Azure アクティビティ ログのイベント スキーマ
Azure アクティビティ ログは、Azure で発生したすべてのサブスクリプション レベルのイベントに関する分析情報を提供します。 この記事では、アクティビティ ログのカテゴリとそれぞれのスキーマについて説明します。
スキーマは、ログへのアクセス方法によって異なります。
- この記事で説明するスキーマは、REST API からアクティビティ ログにアクセスするときに使用します。 スキーマは、Azure portal でイベントを表示するときに JSON オプションを選択した場合にも使用されます。
- 診断設定を使用して Azure Storage または Azure Event Hubs にアクティビティ ログを送信する場合は、スキーマについて最後の「ストレージ アカウントとイベント ハブからのスキーマ」セクションを参照してください。
- 診断設定を使用して Log Analytics ワークスペースにアクティビティ ログを送信する場合は、スキーマについて Azure Monitor データ参照を参照してください。
重要度
アクティビティ ログの各エントリには、重大度レベルが指定されています。 重大度レベルには、次の値のいずれかが指定されています。
重大度 | 説明 |
---|---|
重大 | システム管理者による早急な対処を必要とするイベント。 アプリケーションまたはシステムが応答に失敗または停止したことを示している可能性があります。 |
エラー | 問題を示すが、すぐに注意する必要がないイベント。 |
警告 | 実際のエラーではなく潜在的な問題を事前に警告するイベント。 リソースが理想的な状態ではなく、後でエラーや重大なイベントが表示される可能性があることを示します。 |
Informational | 重大ではない情報を管理者に渡すイベント。 注意事項 ("参考") と同様のものです。 |
各リソース プロバイダーの開発者が、リソース エントリの重大度レベルを選択します。 このため、ユーザーにとっての実際の重要度は、アプリケーションのビルド方法によって異なります。 たとえば、分離して特定のリソースに対して "重要" な項目は、Azure アプリケーションの中心となるリソースの種類の "エラー" ほど重要でない場合があります。 アラートを発生させるイベントを決定するときは、必ずこの点を考慮してください。
Categories
アクティビティ ログの各イベントには、次の表に示す特定のカテゴリがあります。 ポータル、PowerShell、CLI、および REST API からアクティビティ ログにアクセスする場合は、各カテゴリとそのスキーマの詳細について、以下のセクションを参照してください。 アクティビティ ログをストレージまたはイベント ハブにストリームする場合、スキーマは異なります。 リソース ログ スキーマへのプロパティのマッピングについては、この記事の最後のセクションで紹介します。
カテゴリ | 説明 |
---|---|
管理 | Resource Manager で実行されるすべての作成、更新、削除、アクション操作のレコードが含まれます。 管理イベントの例としては、仮想マシンの作成、ネットワーク セキュリティ グループの削除 があります。 Resource Manager を使用してユーザーまたはアプリケーションが実行するすべてのアクションは、特定のリソースの種類に対する操作としてモデル化されています。 操作の種類が 書き込み、削除、または アクション の場合、その操作の開始のレコードと成功または失敗のレコードは、いずれも管理カテゴリに記録されます。 管理イベントには、サブスクリプション内の Azure ロールベースのアクセス制御に対する任意の変更も含まれています。 |
サービス正常性 | Azure で発生したすべてのサービス正常性インシデントのレコードが含まれます。 サービス正常性イベントの例としては、"SQL Azure in East US is experiencing downtime" (米国東部の SQL Azure でダウンタイムが発生しています) があります。 Service Health のイベントは 6 種類に分かれます。"要対応"、"支援復旧"、"インシデント"、"メンテナンス"、"情報"、または "セキュリティ"。 これらのイベントは、サブスクリプション内にイベントの影響を受けたリソースがある場合にのみ作成されます。 |
Resource Health | Azure リソースに対して発生したすべてのリソース正常性イベントのレコードが含まれます。 リソース正常性イベントの例としては、"Virtual Machine health status changed to unavailable" (仮想マシンの正常性状態が使用不可に変更されました) があります。 リソース正常性イベントは、次の 4 つの正常性状態のいずれかを示す可能性があります。"使用可能"、"使用不可"、"デグレード"、および "不明"。 さらに、リソース正常性イベントは、"Platform Initiated" (プラットフォーム開始) または "User Initiated" (ユーザー開始) のいずれかのカテゴリに分けることができます。 |
Alert | Azure アラートのアクティブ化のレコードが含まれます。 アラート イベントの例として、過去 5 分間、myVM の 80 を超える CPU % が。 |
Autoscale | サブスクリプションで定義した自動スケール設定に基づいて、自動スケール エンジンの操作に関連するすべてのイベントのレコードが含まれます。 自動スケーリングの例としては、"Autoscale scale up action failed" (自動スケーリングのスケールアップ アクションが失敗しました) があります。 |
推奨 | Azure Advisor からの推奨イベントが含まれます。 |
Security | Microsoft Defender for Cloud によって生成されたアラートのレコードが含まれます。 セキュリティ イベントの例としては、"Suspicious double extension file executed" (疑わしい二重拡張子ファイルが実行されました) があります。 |
ポリシー | Azure Policy によって実行されるすべての効果アクション操作のレコードが含まれます。 ポリシー イベントの例としては、"監査" と "拒否" があります。 Policy によって実行されるすべてのアクションは、リソースに対する操作としてモデル化されます。 |
管理カテゴリ
このカテゴリには、Resource Manager で実行されるすべての作成、更新、削除、アクション操作のレコードが含まれています。 このカテゴリに表示されるイベントの種類には、"仮想マシンの作成" や "ネットワーク セキュリティ グループの削除" などがあります。 Resource Manager を使用してユーザーまたはアプリケーションが実行するすべてのアクションは、特定のリソースの種類に対する操作としてモデル化されています。 操作の種類が書き込み、削除、またはアクションの場合、その操作の開始のレコードと成功または失敗のレコードは、いずれも管理カテゴリに記録されます。 管理カテゴリには、サブスクリプション内の Azure ロールベースのアクセス制御に対する任意の変更も含まれています。
サンプル イベント
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "355249ed-15d9-460d-8481-84026b065942",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
プロパティの説明
要素名 | 説明 |
---|---|
authorization | イベントの Azure RBAC プロパティの BLOB。 通常は、"action"、"role"、"scope" の各プロパティが含まれます。 |
caller | 操作、UPN 要求、または可用性に基づく SPN 要求を実行したユーザーの電子メール アドレス。 |
channels | 次のいずれかの値:"Admin"、"Operation" |
claims | Resource Manager でこの操作を実行するユーザーまたはアプリケーションを認証するために Active Directory によって使用される JWT トークン。 |
correlationId | 通常は文字列形式の GUID。 correlationId を共有するイベントは、同じ uber アクションに属します。 |
description | イベントを説明する静的テキスト。 |
eventDataId | イベントの一意の識別子。 |
eventName | 管理イベントのフレンドリ名。 |
category | 常に "Administrative" |
httpRequest | Http 要求を記述する BLOB。 通常、clientRequestId、clientIpAddress、およびメソッド (HTTP メソッド。たとえば PUT) が含まれます。 |
level | イベントの重大度レベルです。 |
resourceGroupName | 影響を受けるリソースのリソース グループの名前。 |
resourceProviderName | 影響を受けるリソースのリソース プロバイダーの名前。 |
resourceType | 管理イベントの影響を受けるリソースの種類。 |
resourceId | 影響を受けるリソースのリソース ID。 |
operationId | 単一の操作に対応する複数のイベント間で共有される GUID。 |
operationName | 操作の名前。 |
properties | イベントの詳細を示す <Key, Value> ペアのセット (辞書)。 |
status | 操作の状態を説明する文字列。 いくつかの一般的な値は次のとおりです: Started、In Progress、Succeeded、Failed、Active、Resolved。 |
subStatus | 通常、対応する REST 呼び出しの HTTP 状態コードですが、一般的な値として OK (HTTP 状態コード: 200)、Created (HTTP Status Code: 201)、Accepted (HTTP Status Code: 202)、No Content (HTTP Status Code: 204)、Bad Request (HTTP Status Code: 400)、Not Found (HTTP Status Code: 404)、競合 (HTTP 状態コード: 409)、内部サーバー エラー (HTTP 状態コード: 500)、サービス利用不可 (HTTP 状態コード: 503)、ゲートウェイ タイムアウト (HTTP 状態コード: 504)。 |
eventTimestamp | イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。 |
submissionTimestamp | イベントがクエリで使用できるようになったときのタイムスタンプ。 |
subscriptionId | Azure サブスクリプション ID。 |
サービス正常性カテゴリ
このカテゴリには、Azure で発生したすべてのサービス正常性インシデントのレコードが含まれています。 このカテゴリで表示されるイベントの種類の例として、"SQL Azure in East US is experiencing downtime" (米国東部の SQL Azure でダウンタイムが発生しています) などがあります。サービス正常性イベントには、要対応、インシデント、メンテナンス、情報、またはセキュリティという 5 種類があります。イベントの影響を受けるリソースがサブスクリプションにある場合にのみ表示されます。
サンプル イベント
{
"channels": "Admin",
"correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
プロパティの値に関するドキュメントについては、サービスの正常性通知に関する記事を参照してください。
リソース正常性カテゴリ
このカテゴリには、Azure リソースに対して発生したリソース正常性イベントのレコードが含まれています。 このカテゴリに表示されるイベントの種類として、[Virtual Machine health status changed to unavailable](仮想マシンの正常性状態が使用不可に変わりました) などがあります。リソース正常性イベントは、利用可能、利用不可、降格済み、不明の 4 つの正常性状態のいずれかになります。 さらに、リソース正常性イベントは、プラットフォーム開始またはユーザー開始のいずれかのカテゴリーに分けることができます。
リソース正常性のイベントは、次の場合にアクティビティ ログに記録されます。
- たとえば、"ResourceDegraded" や "AccountClientThrottling" などの注釈がリソースに対して送信されます。
- リソースが異常へと、または異常から遷移しました。
- リソースが 15 分以上異常でした。
次のリソース正常性の遷移はアクティビティ ログに記録されません:
- 不明な状態への遷移。
- 不明な状態からの遷移 (次の場合):
- これが最初の遷移である場合。
- 不明の前の状態が、その後の新しい状態と同じ場合。 (たとえば、リソースが正常から不明に遷移し、正常に戻った場合)。
- コンピューティング リソースの場合: 正常から異常に遷移して正常に戻った VM で、異常な時間が 35 秒未満の場合。
サンプル イベント
{
"channels": "Admin, Operation",
"correlationId": "28f1bfae-56d3-7urb-bff4-194d261248e9",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/a80024e1-883d-42a5-8b01-7591a1befccb/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
プロパティの説明
要素名 | 説明 |
---|---|
channels | 常に "Admin, Operation" |
correlationId | 文字列形式の GUID。 |
description | アラート イベントを説明する静的テキスト。 |
eventDataId | アラート イベントの一意識別子。 |
category | 常に "ResourceHealth"。 |
eventTimestamp | イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。 |
level | イベントの重大度レベルです。 |
operationId | 単一の操作に対応する複数のイベント間で共有される GUID。 |
operationName | 操作の名前。 |
resourceGroupName | リソースが含まれているリソース グループの名前。 |
resourceProviderName | 常に "Microsoft.Resourcehealth/healthevent/action"。 |
resourceType | Resource Health イベントの影響を受けるリソースの種類。 |
resourceId | 影響を受けたリソースのリソース ID の名前。 |
status | 正常性イベントの状態を説明する文字列。 可能な値は次のとおりです。Active、Resolved、InProgress、Updated。 |
subStatus | アラートの場合、通常は null です。 |
submissionTimestamp | イベントがクエリで使用できるようになったときのタイムスタンプ。 |
subscriptionId | Azure サブスクリプション ID。 |
properties | イベントの詳細を示す <Key, Value> ペアのセット (辞書)。 |
properties.title | リソースの正常性状態を説明するユーザー フレンドリな文字列。 |
properties.details | イベントの詳細を説明するユーザー フレンドリな文字列。 |
properties.currentHealthStatus | リソースの現在の正常性状態。 次のいずれかの値:"Available"、"Unavailable"、"Degraded"、および "Unknown"。 |
properties.previousHealthStatus | リソースの前回の正常性状態。 次のいずれかの値:"Available"、"Unavailable"、"Degraded"、および "Unknown"。 |
properties.type | リソース正常性イベントの種類の説明。 |
properties.cause | リソース正常性イベントの原因の説明。 "UserInitiated" または "PlatformInitiated" のいずれか。 |
警告カテゴリ
このカテゴリには、従来の Azure アラートの全アクティビティのレコードが含まれています。 このカテゴリに表示されるイベントの種類の例として、"過去 5 分間に myVM の CPU % が 80 を超えている" などがあります。さまざまな Azure システムにはアラートの概念があります。ある種のルールを定義し、条件がそのルールと一致したときに通知を受け取ることができます。 サポートされる Azure のアラートの種類が "アクティブになる" たびに、または通知を生成する条件を満たすたびに、アクティブ化のレコードもこのカテゴリのアクティビティ ログにプッシュされます。
サンプル イベント
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
プロパティの説明
要素名 | 説明 |
---|---|
caller | 常に Microsoft.Insights/alertRules |
channels | 常に "Admin, Operation" |
claims | アラート エンジンの SPN (サービス プリンシパル名) またはリソースの種類の JSON BLOB。 |
correlationId | 文字列形式の GUID。 |
description | アラート イベントを説明する静的テキスト。 |
eventDataId | アラート イベントの一意識別子。 |
category | 常に "Alert" |
level | イベントの重大度レベルです。 |
resourceGroupName | 影響を受けたリソースのリソース グループの名前 (メトリック アラートの場合)。 その他の種類のアラートの場合は、アラート自体を含むリソース グループの名前です。 |
resourceProviderName | メトリック アラートの場合は、影響を受けたリソースのリソース プロバイダーの名前。 その他の種類のアラートの場合は、アラート自体のリソース プロバイダーの名前です。 |
resourceId | メトリック アラートの場合は、影響を受けたリソースのリソース ID の名前。 その他の種類のアラートの場合は、アラート リソース自体のリソース ID です。 |
operationId | 単一の操作に対応する複数のイベント間で共有される GUID。 |
operationName | 操作の名前。 |
properties | イベントの詳細を示す <Key, Value> ペアのセット (辞書)。 |
status | 操作の状態を説明する文字列。 いくつかの一般的な値は次のとおりです: Started、In Progress、Succeeded、Failed、Active、Resolved。 |
subStatus | アラートの場合、通常は null です。 |
eventTimestamp | イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。 |
submissionTimestamp | イベントがクエリで使用できるようになったときのタイムスタンプ。 |
subscriptionId | Azure サブスクリプション ID。 |
アラートの種類別のプロパティ フィールド
アラート イベントのソースに応じて、プロパティ フィールドには異なる値が格納されます。 アラート イベントの一般的なプロバイダーは、アクティビティ ログ アラートとメトリック アラートの 2 つです。
アクティビティ ログ アラートのプロパティ
要素名 | 説明 |
---|---|
properties.subscriptionId | このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのサブスクリプション ID。 |
properties.eventDataId | このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのイベント データ ID。 |
properties.resourceGroup | このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのリソース グループ。 |
properties.resourceId | このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのリソース ID。 |
properties.eventTimestamp | このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントのイベント タイムスタンプ。 |
properties.operationName | このアクティビティ ログ アラート ルールがアクティブ化される原因となったアクティビティ ログ イベントの操作名。 |
properties.status | このアクティビティ ログ アラート ルールがアクティブ化された原因となったアクティビティ ログ イベントの状態。 |
メトリック アラートのプロパティ
要素名 | 説明 |
---|---|
properties.RuleUri | メトリック アラート ルール自体のリソース ID。 |
properties.RuleName | メトリック アラート ルールの名前。 |
properties.RuleDescription | (アラート ルールで定義された) メトリック アラート ルールの説明。 |
properties.Threshold | メトリック アラート ルールの評価で使用されるしきい値。 |
properties.WindowSizeInMinutes | メトリック アラート ルールの評価で使用されるウィンドウ サイズ。 |
properties.Aggregation | メトリック アラート ルールで定義されている集計の種類。 |
properties.Operator | メトリック アラート ルールの評価で使用される条件演算子。 |
properties.MetricName | メトリック アラート ルールの評価で使用されるメトリックのメトリック名。 |
properties.MetricUnit | メトリック アラート ルールの評価で使用されるメトリックのメトリック単位。 |
自動スケール カテゴリ
このカテゴリには、サブスクリプションで定義したすべての自動スケール設定に基づいて、自動スケール エンジンの操作に関連するすべてのイベントのレコードが含まれます。 このカテゴリで表示されるイベントの種類として、"Autoscale scale up action failed" (自動スケールのスケールアップ アクションに失敗しました) などがあります。自動スケールを使用すると、自動スケール設定で指定した時刻や負荷 (メトリック) データに基づいて、サポートされるリソースの種類のインスタンス数を自動的にスケールアウトまたはスケールインすることができます。 スケールアップまたはスケールダウンの条件を満たした場合、開始イベントと、成功または失敗イベントがこのカテゴリに記録されます。
サンプル イベント
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
プロパティの説明
要素名 | 説明 |
---|---|
caller | 常に Microsoft.Insights/autoscaleSettings |
channels | 常に "Admin, Operation" |
claims | 自動スケール エンジンの SPN (サービス プリンシパル名) またはリソースの種類の JSON BLOB。 |
correlationId | 文字列形式の GUID。 |
description | 自動スケール イベントを説明する静的テキスト。 |
eventDataId | 自動スケール イベントの一意識別子。 |
level | イベントの重大度レベルです。 |
resourceGroupName | 自動スケール設定のリソース グループの名前。 |
resourceProviderName | 自動スケール設定のリソース プロバイダーの名前。 |
resourceId | 自動スケール設定のリソース ID。 |
operationId | 単一の操作に対応する複数のイベント間で共有される GUID。 |
operationName | 操作の名前。 |
properties | イベントの詳細を示す <Key, Value> ペアのセット (辞書)。 |
properties.Description | 自動スケール エンジンが実行していた処理の詳細な説明。 |
properties.ResourceName | 影響を受けるリソース (スケール アクションが実行されていたリソース) のリソース ID |
properties.OldInstancesCount | 自動スケール アクションが有効になる前のインスタンスの数。 |
properties.NewInstancesCount | 自動スケール アクションが有効になった後のインスタンスの数。 |
properties.LastScaleActionTime | 自動スケール アクションが発生したときのタイムスタンプ。 |
status | 操作の状態を説明する文字列。 いくつかの一般的な値は次のとおりです: Started、In Progress、Succeeded、Failed、Active、Resolved。 |
subStatus | 自動スケールの場合、通常は null です。 |
eventTimestamp | イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。 |
submissionTimestamp | イベントがクエリで使用できるようになったときのタイムスタンプ。 |
subscriptionId | Azure サブスクリプション ID。 |
セキュリティ カテゴリ
このカテゴリには、Microsoft Defender for Cloud によって生成されたアラートのレコードが含まれます。 このカテゴリで表示されるイベントの種類の例としては、"Suspicious double extension file executed" (拡張子が 2 つある不審なファイルが実行されました) などがあります。
サンプル イベント
{
"channels": "Operation",
"correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
"level": "Informational",
"operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
プロパティの説明
要素名 | 説明 |
---|---|
channels | 常に "Operation" |
correlationId | 文字列形式の GUID。 |
description | セキュリティ イベントを説明する静的テキスト。 |
eventDataId | セキュリティ イベントの一意識別子。 |
eventName | セキュリティ イベントのフレンドリ名。 |
category | 常に "Security" |
id | セキュリティ イベントの一意リソース識別子。 |
level | イベントの重大度レベルです。 |
resourceGroupName | リソースのリソース グループの名前。 |
resourceProviderName | Microsoft Defender for Cloud のリソース プロバイダーの名前。 常に "Microsoft.Security"。 |
resourceType | セキュリティ イベントを生成したリソースの種類 (例: "Microsoft.Security/locations/alerts") |
resourceId | セキュリティ アラートのリソース ID。 |
operationId | 単一の操作に対応する複数のイベント間で共有される GUID。 |
operationName | 操作の名前。 |
properties | イベントの詳細を示す <Key, Value> ペアのセット (辞書)。 これらのプロパティは、セキュリティ アラートの種類によって異なります。 Defender for Cloud から送られてくるアラートの種類について詳しくは、こちらのページをご覧ください。 |
properties.Severity | 重大度のレベル。 可能性のある値は、"High"、"Medium"、"Low" です。 |
status | 操作の状態を説明する文字列。 いくつかの一般的な値は次のとおりです: Started、In Progress、Succeeded、Failed、Active、Resolved。 |
subStatus | 通常、セキュリティ イベントの場合は null です。 |
eventTimestamp | イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。 |
submissionTimestamp | イベントがクエリで使用できるようになったときのタイムスタンプ。 |
subscriptionId | Azure サブスクリプション ID。 |
推奨事項カテゴリ
このカテゴリには、サービスに対して生成されている新しい推奨のすべてのレコードが含まれています。 推奨の例として、"フォールト トレランスの改善のための可用性セットの使用" が挙げられます。生成される可能性がある推奨事項イベントには、高可用性、パフォーマンス、セキュリティ、コスト最適化の 4 種類があります。
サンプル イベント
{
"channels": "Operation",
"correlationId": "92481dfd-c5bf-4752-b0d6-0ecddaa64776",
"description": "The action was successful.",
"eventDataId": "06cb0e44-111b-47c7-a4f2-aa3ee320c9c5",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/06cb0e44-111b-47c7-a4f2-aa3ee320c9c5/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
プロパティの説明
要素名 | 説明 |
---|---|
channels | 常に "Operation" |
correlationId | 文字列形式の GUID。 |
description | 推奨イベントを説明する静的テキスト |
eventDataId | 推奨イベントの一意の識別子。 |
category | 常に "Recommendation" |
id | 推奨イベントの一意のリソース ID。 |
level | イベントの重大度レベルです。 |
operationName | 操作の名前。 常に "Microsoft.Advisor/generateRecommendations/action" |
resourceGroupName | リソースのリソース グループの名前。 |
resourceProviderName | この推奨が適用されるリソースのリソース プロバイダーの名前 ("MICROSOFT.COMPUTE" など) |
resourceType | この推奨が適用されるリソースのリソース タイプの名前 ("MICROSOFT.COMPUTE/virtualmachines" など) |
resourceId | 推奨が適用されるリソースのリソース ID |
status | 常に "Active" |
submissionTimestamp | イベントがクエリで使用できるようになったときのタイムスタンプ。 |
subscriptionId | Azure サブスクリプション ID。 |
properties | 推奨の詳細を示す <Key, Value> ペアのセット (辞書)。 |
properties.recommendationSchemaVersion | アクティビティ ログ エントリに公開される推奨プロパティのスキーマ バージョン |
properties.recommendationCategory | 推奨のカテゴリ。 指定できる値は "High Availability"、"Performance"、"Security"、"Cost" です。 |
properties.recommendationImpact | 推奨の影響。 指定できる値は "High"、"Medium"、"Low" です。 |
properties.recommendationRisk | 推奨のリスク。 指定できる値は "Error"、"Warning"、"None" です。 |
ポリシー カテゴリ
このカテゴリには、Azure Policy によって実行されるすべての効果アクション操作のレコードが含まれます。 このカテゴリで表示されるイベントの種類の例として、Audit と Deny があります。 Policy によって実行されるすべてのアクションは、リソースに対する操作としてモデル化されます。
サンプルの Policy イベント
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"description": "",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/13bbf75f-36d5-4e66-b693-725267ff21ce/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Policy イベントのプロパティの説明
要素名 | 説明 |
---|---|
authorization | イベントの Azure RBAC プロパティの配列。 新しいリソースの場合、これは、評価をトリガーした要求のアクションとスコープです。 既存のリソースの場合、アクションは "Microsoft.Resources/checkPolicyCompliance/read" です。 |
caller | 新しいリソースの場合は、デプロイを開始した ID。 既存のリソースの場合は、Microsoft Azure Policy Insights RP の GUID。 |
channels | Policy イベントは "Operation" チャネルのみを使用します。 |
claims | Resource Manager でこの操作を実行するユーザーまたはアプリケーションを認証するために Active Directory によって使用される JWT トークン。 |
correlationId | 通常は文字列形式の GUID。 correlationId を共有するイベントは、同じ uber アクションに属します。 |
description | このフィールドは、Policy イベントの場合は空白です。 |
eventDataId | イベントの一意の識別子。 |
eventName | "BeginRequest" または "EndRequest" のいずれか。 "BeginRequest" は、auditIfNotExists と deployIfNotExists の評価が遅延した場合と、deployIfNotExists 効果がテンプレートのデプロイを開始するときに使用されます。 他のすべての操作は "EndRequest" を返します。 |
category | アクティビティ ログ イベントを "Policy" に属するものとして宣言します。 |
eventTimestamp | イベントに対応する要求を処理する Azure サービスによって、イベントが生成されたときのタイムスタンプ。 |
id | 特定のリソースのイベントの一意識別子。 |
level | イベントの重大度レベルです。 Audit は "Warning" を使用し、Deny は "Error" を使用します。 auditIfNotExists または deployIfNotExists エラーは、重大度に応じて "Warning" または"Error" を生成する可能性があります。 他のすべての Policy イベントは "Informational" を使用します。 |
operationId | 単一の操作に対応する複数のイベント間で共有される GUID。 |
operationName | 操作の名前。Policy 効果に直接関連します。 |
resourceGroupName | 評価されるリソースのリソース グループの名前。 |
resourceProviderName | 評価されるリソースのリソース プロバイダーの名前。 |
resourceType | 新しいリソースの場合は、評価される型です。 既存のリソースの場合は、"Microsoft.Resources/checkPolicyCompliance" を返します。 |
resourceId | 評価されるリソースのリソース ID。 |
status | Policy の評価結果の状態を説明する文字列。 ほとんどの Policy の評価は "Succeeded" を返しますが、Deny 効果は "Failed" を返します。 auditIfNotExists または deployIfNotExists でのエラーも "Failed" を返します。 |
subStatus | Policy イベントの場合、フィールドは空白です。 |
submissionTimestamp | イベントがクエリで使用できるようになったときのタイムスタンプ。 |
subscriptionId | Azure サブスクリプション ID。 |
properties.isComplianceCheck | 新しいリソースをデプロイされたり、既存のリソースのリソース マネージャーのプロパティが更新されたりしたときに、"False" を返します。 他のすべての評価トリガーでは "True" になります。 |
properties.resourceLocation | 評価されているリソースの Azure リージョン。 |
properties.ancestors | 親管理グループのコンマ区切りの一覧は、直接の親から最も遠い先祖の順に並べ替えられます。 |
properties.policies | この Policy の評価が結果となるポリシー定義、割り当て、効果、およびパラメーターに関する詳細が含まれます。 |
relatedEvents | このフィールドは、Policy イベントの場合は空白です。 |
ストレージ アカウントとイベント ハブからのスキーマ
Azure アクティビティ ログをストレージ アカウントまたはイベント ハブにストリーミングする場合、データはリソース ログ スキーマに従います。 上記のスキーマからリソース ログ スキーマへのプロパティのマッピングを次の表に示します。
重要
ストレージ アカウントに書き込まれるアクティビティ ログ データの形式は、2018 年 11 月 1 日に JSON 行に変更されました。 この形式変更の詳細については、「ストレージ アカウントにアーカイブされている Azure Monitor リソース ログの形式変更のための準備」を参照してください。
リソース ログのスキーマ プロパティ | アクティビティ ログ REST API スキーマ プロパティ | Notes |
---|---|---|
time | eventTimestamp | |
resourceId | resourceId | subscriptionId、resourceType、resourceGroupName は、すべて resourceId から推測されます。 |
operationName | operationName.value | |
category | 操作の名前の一部 | 操作の種類のブレークアウト。 "Write"、"Delete"、または "Action"。 |
resultType | status.value | |
resultSignature | substatus.value | |
resultDescription | description | |
durationMs | 該当なし | 常時 0 |
callerIpAddress | httpRequest.clientIpAddress | |
correlationId | correlationId | |
identity | 要求と承認プロパティ | |
Level | Level | |
location | 該当なし | イベントが処理される場所。 これはリソースの場所ではなく、イベントが処理された場所です。 このプロパティは、今後の更新で削除されます。 |
Properties | properties.eventProperties | |
properties.eventCategory | category | properties.eventCategory が存在しない場合、カテゴリは "管理" です |
properties.eventName | eventName | |
properties.operationId | operationId | |
properties.eventProperties | properties |
次に、このスキーマを使用したイベントの例を示します:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
"identity": {
"authorization": {
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/00000000-0000-0000-0000-000000000000",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "12345678-3bq0-49c1-b47d-974e53cbdf3c",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}