de toutes les activations des alertes Azure classiques. Un exemple de type d’événement que vous verrez dans cette catégorie est « Le pourcentage d’UC sur myVM est supérieur à 80 au cours des 5 dernières minutes ». Différents systèmes Azure ont un concept d’alerte : vous pouvez définir une règle de quelque sorte et recevoir une notification lorsque les conditions correspondent à cette règle. Chaque fois qu’un type d’alerte Azure pris en charge « s’active » ou si les conditions sont remplies pour générer une notification, un enregistrement de l’activation est également envoyé à cette catégorie du journal d’activité.
Exemple d’événement
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Description des propriétés
Nom de l’élément | Description |
---|---|
caller | Toujours Microsoft.Insights/alertRules |
channels | Toujours « Admin, opération » |
réclamations | Objet blob JSON avec le type de SPN (nom principal de service) ou de ressource du moteur d’alertes. |
correlationId | Un GUID au format chaîne. |
description | Description textuelle statique de l’événement d’alerte. |
eventDataId | Identificateur unique de l'événement d’alerte. |
catégorie | Toujours « Alert » |
level | Niveau de gravité de l’événement. |
resourceGroupName | Nom du groupe de ressources pour la ressource affectée s’il s’agit d’une alerte de métrique. Pour d’autres types d’alertes, il s’agit du nom du groupe de ressources qui contient l’alerte elle-même. |
resourceProviderName | Nom du fournisseur de ressources pour la ressource affectée s’il s’agit d’une alerte de métrique. Pour les autres types d’alertes, il s’agit du nom du fournisseur de ressources pour l’alerte elle-même. |
resourceId | Nom de l’ID de ressource de la ressource affectée s’il s’agit d’une alerte de métrique. Pour d’autres types d’alertes, il s’agit de l’ID de ressource de la ressource d’alerte elle-même. |
operationId | Un GUID partagé par les événements correspondant à une opération unique. |
operationName | Nom de l’opération. |
properties | Jeu de paires <Key, Value> (c’est-à-dire Dictionary) décrivant les détails de l’événement. |
status | Chaîne décrivant l’état de l’opération. Voici plusieurs valeurs courantes : « Started », « In Progress », « Succeeded », « Failed », « Active », « Resolved ». |
subStatus | Généralement, nul pour les alertes. |
eventTimestamp | Horodatage lorsque l’événement a été généré par le service Azure traitant la demande correspondant à l’événement. |
submissionTimestamp | Horodatage lorsque l’événement est devenu disponible pour l’interrogation. |
subscriptionId | ID d’abonnement Azure. |
Champ Propriétés par type d’alerte
Le champ Propriétés contient des valeurs différentes en fonction de la source de l’événement d’alerte. Deux fournisseurs d’événements d’alertes courants sont les alertes du journal d’activité et les alertes métriques.
Propriétés pour les alertes du journal d’activité
Nom de l’élément | Description |
---|---|
properties.subscriptionId | ID d’abonnement de l’événement de journal d’activité qui a provoqué l’activation de cette règle d’alerte de journal d’activité. |
properties.eventDataId | ID de données d’événement de l’événement du journal d’activité qui a provoqué l’activation de cette règle d’alerte de journal d’activité. |
properties.resourceGroup | Groupe de ressources à partir de l’événement du journal d’activité qui a provoqué l’activation de cette règle d’alerte de journal d’activité. |
properties.resourceId | ID de ressource de l’événement de journal d’activité qui a provoqué l’activation de cette règle d’alerte de journal d’activité. |
properties.eventTimestamp | Horodatage d’événement de l’événement du journal d’activité qui a provoqué l’activation de cette règle d’alerte de journal d’activité. |
properties.operationName | Nom de l’opération à partir de l’événement du journal d’activité qui a provoqué l’activation de cette règle d’alerte de journal d’activité. |
Properties.Status | État de l’événement du journal d’activité qui a provoqué l’activation de cette règle d’alerte de journal d’activité. |
Propriétés des alertes métriques
Nom de l’élément | Description |
---|---|
Propriétés. RuleUri | L’ID de ressource de la règle d’alerte métrique elle-même. |
Propriétés. Nom_règle | Le nom de la règle d’alerte métrique. |
Propriétés. RuleDescription | La description de la règle d’alerte métrique (telle que définie dans la règle d’alerte). |
Propriétés. Seuil | La valeur de seuil utilisée dans l’évaluation de la règle d’alerte métrique. |
properties.WindowSizeInMinutes | La taille de la fenêtre utilisée dans l’évaluation de la règle d’alerte métrique. |
properties.Aggregation | Le type d’agrégation défini dans la règle d’alerte métrique. |
properties.Operator | L’opérateur conditionnel utilisé dans l’évaluation de la règle d’alerte métrique. |
properties.MetricName | Le nom métrique utilisé dans l’évaluation de la règle d’alerte métrique. |
properties.MetricUnit | L’unité métrique utilisée dans l’évaluation de la règle d’alerte métrique. |
Catégorie Autoscale
Cette catégorie contient l’enregistrement de tous les événements liés au fonctionnement du moteur de mise à l’échelle automatique selon les paramètres d’échelle automatique définis dans votre abonnement. Un exemple du type d’événement que vous pouvez voir dans cette catégorie est « Échec de l’action de monter en puissance de la mise à l’échelle automatique. » À l’aide de la mise à l’échelle automatique, vous pouvez automatiquement effectuer un scale-out ou un scale-in du nombre d’instances dans un type de ressource pris en charge basé sur l’heure du jour et/ou les données de charge (métriques) à l’aide d’un paramètre de mise à l’échelle automatique. Lorsque les conditions sont remplies pour monter ou descendre en puissance, les événements de démarrage réussis ou échoués sont enregistrés dans cette catégorie.
Exemple d’événement
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Description des propriétés
Nom de l’élément | Description |
---|---|
caller | Always Microsoft.Insights/autoscaleSettings |
channels | Toujours « Admin, opération » |
réclamations | Objet blob JSON avec le type de SPN (nom principal de service) ou de ressource du moteur de mise à l’échelle automatique. |
correlationId | Un GUID au format chaîne. |
description | Description textuelle statique de l’événement de mise à l’échelle automatique. |
eventDataId | Identificateur unique de l'événement de mise à l’échelle automatique. |
level | Niveau de gravité de l’événement. |
resourceGroupName | Nom du groupe de ressources du paramètre de mise à l’échelle automatique. |
resourceProviderName | Nom du fournisseur de ressources du paramètre de mise à l’échelle automatique. |
resourceId | ID de ressource du paramètre de mise à l’échelle automatique. |
operationId | Un GUID partagé par les événements correspondant à une opération unique. |
operationName | Nom de l’opération. |
properties | Jeu de paires <Key, Value> (c’est-à-dire Dictionary) décrivant les détails de l’événement. |
properties.Description | Description détaillée de ce que fait le moteur de mise à l’échelle automatique. |
properties.ResourceName | ID de ressource de la ressource affectée (la ressource sur laquelle l’action de mise à l’échelle a été effectuée) |
properties.OldInstancesCount | Le nombre d’instances avant la prise d’effet de l’action de mise à l’échelle automatique. |
properties.NewInstancesCount | Le nombre d’instances après la prise d’effet de l’action de mise à l’échelle automatique. |
properties.LastScaleActionTime | Horodatage de lorsque l’action de mise à l’échelle s’est produite. |
status | Chaîne décrivant l’état de l’opération. Voici plusieurs valeurs courantes : « Started », « In Progress », « Succeeded », « Failed », « Active », « Resolved ». |
subStatus | Généralement, nul pour la mise à l’échelle automatique. |
eventTimestamp | Horodatage lorsque l’événement a été généré par le service Azure traitant la demande correspondant à l’événement. |
submissionTimestamp | Horodatage lorsque l’événement est devenu disponible pour l’interrogation. |
subscriptionId | ID d’abonnement Azure. |
Catégorie Security
Cette catégorie contient l’enregistrement de toutes les alertes générées par Microsoft Defender pour le cloud. Voici un exemple du type d’événement que vous pouvez voir dans cette catégorie : « Suspicious double extension file executed. » (Fichier à extension double suspect exécuté.).
Exemple d’événement
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Description des propriétés
Nom de l’élément | Description |
---|---|
channels | Toujours Operation (Opération). |
correlationId | Un GUID au format chaîne. |
description | Description textuelle statique de l’événement de sécurité. |
eventDataId | Identificateur unique de l’événement de sécurité. |
eventName | Nom convivial de l’événement de sécurité. |
catégorie | Toujours « Security » |
id | URI (Unique Resource Identifier) de l’événement de sécurité. |
level | Niveau de gravité de l’événement. |
resourceGroupName | Nom du groupe de ressources de la ressource. |
resourceProviderName | Nom du fournisseur de ressources pour Microsoft Defender pour le cloud. Toujours Microsoft.Security. |
resourceType | Type de ressource qui a généré l’événement de sécurité, par exemple « Microsoft.Security/locations/alerts ». |
resourceId | ID de ressource de l’alerte de sécurité. |
operationId | Un GUID partagé par les événements correspondant à une opération unique. |
operationName | Nom de l’opération. |
properties | Jeu de paires <Key, Value> (c’est-à-dire Dictionary) décrivant les détails de l’événement. Ces propriétés varient en fonction du type d’alerte de sécurité. Pour obtenir une description des types d’alertes qui proviennent de Defender pour le cloud, consultez cette page. |
properties.Severity | Niveau de gravité. Les valeurs possibles sont High (Élevé), Medium (Moyen) ou Low (Bas). |
status | Chaîne décrivant l’état de l’opération. Voici plusieurs valeurs courantes : « Started », « In Progress », « Succeeded », « Failed », « Active », « Resolved ». |
subStatus | Généralement nul pour les événements de sécurité. |
eventTimestamp | Horodatage lorsque l’événement a été généré par le service Azure traitant la demande correspondant à l’événement. |
submissionTimestamp | Horodatage lorsque l’événement est devenu disponible pour l’interrogation. |
subscriptionId | ID d’abonnement Azure. |
Catégorie Recommendation
Cette catégorie contient l’enregistrement de toutes les nouvelles recommandations générées pour vos services. Exemple de recommandation : « Utiliser les groupes à haute disponibilité pour une meilleure tolérance de panne. » Quatre types d’événements Recommandation peuvent être générés : Haute disponibilité, Performances, Sécurité et Optimisation des coûts.
Exemple d’événement
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Description des propriétés
Nom de l’élément | Description |
---|---|
channels | Toujours Operation (Opération). |
correlationId | Un GUID au format chaîne. |
description | Description textuelle statique de l’événement de recommandation |
eventDataId | Identificateur unique de l’événement de recommandation. |
catégorie | Toujours « Recommandation » |
id | Identificateur de ressource unique de l’événement de recommandation. |
level | Niveau de gravité de l’événement. |
operationName | Nom de l’opération. Toujours « Microsoft.Advisor/generateRecommendations/action » |
resourceGroupName | Nom du groupe de ressources de la ressource. |
resourceProviderName | Nom du fournisseur de ressources pour la ressource à laquelle cette recommandation s’applique, comme « MICROSOFT.COMPUTE » |
resourceType | Nom du type de ressource pour la ressource à laquelle cette recommandation s’applique, comme « MICROSOFT.COMPUTE/virtualmachines » |
resourceId | ID de ressource de la ressource à laquelle la recommandation s’applique |
status | Toujours « Active » |
submissionTimestamp | Horodatage lorsque l’événement est devenu disponible pour l’interrogation. |
subscriptionId | ID d’abonnement Azure. |
properties | Jeu de paires <Key, Value> (c’est-à-dire, Dictionary) décrivant les détails de la recommandation. |
properties.recommendationSchemaVersion | Version de schéma des propriétés de la recommandation publiée dans l’entrée du journal d’activité |
properties.recommendationCategory | Catégorie de la recommandation. Les valeurs possibles sont « High Availability » (Haute disponibilité), « Performance », « Security » (Sécurité) et « Cost » (Coût) |
properties.recommendationImpact | Impact de la recommandation. Les valeurs possibles sont « High » (Élevé), « Medium » (Moyen) ou « Low » (Bas) |
properties.recommendationRisk | Risque de la recommandation. Les valeurs possibles sont « Error » (Erreur), « Warning » (Avertissement) et « None » (Aucun). |
Catégorie Policy
Cette catégorie contient les enregistrements de toutes les opérations d’action à effet effectuées par Azure Policy. Cette catégorie pourrait par exemple contenir les types d’événements Audit et Deny (Refus). Chaque action effectuée par Policy est modélisée en tant qu’opération sur une ressource.
Exemple d’événement Azure Policy
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Descriptions des propriétés d’événements Azure Policy
Nom de l’élément | Description |
---|---|
autorisation | Tableau de propriétés Azure RBAC de l’événement. Pour les nouvelles ressources, il s’agit de l’action et de l’étendue de la requête ayant déclenché l’évaluation. Pour les ressources existantes, l’action est « Microsoft.Resources/checkPolicyCompliance/read ». |
caller | Pour les nouvelles ressources, il s’agit de l’identité qui a lancé un déploiement. Pour les ressources existantes, il s’agit du GUID du fournisseur de ressources Microsoft Azure Policy Insights. |
channels | Les événements Azure Policy utilisent uniquement le canal « Operation ». |
réclamations | Le jeton JWT utilisé par Active Directory pour authentifier l’utilisateur ou l’application afin d’effectuer cette opération dans Resource Manager. |
correlationId | Généralement un GUID au format chaîne. Les événements qui partagent un correlationId appartiennent à la même action uber. |
description | Ce champ est vide pour les événements Azure Policy. |
eventDataId | Identificateur unique d’un événement. |
eventName | « BeginRequest » ou « EndRequest ». « BeginRequest » est utilisé pour les évaluations auditIfNotExists et deployIfNotExists retardées, et quand un effet deployIfNotExists démarre un déploiement de modèle. Toutes les autres opérations retournent « EndRequest ». |
catégorie | Déclare l’événement de journal d’activité comme appartenant à « Policy ». |
eventTimestamp | Horodatage lorsque l’événement a été généré par le service Azure traitant la demande correspondant à l’événement. |
id | Identificateur unique de l’événement sur la ressource spécifique. |
level | Niveau de gravité de l’événement. Audit utilise « Warning » et Deny utilise « Error ». Une erreur auditIfNotExists ou deployIfNotExists peut générer « Warning » ou « Error », en fonction du niveau de gravité. Tous les autres événements Azure Policy utilisent « Informational ». |
operationId | Un GUID partagé par les événements correspondant à une opération unique. |
operationName | Nom de l’opération, directement en corrélation avec l’effet Azure Policy. |
resourceGroupName | Nom du groupe de ressources de la ressource évaluée. |
resourceProviderName | Nom du fournisseur de ressources de la ressource évaluée. |
resourceType | Pour les nouvelles ressources, il s’agit du type évalué. Pour les ressources existantes, retourne « Microsoft.Resources/checkPolicyCompliance ». |
resourceId | ID de ressource de la ressource évaluée. |
status | Chaîne décrivant l’état du résultat de l’évaluation Azure Policy. La plupart des évaluations Azure Policy retournent « Succeeded », mais un effet Deny retourne « Failed ». Les erreurs dans auditIfNotExists ou deployIfNotExists retournent également « Failed ». |
subStatus | Le champ est vide pour les événements Azure Policy. |
submissionTimestamp | Horodatage lorsque l’événement est devenu disponible pour l’interrogation. |
subscriptionId | ID d’abonnement Azure. |
properties.isComplianceCheck | Retourne « False » quand une nouvelle ressource est déployée ou que les propriétés Resource Manager d’une ressource existante sont mises à jour. Tous les autres déclencheurs d’évaluation génèrent la valeur « True ». |
properties.resourceLocation | Région Azure de la ressource en cours d’évaluation. |
properties.ancestors | Liste séparée par des virgules de groupes d’administration parents, classés du parent direct au grand-parent le plus éloigné. |
properties.policies | Inclut des détails sur la définition de stratégie, l’affectation, l’effet et les paramètres dont cette évaluation Azure Policy est le résultat. |
relatedEvents | Ce champ est vide pour les événements Azure Policy. |
Schéma à partir du compte de stockage et des Event Hubs
Lorsque vous diffusez en continu le contenu du journal d’activité Azure vers un compte de stockage ou vers Event Hubs, les données suivent le schéma des journaux de ressource. Le tableau ci-dessous fournit un mappage des propriétés des schémas ci-dessus au schéma des journaux de ressources.
Important
Depuis le 1er novembre 2018, le format des données de journal d’activité écrites dans le compte de stockage est devenu JSON Lines. Pour plus de détails sur ce changement de format, consultez Préparation à la modification du format dans les journaux de ressources Azure Monitor archivés dans un compte de stockage.
Propriété du schéma des journaux de ressource | Propriété du schéma de l’API REST Journal d’activité | Notes |
---|---|---|
time | eventTimestamp | |
resourceId | resourceId | subscriptionId, resourceType et resourceGroupName sont déduits à partir de resourceId. |
operationName | operationName.value | |
catégorie | Partie du nom de l’opération | Toujours « Administrative » |
resultType | status.value | |
resultSignature | substatus.value | |
resultDescription | description | |
durationMS | N/A | Toujours 0 |
callerIpAddress | httpRequest.clientIpAddress | |
correlationId | correlationId | |
identité | propriétés de revendication et d’autorisation | |
Level | Level | |
location | N/A | Emplacement de traitement de l’événement. Il ne s’agit pas de l’emplacement de la ressource, mais plutôt de l’emplacement où l’événement a été traité. Cette propriété sera supprimée dans une prochaine mise à jour. |
Propriétés | properties.eventProperties | |
properties.eventCategory | category | Si properties.eventCategory n’est pas présent, la catégorie est « Administrative » |
properties.eventName | eventName | |
properties.operationId | operationId | |
properties.eventProperties | properties |
Voici un exemple d’événement utilisant ce schéma :
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}