Delen via


Azure-gebeurtenisschema in het activiteitenlogboek

Het Azure-activiteitenlogboek biedt inzicht in gebeurtenissen op abonnementsniveau die zijn opgetreden in Azure. In dit artikel worden categorieën voor activiteitenlogboeken en het schema voor elk ervan beschreven.

Het schema is afhankelijk van de wijze waarop u het logboek opent:

Ernstniveau

Elke vermelding in het activiteitenlogboek heeft een ernstniveau. Ernstniveau kan een van de volgende waarden hebben:

Ernst Beschrijving
Kritiek Gebeurtenissen die de onmiddellijke aandacht van een systeembeheerder vragen. Kan erop wijzen dat een toepassing of systeem niet meer reageert of niet meer reageert.
Error Gebeurtenissen die duiden op een probleem, maar geen onmiddellijke aandacht vereisen.
Waarschuwing Gebeurtenissen die voorzien in een voorbewaring van potentiële problemen, maar geen werkelijke fout. Geef aan dat een resource zich niet in een ideale staat bevindt en later kan afnemen in het weergeven van fouten of kritieke gebeurtenissen.
Informatief Gebeurtenissen die niet-kritieke informatie doorgeven aan de beheerder. Net als bij een opmerking die zegt: 'Voor uw informatie'.

De ontwikkelaars van elke resourceprovider kiezen de ernstniveaus van hun resourcevermeldingen. Als gevolg hiervan kan de werkelijke ernst voor u variëren, afhankelijk van de wijze waarop uw toepassing is gebouwd. Items die 'kritiek' zijn voor een bepaalde resource die in isolatie worden genomen, zijn bijvoorbeeld mogelijk niet zo belangrijk als 'fouten' in een resourcetype dat centraal staat bij uw Azure-toepassing. Houd rekening met dit feit bij het bepalen van de gebeurtenissen waarop u een waarschuwing wilt toepassen.

Categorieën

Elke gebeurtenis in het activiteitenlogboek heeft een bepaalde categorie die wordt beschreven in de volgende tabel. Zie de onderstaande secties voor meer informatie over elke categorie en het bijbehorende schema wanneer u het activiteitenlogboek opent vanuit de portal, PowerShell, CLI en REST API. Het schema verschilt wanneer u het activiteitenlogboek naar opslag of Event Hubs streamt. In de laatste sectie van het artikel vindt u een toewijzing van de eigenschappen aan het schema van de resourcelogboeken.

Categorie Beschrijving
Administratief Bevat de record van alle bewerkingen voor maken, bijwerken, verwijderen en actie die worden uitgevoerd via Resource Manager. Voorbeelden van beheeractiviteiten zijn het maken van een virtuele machine en het verwijderen van een netwerkbeveiligingsgroep.

Elke actie die wordt uitgevoerd door een gebruiker of toepassing die Resource Manager gebruikt, wordt gemodelleerd als een bewerking op een bepaald resourcetype. Als het bewerkingstype Schrijven, Verwijderen of Actie is, worden de records van zowel het begin als het slagen of mislukken van die bewerking vastgelegd in de categorie Beheer. Beheergebeurtenissen omvatten ook eventuele wijzigingen in op rollen gebaseerd toegangsbeheer van Azure in een abonnement.
Status van service Bevat de record van eventuele servicestatusincidenten die zijn opgetreden in Azure. Een voorbeeld van een Service Health-gebeurtenis SQL Azure in VS - oost ondervindt downtime.

Service Health-gebeurtenissen zijn in zes varianten: Actie vereist, ondersteund herstel, incident, onderhoud, informatie of beveiliging. Deze gebeurtenissen worden alleen gemaakt als u een resource in het abonnement hebt die wordt beïnvloed door de gebeurtenis.
Resource Health Bevat de record van alle resourcestatusgebeurtenissen die zijn opgetreden in uw Azure-resources. Een voorbeeld van een Resource Health-gebeurtenis is de status van de virtuele machine gewijzigd in niet beschikbaar.

Resource Health-gebeurtenissen kunnen een van de vier statusstatussen vertegenwoordigen: Beschikbaar, Niet beschikbaar, Gedegradeerd en Onbekend. Daarnaast kunnen Resource Health-gebeurtenissen worden gecategoriseerd als platform geïnitieerd of door gebruiker geïnitieerd.
Alert Bevat de record van activeringen voor Azure-waarschuwingen. Een voorbeeld van een waarschuwingsgebeurtenis is CPU-percentage op myVM hoger dan 80 voor de afgelopen 5 minuten.
Automatisch schalen Bevat de record van gebeurtenissen die betrekking hebben op de werking van de engine voor automatisch schalen op basis van instellingen voor automatische schaalaanpassing die u in uw abonnement hebt gedefinieerd. Een voorbeeld van een gebeurtenis voor automatisch schalen is de actie Automatisch schalen is mislukt.
Aanbeveling Bevat aanbevelingsevenementen van Azure Advisor.
Beveiliging Bevat de record van waarschuwingen die worden gegenereerd door Microsoft Defender voor Cloud. Een voorbeeld van een beveiligingsgebeurtenis is verdacht bestand met dubbele extensie uitgevoerd.
Beleid Bevat records van alle bewerkingen voor effectacties die door Azure Policy worden uitgevoerd. Voorbeelden van beleidsgebeurtenissen zijn Controle en Weigeren. Elke actie die door Beleid wordt uitgevoerd, wordt gemodelleerd als een bewerking op een resource.

Beheercategorie

Deze categorie bevat de record van alle bewerkingen voor maken, bijwerken, verwijderen en actie die worden uitgevoerd via Resource Manager. Voorbeelden van de typen gebeurtenissen die u in deze categorie ziet, zijn 'virtuele machine maken' en 'netwerkbeveiligingsgroep verwijderen'. Elke actie die wordt uitgevoerd door een gebruiker of toepassing die Resource Manager gebruikt, wordt gemodelleerd als een bewerking op een bepaald resourcetype. Als het bewerkingstype Schrijven, Verwijderen of Actie is, worden de records van zowel het begin als het slagen of mislukken van die bewerking vastgelegd in de categorie Beheer. De categorie Beheer bevat ook eventuele wijzigingen in op rollen gebaseerd toegangsbeheer van Azure in een abonnement.

Voorbeeldgebeurtenis

{
    "authorization": {
        "action": "Microsoft.Network/networkSecurityGroups/write",
        "scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
    },
    "caller": "rob@contoso.com",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "_claim_names": "{\"groups\":\"src1\"}",
        "_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
        "http://schemas.microsoft.com/claims/authnclassreference": "1",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
        "appid": "355249ed-15d9-460d-8481-84026b065942",
        "appidacr": "2",
        "http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
        "e_exp": "262800",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
        "ipaddr": "111.111.1.111",
        "name": "Rob Robertson",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
        "puid": "18247BBD84827C6D",
        "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
    "eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2018-01-29T20:42:31.3810679Z",
    "id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d/ticks/636528553513810679",
    "level": "Informational",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Network/networkSecurityGroups/write",
        "localizedValue": "Microsoft.Network/networkSecurityGroups/write"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Network",
        "localizedValue": "Microsoft.Network"
    },
    "resourceType": {
        "value": "Microsoft.Network/networkSecurityGroups",
        "localizedValue": "Microsoft.Network/networkSecurityGroups"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "statusCode": "Created",
        "serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
        "responseBody": "",
        "requestbody": ""
    },
    "relatedEvents": []
}

Beschrijvingen van eigenschappen

Naam van element Beschrijving
autorisatie Blob van Azure RBAC-eigenschappen van de gebeurtenis. Bevat meestal de eigenschappen 'action', 'role' en 'scope'.
beller E-mailadres van de gebruiker die de bewerking, UPN-claim of SPN-claim heeft uitgevoerd op basis van beschikbaarheid.
Kanalen Een van de volgende waarden: 'Admin', 'Operation'
claims Het JWT-token dat door Active Directory wordt gebruikt om de gebruiker of toepassing te verifiëren om deze bewerking uit te voeren in Resource Manager.
correlationId Meestal een GUID in de tekenreeksindeling. Gebeurtenissen die een correlationId delen, behoren tot dezelfde uber-actie.
beschrijving Statische tekstbeschrijving van een gebeurtenis.
eventDataId Unieke id van een gebeurtenis.
eventName Beschrijvende naam van de gebeurtenis Beheer.
category Altijd 'Beheer'
httpRequest Blob die de Http-aanvraag beschrijft. Bevat meestal de 'clientRequestId', 'clientIpAddress' en 'method' (HTTP-methode). Bijvoorbeeld PUT).
niveau Ernstniveau van de gebeurtenis.
resourceGroupName Naam van de resourcegroep voor de betrokken resource.
resourceProviderName Naam van de resourceprovider voor de betrokken resource
resourceType Het type resource dat wordt beïnvloed door een beheer gebeurtenis.
resourceId Resource-id van de betrokken resource.
operationId Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking.
operationName Naam van de bewerking.
properties <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft.
status Tekenreeks die de status van de bewerking beschrijft. Enkele algemene waarden zijn: Gestart, Wordt uitgevoerd, Geslaagd, Mislukt, Actief, Opgelost.
subStatus Meestal de HTTP-statuscode van de bijbehorende REST-aanroep, maar kan ook andere tekenreeksen bevatten die een subStatus beschrijven, zoals deze algemene waarden: OK (HTTP-statuscode: 200), Gemaakt (HTTP-statuscode: 201), Geaccepteerd (HTTP-statuscode: 202), Geen inhoud (HTTP-statuscode: 204), Ongeldige aanvraag (HTTP-statuscode: 400), Niet gevonden (HTTP-statuscode: 404), Conflict (HTTP-statuscode: 409), Interne serverfout (HTTP-statuscode: 500), Service niet beschikbaar (HTTP-statuscode: 503), time-out van gateway (HTTP-statuscode: 504).
eventTimestamp Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis.
submissionTimestamp Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's.
subscriptionId Azure-abonnements-id.

Servicestatus categorie

Deze categorie bevat de record van eventuele servicestatusincidenten die zijn opgetreden in Azure. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'SQL Azure in VS - oost ondervindt downtime'. Servicestatus gebeurtenissen zijn afkomstig uit vijf soorten: Actie vereist, Incident, Onderhoud, Informatie of Beveiliging, en wordt alleen weergegeven als u een resource hebt in het abonnement dat wordt beïnvloed door de gebeurtenis.

Voorbeeldgebeurtenis

{
  "channels": "Admin",
  "correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
  "description": "Active: Network Infrastructure - UK South",
  "eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
  "eventName": {
      "value": null
  },
  "category": {
      "value": "ServiceHealth",
      "localizedValue": "Service Health"
  },
  "eventTimestamp": "2017-07-20T23:30:14.8022297Z",
  "id": "/subscriptions/<subscription ID>/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
  "level": "Warning",
  "operationName": {
      "value": "Microsoft.ServiceHealth/incident/action",
      "localizedValue": "Microsoft.ServiceHealth/incident/action"
  },
  "resourceProviderName": {
      "value": null
  },
  "resourceType": {
      "value": null,
      "localizedValue": ""
  },
  "resourceId": "/subscriptions/<subscription ID>",
  "status": {
      "value": "Active",
      "localizedValue": "Active"
  },
  "subStatus": {
      "value": null
  },
  "submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
  "subscriptionId": "<subscription ID>",
  "properties": {
    "title": "Network Infrastructure - UK South",
    "service": "Service Fabric",
    "region": "UK South",
    "communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "incidentType": "Incident",
    "trackingId": "NA0F-BJG",
    "impactStartTime": "2017-07-20T21:41:00.0000000Z",
    "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
    "defaultLanguageTitle": "Network Infrastructure - UK South",
    "defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "stage": "Active",
    "communicationId": "636361902146035247",
    "version": "0.1.1"
  }
}

Raadpleeg het artikel over servicestatusmeldingen voor documentatie over de waarden in de eigenschappen.

Resourcestatuscategorie

Deze categorie bevat de record van resourcestatusgebeurtenissen die zijn opgetreden in uw Azure-resources. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'Status van virtuele machine gewijzigd in niet beschikbaar'. Resourcestatusgebeurtenissen kunnen een van de vier statusstatussen vertegenwoordigen: Beschikbaar, Niet beschikbaar, Gedegradeerd en Onbekend. Daarnaast kunnen resourcestatusgebeurtenissen worden gecategoriseerd als platform geïnitieerd of door gebruiker geïnitieerd.

Er wordt een resourcestatus-gebeurtenis vastgelegd in het activiteitenlogboek wanneer:

  • Een aantekening, bijvoorbeeld 'ResourceDegraded' of 'AccountClientThrottling', wordt verzonden voor een resource.
  • Een resource is overgezet naar of van Beschadigd.
  • Een resource is langer dan 15 minuten beschadigd.

De volgende resourcestatusovergangen worden niet vastgelegd in het activiteitenlogboek:

  • Een overgang naar onbekende status.
  • Een overgang van onbekende status als:
    • Dit is de eerste overgang.
    • Als de status vóór Onbekend hetzelfde is als de nieuwe status erna. (Als de resource bijvoorbeeld is overgezet van In orde naar Onbekend en weer in Orde).
    • Voor rekenresources: VM's die worden overgezet van In orde naar Niet in orde en weer in orde, wanneer de slechte tijd minder dan 35 seconden is.

Voorbeeldgebeurtenis

{
    "channels": "Admin, Operation",
    "correlationId": "28f1bfae-56d3-7urb-bff4-194d261248e9",
    "description": "",
    "eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "ResourceHealth",
        "localizedValue": "Resource Health"
    },
    "eventTimestamp": "2018-09-04T15:33:43.65Z",
    "id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/a80024e1-883d-42a5-8b01-7591a1befccb/ticks/636716720236500000",
    "level": "Critical",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Resourcehealth/healthevent/Activated/action",
        "localizedValue": "Health Event Activated"
    },
    "resourceGroupName": "<resource group>",
    "resourceProviderName": {
        "value": "Microsoft.Resourcehealth/healthevent/action",
        "localizedValue": "Microsoft.Resourcehealth/healthevent/action"
    },
    "resourceType": {
        "value": "Microsoft.Compute/virtualMachines",
        "localizedValue": "Microsoft.Compute/virtualMachines"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "stage": "Active",
        "title": "Virtual Machine health status changed to unavailable",
        "details": "Virtual machine has experienced an unexpected event",
        "healthStatus": "Unavailable",
        "healthEventType": "Downtime",
        "healthEventCause": "PlatformInitiated",
        "healthEventCategory": "Unplanned"
    },
    "relatedEvents": []
}

Beschrijvingen van eigenschappen

Naam van element Beschrijving
Kanalen Altijd 'Beheerder, bewerking'
correlationId Een GUID in de tekenreeksindeling.
beschrijving Statische tekstbeschrijving van de waarschuwings gebeurtenis.
eventDataId Unieke id van de waarschuwings gebeurtenis.
category Altijd 'ResourceHealth'
eventTimestamp Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis.
niveau Ernstniveau van de gebeurtenis.
operationId Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking.
operationName Naam van de bewerking.
resourceGroupName Naam van de resourcegroep die de resource bevat.
resourceProviderName Altijd 'Microsoft.Resourcehealth/healthevent/action'.
resourceType Het type resource dat wordt beïnvloed door een Resource Health-gebeurtenis.
resourceId Naam van de resource-id voor de betrokken resource.
status Tekenreeks die de status van de status van de gebeurtenis beschrijft. Waarden kunnen zijn: Actief, Opgelost, InProgress, Bijgewerkt.
subStatus Meestal null voor waarschuwingen.
submissionTimestamp Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's.
subscriptionId Azure-abonnements-id.
properties <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft.
properties.title Een gebruiksvriendelijke tekenreeks die de status van de resource beschrijft.
properties.details Een gebruiksvriendelijke tekenreeks die meer informatie over de gebeurtenis beschrijft.
properties.currentHealthStatus De huidige status van de resource. Een van de volgende waarden: 'Beschikbaar', 'Niet beschikbaar', 'Gedegradeerd' en 'Onbekend'.
properties.previousHealthStatus De vorige status van de resource. Een van de volgende waarden: 'Beschikbaar', 'Niet beschikbaar', 'Gedegradeerd' en 'Onbekend'.
properties.type Een beschrijving van het type resourcestatus-gebeurtenis.
properties.cause Een beschrijving van de oorzaak van de resourcestatus-gebeurtenis. Ofwel UserInitiated en PlatformInitiated.

Waarschuwingscategorie

Deze categorie bevat de record van alle activeringen van klassieke Azure-waarschuwingen. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'CPU% op myVM is meer dan 80 voor de afgelopen 5 minuten'. Verschillende Azure-systemen hebben een waarschuwingsconcept: u kunt een regel van een bepaalde soort definiëren en een melding ontvangen wanneer voorwaarden overeenkomen met die regel. Telkens wanneer een ondersteund Azure-waarschuwingstype 'wordt geactiveerd' of aan de voorwaarden wordt voldaan om een melding te genereren, wordt er ook een record van de activering naar deze categorie van het activiteitenlogboek gepusht.

Voorbeeldgebeurtenis

{
  "caller": "Microsoft.Insights/alertRules",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
  },
  "correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
  "eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
  "eventName": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "category": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "Microsoft.ClassicCompute",
    "localizedValue": "Microsoft.ClassicCompute"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
  "resourceType": {
    "value": "Microsoft.ClassicCompute/domainNames/slots/roles",
    "localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
  },
  "operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "operationName": {
    "value": "Microsoft.Insights/AlertRules/Resolved/Action",
    "localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
  },
  "properties": {
    "RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
    "RuleName": "myalert",
    "RuleDescription": "",
    "Threshold": "100000",
    "WindowSizeInMinutes": "5",
    "Aggregation": "Average",
    "Operator": "LessThan",
    "MetricName": "Disk read",
    "MetricUnit": "Count"
  },
  "status": {
    "value": "Resolved",
    "localizedValue": "Resolved"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T09:24:13.522192Z",
  "submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
  "subscriptionId": "<subscription ID>"
}

Beschrijvingen van eigenschappen

Naam van element Beschrijving
beller Altijd Microsoft.Insights/alertRules
Kanalen Altijd 'Beheerder, bewerking'
claims JSON-blob met de SPN (service-principalnaam) of het resourcetype van de waarschuwingsengine.
correlationId Een GUID in de tekenreeksindeling.
beschrijving Statische tekstbeschrijving van de waarschuwings gebeurtenis.
eventDataId Unieke id van de waarschuwings gebeurtenis.
category Altijd 'Waarschuwing'
niveau Ernstniveau van de gebeurtenis.
resourceGroupName Naam van de resourcegroep voor de betrokken resource als dit een waarschuwing voor metrische gegevens is. Voor andere waarschuwingstypen is dit de naam van de resourcegroep die de waarschuwing zelf bevat.
resourceProviderName De naam van de resourceprovider voor de betrokken resource als dit een waarschuwing voor metrische gegevens is. Voor andere waarschuwingstypen is dit de naam van de resourceprovider voor de waarschuwing zelf.
resourceId Naam van de resource-id voor de betrokken resource als dit een waarschuwing voor metrische gegevens is. Voor andere waarschuwingstypen is dit de resource-id van de waarschuwingsresource zelf.
operationId Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking.
operationName Naam van de bewerking.
properties <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft.
status Tekenreeks die de status van de bewerking beschrijft. Enkele algemene waarden zijn: Gestart, Wordt uitgevoerd, Geslaagd, Mislukt, Actief, Opgelost.
subStatus Meestal null voor waarschuwingen.
eventTimestamp Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis.
submissionTimestamp Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's.
subscriptionId Azure-abonnements-id.

Veld Eigenschappen per waarschuwingstype

Het eigenschappenveld bevat verschillende waarden, afhankelijk van de bron van de waarschuwings gebeurtenis. Twee veelvoorkomende waarschuwings gebeurtenisproviders zijn waarschuwingen voor activiteitenlogboeken en metrische waarschuwingen.

Eigenschappen voor waarschuwingen voor activiteitenlogboeken

Naam van element Beschrijving
properties.subscriptionId De abonnements-id van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd.
properties.eventDataId De gebeurtenisgegevens-id van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd.
properties.resourceGroup De resourcegroep van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd.
properties.resourceId De resource-id van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor het activiteitenlogboek is geactiveerd.
properties.eventTimestamp De tijdstempel van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd.
properties.operationName De naam van de bewerking van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor het activiteitenlogboek is geactiveerd.
properties.status De status van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd.

Eigenschappen voor waarschuwingen voor metrische gegevens

Naam van element Beschrijving
Eigenschappen. RuleUri Resource-id van de regel voor metrische waarschuwingen zelf.
Eigenschappen. RuleName De naam van de waarschuwingsregel voor metrische gegevens.
Eigenschappen. RuleDescription De beschrijving van de waarschuwingsregel voor metrische gegevens (zoals gedefinieerd in de waarschuwingsregel).
Eigenschappen. Drempel De drempelwaarde die wordt gebruikt bij de evaluatie van de waarschuwingsregel voor metrische gegevens.
Eigenschappen. WindowSizeInMinutes De venstergrootte die wordt gebruikt bij de evaluatie van de regel voor metrische waarschuwingen.
Eigenschappen. Aggregatie Het aggregatietype dat is gedefinieerd in de waarschuwingsregel voor metrische gegevens.
Eigenschappen. Bediener De voorwaardelijke operator die wordt gebruikt bij de evaluatie van de waarschuwingsregel voor metrische gegevens.
Eigenschappen. MetricName De metrische naam van de metrische waarde die wordt gebruikt bij de evaluatie van de waarschuwingsregel voor metrische gegevens.
Eigenschappen. MetricUnit De metrische eenheid voor de metrische waarde die wordt gebruikt bij de evaluatie van de waarschuwingsregel voor metrische gegevens.

Categorie voor automatisch schalen

Deze categorie bevat de record van gebeurtenissen die betrekking hebben op de werking van de engine voor automatisch schalen op basis van instellingen voor automatische schaalaanpassing die u in uw abonnement hebt gedefinieerd. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'Automatische schaalaanpassing is mislukt'. Met automatische schaalaanpassing kunt u automatisch uitschalen of inschalen in het aantal exemplaren in een ondersteund resourcetype op basis van het tijdstip van de dag en/of het laden (metrische) gegevens met behulp van een instelling voor automatisch schalen. Wanneer aan de voorwaarden wordt voldaan om omhoog of omlaag te schalen, worden de begin- en geslaagde of mislukte gebeurtenissen vastgelegd in deze categorie.

Voorbeeldgebeurtenis

{
  "caller": "Microsoft.Insights/autoscaleSettings",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
  },
  "correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
  "description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
  "eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
  "eventName": {
    "value": "AutoscaleAction",
    "localizedValue": "AutoscaleAction"
  },
  "category": {
    "value": "Autoscale",
    "localizedValue": "Autoscale"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "microsoft.insights",
    "localizedValue": "microsoft.insights"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
  "resourceType": {
    "value": "microsoft.insights/autoscalesettings",
    "localizedValue": "microsoft.insights/autoscalesettings"
  },
  "operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
  "operationName": {
    "value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
    "localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
  },
  "properties": {
    "Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
    "ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
    "OldInstancesCount": "3",
    "NewInstancesCount": "2",
    "LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T01:00:51.8681572Z",
  "submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
  "subscriptionId": "<subscription ID>"
}

Beschrijvingen van eigenschappen

Naam van element Beschrijving
beller Always Microsoft.Insights/autoscaleSettings
Kanalen Altijd 'Beheerder, bewerking'
claims JSON-blob met de SPN (service-principal-naam) of het resourcetype van de engine voor automatische schaalaanpassing.
correlationId Een GUID in de tekenreeksindeling.
beschrijving Statische tekstbeschrijving van de gebeurtenis voor automatisch schalen.
eventDataId Unieke id van de gebeurtenis voor automatisch schalen.
niveau Ernstniveau van de gebeurtenis.
resourceGroupName Naam van de resourcegroep voor de instelling voor automatisch schalen.
resourceProviderName Naam van de resourceprovider voor de instelling voor automatische schaalaanpassing.
resourceId Resource-id van de instelling voor automatische schaalaanpassing.
operationId Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking.
operationName Naam van de bewerking.
properties <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft.
Eigenschappen. Beschrijving Gedetailleerde beschrijving van wat de engine voor automatische schaalaanpassing deed.
Eigenschappen. ResourceName Resource-id van de betrokken resource (de resource waarop de schaalactie werd uitgevoerd)
Eigenschappen. OldInstancesCount Het aantal exemplaren voordat de actie voor automatisch schalen van kracht werd.
Eigenschappen. NewInstancesCount Het aantal exemplaren nadat de actie voor automatisch schalen is doorgevoerd.
Eigenschappen. LastScaleActionTime Het tijdstempel van het moment waarop de actie voor automatisch schalen heeft plaatsgevonden.
status Tekenreeks die de status van de bewerking beschrijft. Enkele algemene waarden zijn: Gestart, Wordt uitgevoerd, Geslaagd, Mislukt, Actief, Opgelost.
subStatus Meestal null voor automatische schaalaanpassing.
eventTimestamp Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis.
submissionTimestamp Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's.
subscriptionId Azure-abonnements-id.

Beveiligingscategorie

Deze categorie bevat de record die waarschuwingen worden gegenereerd door Microsoft Defender voor Cloud. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'Suspicious double extension file executed'.

Voorbeeldgebeurtenis

{
    "channels": "Operation",
    "correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
    "description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
    "eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
    "eventName": {
        "value": "Suspicious double extension file executed",
        "localizedValue": "Suspicious double extension file executed"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2017-10-18T06:02:18.6179339Z",
    "id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
    "level": "Informational",
    "operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Microsoft.Security/locations/alerts/activate/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": null
    },
    "submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "accountLogonId": "0x2r4",
        "commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
        "domainName": "hpc",
        "parentProcess": "unknown",
        "parentProcess id": "0",
        "processId": "6988",
        "processName": "c:\\mydirectory\\doubleetension.pdf.exe",
        "userName": "myUser",
        "UserSID": "S-3-2-12",
        "ActionTaken": "Detected",
        "Severity": "High"
    },
    "relatedEvents": []
}

Beschrijvingen van eigenschappen

Naam van element Beschrijving
Kanalen Altijd 'Bewerking'
correlationId Een GUID in de tekenreeksindeling.
beschrijving Statische tekstbeschrijving van de beveiligings gebeurtenis.
eventDataId Unieke id van de beveiligings gebeurtenis.
eventName Beschrijvende naam van de beveiligings gebeurtenis.
category Altijd 'Beveiliging'
Id Unieke resource-id van de beveiligings gebeurtenis.
niveau Ernstniveau van de gebeurtenis.
resourceGroupName Naam van de resourcegroep voor de resource.
resourceProviderName Naam van de resourceprovider voor Microsoft Defender voor Cloud. Altijd Microsoft.Security.
resourceType Het type resource dat de beveiligings gebeurtenis heeft gegenereerd, zoals 'Microsoft.Security/locations/alerts'
resourceId Resource-id van de beveiligingswaarschuwing.
operationId Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking.
operationName Naam van de bewerking.
properties <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft. Deze eigenschappen variëren afhankelijk van het type beveiligingswaarschuwing. Zie deze pagina voor een beschrijving van de typen waarschuwingen die afkomstig zijn van Defender voor Cloud.
Eigenschappen. Strengheid Het ernstniveau. Mogelijke waarden zijn 'Hoog', 'Gemiddeld' of 'Laag'.
status Tekenreeks die de status van de bewerking beschrijft. Enkele algemene waarden zijn: Gestart, Wordt uitgevoerd, Geslaagd, Mislukt, Actief, Opgelost.
subStatus Meestal null voor beveiligingsevenementen.
eventTimestamp Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis.
submissionTimestamp Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's.
subscriptionId Azure-abonnements-id.

Aanbevelingscategorie

Deze categorie bevat de record van nieuwe aanbevelingen die worden gegenereerd voor uw services. Een voorbeeld van een aanbeveling is 'Beschikbaarheidssets gebruiken voor verbeterde fouttolerantie'. Er zijn vier soorten aanbevelingsevenementen die kunnen worden gegenereerd: hoge beschikbaarheid, prestaties, beveiliging en kostenoptimalisatie.

Voorbeeldgebeurtenis

{
    "channels": "Operation",
    "correlationId": "92481dfd-c5bf-4752-b0d6-0ecddaa64776",
    "description": "The action was successful.",
    "eventDataId": "06cb0e44-111b-47c7-a4f2-aa3ee320c9c5",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Recommendation",
        "localizedValue": "Recommendation"
    },
    "eventTimestamp": "2018-06-07T21:30:42.976919Z",
    "id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/06cb0e44-111b-47c7-a4f2-aa3ee320c9c5/ticks/636640038429769190",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Advisor/generateRecommendations/action",
        "localizedValue": "Microsoft.Advisor/generateRecommendations/action"
    },
    "resourceGroupName": "MYRESOURCEGROUP",
    "resourceProviderName": {
        "value": "MICROSOFT.COMPUTE",
        "localizedValue": "MICROSOFT.COMPUTE"
    },
    "resourceType": {
        "value": "MICROSOFT.COMPUTE/virtualmachines",
        "localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
    },
    "resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-06-07T21:30:42.976919Z",
    "subscriptionId": "<Subscription ID>",
    "properties": {
        "recommendationSchemaVersion": "1.0",
        "recommendationCategory": "Security",
        "recommendationImpact": "High",
        "recommendationRisk": "None"
    },
    "relatedEvents": []
}

Beschrijvingen van eigenschappen

Naam van element Beschrijving
Kanalen Altijd 'Bewerking'
correlationId Een GUID in de tekenreeksindeling.
beschrijving Statische tekstbeschrijving van de aanbevelings gebeurtenis
eventDataId Unieke id van de aanbevelingsbeurtenis.
category Altijd aanbeveling
Id Unieke resource-id van de aanbevelings gebeurtenis.
niveau Ernstniveau van de gebeurtenis.
operationName Naam van de bewerking. Altijd 'Microsoft.Advisor/generateRecommendations/action'
resourceGroupName Naam van de resourcegroep voor de resource.
resourceProviderName De naam van de resourceprovider voor de resource waarop deze aanbeveling van toepassing is, zoals 'MICROSOFT.' COMPUTE"
resourceType Naam van het resourcetype voor de resource waarop deze aanbeveling van toepassing is, zoals 'MICROSOFT.' COMPUTE/virtualmachines"
resourceId Resource-id van de resource waarop de aanbeveling van toepassing is
status Altijd actief
submissionTimestamp Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's.
subscriptionId Azure-abonnements-id.
properties <Key, Value> Set paren (een woordenlijst) die de details van de aanbeveling beschrijft.
properties.recommendationSchemaVersion Schemaversie van de aanbevelingseigenschappen die zijn gepubliceerd in de vermelding Activiteitenlogboek
properties.recommendationCategory Categorie van de aanbeveling. Mogelijke waarden zijn 'Hoge beschikbaarheid', 'Prestaties', 'Beveiliging' en 'Kosten'
properties.recommendationImpact Impact van de aanbeveling. Mogelijke waarden zijn 'Hoog', 'Gemiddeld', 'Laag'
properties.recommendationRisk Risico op de aanbeveling. Mogelijke waarden zijn 'Fout', 'Waarschuwing', 'Geen'

Beleidscategorie

Deze categorie bevat records van alle bewerkingen voor effectacties die door Azure Policy worden uitgevoerd. Voorbeelden van de typen gebeurtenissen die u in deze categorie zou zien, zijn Audit en Weigeren. Elke actie die door Beleid wordt uitgevoerd, wordt gemodelleerd als een bewerking op een resource.

Voorbeeld van beleidsgebeurtenis

{
    "authorization": {
        "action": "Microsoft.Resources/checkPolicyCompliance/read",
        "scope": "/subscriptions/<subscriptionID>"
    },
    "caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.azure.com/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
        "appidacr": "2",
        "http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
    "description": "",
    "eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Policy",
        "localizedValue": "Policy"
    },
    "eventTimestamp": "2019-01-15T13:19:56.1227642Z",
    "id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/13bbf75f-36d5-4e66-b693-725267ff21ce/ticks/636831551961227642",
    "level": "Warning",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Authorization/policies/audit/action",
        "localizedValue": "Microsoft.Authorization/policies/audit/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Sql",
        "localizedValue": "Microsoft SQL"
    },
    "resourceType": {
        "value": "Microsoft.Resources/checkPolicyCompliance",
        "localizedValue": "Microsoft.Resources/checkPolicyCompliance"
    },
    "resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
    "subscriptionId": "<subscriptionID>",
    "properties": {
        "isComplianceCheck": "True",
        "resourceLocation": "westus2",
        "ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
            Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
            onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
            policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
            /policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
            4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
            nmentParameters\":{}}]"
    },
    "relatedEvents": []
}

Beschrijvingen van beleidsevenementen

Naam van element Beschrijving
autorisatie Matrix van Azure RBAC-eigenschappen van de gebeurtenis. Voor nieuwe resources is dit de actie en het bereik van de aanvraag die de evaluatie heeft geactiveerd. Voor bestaande resources is de actie Microsoft.Resources/checkPolicyCompliance/read.
beller Voor nieuwe resources is de identiteit waarmee een implementatie is gestart. Voor bestaande resources is de GUID van de Microsoft Azure Policy Insights RP.
Kanalen Beleidsevenementen gebruiken alleen het kanaal 'Bewerking'.
claims Het JWT-token dat door Active Directory wordt gebruikt om de gebruiker of toepassing te verifiëren om deze bewerking uit te voeren in Resource Manager.
correlationId Meestal een GUID in de tekenreeksindeling. Gebeurtenissen die een correlationId delen, behoren tot dezelfde uber-actie.
beschrijving Dit veld is leeg voor beleidsevenementen.
eventDataId Unieke id van een gebeurtenis.
eventName BeginRequest of EndRequest. 'BeginRequest' wordt gebruikt voor vertraagde auditIfNotExists en deployIfNotExists-evaluaties en wanneer een deployIfNotExists-effect een sjabloonimplementatie start. Alle andere bewerkingen retourneren EndRequest.
category Declareert de gebeurtenis van het activiteitenlogboek als behorend tot 'Beleid'.
eventTimestamp Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis.
Id Unieke id van de gebeurtenis voor de specifieke resource.
niveau Ernstniveau van de gebeurtenis. Controle maakt gebruik van 'Waarschuwing' en Weigeren maakt gebruik van 'Fout'. Een auditIfNotExists- of deployIfNotExists-fout kan 'Waarschuwing' of 'Fout' genereren, afhankelijk van de ernst. Alle andere beleidsevenementen gebruiken 'Informatief'.
operationId Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking.
operationName De naam van de bewerking en correleert rechtstreeks met het beleidseffect.
resourceGroupName Naam van de resourcegroep voor de geëvalueerde resource.
resourceProviderName Naam van de resourceprovider voor de geëvalueerde resource.
resourceType Voor nieuwe resources is dit het type dat wordt geëvalueerd. Voor bestaande resources wordt 'Microsoft.Resources/checkPolicyCompliance' geretourneerd.
resourceId Resource-id van de geëvalueerde resource.
status Tekenreeks met een beschrijving van de status van het resultaat van de beleidsevaluatie. De meeste beleidsevaluaties retourneren Geslaagd, maar een effect Weigeren retourneert 'Mislukt'. Fouten in auditIfNotExists of deployIfNotExists retourneren ook Mislukt.
subStatus Veld is leeg voor beleidsevenementen.
submissionTimestamp Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's.
subscriptionId Azure-abonnements-id.
properties.isComplianceCheck Retourneert 'Onwaar' wanneer een nieuwe resource wordt geïmplementeerd of als de Resource Manager-eigenschappen van een bestaande resource worden bijgewerkt. Alle andere evaluatietriggers resulteren in Waar.
properties.resourceLocation De Azure-regio van de resource die wordt geëvalueerd.
properties.ancestors Een door komma's gescheiden lijst met bovenliggende beheergroepen die zijn besteld van directe bovenliggende naar verre grootouder.
properties.policies Bevat details over de beleidsdefinitie, toewijzing, effect en parameters waarvan deze beleidsevaluatie het resultaat is.
relatedEvents Dit veld is leeg voor beleidsevenementen.

Schema van opslagaccount en Event Hubs

Wanneer u het Azure-activiteitenlogboek naar een opslagaccount of Event Hub streamt, volgen de gegevens het schema van het resourcelogboek. De onderstaande tabel bevat een toewijzing van eigenschappen uit de bovenstaande schema's aan het schema voor resourcelogboeken.

Belangrijk

De indeling van activiteitenlogboekgegevens die naar een opslagaccount zijn geschreven, is gewijzigd in JSON Lines op 1 november 2018. Zie Voorbereiden voor het wijzigen van de indeling in Azure Monitor-resourcelogboeken die zijn gearchiveerd in een opslagaccount voor meer informatie over deze indelingswijziging.

Schema-eigenschap resourcelogboeken Rest API-schema-eigenschap voor activiteitenlogboek Opmerkingen
tijd eventTimestamp
resourceId resourceId subscriptionId, resourceType, resourceGroupName worden allemaal afgeleid van de resourceId.
operationName operationName.value
category Onderdeel van de bewerkingsnaam Altijd 'Beheer'
resultType status.value
resultSignature substatus.value
resultDescription beschrijving
durationMs N.v.t. Altijd 0
callerIpAddress httpRequest.clientIpAddress
correlationId correlationId
identity claims en autorisatie-eigenschappen
Niveau Niveau
locatie N.v.t. Locatie waar de gebeurtenis is verwerkt. Dit is niet de locatie van de resource, maar waar de gebeurtenis is verwerkt. Deze eigenschap wordt verwijderd in een toekomstige update.
Eigenschappen properties.eventProperties
properties.eventCategory category Als properties.eventCategory niet aanwezig is, is de categorie 'Beheer'
properties.eventName eventName
properties.operationId operationId
properties.eventProperties properties

Hier volgt een voorbeeld van een gebeurtenis met behulp van dit schema:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
               "authorization": {
                   "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/       msftstorageaccount",
                   "action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
                   "evidence": {
                       "role": "Azure Eventhubs Service Role",
                       "roleAssignmentScope": "/subscriptions/00000000-0000-0000-0000-000000000000",
                       "roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
                       "roleDefinitionId": "123456789de042a6a64b29b123456789",
                       "principalId": "abcdef038c6444c18f1c31311fabcdef",
                       "principalType": "ServicePrincipal"
                   }
               },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "12345678-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Volgende stappen