Udostępnij za pośrednictwem


Schemat zdarzeń dziennika aktywności platformy Azure

Dziennik aktywności platformy Azure zapewnia wgląd w wszelkie zdarzenia na poziomie subskrypcji, które wystąpiły na platformie Azure. W tym artykule opisano kategorie dzienników aktywności i schemat dla każdego z nich.

Schemat różni się w zależności od sposobu uzyskiwania dostępu do dziennika:

  • Schematy opisane w tym artykule dotyczą uzyskiwania dostępu do dziennika aktywności z interfejsu API REST. Schemat jest również używany podczas wybierania opcji JSON podczas wyświetlania zdarzenia w witrynie Azure Portal.
  • Zobacz ostatnią sekcję Schemat z konta magazynu i centrów zdarzeń dla schematu, gdy używasz ustawienia diagnostycznego do wysyłania dziennika aktywności do usługi Azure Storage lub Azure Event Hubs.
  • Zobacz Dokumentację danych usługi Azure Monitor dla schematu, gdy używasz ustawienia diagnostycznego do wysyłania dziennika aktywności do obszaru roboczego usługi Log Analytics.

Poziom ważności

Każdy wpis w dzienniku aktywności ma poziom ważności. Poziom ważności może mieć jedną z następujących wartości:

Ważność opis
Krytyczne Zdarzenia, które wymagają natychmiastowej uwagi administratora systemu. Może wskazywać, że aplikacja lub system nie powiodła się lub przestała odpowiadać.
Błąd Zdarzenia wskazujące problem, ale nie wymagają natychmiastowej uwagi.
Ostrzeżenie Zdarzenia, które zapewniają możliwość wystąpienia potencjalnych problemów, chociaż nie są to rzeczywiste błędy. Wskazuje, że zasób nie jest w idealnym stanie i może później ulec pogorszeniu w wyświetlaniu błędów lub zdarzeń krytycznych.
Informacyjny Zdarzenia, które przekazują do administratora informacje niekrytyczne. Podobnie jak w przypadku notatki, która mówi: "Dla Twoich informacji".

Deweloperzy każdego dostawcy zasobów wybierają poziomy ważności swoich wpisów zasobów. W związku z tym rzeczywista ważność może się różnić w zależności od sposobu kompilowania aplikacji. Na przykład elementy", które są "krytyczne" dla określonego zasobu pobranego w izolacji, mogą nie być tak ważne jak "błędy" w typie zasobu, który jest centralny dla aplikacji platformy Azure. Pamiętaj, aby wziąć pod uwagę ten fakt podczas podejmowania decyzji o tym, jakie zdarzenia mają być alerty.

Kategorie

Każde zdarzenie w dzienniku aktywności ma określoną kategorię opisaną w poniższej tabeli. Zapoznaj się z poniższymi sekcjami, aby uzyskać więcej informacji na temat każdej kategorii i jej schematu podczas uzyskiwania dostępu do dziennika aktywności z poziomu portalu, programu PowerShell, interfejsu wiersza polecenia i interfejsu API REST. Schemat różni się w przypadku przesyłania strumieniowego dziennika aktywności do magazynu lub usługi Event Hubs. Mapowanie właściwości do schematu dzienników zasobów znajduje się w ostatniej sekcji artykułu.

Kategoria opis
Administracyjne Zawiera rekord wszystkich operacji tworzenia, aktualizowania, usuwania i akcji wykonywanych za pomocą usługi Resource Manager. Przykłady zdarzeń administracyjnych obejmują tworzenie maszyny wirtualnej i usuwanie sieciowej grupy zabezpieczeń.

Każda akcja wykonywana przez użytkownika lub aplikację przy użyciu usługi Resource Manager jest modelowana jako operacja dla określonego typu zasobu. Jeśli typ operacji to Zapis, Usuń lub Akcja, rekordy zarówno rozpoczęcia, jak i powodzenia lub niepowodzenia tej operacji są rejestrowane w kategorii Administracyjne. Zdarzenia administracyjne obejmują również wszelkie zmiany w kontroli dostępu opartej na rolach platformy Azure w subskrypcji.
Kondycja usługi Zawiera rekord wszystkich zdarzeń dotyczących kondycji usługi, które wystąpiły na platformie Azure. Przykładem zdarzenia usługi Service Health Usługi SQL Azure w regionie Wschodnie stany USA występuje przestój.

Zdarzenia usługi Service Health są dostępne w sześciu odmianach: wymagane działanie, odzyskiwanie wspomagane, zdarzenie, konserwacja, informacje lub zabezpieczenia. Te zdarzenia są tworzone tylko wtedy, gdy masz zasób w subskrypcji, której dotyczy zdarzenie.
Resource Health Zawiera rekord zdarzeń dotyczących kondycji zasobów, które wystąpiły w zasobach platformy Azure. Przykładem zdarzenia usługi Resource Health jest stan kondycji maszyny wirtualnej zmieniony na niedostępny.

Zdarzenia usługi Resource Health mogą reprezentować jeden z czterech stanów kondycji: Dostępne, Niedostępne, Obniżone i Nieznane. Ponadto zdarzenia usługi Resource Health można podzielić na zainicjowane przez platformę lub zainicjowane przez użytkownika.
Alert Zawiera rekord aktywacji alertów platformy Azure. Przykładem zdarzenia alertu jest procent procesora CPU na maszynie wirtualnej myVM powyżej 80 w ciągu ostatnich 5 minut.
Skalowanie automatyczne Zawiera rekord wszystkich zdarzeń związanych z działaniem aparatu autoskalowania na podstawie wszystkich ustawień autoskalowania zdefiniowanych w subskrypcji. Przykładem zdarzenia autoskalowania jest niepowodzenie akcji skalowania automatycznego w górę.
Zalecenie Zawiera zdarzenia rekomendacji z usługi Azure Advisor.
Bezpieczeństwo Zawiera rekord wszystkich alertów generowanych przez Microsoft Defender dla Chmury. Przykładem zdarzenia zabezpieczeń jest wykonany podejrzany plik podwójnego rozszerzenia.
Zasady Zawiera rekordy wszystkich operacji akcji efektu wykonywanych przez usługę Azure Policy. Przykłady zdarzeń zasad obejmują inspekcję i odmowę. Każda akcja wykonywana przez zasady jest modelowana jako operacja na zasobie.

Kategoria administracyjna

Ta kategoria zawiera rekord wszystkich operacji tworzenia, aktualizowania, usuwania i akcji wykonywanych za pośrednictwem usługi Resource Manager. Przykłady typów zdarzeń, które można zobaczyć w tej kategorii, obejmują "tworzenie maszyny wirtualnej" i "usuwanie sieciowej grupy zabezpieczeń". Każda akcja wykonywana przez użytkownika lub aplikację przy użyciu usługi Resource Manager jest modelowana jako operacja dla określonego typu zasobu. Jeśli typ operacji to Zapis, Usuń lub Akcja, rekordy zarówno rozpoczęcia, jak i powodzenia lub niepowodzenia tej operacji są rejestrowane w kategorii Administracyjne. Kategoria Administracja zawiera również wszelkie zmiany w kontroli dostępu opartej na rolach platformy Azure w subskrypcji.

Przykładowe zdarzenie

{
    "authorization": {
        "action": "Microsoft.Network/networkSecurityGroups/write",
        "scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
    },
    "caller": "rob@contoso.com",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "_claim_names": "{\"groups\":\"src1\"}",
        "_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
        "http://schemas.microsoft.com/claims/authnclassreference": "1",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
        "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "appidacr": "2",
        "http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
        "e_exp": "262800",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
        "ipaddr": "111.111.1.111",
        "name": "Rob Robertson",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
        "puid": "18247BBD84827C6D",
        "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2018-01-29T20:42:31.3810679Z",
    "id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
    "level": "Informational",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Network/networkSecurityGroups/write",
        "localizedValue": "Microsoft.Network/networkSecurityGroups/write"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Network",
        "localizedValue": "Microsoft.Network"
    },
    "resourceType": {
        "value": "Microsoft.Network/networkSecurityGroups",
        "localizedValue": "Microsoft.Network/networkSecurityGroups"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "statusCode": "Created",
        "serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
        "responseBody": "",
        "requestbody": ""
    },
    "relatedEvents": []
}

Opisy właściwości

Nazwa elementu opis
autoryzacja Obiekt blob właściwości RBAC platformy Azure zdarzenia. Zazwyczaj zawiera właściwości "action", "role" i "scope".
Obiekt wywołujący Adres e-mail użytkownika, który wykonał operację, oświadczenie NAZWY UPN lub oświadczenie SPN na podstawie dostępności.
Kanały Jedna z następujących wartości: "Admin", "Operation"
oświadczenia Token JWT używany przez usługę Active Directory do uwierzytelniania użytkownika lub aplikacji w celu wykonania tej operacji w usłudze Resource Manager.
correlationId Zazwyczaj identyfikator GUID w formacie ciągu. Zdarzenia współużytkujące identyfikator correlationId należą do tej samej akcji ubera.
opis Statyczny opis tekstu zdarzenia.
eventDataId Unikatowy identyfikator zdarzenia.
eventName Przyjazna nazwa zdarzenia administracyjnego.
category Zawsze "Administracyjne"
httpRequest Obiekt blob opisujący żądanie HTTP. Zwykle zawiera wartości "clientRequestId", "clientIpAddress" i "method" (metoda HTTP). Na przykład PUT).
poziom Poziom ważności zdarzenia.
resourceGroupName Nazwa grupy zasobów dla zasobu, na który ma to wpływ.
resourceProviderName Nazwa dostawcy zasobów dla zasobu, na który ma to wpływ
resourceType Typ zasobu, którego dotyczy zdarzenie administracyjne.
resourceId Identyfikator zasobu, na który ma wpływ zasób.
operationId Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji.
operationName Nazwa operacji.
właściwości <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia.
status Ciąg opisujący stan operacji. Niektóre typowe wartości to: Uruchomiono, W toku, Powodzenie, Niepowodzenie, Aktywne, Rozwiązane.
subStatus Zazwyczaj kod stanu HTTP odpowiedniego wywołania REST, ale może również zawierać inne ciągi opisujące podstatus, takie jak następujące typowe wartości: OK (kod stanu HTTP: 200), utworzony (kod stanu HTTP: 201), zaakceptowany (kod stanu HTTP: 202), brak zawartości (kod stanu HTTP: 204), nieprawidłowe żądanie (kod stanu HTTP: 400), nie znaleziono (kod stanu HTTP: 404), Konflikt (kod stanu HTTP: 409), wewnętrzny błąd serwera (kod stanu HTTP: 500), usługa niedostępna (kod stanu HTTP: 503), limit czasu bramy (kod stanu HTTP: 504).
eventTimestamp Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu.
submissionTimestamp Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań.
subscriptionId Identyfikator subskrypcji platformy Azure.

kategoria Kondycja usługi

Ta kategoria zawiera rekord zdarzeń dotyczących kondycji usługi, które wystąpiły na platformie Azure. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "Usługi SQL Azure w regionie Wschodnie stany USA występują przestoje". Kondycja usługi zdarzenia są dostępne w pięciu odmianach: Wymagane działanie, Zdarzenie, Konserwacja, Informacje lub Zabezpieczenia i wyświetlane tylko wtedy, gdy masz zasób w subskrypcji, który będzie miał wpływ na zdarzenie.

Przykładowe zdarzenie

{
  "channels": "Admin",
  "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
  "description": "Active: Network Infrastructure - UK South",
  "eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
  "eventName": {
      "value": null
  },
  "category": {
      "value": "ServiceHealth",
      "localizedValue": "Service Health"
  },
  "eventTimestamp": "2017-07-20T23:30:14.8022297Z",
  "id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
  "level": "Warning",
  "operationName": {
      "value": "Microsoft.ServiceHealth/incident/action",
      "localizedValue": "Microsoft.ServiceHealth/incident/action"
  },
  "resourceProviderName": {
      "value": null
  },
  "resourceType": {
      "value": null,
      "localizedValue": ""
  },
  "resourceId": "/subscriptions/<subscription ID>",
  "status": {
      "value": "Active",
      "localizedValue": "Active"
  },
  "subStatus": {
      "value": null
  },
  "submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
  "subscriptionId": "<subscription ID>",
  "properties": {
    "title": "Network Infrastructure - UK South",
    "service": "Service Fabric",
    "region": "UK South",
    "communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "incidentType": "Incident",
    "trackingId": "NA0F-BJG",
    "impactStartTime": "2017-07-20T21:41:00.0000000Z",
    "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
    "defaultLanguageTitle": "Network Infrastructure - UK South",
    "defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "stage": "Active",
    "communicationId": "636361902146035247",
    "version": "0.1.1"
  }
}

Zapoznaj się z artykułem dotyczącym powiadomień o kondycji usługi, aby uzyskać dokumentację dotyczącą wartości we właściwościach.

Kategoria kondycji zasobów

Ta kategoria zawiera rekord zdarzeń kondycji zasobów, które wystąpiły w zasobach platformy Azure. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "Stan kondycji maszyny wirtualnej został zmieniony na niedostępny". Zdarzenia kondycji zasobu mogą reprezentować jeden z czterech stanów kondycji: Dostępne, Niedostępne, Obniżone i Nieznane. Ponadto zdarzenia kondycji zasobów można podzielić na zainicjowane przez platformę lub zainicjowane przez użytkownika.

Zdarzenie kondycji zasobu jest rejestrowane w dzienniku aktywności, gdy:

  • Adnotacja, na przykład "ResourceDegraded" lub "AccountClientThrottling", jest przesyłana dla zasobu.
  • Zasób przeniesiony do lub z złej kondycji.
  • Zasób był w złej kondycji przez ponad 15 minut.

Następujące przejścia dotyczące kondycji zasobów nie są rejestrowane w dzienniku aktywności:

  • Przejście do stanu Nieznany.
  • Przejście z nieznanego stanu, jeśli:
    • Jest to pierwsze przejście.
    • Jeśli stan poprzedzający nieznany jest taki sam jak nowy stan po. (Jeśli na przykład zasób został przeniesiony ze dobrej kondycji do nieznanych i z powrotem w dobrej kondycji).
    • W przypadku zasobów obliczeniowych: maszyny wirtualne, które przechodzą ze dobrej kondycji na złą kondycję, i z powrotem do dobrej kondycji, gdy czas złej kondycji wynosi mniej niż 35 sekund.

Przykładowe zdarzenie

{
    "channels": "Admin, Operation",
    "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
    "description": "",
    "eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "ResourceHealth",
        "localizedValue": "Resource Health"
    },
    "eventTimestamp": "2018-09-04T15:33:43.65Z",
    "id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
    "level": "Critical",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Resourcehealth/healthevent/Activated/action",
        "localizedValue": "Health Event Activated"
    },
    "resourceGroupName": "<resource group>",
    "resourceProviderName": {
        "value": "Microsoft.Resourcehealth/healthevent/action",
        "localizedValue": "Microsoft.Resourcehealth/healthevent/action"
    },
    "resourceType": {
        "value": "Microsoft.Compute/virtualMachines",
        "localizedValue": "Microsoft.Compute/virtualMachines"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "stage": "Active",
        "title": "Virtual Machine health status changed to unavailable",
        "details": "Virtual machine has experienced an unexpected event",
        "healthStatus": "Unavailable",
        "healthEventType": "Downtime",
        "healthEventCause": "PlatformInitiated",
        "healthEventCategory": "Unplanned"
    },
    "relatedEvents": []
}

Opisy właściwości

Nazwa elementu opis
Kanały Zawsze "Administrator, operacja"
correlationId Identyfikator GUID w formacie ciągu.
opis Statyczny opis tekstu zdarzenia alertu.
eventDataId Unikatowy identyfikator zdarzenia alertu.
category Zawsze "ResourceHealth"
eventTimestamp Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu.
poziom Poziom ważności zdarzenia.
operationId Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji.
operationName Nazwa operacji.
resourceGroupName Nazwa grupy zasobów zawierającej zasób.
resourceProviderName Zawsze "Microsoft.Resourcehealth/healthevent/action".
resourceType Typ zasobu, którego dotyczy zdarzenie usługi Resource Health.
resourceId Nazwa identyfikatora zasobu dla zasobu, na który ma to wpływ.
status Ciąg opisujący stan zdarzenia kondycji. Wartości mogą być: Aktywne, Rozwiązane, InProgress, Zaktualizowane.
subStatus Zwykle ma wartość null dla alertów.
submissionTimestamp Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań.
subscriptionId Identyfikator subskrypcji platformy Azure.
właściwości <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia.
properties.title Przyjazny dla użytkownika ciąg opisujący stan kondycji zasobu.
properties.details Przyjazny dla użytkownika ciąg opisujący szczegółowe informacje o zdarzeniu.
properties.currentHealthStatus Bieżący stan kondycji zasobu. Jedna z następujących wartości: "Dostępne", "Niedostępne", "Obniżona wydajność" i "Nieznany".
properties.previousHealthStatus Poprzedni stan kondycji zasobu. Jedna z następujących wartości: "Dostępne", "Niedostępne", "Obniżona wydajność" i "Nieznany".
properties.type Opis typu zdarzenia kondycji zasobu.
properties.cause Opis przyczyny zdarzenia kondycji zasobu. Albo "UserInitiated" i "PlatformInitiated".

Kategoria alertów

Ta kategoria zawiera rekord wszystkich aktywacji klasycznych alertów platformy Azure. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "% procesora CPU na maszynie wirtualnej myVM jest ponad 80 w ciągu ostatnich 5 minut". Różne systemy platformy Azure mają koncepcję alertów: możesz zdefiniować regułę pewnego rodzaju i otrzymywać powiadomienie, gdy warunki są zgodne z daną regułą. Za każdym razem, gdy obsługiwany typ alertu platformy Azure "aktywuje" lub warunki są spełnione w celu wygenerowania powiadomienia, rekord aktywacji jest również wypychany do tej kategorii dziennika aktywności.

Przykładowe zdarzenie

{
  "caller": "Microsoft.Insights/alertRules",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
  },
  "correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
  "eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
  "eventName": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "category": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "Microsoft.ClassicCompute",
    "localizedValue": "Microsoft.ClassicCompute"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
  "resourceType": {
    "value": "Microsoft.ClassicCompute/domainNames/slots/roles",
    "localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
  },
  "operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "operationName": {
    "value": "Microsoft.Insights/AlertRules/Resolved/Action",
    "localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
  },
  "properties": {
    "RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
    "RuleName": "myalert",
    "RuleDescription": "",
    "Threshold": "100000",
    "WindowSizeInMinutes": "5",
    "Aggregation": "Average",
    "Operator": "LessThan",
    "MetricName": "Disk read",
    "MetricUnit": "Count"
  },
  "status": {
    "value": "Resolved",
    "localizedValue": "Resolved"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T09:24:13.522192Z",
  "submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
  "subscriptionId": "<subscription ID>"
}

Opisy właściwości

Nazwa elementu opis
Obiekt wywołujący Zawsze microsoft.insights/alertRules
Kanały Zawsze "Administrator, operacja"
oświadczenia Obiekt blob JSON z nazwą SPN (główną nazwą usługi) lub typem zasobu aparatu alertu.
correlationId Identyfikator GUID w formacie ciągu.
opis Statyczny opis tekstu zdarzenia alertu.
eventDataId Unikatowy identyfikator zdarzenia alertu.
category Zawsze "Alert"
poziom Poziom ważności zdarzenia.
resourceGroupName Nazwa grupy zasobów dla zasobu, na który ma to wpływ, jeśli jest to alert metryki. W przypadku innych typów alertów jest to nazwa grupy zasobów, która zawiera sam alert.
resourceProviderName Nazwa dostawcy zasobów dla zasobu, na który ma to wpływ, jeśli jest to alert metryki. W przypadku innych typów alertów jest to nazwa dostawcy zasobów dla samego alertu.
resourceId Nazwa identyfikatora zasobu dla zasobu, na który ma to wpływ, jeśli jest to alert metryki. W przypadku innych typów alertów jest to identyfikator zasobu alertu.
operationId Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji.
operationName Nazwa operacji.
właściwości <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia.
status Ciąg opisujący stan operacji. Niektóre typowe wartości to: Uruchomiono, W toku, Powodzenie, Niepowodzenie, Aktywne, Rozwiązane.
subStatus Zwykle ma wartość null dla alertów.
eventTimestamp Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu.
submissionTimestamp Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań.
subscriptionId Identyfikator subskrypcji platformy Azure.

Pole właściwości na typ alertu

Pole właściwości będzie zawierać różne wartości w zależności od źródła zdarzenia alertu. Dwóch typowych dostawców zdarzeń alertów to alerty dziennika aktywności i alerty metryk.

Właściwości alertów dziennika aktywności

Nazwa elementu opis
properties.subscriptionId Identyfikator subskrypcji ze zdarzenia dziennika aktywności, który spowodował aktywowanie tej reguły alertu dziennika aktywności.
properties.eventDataId Identyfikator danych zdarzenia ze zdarzenia dziennika aktywności, który spowodował aktywowanie tej reguły alertu dziennika aktywności.
properties.resourceGroup Grupa zasobów ze zdarzenia dziennika aktywności, które spowodowało aktywowanie tej reguły alertu dziennika aktywności.
properties.resourceId Identyfikator zasobu ze zdarzenia dziennika aktywności, który spowodował aktywowanie tej reguły alertu dziennika aktywności.
properties.eventTimestamp Sygnatura czasowa zdarzenia dziennika aktywności, która spowodowała aktywowanie tej reguły alertu dziennika aktywności.
properties.operationName Nazwa operacji ze zdarzenia dziennika aktywności, które spowodowało aktywowanie tej reguły alertu dziennika aktywności.
properties.status Stan zdarzenia dziennika aktywności, które spowodowało aktywowanie tej reguły alertu dziennika aktywności.

Właściwości alertów metryk

Nazwa elementu opis
Właściwości. Identyfikator RuleUri Identyfikator zasobu samej reguły alertu metryki.
Właściwości. RuleName Nazwa reguły alertu dotyczącego metryki.
Właściwości. RuleDescription Opis reguły alertu metryki (zgodnie z definicją w regule alertu).
Właściwości. Próg Wartość progowa używana w ocenie reguły alertu metryki.
Właściwości. WindowSizeInMinutes Rozmiar okna używany w ocenie reguły alertu metryki.
Właściwości. Agregacja Typ agregacji zdefiniowany w regule alertu metryki.
Właściwości. Operator Operator warunkowy używany w ocenie reguły alertu metryki.
Właściwości. Nazwa metryki Nazwa metryki używana w ocenie reguły alertu metryki.
Właściwości. MetricUnit Jednostka metryki dla metryki używanej w ocenie reguły alertu metryki.

Kategoria Autoskaluj

Ta kategoria zawiera rekord wszystkich zdarzeń związanych z działaniem aparatu autoskalowania na podstawie wszystkich ustawień autoskalowania zdefiniowanych w ramach subskrypcji. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "Akcja skalowania automatycznego skalowania w górę nie powiodła się". Za pomocą autoskalowania można automatycznie skalować w poziomie lub skalować liczbę wystąpień w obsługiwanym typie zasobu na podstawie czasu dnia i/lub ładowania (metryki) danych przy użyciu ustawienia autoskalowania. Gdy warunki są spełnione w celu skalowania w górę lub w dół, zdarzenia początkowe i zakończone powodzeniem lub niepowodzeniem są rejestrowane w tej kategorii.

Przykładowe zdarzenie

{
  "caller": "Microsoft.Insights/autoscaleSettings",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
  },
  "correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
  "eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
  "eventName": {
    "value": "AutoscaleAction",
    "localizedValue": "AutoscaleAction"
  },
  "category": {
    "value": "Autoscale",
    "localizedValue": "Autoscale"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "microsoft.insights",
    "localizedValue": "microsoft.insights"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
  "resourceType": {
    "value": "microsoft.insights/autoscalesettings",
    "localizedValue": "microsoft.insights/autoscalesettings"
  },
  "operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "operationName": {
    "value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
    "localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
  },
  "properties": {
    "Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
    "ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
    "OldInstancesCount": "3",
    "NewInstancesCount": "2",
    "LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T01:00:51.8681572Z",
  "submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
  "subscriptionId": "<subscription ID>"
}

Opisy właściwości

Nazwa elementu opis
Obiekt wywołujący Zawsze Microsoft.Insights/autoscaleSettings
Kanały Zawsze "Administrator, operacja"
oświadczenia Obiekt blob JSON z nazwą SPN (główną nazwą usługi) lub typem zasobu aparatu autoskalowania.
correlationId Identyfikator GUID w formacie ciągu.
opis Statyczny opis tekstu zdarzenia autoskalowania.
eventDataId Unikatowy identyfikator zdarzenia autoskalowania.
poziom Poziom ważności zdarzenia.
resourceGroupName Nazwa grupy zasobów ustawienia autoskalowania.
resourceProviderName Nazwa dostawcy zasobów dla ustawienia autoskalowania.
resourceId Identyfikator zasobu ustawienia autoskalowania.
operationId Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji.
operationName Nazwa operacji.
właściwości <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia.
Właściwości. Opis Szczegółowy opis działania aparatu autoskalowania.
Właściwości. ResourceName Identyfikator zasobu, którego dotyczy ten zasób (zasób, na którym wykonywano akcję skalowania)
Właściwości. OldInstancesCount Liczba wystąpień przed zastosowaniem akcji autoskalowania.
Właściwości. NewInstancesCount Liczba wystąpień po wykonaniu akcji autoskalowania.
Właściwości. LastScaleActionTime Znacznik czasu wystąpienia akcji autoskalowania.
status Ciąg opisujący stan operacji. Niektóre typowe wartości to: Uruchomiono, W toku, Powodzenie, Niepowodzenie, Aktywne, Rozwiązane.
subStatus Zwykle ma wartość null dla autoskalu.
eventTimestamp Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu.
submissionTimestamp Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań.
subscriptionId Identyfikator subskrypcji platformy Azure.

Kategoria zabezpieczeń

Ta kategoria zawiera rekord wszystkich alertów generowanych przez Microsoft Defender dla Chmury. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "Podejrzany plik podwójnego rozszerzenia wykonany".

Przykładowe zdarzenie

{
    "channels": "Operation",
    "correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
    "eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "eventName": {
        "value": "Suspicious double extension file executed",
        "localizedValue": "Suspicious double extension file executed"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2017-10-18T06:02:18.6179339Z",
    "id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
    "level": "Informational",
    "operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Microsoft.Security/locations/alerts/activate/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": null
    },
    "submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "accountLogonId": "0x2r4",
        "commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
        "domainName": "hpc",
        "parentProcess": "unknown",
        "parentProcess id": "0",
        "processId": "6988",
        "processName": "c:\\mydirectory\\doubleetension.pdf.exe",
        "userName": "myUser",
        "UserSID": "S-3-2-12",
        "ActionTaken": "Detected",
        "Severity": "High"
    },
    "relatedEvents": []
}

Opisy właściwości

Nazwa elementu opis
Kanały Zawsze "Operacja"
correlationId Identyfikator GUID w formacie ciągu.
opis Statyczny opis zdarzenia zabezpieczeń.
eventDataId Unikatowy identyfikator zdarzenia zabezpieczeń.
eventName Przyjazna nazwa zdarzenia zabezpieczeń.
category Zawsze "Zabezpieczenia"
ID Unikatowy identyfikator zasobu zdarzenia zabezpieczeń.
poziom Poziom ważności zdarzenia.
resourceGroupName Nazwa grupy zasobów dla zasobu.
resourceProviderName Nazwa dostawcy zasobów dla Microsoft Defender dla Chmury. Zawsze "Microsoft.Security".
resourceType Typ zasobu, który wygenerował zdarzenie zabezpieczeń, taki jak "Microsoft.Security/locations/alerts"
resourceId Identyfikator zasobu alertu zabezpieczeń.
operationId Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji.
operationName Nazwa operacji.
właściwości <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia. Te właściwości różnią się w zależności od typu alertu zabezpieczeń. Zobacz tę stronę, aby uzyskać opis typów alertów pochodzących z Defender dla Chmury.
Właściwości. Dotkliwość Poziom ważności. Możliwe wartości to "Wysoka", "Średnia" lub "Niska".
status Ciąg opisujący stan operacji. Niektóre typowe wartości to: Uruchomiono, W toku, Powodzenie, Niepowodzenie, Aktywne, Rozwiązane.
subStatus Zazwyczaj wartość null dla zdarzeń zabezpieczeń.
eventTimestamp Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu.
submissionTimestamp Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań.
subscriptionId Identyfikator subskrypcji platformy Azure.

Kategoria rekomendacji

Ta kategoria zawiera rekord wszelkich nowych zaleceń generowanych dla usług. Przykładem zalecenia jest "Używanie zestawów dostępności w celu zwiększenia odporności na uszkodzenia". Istnieją cztery typy zdarzeń rekomendacji, które można wygenerować: wysoka dostępność, wydajność, zabezpieczenia i optymalizacja kosztów.

Przykładowe zdarzenie

{
    "channels": "Operation",
    "correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
    "description": "The action was successful.",
    "eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Recommendation",
        "localizedValue": "Recommendation"
    },
    "eventTimestamp": "2018-06-07T21:30:42.976919Z",
    "id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Advisor/generateRecommendations/action",
        "localizedValue": "Microsoft.Advisor/generateRecommendations/action"
    },
    "resourceGroupName": "MYRESOURCEGROUP",
    "resourceProviderName": {
        "value": "MICROSOFT.COMPUTE",
        "localizedValue": "MICROSOFT.COMPUTE"
    },
    "resourceType": {
        "value": "MICROSOFT.COMPUTE/virtualmachines",
        "localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
    },
    "resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-06-07T21:30:42.976919Z",
    "subscriptionId": "<Subscription ID>",
    "properties": {
        "recommendationSchemaVersion": "1.0",
        "recommendationCategory": "Security",
        "recommendationImpact": "High",
        "recommendationRisk": "None"
    },
    "relatedEvents": []
}

Opisy właściwości

Nazwa elementu opis
Kanały Zawsze "Operacja"
correlationId Identyfikator GUID w formacie ciągu.
opis Statyczny opis tekstu zdarzenia rekomendacji
eventDataId Unikatowy identyfikator zdarzenia rekomendacji.
category Zawsze "zalecenie"
ID Unikatowy identyfikator zasobu zdarzenia rekomendacji.
poziom Poziom ważności zdarzenia.
operationName Nazwa operacji. Zawsze "Microsoft.Advisor/generateRecommendations/action"
resourceGroupName Nazwa grupy zasobów dla zasobu.
resourceProviderName Nazwa dostawcy zasobów dla zasobu, do którego odnosi się to zalecenie, na przykład "MICROSOFT. COMPUTE"
resourceType Nazwa typu zasobu, do którego odnosi się to zalecenie, na przykład "MICROSOFT. COMPUTE/virtualmachines"
resourceId Identyfikator zasobu, którego dotyczy zalecenie
status Zawsze "Aktywne"
submissionTimestamp Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań.
subscriptionId Identyfikator subskrypcji platformy Azure.
właściwości <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zalecenia.
properties.recommendationSchemaVersion Wersja schematu właściwości rekomendacji opublikowanych we wpisie dziennika aktywności
properties.recommendationCategory Kategoria rekomendacji. Możliwe wartości to "Wysoka dostępność", "Wydajność", "Zabezpieczenia" i "Koszt"
properties.recommendationImpact Wpływ zalecenia. Możliwe wartości to "High", "Medium", "Low"
properties.recommendationRisk Ryzyko zalecenia. Możliwe wartości to "Error", "Warning", "None"

Kategoria zasad

Ta kategoria zawiera rekordy wszystkich operacji akcji efektu wykonywanych przez usługę Azure Policy. Przykłady typów zdarzeń, które można zobaczyć w tej kategorii, obejmują inspekcję i odmowę. Każda akcja wykonywana przez zasady jest modelowana jako operacja na zasobie.

Przykładowe zdarzenie zasad

{
    "authorization": {
        "action": "Microsoft.Resources/checkPolicyCompliance/read",
        "scope": "/subscriptions/<subscriptionID>"
    },
    "caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.azure.com/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
        "appidacr": "2",
        "http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "description": "",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Policy",
        "localizedValue": "Policy"
    },
    "eventTimestamp": "2019-01-15T13:19:56.1227642Z",
    "id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
    "level": "Warning",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Authorization/policies/audit/action",
        "localizedValue": "Microsoft.Authorization/policies/audit/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Sql",
        "localizedValue": "Microsoft SQL"
    },
    "resourceType": {
        "value": "Microsoft.Resources/checkPolicyCompliance",
        "localizedValue": "Microsoft.Resources/checkPolicyCompliance"
    },
    "resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
    "subscriptionId": "<subscriptionID>",
    "properties": {
        "isComplianceCheck": "True",
        "resourceLocation": "westus2",
        "ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
            Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
            onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
            policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
            /policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
            4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
            nmentParameters\":{}}]"
    },
    "relatedEvents": []
}

Opisy właściwości zdarzeń zasad

Nazwa elementu opis
autoryzacja Tablica właściwości RBAC platformy Azure zdarzenia. W przypadku nowych zasobów jest to akcja i zakres żądania, które wyzwoliło ocenę. W przypadku istniejących zasobów akcja to "Microsoft.Resources/checkPolicyCompliance/read".
Obiekt wywołujący W przypadku nowych zasobów tożsamość, która zainicjowała wdrożenie. W przypadku istniejących zasobów identyfikator GUID dostawcy usługi Microsoft Azure Policy Insights.
Kanały Zdarzenia zasad używają tylko kanału "Operacja".
oświadczenia Token JWT używany przez usługę Active Directory do uwierzytelniania użytkownika lub aplikacji w celu wykonania tej operacji w usłudze Resource Manager.
correlationId Zazwyczaj identyfikator GUID w formacie ciągu. Zdarzenia współużytkujące identyfikator correlationId należą do tej samej akcji ubera.
opis To pole jest puste dla zdarzeń zasad.
eventDataId Unikatowy identyfikator zdarzenia.
eventName "BeginRequest" lub "EndRequest". Wyrażenie "BeginRequest" jest używane do opóźnionej inspekcjiIfNotExists i deployIfNotExists oceny, a gdy efekt deployIfNotExists rozpoczyna wdrożenie szablonu. Wszystkie inne operacje zwracają wartość "EndRequest".
category Deklaruje zdarzenie dziennika aktywności jako należące do "Zasady".
eventTimestamp Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu.
ID Unikatowy identyfikator zdarzenia dla określonego zasobu.
poziom Poziom ważności zdarzenia. Inspekcja używa "Ostrzeżenie" i odmów używa "Błąd". Błąd auditIfNotExists lub deployIfNotExists może wygenerować wartość "Ostrzeżenie" lub "Błąd" w zależności od ważności. Wszystkie inne zdarzenia zasad używają informacji.
operationId Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji.
operationName Nazwa operacji i bezpośrednio skorelowana z efektem zasad.
resourceGroupName Nazwa grupy zasobów dla ocenianego zasobu.
resourceProviderName Nazwa dostawcy zasobów dla ocenianego zasobu.
resourceType W przypadku nowych zasobów jest to typ oceniany. W przypadku istniejących zasobów zwraca wartość "Microsoft.Resources/checkPolicyCompliance".
resourceId Identyfikator zasobu ocenionego zasobu.
status Ciąg opisujący stan wyniku oceny zasad. Większość ocen zasad zwraca wartość "Powodzenie", ale efekt Odmów zwraca wartość "Niepowodzenie". Błędy w auditIfNotExists lub deployIfNotExists również zwracają wartość "Niepowodzenie".
subStatus Pole jest puste dla zdarzeń zasad.
submissionTimestamp Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań.
subscriptionId Identyfikator subskrypcji platformy Azure.
properties.isComplianceCheck Zwraca wartość "Fałsz" po wdrożeniu nowego zasobu lub zaktualizowaniu właściwości usługi Resource Manager istniejącego zasobu. Wszystkie inne wyzwalacze oceny powodują wartość "True".
properties.resourceLocation Region platformy Azure ocenianego zasobu.
properties.ancestors Rozdzielona przecinkami lista nadrzędnych grup zarządzania uporządkowana od bezpośredniego rodzica do najdalej dziadków.
properties.policies Zawiera szczegółowe informacje na temat definicji zasad, przypisania, efektu i parametrów, których wynikiem jest ta ocena zasad.
relatedEvents To pole jest puste dla zdarzeń zasad.

Schemat z konta magazynu i centrów zdarzeń

Podczas przesyłania strumieniowego dziennika aktywności platformy Azure do konta magazynu lub centrum zdarzeń dane są zgodne ze schematem dziennika zasobów. Poniższa tabela zawiera mapowanie właściwości z powyższych schematów na schemat dzienników zasobów.

Ważne

Format danych dziennika aktywności zapisanych na koncie magazynu został zmieniony na JSON Lines w dniu 1 listopada 2018 r. Aby uzyskać szczegółowe informacje na temat tej zmiany formatu, zobacz Przygotowanie do zmiany formatu w dziennikach zasobów usługi Azure Monitor zarchiwizowanych na koncie magazynu.

Właściwość schematu dzienników zasobów Właściwość schematu interfejsu API REST dziennika aktywności Uwagi
time eventTimestamp
resourceId resourceId subscriptionId, resourceType, resourceGroupName są wnioskowane z identyfikatora resourceId.
operationName operationName.value
category Część nazwy operacji Zawsze "Administracyjne"
resultType status.value
resultSignature substatus.value
resultDescription opis
durationMs Nie dotyczy Zawsze 0
callerIpAddress httpRequest.clientIpAddress
correlationId correlationId
tożsamości oświadczenia i właściwości autoryzacji
Poziom Poziom
lokalizacja Nie dotyczy Lokalizacja, w której zdarzenie zostało przetworzone. Nie jest to lokalizacja zasobu, ale raczej miejsce przetwarzania zdarzenia. Ta właściwość zostanie usunięta w przyszłej aktualizacji.
Właściwości properties.eventProperties
properties.eventCategory category Jeśli element properties.eventCategory nie jest obecny, kategoria to "Administracja"
properties.eventName eventName
properties.operationId operationId
properties.eventProperties właściwości

Oto przykład zdarzenia korzystającego z tego schematu:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
            "identity": {
               "authorization": {
                   "scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/       msftstorageaccount",
                   "action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
                   "evidence": {
                       "role": "Azure Eventhubs Service Role",
                       "roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
                       "roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
                       "roleDefinitionId": "123456789de042a6a64b29b123456789",
                       "principalId": "abcdef038c6444c18f1c31311fabcdef",
                       "principalType": "ServicePrincipal"
                   }
               },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "11112222-bbbb-3333-cccc-4444dddd5555",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Następne kroki