次の方法で共有


Azure アクティビティ ログのイベント スキーマ

Azure アクティビティ ログは、Azure で発生したすべてのサブスクリプション レベルのイベントに関する分析情報を提供します。 この記事では、アクティビティ ログのカテゴリとそれぞれのスキーマについて説明します。

スキーマは、ログへのアクセス方法によって異なります。

  • この記事で説明するスキーマは、REST API からアクティビティ ログにアクセスするときに使用します。 スキーマは、Azure portal でイベントを表示するときに JSON オプションを選択した場合にも使用されます。
  • 診断設定を使用して Azure Storage または Azure Event Hubs にアクティビティ ログを送信する場合は、スキーマについて最後の「ストレージ アカウントとイベント ハブからのスキーマ」セクションを参照してください。
  • 診断設定を使用して Log Analytics ワークスペースにアクティビティ ログを送信する場合は、スキーマについて Azure Monitor データ参照を参照してください。

重要度

アクティビティ ログの各エントリには、重大度レベルが指定されています。 重大度レベルには、次の値のいずれかが指定されています。

重大度 説明
重大 システム管理者による早急な対処を必要とするイベント。 アプリケーションまたはシステムが応答に失敗または停止したことを示している可能性があります。
エラー 問題を示すが、すぐに注意する必要がないイベント。
警告 実際のエラーではなく潜在的な問題を事前に警告するイベント。 リソースが理想的な状態ではなく、後でエラーや重大なイベントが表示される可能性があることを示します。
Informational 重大ではない情報を管理者に渡すイベント。 注意事項 ("参考") と同様のものです。

各リソース プロバイダーの開発者が、リソース エントリの重大度レベルを選択します。 このため、ユーザーにとっての実際の重要度は、アプリケーションのビルド方法によって異なります。 たとえば、分離して特定のリソースに対して "重要" な項目は、Azure アプリケーションの中心となるリソースの種類の "エラー" ほど重要でない場合があります。 アラートを発生させるイベントを決定するときは、必ずこの点を考慮してください。

Categories

アクティビティ ログの各イベントには、次の表に示す特定のカテゴリがあります。 ポータル、PowerShell、CLI、および REST API からアクティビティ ログにアクセスする場合は、各カテゴリとそのスキーマの詳細について、以下のセクションを参照してください。 アクティビティ ログをストレージまたはイベント ハブにストリームする場合、スキーマは異なります。 リソース ログ スキーマへのプロパティのマッピングについては、この記事の最後のセクションで紹介します。

カテゴリ 説明
管理 Resource Manager で実行されるすべての作成、更新、削除、アクション操作のレコードが含まれます。 管理イベントの例としては、仮想マシンの作成ネットワーク セキュリティ グループの削除 があります。

Resource Manager を使用してユーザーまたはアプリケーションが実行するすべてのアクションは、特定のリソースの種類に対する操作としてモデル化されています。 操作の種類が 書き込み削除、または アクション の場合、その操作の開始のレコードと成功または失敗のレコードは、いずれも管理カテゴリに記録されます。 管理イベントには、サブスクリプション内の Azure ロールベースのアクセス制御に対する任意の変更も含まれています。
サービス正常性 Azure で発生したすべてのサービス正常性インシデントのレコードが含まれます。 サービス正常性イベントの例としては、"SQL Azure in East US is experiencing downtime" (米国東部の SQL Azure でダウンタイムが発生しています) があります。

Service Health のイベントは 6 種類に分かれます。"要対応"、"支援復旧"、"インシデント"、"メンテナンス"、"情報"、または "セキュリティ"。 これらのイベントは、サブスクリプション内にイベントの影響を受けたリソースがある場合にのみ作成されます。
Resource Health Azure リソースに対して発生したすべてのリソース正常性イベントのレコードが含まれます。 リソース正常性イベントの例としては、"Virtual Machine health status changed to unavailable" (仮想マシンの正常性状態が使用不可に変更されました) があります。

リソース正常性イベントは、次の 4 つの正常性状態のいずれかを示す可能性があります。"使用可能"、"使用不可"、"デグレード"、および "不明"。 さらに、リソース正常性イベントは、"Platform Initiated" (プラットフォーム開始) または "User Initiated" (ユーザー開始) のいずれかのカテゴリに分けることができます。
Alert Azure アラートのアクティブ化のレコードが含まれます。 アラート イベントの例として、過去 5 分間、myVM の 80 を超える CPU % が
Autoscale サブスクリプションで定義した自動スケール設定に基づいて、自動スケール エンジンの操作に関連するすべてのイベントのレコードが含まれます。 自動スケーリングの例としては、"Autoscale scale up action failed" (自動スケーリングのスケールアップ アクションが失敗しました) があります。
推奨 Azure Advisor からの推奨イベントが含まれます。
Security Microsoft Defender for Cloud によって生成されたアラートのレコードが含まれます。 セキュリティ イベントの例としては、"Suspicious double extension file executed" (疑わしい二重拡張子ファイルが実行されました) があります。
ポリシー Azure Policy によって実行されるすべての効果アクション操作のレコードが含まれます。 ポリシー イベントの例としては、"監査" と "拒否" があります。 Policy によって実行されるすべてのアクションは、リソースに対する操作としてモデル化されます。

管理カテゴリ

このカテゴリには、Resource Manager で実行されるすべての作成、更新、削除、アクション操作のレコードが含まれています。 このカテゴリに表示されるイベントの種類には、"仮想マシンの作成" や "ネットワーク セキュリティ グループの削除" などがあります。 Resource Manager を使用してユーザーまたはアプリケーションが実行するすべてのアクションは、特定のリソースの種類に対する操作としてモデル化されています。 操作の種類が書き込み、削除、またはアクションの場合、その操作の開始のレコードと成功または失敗のレコードは、いずれも管理カテゴリに記録されます。 管理カテゴリには、サブスクリプション内の Azure ロールベースのアクセス制御に対する任意の変更も含まれています。

サンプル イベント

{
    "authorization": {
        "action": "Microsoft.Network/networkSecurityGroups/write",
        "scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
    },
    "caller": "rob@contoso.com",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "_claim_names": "{\"groups\":\"src1\"}",
        "_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
        "http://schemas.microsoft.com/claims/authnclassreference": "1",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
        "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "appidacr": "2",
        "http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
        "e_exp": "262800",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
        "ipaddr": "111.111.1.111",
        "name": "Rob Robertson",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
        "puid": "18247BBD84827C6D",
        "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2018-01-29T20:42:31.3810679Z",
    "id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
    "level": "Informational",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Network/networkSecurityGroups/write",
        "localizedValue": "Microsoft.Network/networkSecurityGroups/write"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Network",
        "localizedValue": "Microsoft.Network"
    },
    "resourceType": {
        "value": "Microsoft.Network/networkSecurityGroups",
        "localizedValue": "Microsoft.Network/networkSecurityGroups"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "statusCode": "Created",
        "serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
        "responseBody": "",
        "requestbody": ""
    },
    "relatedEvents": []
}

プロパティの説明

要素名 説明
authorization イベントの Azure RBAC プロパティの BLOB。 通常は、"action"、"role"、"scope" の各プロパティが含まれます。
caller 操作、UPN 要求、または可用性に基づく SPN 要求を実行したユーザーの電子メール アドレス。
channels 次のいずれかの値:"Admin"、"Operation"
claims Resource Manager でこの操作を実行するユーザーまたはアプリケーションを認証するために Active Directory によって使用される JWT トークン。
correlationId 通常は文字列形式の GUID。 correlationId を共有するイベントは、同じ uber アクションに属します。
description イベントを説明する静的テキスト。
eventDataId イベントの一意の識別子。
eventName 管理イベントのフレンドリ名。
category 常に "Administrative"
httpRequest Http 要求を記述する BLOB。 通常、clientRequestId、clientIpAddress、およびメソッド (HTTP メソッド。たとえば PUT) が含まれます。
level イベントの重大度レベルです。
resourceGroupName 影響を受けるリソースのリソース グループの名前。
resourceProviderName 影響を受けるリソースのリソース プロバイダーの名前。
resourceType 管理イベントの影響を受けるリソースの種類。
resourceId 影響を受けるリソースのリソース ID。
operationId 単一の操作に対応する複数のイベント間で共有される GUID。
operationName 操作の名前。
properties イベントの詳細を示す <Key, Value> ペアのセット (辞書)。
status 操作の状態を説明する文字列。 いくつかの一般的な値は次のとおりです: Started、In Progress、Succeeded、Failed、Active、Resolved。
subStatus 通常、対応する REST 呼び出しの HTTP 状態コードですが、一般的な値として OK (HTTP 状態コード: 200)、Created (HTTP Status Code: 201)、Accepted (HTTP Status Code: 202)、No Content (HTTP Status Code: 204)、Bad Request (HTTP Status Code: 400)、Not Found (HTTP Status Code: 404)、競合 (HTTP 状態コード: 409)、内部サーバー エラー (HTTP 状態コード: 500)、サービス利用不可 (HTTP 状態コード: 503)、ゲートウェイ タイムアウト (HTTP 状態コード: 504)。
eventTimestamp イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。
submissionTimestamp イベントがクエリで使用できるようになったときのタイムスタンプ。
subscriptionId Azure サブスクリプション ID。

サービス正常性カテゴリ

このカテゴリには、Azure で発生したすべてのサービス正常性インシデントのレコードが含まれています。 このカテゴリで表示されるイベントの種類の例として、"SQL Azure in East US is experiencing downtime" (米国東部の SQL Azure でダウンタイムが発生しています) などがあります。サービス正常性イベントには、要対応、インシデント、メンテナンス、情報、またはセキュリティという 5 種類があります。イベントの影響を受けるリソースがサブスクリプションにある場合にのみ表示されます。

サンプル イベント

{
  "channels": "Admin",
  "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
  "description": "Active: Network Infrastructure - UK South",
  "eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
  "eventName": {
      "value": null
  },
  "category": {
      "value": "ServiceHealth",
      "localizedValue": "Service Health"
  },
  "eventTimestamp": "2017-07-20T23:30:14.8022297Z",
  "id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
  "level": "Warning",
  "operationName": {
      "value": "Microsoft.ServiceHealth/incident/action",
      "localizedValue": "Microsoft.ServiceHealth/incident/action"
  },
  "resourceProviderName": {
      "value": null
  },
  "resourceType": {
      "value": null,
      "localizedValue": ""
  },
  "resourceId": "/subscriptions/<subscription ID>",
  "status": {
      "value": "Active",
      "localizedValue": "Active"
  },
  "subStatus": {
      "value": null
  },
  "submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
  "subscriptionId": "<subscription ID>",
  "properties": {
    "title": "Network Infrastructure - UK South",
    "service": "Service Fabric",
    "region": "UK South",
    "communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "incidentType": "Incident",
    "trackingId": "NA0F-BJG",
    "impactStartTime": "2017-07-20T21:41:00.0000000Z",
    "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
    "defaultLanguageTitle": "Network Infrastructure - UK South",
    "defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "stage": "Active",
    "communicationId": "636361902146035247",
    "version": "0.1.1"
  }
}

プロパティの値に関するドキュメントについては、サービスの正常性通知に関する記事を参照してください。

リソース正常性カテゴリ

このカテゴリには、Azure リソースに対して発生したリソース正常性イベントのレコードが含まれています。 このカテゴリに表示されるイベントの種類として、[Virtual Machine health status changed to unavailable](仮想マシンの正常性状態が使用不可に変わりました) などがあります。リソース正常性イベントは、利用可能、利用不可、降格済み、不明の 4 つの正常性状態のいずれかになります。 さらに、リソース正常性イベントは、プラットフォーム開始またはユーザー開始のいずれかのカテゴリーに分けることができます。

リソース正常性のイベントは、次の場合にアクティビティ ログに記録されます。

  • たとえば、"ResourceDegraded" や "AccountClientThrottling" などの注釈がリソースに対して送信されます。
  • リソースが異常へと、または異常から遷移しました。
  • リソースが 15 分以上異常でした。

次のリソース正常性の遷移はアクティビティ ログに記録されません:

  • 不明な状態への遷移。
  • 不明な状態からの遷移 (次の場合):
    • これが最初の遷移である場合。
    • 不明の前の状態が、その後の新しい状態と同じ場合。 (たとえば、リソースが正常から不明に遷移し、正常に戻った場合)。
    • コンピューティング リソースの場合: 正常から異常に遷移して正常に戻った VM で、異常な時間が 35 秒未満の場合。

サンプル イベント

{
    "channels": "Admin, Operation",
    "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
    "description": "",
    "eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "ResourceHealth",
        "localizedValue": "Resource Health"
    },
    "eventTimestamp": "2018-09-04T15:33:43.65Z",
    "id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
    "level": "Critical",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Resourcehealth/healthevent/Activated/action",
        "localizedValue": "Health Event Activated"
    },
    "resourceGroupName": "<resource group>",
    "resourceProviderName": {
        "value": "Microsoft.Resourcehealth/healthevent/action",
        "localizedValue": "Microsoft.Resourcehealth/healthevent/action"
    },
    "resourceType": {
        "value": "Microsoft.Compute/virtualMachines",
        "localizedValue": "Microsoft.Compute/virtualMachines"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "stage": "Active",
        "title": "Virtual Machine health status changed to unavailable",
        "details": "Virtual machine has experienced an unexpected event",
        "healthStatus": "Unavailable",
        "healthEventType": "Downtime",
        "healthEventCause": "PlatformInitiated",
        "healthEventCategory": "Unplanned"
    },
    "relatedEvents": []
}

プロパティの説明

要素名 説明
channels 常に "Admin, Operation"
correlationId 文字列形式の GUID。
description アラート イベントを説明する静的テキスト。
eventDataId アラート イベントの一意識別子。
category 常に "ResourceHealth"。
eventTimestamp イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。
level イベントの重大度レベルです。
operationId 単一の操作に対応する複数のイベント間で共有される GUID。
operationName 操作の名前。
resourceGroupName リソースが含まれているリソース グループの名前。
resourceProviderName 常に "Microsoft.Resourcehealth/healthevent/action"。
resourceType Resource Health イベントの影響を受けるリソースの種類。
resourceId 影響を受けたリソースのリソース ID の名前。
status 正常性イベントの状態を説明する文字列。 可能な値は次のとおりです。Active、Resolved、InProgress、Updated。
subStatus アラートの場合、通常は null です。
submissionTimestamp イベントがクエリで使用できるようになったときのタイムスタンプ。
subscriptionId Azure サブスクリプション ID。
properties イベントの詳細を示す <Key, Value> ペアのセット (辞書)。
properties.title リソースの正常性状態を説明するユーザー フレンドリな文字列。
properties.details イベントの詳細を説明するユーザー フレンドリな文字列。
properties.currentHealthStatus リソースの現在の正常性状態。 次のいずれかの値:"Available"、"Unavailable"、"Degraded"、および "Unknown"。
properties.previousHealthStatus リソースの前回の正常性状態。 次のいずれかの値:"Available"、"Unavailable"、"Degraded"、および "Unknown"。
properties.type リソース正常性イベントの種類の説明。
properties.cause リソース正常性イベントの原因の説明。 "UserInitiated" または "PlatformInitiated" のいずれか。

警告カテゴリ

このカテゴリには、従来の Azure アラートの全アクティビティのレコードが含まれています。 このカテゴリに表示されるイベントの種類の例として、"過去 5 分間に myVM の CPU % が 80 を超えている" などがあります。さまざまな Azure システムにはアラートの概念があります。ある種のルールを定義し、条件がそのルールと一致したときに通知を受け取ることができます。 サポートされる Azure のアラートの種類が "アクティブになる" たびに、または通知を生成する条件を満たすたびに、アクティブ化のレコードもこのカテゴリのアクティビティ ログにプッシュされます。

サンプル イベント

{
  "caller": "Microsoft.Insights/alertRules",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
  },
  "correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
  "eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
  "eventName": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "category": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "Microsoft.ClassicCompute",
    "localizedValue": "Microsoft.ClassicCompute"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
  "resourceType": {
    "value": "Microsoft.ClassicCompute/domainNames/slots/roles",
    "localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
  },
  "operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "operationName": {
    "value": "Microsoft.Insights/AlertRules/Resolved/Action",
    "localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
  },
  "properties": {
    "RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
    "RuleName": "myalert",
    "RuleDescription": "",
    "Threshold": "100000",
    "WindowSizeInMinutes": "5",
    "Aggregation": "Average",
    "Operator": "LessThan",
    "MetricName": "Disk read",
    "MetricUnit": "Count"
  },
  "status": {
    "value": "Resolved",
    "localizedValue": "Resolved"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T09:24:13.522192Z",
  "submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
  "subscriptionId": "<subscription ID>"
}

プロパティの説明

要素名 説明
caller 常に Microsoft.Insights/alertRules
channels 常に "Admin, Operation"
claims アラート エンジンの SPN (サービス プリンシパル名) またはリソースの種類の JSON BLOB。
correlationId 文字列形式の GUID。
description アラート イベントを説明する静的テキスト。
eventDataId アラート イベントの一意識別子。
category 常に "Alert"
level イベントの重大度レベルです。
resourceGroupName 影響を受けたリソースのリソース グループの名前 (メトリック アラートの場合)。 その他の種類のアラートの場合は、アラート自体を含むリソース グループの名前です。
resourceProviderName メトリック アラートの場合は、影響を受けたリソースのリソース プロバイダーの名前。 その他の種類のアラートの場合は、アラート自体のリソース プロバイダーの名前です。
resourceId メトリック アラートの場合は、影響を受けたリソースのリソース ID の名前。 その他の種類のアラートの場合は、アラート リソース自体のリソース ID です。
operationId 単一の操作に対応する複数のイベント間で共有される GUID。
operationName 操作の名前。
properties イベントの詳細を示す <Key, Value> ペアのセット (辞書)。
status 操作の状態を説明する文字列。 いくつかの一般的な値は次のとおりです: Started、In Progress、Succeeded、Failed、Active、Resolved。
subStatus アラートの場合、通常は null です。
eventTimestamp イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。
submissionTimestamp イベントがクエリで使用できるようになったときのタイムスタンプ。
subscriptionId Azure サブスクリプション ID。

アラートの種類別のプロパティ フィールド

アラート イベントのソースに応じて、プロパティ フィールドには異なる値が格納されます。 アラート イベントの一般的なプロバイダーは、アクティビティ ログ アラートとメトリック アラートの 2 つです。

アクティビティ ログ アラートのプロパティ

要素名 説明
properties.subscriptionId このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのサブスクリプション ID。
properties.eventDataId このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのイベント データ ID。
properties.resourceGroup このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのリソース グループ。
properties.resourceId このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのリソース ID。
properties.eventTimestamp このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのイベント タイムスタンプ。
properties.operationName このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントの操作名。
properties.status このアクティビティ ログ アラート ルールがアクティブ化された原因となったアクティビティ ログ イベントの状態。

メトリック アラートのプロパティ

要素名 説明
properties.RuleUri メトリック アラート ルール自体のリソース ID。
properties.RuleName メトリック アラート ルールの名前。
properties.RuleDescription (アラート ルールで定義された) メトリック アラート ルールの説明。
properties.Threshold メトリック アラート ルールの評価で使用されるしきい値。
properties.WindowSizeInMinutes メトリック アラート ルールの評価で使用されるウィンドウ サイズ。
properties.Aggregation メトリック アラート ルールで定義されている集計の種類。
properties.Operator メトリック アラート ルールの評価で使用される条件演算子。
properties.MetricName メトリック アラート ルールの評価で使用されるメトリックのメトリック名。
properties.MetricUnit メトリック アラート ルールの評価で使用されるメトリックのメトリック単位。

自動スケール カテゴリ

このカテゴリには、サブスクリプションで定義したすべての自動スケール設定に基づいて、自動スケール エンジンの操作に関連するすべてのイベントのレコードが含まれます。 このカテゴリで表示されるイベントの種類として、"Autoscale scale up action failed" (自動スケールのスケールアップ アクションに失敗しました) などがあります。自動スケールを使用すると、自動スケール設定で指定した時刻や負荷 (メトリック) データに基づいて、サポートされるリソースの種類のインスタンス数を自動的にスケールアウトまたはスケールインすることができます。 スケールアップまたはスケールダウンの条件を満たした場合、開始イベントと、成功または失敗イベントがこのカテゴリに記録されます。

サンプル イベント

{
  "caller": "Microsoft.Insights/autoscaleSettings",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
  },
  "correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
  "eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
  "eventName": {
    "value": "AutoscaleAction",
    "localizedValue": "AutoscaleAction"
  },
  "category": {
    "value": "Autoscale",
    "localizedValue": "Autoscale"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "microsoft.insights",
    "localizedValue": "microsoft.insights"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
  "resourceType": {
    "value": "microsoft.insights/autoscalesettings",
    "localizedValue": "microsoft.insights/autoscalesettings"
  },
  "operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "operationName": {
    "value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
    "localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
  },
  "properties": {
    "Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
    "ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
    "OldInstancesCount": "3",
    "NewInstancesCount": "2",
    "LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T01:00:51.8681572Z",
  "submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
  "subscriptionId": "<subscription ID>"
}

プロパティの説明

要素名 説明
caller 常に Microsoft.Insights/autoscaleSettings
channels 常に "Admin, Operation"
claims 自動スケール エンジンの SPN (サービス プリンシパル名) またはリソースの種類の JSON BLOB。
correlationId 文字列形式の GUID。
description 自動スケール イベントを説明する静的テキスト。
eventDataId 自動スケール イベントの一意識別子。
level イベントの重大度レベルです。
resourceGroupName 自動スケール設定のリソース グループの名前。
resourceProviderName 自動スケール設定のリソース プロバイダーの名前。
resourceId 自動スケール設定のリソース ID。
operationId 単一の操作に対応する複数のイベント間で共有される GUID。
operationName 操作の名前。
properties イベントの詳細を示す <Key, Value> ペアのセット (辞書)。
properties.Description 自動スケール エンジンが実行していた処理の詳細な説明。
properties.ResourceName 影響を受けるリソース (スケール アクションが実行されていたリソース) のリソース ID
properties.OldInstancesCount 自動スケール アクションが有効になる前のインスタンスの数。
properties.NewInstancesCount 自動スケール アクションが有効になった後のインスタンスの数。
properties.LastScaleActionTime 自動スケール アクションが発生したときのタイムスタンプ。
status 操作の状態を説明する文字列。 いくつかの一般的な値は次のとおりです: Started、In Progress、Succeeded、Failed、Active、Resolved。
subStatus 自動スケールの場合、通常は null です。
eventTimestamp イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。
submissionTimestamp イベントがクエリで使用できるようになったときのタイムスタンプ。
subscriptionId Azure サブスクリプション ID。

セキュリティ カテゴリ

このカテゴリには、Microsoft Defender for Cloud によって生成されたアラートのレコードが含まれます。 このカテゴリで表示されるイベントの種類の例としては、"Suspicious double extension file executed" (拡張子が 2 つある不審なファイルが実行されました) などがあります。

サンプル イベント

{
    "channels": "Operation",
    "correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
    "eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "eventName": {
        "value": "Suspicious double extension file executed",
        "localizedValue": "Suspicious double extension file executed"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2017-10-18T06:02:18.6179339Z",
    "id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
    "level": "Informational",
    "operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Microsoft.Security/locations/alerts/activate/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": null
    },
    "submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "accountLogonId": "0x2r4",
        "commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
        "domainName": "hpc",
        "parentProcess": "unknown",
        "parentProcess id": "0",
        "processId": "6988",
        "processName": "c:\\mydirectory\\doubleetension.pdf.exe",
        "userName": "myUser",
        "UserSID": "S-3-2-12",
        "ActionTaken": "Detected",
        "Severity": "High"
    },
    "relatedEvents": []
}

プロパティの説明

要素名 説明
channels 常に "Operation"
correlationId 文字列形式の GUID。
description セキュリティ イベントを説明する静的テキスト。
eventDataId セキュリティ イベントの一意識別子。
eventName セキュリティ イベントのフレンドリ名。
category 常に "Security"
id セキュリティ イベントの一意リソース識別子。
level イベントの重大度レベルです。
resourceGroupName リソースのリソース グループの名前。
resourceProviderName Microsoft Defender for Cloud のリソース プロバイダーの名前。 常に "Microsoft.Security"。
resourceType セキュリティ イベントを生成したリソースの種類 (例: "Microsoft.Security/locations/alerts")
resourceId セキュリティ アラートのリソース ID。
operationId 単一の操作に対応する複数のイベント間で共有される GUID。
operationName 操作の名前。
properties イベントの詳細を示す <Key, Value> ペアのセット (辞書)。 これらのプロパティは、セキュリティ アラートの種類によって異なります。 Defender for Cloud から送られてくるアラートの種類について詳しくは、こちらのページをご覧ください。
properties.Severity 重大度のレベル。 可能性のある値は、"High"、"Medium"、"Low" です。
status 操作の状態を説明する文字列。 いくつかの一般的な値は次のとおりです: Started、In Progress、Succeeded、Failed、Active、Resolved。
subStatus 通常、セキュリティ イベントの場合は null です。
eventTimestamp イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。
submissionTimestamp イベントがクエリで使用できるようになったときのタイムスタンプ。
subscriptionId Azure サブスクリプション ID。

推奨事項カテゴリ

このカテゴリには、サービスに対して生成されている新しい推奨のすべてのレコードが含まれています。 推奨の例として、"フォールト トレランスの改善のための可用性セットの使用" が挙げられます。生成される可能性がある推奨事項イベントには、高可用性、パフォーマンス、セキュリティ、コスト最適化の 4 種類があります。

サンプル イベント

{
    "channels": "Operation",
    "correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
    "description": "The action was successful.",
    "eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Recommendation",
        "localizedValue": "Recommendation"
    },
    "eventTimestamp": "2018-06-07T21:30:42.976919Z",
    "id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Advisor/generateRecommendations/action",
        "localizedValue": "Microsoft.Advisor/generateRecommendations/action"
    },
    "resourceGroupName": "MYRESOURCEGROUP",
    "resourceProviderName": {
        "value": "MICROSOFT.COMPUTE",
        "localizedValue": "MICROSOFT.COMPUTE"
    },
    "resourceType": {
        "value": "MICROSOFT.COMPUTE/virtualmachines",
        "localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
    },
    "resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-06-07T21:30:42.976919Z",
    "subscriptionId": "<Subscription ID>",
    "properties": {
        "recommendationSchemaVersion": "1.0",
        "recommendationCategory": "Security",
        "recommendationImpact": "High",
        "recommendationRisk": "None"
    },
    "relatedEvents": []
}

プロパティの説明

要素名 説明
channels 常に "Operation"
correlationId 文字列形式の GUID。
description 推奨イベントを説明する静的テキスト
eventDataId 推奨イベントの一意の識別子。
category 常に "Recommendation"
id 推奨イベントの一意のリソース ID。
level イベントの重大度レベルです。
operationName 操作の名前。 常に "Microsoft.Advisor/generateRecommendations/action"
resourceGroupName リソースのリソース グループの名前。
resourceProviderName この推奨が適用されるリソースのリソース プロバイダーの名前 ("MICROSOFT.COMPUTE" など)
resourceType この推奨が適用されるリソースのリソース タイプの名前 ("MICROSOFT.COMPUTE/virtualmachines" など)
resourceId 推奨が適用されるリソースのリソース ID
status 常に "Active"
submissionTimestamp イベントがクエリで使用できるようになったときのタイムスタンプ。
subscriptionId Azure サブスクリプション ID。
properties 推奨の詳細を示す <Key, Value> ペアのセット (辞書)。
properties.recommendationSchemaVersion アクティビティ ログ エントリに公開される推奨プロパティのスキーマ バージョン
properties.recommendationCategory 推奨のカテゴリ。 指定できる値は "High Availability"、"Performance"、"Security"、"Cost" です。
properties.recommendationImpact 推奨の影響。 指定できる値は "High"、"Medium"、"Low" です。
properties.recommendationRisk 推奨のリスク。 指定できる値は "Error"、"Warning"、"None" です。

ポリシー カテゴリ

このカテゴリには、Azure Policy によって実行されるすべての効果アクション操作のレコードが含まれます。 このカテゴリで表示されるイベントの種類の例として、AuditDeny があります。 Policy によって実行されるすべてのアクションは、リソースに対する操作としてモデル化されます。

サンプルの Policy イベント

{
    "authorization": {
        "action": "Microsoft.Resources/checkPolicyCompliance/read",
        "scope": "/subscriptions/<subscriptionID>"
    },
    "caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.azure.com/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
        "appidacr": "2",
        "http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "description": "",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Policy",
        "localizedValue": "Policy"
    },
    "eventTimestamp": "2019-01-15T13:19:56.1227642Z",
    "id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
    "level": "Warning",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Authorization/policies/audit/action",
        "localizedValue": "Microsoft.Authorization/policies/audit/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Sql",
        "localizedValue": "Microsoft SQL"
    },
    "resourceType": {
        "value": "Microsoft.Resources/checkPolicyCompliance",
        "localizedValue": "Microsoft.Resources/checkPolicyCompliance"
    },
    "resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
    "subscriptionId": "<subscriptionID>",
    "properties": {
        "isComplianceCheck": "True",
        "resourceLocation": "westus2",
        "ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
            Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
            onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
            policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
            /policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
            4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
            nmentParameters\":{}}]"
    },
    "relatedEvents": []
}

Policy イベントのプロパティの説明

要素名 説明
authorization イベントの Azure RBAC プロパティの配列。 新しいリソースの場合、これは、評価をトリガーした要求のアクションとスコープです。 既存のリソースの場合、アクションは "Microsoft.Resources/checkPolicyCompliance/read" です。
caller 新しいリソースの場合は、デプロイを開始した ID。 既存のリソースの場合は、Microsoft Azure Policy Insights RP の GUID。
channels Policy イベントは "Operation" チャネルのみを使用します。
claims Resource Manager でこの操作を実行するユーザーまたはアプリケーションを認証するために Active Directory によって使用される JWT トークン。
correlationId 通常は文字列形式の GUID。 correlationId を共有するイベントは、同じ uber アクションに属します。
description このフィールドは、Policy イベントの場合は空白です。
eventDataId イベントの一意の識別子。
eventName "BeginRequest" または "EndRequest" のいずれか。 "BeginRequest" は、auditIfNotExists と deployIfNotExists の評価が遅延した場合と、deployIfNotExists 効果がテンプレートのデプロイを開始するときに使用されます。 他のすべての操作は "EndRequest" を返します。
category アクティビティ ログ イベントを "Policy" に属するものとして宣言します。
eventTimestamp イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。
id 特定のリソースのイベントの一意識別子。
level イベントの重大度レベルです。 Audit は "Warning" を使用し、Deny は "Error" を使用します。 auditIfNotExists または deployIfNotExists エラーは、重大度に応じて "Warning" または"Error" を生成する可能性があります。 他のすべての Policy イベントは "Informational" を使用します。
operationId 単一の操作に対応する複数のイベント間で共有される GUID。
operationName 操作の名前。Policy 効果に直接関連します。
resourceGroupName 評価されるリソースのリソース グループの名前。
resourceProviderName 評価されるリソースのリソース プロバイダーの名前。
resourceType 新しいリソースの場合は、評価される型です。 既存のリソースの場合は、"Microsoft.Resources/checkPolicyCompliance" を返します。
resourceId 評価されるリソースのリソース ID。
status Policy の評価結果の状態を説明する文字列。 ほとんどの Policy の評価は "Succeeded" を返しますが、Deny 効果は "Failed" を返します。 auditIfNotExists または deployIfNotExists でのエラーも "Failed" を返します。
subStatus Policy イベントの場合、フィールドは空白です。
submissionTimestamp イベントがクエリで使用できるようになったときのタイムスタンプ。
subscriptionId Azure サブスクリプション ID。
properties.isComplianceCheck 新しいリソースをデプロイされたり、既存のリソースのリソース マネージャーのプロパティが更新されたりしたときに、"False" を返します。 他のすべての評価トリガーでは "True" になります。
properties.resourceLocation 評価されているリソースの Azure リージョン。
properties.ancestors 親管理グループのコンマ区切りの一覧は、直接の親から最も遠い先祖の順に並べ替えられます。
properties.policies この Policy の評価が結果となるポリシー定義、割り当て、効果、およびパラメーターに関する詳細が含まれます。
relatedEvents このフィールドは、Policy イベントの場合は空白です。

ストレージ アカウントとイベント ハブからのスキーマ

Azure アクティビティ ログをストレージ アカウントまたはイベント ハブにストリーミングする場合、データはリソース ログ スキーマに従います。 上記のスキーマからリソース ログ スキーマへのプロパティのマッピングを次の表に示します。

重要

ストレージ アカウントに書き込まれるアクティビティ ログ データの形式は、2018 年 11 月 1 日に JSON 行に変更されました。 この形式変更の詳細については、「ストレージ アカウントにアーカイブされている Azure Monitor リソース ログの形式変更のための準備」を参照してください。

リソース ログのスキーマ プロパティ アクティビティ ログ REST API スキーマ プロパティ Notes
time eventTimestamp
resourceId resourceId subscriptionId、resourceType、resourceGroupName は、すべて resourceId から推測されます。
operationName operationName.value
category 操作の名前の一部 常に "Administrative"
resultType status.value
resultSignature substatus.value
resultDescription description
durationMs 該当なし 常時 0
callerIpAddress httpRequest.clientIpAddress
correlationId correlationId
identity 要求と承認プロパティ
Level Level
location 該当なし イベントが処理される場所。 これはリソースの場所ではなく、イベントが処理された場所です。 このプロパティは、今後の更新で削除されます。
Properties properties.eventProperties
properties.eventCategory category properties.eventCategory が存在しない場合、カテゴリは "管理" です
properties.eventName eventName
properties.operationId operationId
properties.eventProperties properties

次に、このスキーマを使用したイベントの例を示します:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
            "identity": {
               "authorization": {
                   "scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/       msftstorageaccount",
                   "action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
                   "evidence": {
                       "role": "Azure Eventhubs Service Role",
                       "roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
                       "roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
                       "roleDefinitionId": "123456789de042a6a64b29b123456789",
                       "principalId": "abcdef038c6444c18f1c31311fabcdef",
                       "principalType": "ServicePrincipal"
                   }
               },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "11112222-bbbb-3333-cccc-4444dddd5555",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

次のステップ