Schemat zdarzeń dziennika aktywności platformy Azure
Dziennik aktywności platformy Azure zapewnia wgląd w wszelkie zdarzenia na poziomie subskrypcji, które wystąpiły na platformie Azure. W tym artykule opisano kategorie dzienników aktywności i schemat dla każdego z nich.
Schemat różni się w zależności od sposobu uzyskiwania dostępu do dziennika:
- Schematy opisane w tym artykule dotyczą uzyskiwania dostępu do dziennika aktywności z interfejsu API REST. Schemat jest również używany podczas wybierania opcji JSON podczas wyświetlania zdarzenia w witrynie Azure Portal.
- Zobacz ostatnią sekcję Schemat z konta magazynu i centrów zdarzeń dla schematu, gdy używasz ustawienia diagnostycznego do wysyłania dziennika aktywności do usługi Azure Storage lub Azure Event Hubs.
- Zobacz Dokumentację danych usługi Azure Monitor dla schematu, gdy używasz ustawienia diagnostycznego do wysyłania dziennika aktywności do obszaru roboczego usługi Log Analytics.
Poziom ważności
Każdy wpis w dzienniku aktywności ma poziom ważności. Poziom ważności może mieć jedną z następujących wartości:
Ważność | opis |
---|---|
Krytyczne | Zdarzenia, które wymagają natychmiastowej uwagi administratora systemu. Może wskazywać, że aplikacja lub system nie powiodła się lub przestała odpowiadać. |
Błąd | Zdarzenia wskazujące problem, ale nie wymagają natychmiastowej uwagi. |
Ostrzeżenie | Zdarzenia, które zapewniają możliwość wystąpienia potencjalnych problemów, chociaż nie są to rzeczywiste błędy. Wskazuje, że zasób nie jest w idealnym stanie i może później ulec pogorszeniu w wyświetlaniu błędów lub zdarzeń krytycznych. |
Informacyjny | Zdarzenia, które przekazują do administratora informacje niekrytyczne. Podobnie jak w przypadku notatki, która mówi: "Dla Twoich informacji". |
Deweloperzy każdego dostawcy zasobów wybierają poziomy ważności swoich wpisów zasobów. W związku z tym rzeczywista ważność może się różnić w zależności od sposobu kompilowania aplikacji. Na przykład elementy", które są "krytyczne" dla określonego zasobu pobranego w izolacji, mogą nie być tak ważne jak "błędy" w typie zasobu, który jest centralny dla aplikacji platformy Azure. Pamiętaj, aby wziąć pod uwagę ten fakt podczas podejmowania decyzji o tym, jakie zdarzenia mają być alerty.
Kategorie
Każde zdarzenie w dzienniku aktywności ma określoną kategorię opisaną w poniższej tabeli. Zapoznaj się z poniższymi sekcjami, aby uzyskać więcej informacji na temat każdej kategorii i jej schematu podczas uzyskiwania dostępu do dziennika aktywności z poziomu portalu, programu PowerShell, interfejsu wiersza polecenia i interfejsu API REST. Schemat różni się w przypadku przesyłania strumieniowego dziennika aktywności do magazynu lub usługi Event Hubs. Mapowanie właściwości do schematu dzienników zasobów znajduje się w ostatniej sekcji artykułu.
Kategoria | opis |
---|---|
Administracyjne | Zawiera rekord wszystkich operacji tworzenia, aktualizowania, usuwania i akcji wykonywanych za pomocą usługi Resource Manager. Przykłady zdarzeń administracyjnych obejmują tworzenie maszyny wirtualnej i usuwanie sieciowej grupy zabezpieczeń. Każda akcja wykonywana przez użytkownika lub aplikację przy użyciu usługi Resource Manager jest modelowana jako operacja dla określonego typu zasobu. Jeśli typ operacji to Zapis, Usuń lub Akcja, rekordy zarówno rozpoczęcia, jak i powodzenia lub niepowodzenia tej operacji są rejestrowane w kategorii Administracyjne. Zdarzenia administracyjne obejmują również wszelkie zmiany w kontroli dostępu opartej na rolach platformy Azure w subskrypcji. |
Kondycja usługi | Zawiera rekord wszystkich zdarzeń dotyczących kondycji usługi, które wystąpiły na platformie Azure. Przykładem zdarzenia usługi Service Health Usługi SQL Azure w regionie Wschodnie stany USA występuje przestój. Zdarzenia usługi Service Health są dostępne w sześciu odmianach: wymagane działanie, odzyskiwanie wspomagane, zdarzenie, konserwacja, informacje lub zabezpieczenia. Te zdarzenia są tworzone tylko wtedy, gdy masz zasób w subskrypcji, której dotyczy zdarzenie. |
Resource Health | Zawiera rekord zdarzeń dotyczących kondycji zasobów, które wystąpiły w zasobach platformy Azure. Przykładem zdarzenia usługi Resource Health jest stan kondycji maszyny wirtualnej zmieniony na niedostępny. Zdarzenia usługi Resource Health mogą reprezentować jeden z czterech stanów kondycji: Dostępne, Niedostępne, Obniżone i Nieznane. Ponadto zdarzenia usługi Resource Health można podzielić na zainicjowane przez platformę lub zainicjowane przez użytkownika. |
Alert | Zawiera rekord aktywacji alertów platformy Azure. Przykładem zdarzenia alertu jest procent procesora CPU na maszynie wirtualnej myVM powyżej 80 w ciągu ostatnich 5 minut. |
Skalowanie automatyczne | Zawiera rekord wszystkich zdarzeń związanych z działaniem aparatu autoskalowania na podstawie wszystkich ustawień autoskalowania zdefiniowanych w subskrypcji. Przykładem zdarzenia autoskalowania jest niepowodzenie akcji skalowania automatycznego w górę. |
Zalecenie | Zawiera zdarzenia rekomendacji z usługi Azure Advisor. |
Bezpieczeństwo | Zawiera rekord wszystkich alertów generowanych przez Microsoft Defender dla Chmury. Przykładem zdarzenia zabezpieczeń jest wykonany podejrzany plik podwójnego rozszerzenia. |
Zasady | Zawiera rekordy wszystkich operacji akcji efektu wykonywanych przez usługę Azure Policy. Przykłady zdarzeń zasad obejmują inspekcję i odmowę. Każda akcja wykonywana przez zasady jest modelowana jako operacja na zasobie. |
Kategoria administracyjna
Ta kategoria zawiera rekord wszystkich operacji tworzenia, aktualizowania, usuwania i akcji wykonywanych za pośrednictwem usługi Resource Manager. Przykłady typów zdarzeń, które można zobaczyć w tej kategorii, obejmują "tworzenie maszyny wirtualnej" i "usuwanie sieciowej grupy zabezpieczeń". Każda akcja wykonywana przez użytkownika lub aplikację przy użyciu usługi Resource Manager jest modelowana jako operacja dla określonego typu zasobu. Jeśli typ operacji to Zapis, Usuń lub Akcja, rekordy zarówno rozpoczęcia, jak i powodzenia lub niepowodzenia tej operacji są rejestrowane w kategorii Administracyjne. Kategoria Administracja zawiera również wszelkie zmiany w kontroli dostępu opartej na rolach platformy Azure w subskrypcji.
Przykładowe zdarzenie
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Opisy właściwości
Nazwa elementu | opis |
---|---|
autoryzacja | Obiekt blob właściwości RBAC platformy Azure zdarzenia. Zazwyczaj zawiera właściwości "action", "role" i "scope". |
Obiekt wywołujący | Adres e-mail użytkownika, który wykonał operację, oświadczenie NAZWY UPN lub oświadczenie SPN na podstawie dostępności. |
Kanały | Jedna z następujących wartości: "Admin", "Operation" |
oświadczenia | Token JWT używany przez usługę Active Directory do uwierzytelniania użytkownika lub aplikacji w celu wykonania tej operacji w usłudze Resource Manager. |
correlationId | Zazwyczaj identyfikator GUID w formacie ciągu. Zdarzenia współużytkujące identyfikator correlationId należą do tej samej akcji ubera. |
opis | Statyczny opis tekstu zdarzenia. |
eventDataId | Unikatowy identyfikator zdarzenia. |
eventName | Przyjazna nazwa zdarzenia administracyjnego. |
category | Zawsze "Administracyjne" |
httpRequest | Obiekt blob opisujący żądanie HTTP. Zwykle zawiera wartości "clientRequestId", "clientIpAddress" i "method" (metoda HTTP). Na przykład PUT). |
poziom | Poziom ważności zdarzenia. |
resourceGroupName | Nazwa grupy zasobów dla zasobu, na który ma to wpływ. |
resourceProviderName | Nazwa dostawcy zasobów dla zasobu, na który ma to wpływ |
resourceType | Typ zasobu, którego dotyczy zdarzenie administracyjne. |
resourceId | Identyfikator zasobu, na który ma wpływ zasób. |
operationId | Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji. |
operationName | Nazwa operacji. |
właściwości | <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia. |
status | Ciąg opisujący stan operacji. Niektóre typowe wartości to: Uruchomiono, W toku, Powodzenie, Niepowodzenie, Aktywne, Rozwiązane. |
subStatus | Zazwyczaj kod stanu HTTP odpowiedniego wywołania REST, ale może również zawierać inne ciągi opisujące podstatus, takie jak następujące typowe wartości: OK (kod stanu HTTP: 200), utworzony (kod stanu HTTP: 201), zaakceptowany (kod stanu HTTP: 202), brak zawartości (kod stanu HTTP: 204), nieprawidłowe żądanie (kod stanu HTTP: 400), nie znaleziono (kod stanu HTTP: 404), Konflikt (kod stanu HTTP: 409), wewnętrzny błąd serwera (kod stanu HTTP: 500), usługa niedostępna (kod stanu HTTP: 503), limit czasu bramy (kod stanu HTTP: 504). |
eventTimestamp | Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu. |
submissionTimestamp | Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań. |
subscriptionId | Identyfikator subskrypcji platformy Azure. |
kategoria Kondycja usługi
Ta kategoria zawiera rekord zdarzeń dotyczących kondycji usługi, które wystąpiły na platformie Azure. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "Usługi SQL Azure w regionie Wschodnie stany USA występują przestoje". Kondycja usługi zdarzenia są dostępne w pięciu odmianach: Wymagane działanie, Zdarzenie, Konserwacja, Informacje lub Zabezpieczenia i wyświetlane tylko wtedy, gdy masz zasób w subskrypcji, który będzie miał wpływ na zdarzenie.
Przykładowe zdarzenie
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Zapoznaj się z artykułem dotyczącym powiadomień o kondycji usługi, aby uzyskać dokumentację dotyczącą wartości we właściwościach.
Kategoria kondycji zasobów
Ta kategoria zawiera rekord zdarzeń kondycji zasobów, które wystąpiły w zasobach platformy Azure. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "Stan kondycji maszyny wirtualnej został zmieniony na niedostępny". Zdarzenia kondycji zasobu mogą reprezentować jeden z czterech stanów kondycji: Dostępne, Niedostępne, Obniżone i Nieznane. Ponadto zdarzenia kondycji zasobów można podzielić na zainicjowane przez platformę lub zainicjowane przez użytkownika.
Zdarzenie kondycji zasobu jest rejestrowane w dzienniku aktywności, gdy:
- Adnotacja, na przykład "ResourceDegraded" lub "AccountClientThrottling", jest przesyłana dla zasobu.
- Zasób przeniesiony do lub z złej kondycji.
- Zasób był w złej kondycji przez ponad 15 minut.
Następujące przejścia dotyczące kondycji zasobów nie są rejestrowane w dzienniku aktywności:
- Przejście do stanu Nieznany.
- Przejście z nieznanego stanu, jeśli:
- Jest to pierwsze przejście.
- Jeśli stan poprzedzający nieznany jest taki sam jak nowy stan po. (Jeśli na przykład zasób został przeniesiony ze dobrej kondycji do nieznanych i z powrotem w dobrej kondycji).
- W przypadku zasobów obliczeniowych: maszyny wirtualne, które przechodzą ze dobrej kondycji na złą kondycję, i z powrotem do dobrej kondycji, gdy czas złej kondycji wynosi mniej niż 35 sekund.
Przykładowe zdarzenie
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Opisy właściwości
Nazwa elementu | opis |
---|---|
Kanały | Zawsze "Administrator, operacja" |
correlationId | Identyfikator GUID w formacie ciągu. |
opis | Statyczny opis tekstu zdarzenia alertu. |
eventDataId | Unikatowy identyfikator zdarzenia alertu. |
category | Zawsze "ResourceHealth" |
eventTimestamp | Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu. |
poziom | Poziom ważności zdarzenia. |
operationId | Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji. |
operationName | Nazwa operacji. |
resourceGroupName | Nazwa grupy zasobów zawierającej zasób. |
resourceProviderName | Zawsze "Microsoft.Resourcehealth/healthevent/action". |
resourceType | Typ zasobu, którego dotyczy zdarzenie usługi Resource Health. |
resourceId | Nazwa identyfikatora zasobu dla zasobu, na który ma to wpływ. |
status | Ciąg opisujący stan zdarzenia kondycji. Wartości mogą być: Aktywne, Rozwiązane, InProgress, Zaktualizowane. |
subStatus | Zwykle ma wartość null dla alertów. |
submissionTimestamp | Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań. |
subscriptionId | Identyfikator subskrypcji platformy Azure. |
właściwości | <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia. |
properties.title | Przyjazny dla użytkownika ciąg opisujący stan kondycji zasobu. |
properties.details | Przyjazny dla użytkownika ciąg opisujący szczegółowe informacje o zdarzeniu. |
properties.currentHealthStatus | Bieżący stan kondycji zasobu. Jedna z następujących wartości: "Dostępne", "Niedostępne", "Obniżona wydajność" i "Nieznany". |
properties.previousHealthStatus | Poprzedni stan kondycji zasobu. Jedna z następujących wartości: "Dostępne", "Niedostępne", "Obniżona wydajność" i "Nieznany". |
properties.type | Opis typu zdarzenia kondycji zasobu. |
properties.cause | Opis przyczyny zdarzenia kondycji zasobu. Albo "UserInitiated" i "PlatformInitiated". |
Kategoria alertów
Ta kategoria zawiera rekord wszystkich aktywacji klasycznych alertów platformy Azure. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "% procesora CPU na maszynie wirtualnej myVM jest ponad 80 w ciągu ostatnich 5 minut". Różne systemy platformy Azure mają koncepcję alertów: możesz zdefiniować regułę pewnego rodzaju i otrzymywać powiadomienie, gdy warunki są zgodne z daną regułą. Za każdym razem, gdy obsługiwany typ alertu platformy Azure "aktywuje" lub warunki są spełnione w celu wygenerowania powiadomienia, rekord aktywacji jest również wypychany do tej kategorii dziennika aktywności.
Przykładowe zdarzenie
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Opisy właściwości
Nazwa elementu | opis |
---|---|
Obiekt wywołujący | Zawsze microsoft.insights/alertRules |
Kanały | Zawsze "Administrator, operacja" |
oświadczenia | Obiekt blob JSON z nazwą SPN (główną nazwą usługi) lub typem zasobu aparatu alertu. |
correlationId | Identyfikator GUID w formacie ciągu. |
opis | Statyczny opis tekstu zdarzenia alertu. |
eventDataId | Unikatowy identyfikator zdarzenia alertu. |
category | Zawsze "Alert" |
poziom | Poziom ważności zdarzenia. |
resourceGroupName | Nazwa grupy zasobów dla zasobu, na który ma to wpływ, jeśli jest to alert metryki. W przypadku innych typów alertów jest to nazwa grupy zasobów, która zawiera sam alert. |
resourceProviderName | Nazwa dostawcy zasobów dla zasobu, na który ma to wpływ, jeśli jest to alert metryki. W przypadku innych typów alertów jest to nazwa dostawcy zasobów dla samego alertu. |
resourceId | Nazwa identyfikatora zasobu dla zasobu, na który ma to wpływ, jeśli jest to alert metryki. W przypadku innych typów alertów jest to identyfikator zasobu alertu. |
operationId | Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji. |
operationName | Nazwa operacji. |
właściwości | <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia. |
status | Ciąg opisujący stan operacji. Niektóre typowe wartości to: Uruchomiono, W toku, Powodzenie, Niepowodzenie, Aktywne, Rozwiązane. |
subStatus | Zwykle ma wartość null dla alertów. |
eventTimestamp | Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu. |
submissionTimestamp | Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań. |
subscriptionId | Identyfikator subskrypcji platformy Azure. |
Pole właściwości na typ alertu
Pole właściwości będzie zawierać różne wartości w zależności od źródła zdarzenia alertu. Dwóch typowych dostawców zdarzeń alertów to alerty dziennika aktywności i alerty metryk.
Właściwości alertów dziennika aktywności
Nazwa elementu | opis |
---|---|
properties.subscriptionId | Identyfikator subskrypcji ze zdarzenia dziennika aktywności, który spowodował aktywowanie tej reguły alertu dziennika aktywności. |
properties.eventDataId | Identyfikator danych zdarzenia ze zdarzenia dziennika aktywności, który spowodował aktywowanie tej reguły alertu dziennika aktywności. |
properties.resourceGroup | Grupa zasobów ze zdarzenia dziennika aktywności, które spowodowało aktywowanie tej reguły alertu dziennika aktywności. |
properties.resourceId | Identyfikator zasobu ze zdarzenia dziennika aktywności, który spowodował aktywowanie tej reguły alertu dziennika aktywności. |
properties.eventTimestamp | Sygnatura czasowa zdarzenia dziennika aktywności, która spowodowała aktywowanie tej reguły alertu dziennika aktywności. |
properties.operationName | Nazwa operacji ze zdarzenia dziennika aktywności, które spowodowało aktywowanie tej reguły alertu dziennika aktywności. |
properties.status | Stan zdarzenia dziennika aktywności, które spowodowało aktywowanie tej reguły alertu dziennika aktywności. |
Właściwości alertów metryk
Nazwa elementu | opis |
---|---|
Właściwości. Identyfikator RuleUri | Identyfikator zasobu samej reguły alertu metryki. |
Właściwości. RuleName | Nazwa reguły alertu dotyczącego metryki. |
Właściwości. RuleDescription | Opis reguły alertu metryki (zgodnie z definicją w regule alertu). |
Właściwości. Próg | Wartość progowa używana w ocenie reguły alertu metryki. |
Właściwości. WindowSizeInMinutes | Rozmiar okna używany w ocenie reguły alertu metryki. |
Właściwości. Agregacja | Typ agregacji zdefiniowany w regule alertu metryki. |
Właściwości. Operator | Operator warunkowy używany w ocenie reguły alertu metryki. |
Właściwości. Nazwa metryki | Nazwa metryki używana w ocenie reguły alertu metryki. |
Właściwości. MetricUnit | Jednostka metryki dla metryki używanej w ocenie reguły alertu metryki. |
Kategoria Autoskaluj
Ta kategoria zawiera rekord wszystkich zdarzeń związanych z działaniem aparatu autoskalowania na podstawie wszystkich ustawień autoskalowania zdefiniowanych w ramach subskrypcji. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "Akcja skalowania automatycznego skalowania w górę nie powiodła się". Za pomocą autoskalowania można automatycznie skalować w poziomie lub skalować liczbę wystąpień w obsługiwanym typie zasobu na podstawie czasu dnia i/lub ładowania (metryki) danych przy użyciu ustawienia autoskalowania. Gdy warunki są spełnione w celu skalowania w górę lub w dół, zdarzenia początkowe i zakończone powodzeniem lub niepowodzeniem są rejestrowane w tej kategorii.
Przykładowe zdarzenie
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Opisy właściwości
Nazwa elementu | opis |
---|---|
Obiekt wywołujący | Zawsze Microsoft.Insights/autoscaleSettings |
Kanały | Zawsze "Administrator, operacja" |
oświadczenia | Obiekt blob JSON z nazwą SPN (główną nazwą usługi) lub typem zasobu aparatu autoskalowania. |
correlationId | Identyfikator GUID w formacie ciągu. |
opis | Statyczny opis tekstu zdarzenia autoskalowania. |
eventDataId | Unikatowy identyfikator zdarzenia autoskalowania. |
poziom | Poziom ważności zdarzenia. |
resourceGroupName | Nazwa grupy zasobów ustawienia autoskalowania. |
resourceProviderName | Nazwa dostawcy zasobów dla ustawienia autoskalowania. |
resourceId | Identyfikator zasobu ustawienia autoskalowania. |
operationId | Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji. |
operationName | Nazwa operacji. |
właściwości | <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia. |
Właściwości. Opis | Szczegółowy opis działania aparatu autoskalowania. |
Właściwości. ResourceName | Identyfikator zasobu, którego dotyczy ten zasób (zasób, na którym wykonywano akcję skalowania) |
Właściwości. OldInstancesCount | Liczba wystąpień przed zastosowaniem akcji autoskalowania. |
Właściwości. NewInstancesCount | Liczba wystąpień po wykonaniu akcji autoskalowania. |
Właściwości. LastScaleActionTime | Znacznik czasu wystąpienia akcji autoskalowania. |
status | Ciąg opisujący stan operacji. Niektóre typowe wartości to: Uruchomiono, W toku, Powodzenie, Niepowodzenie, Aktywne, Rozwiązane. |
subStatus | Zwykle ma wartość null dla autoskalu. |
eventTimestamp | Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu. |
submissionTimestamp | Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań. |
subscriptionId | Identyfikator subskrypcji platformy Azure. |
Kategoria zabezpieczeń
Ta kategoria zawiera rekord wszystkich alertów generowanych przez Microsoft Defender dla Chmury. Przykładem typu zdarzenia, które można zobaczyć w tej kategorii, jest "Podejrzany plik podwójnego rozszerzenia wykonany".
Przykładowe zdarzenie
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Opisy właściwości
Nazwa elementu | opis |
---|---|
Kanały | Zawsze "Operacja" |
correlationId | Identyfikator GUID w formacie ciągu. |
opis | Statyczny opis zdarzenia zabezpieczeń. |
eventDataId | Unikatowy identyfikator zdarzenia zabezpieczeń. |
eventName | Przyjazna nazwa zdarzenia zabezpieczeń. |
category | Zawsze "Zabezpieczenia" |
ID | Unikatowy identyfikator zasobu zdarzenia zabezpieczeń. |
poziom | Poziom ważności zdarzenia. |
resourceGroupName | Nazwa grupy zasobów dla zasobu. |
resourceProviderName | Nazwa dostawcy zasobów dla Microsoft Defender dla Chmury. Zawsze "Microsoft.Security". |
resourceType | Typ zasobu, który wygenerował zdarzenie zabezpieczeń, taki jak "Microsoft.Security/locations/alerts" |
resourceId | Identyfikator zasobu alertu zabezpieczeń. |
operationId | Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji. |
operationName | Nazwa operacji. |
właściwości | <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zdarzenia. Te właściwości różnią się w zależności od typu alertu zabezpieczeń. Zobacz tę stronę, aby uzyskać opis typów alertów pochodzących z Defender dla Chmury. |
Właściwości. Dotkliwość | Poziom ważności. Możliwe wartości to "Wysoka", "Średnia" lub "Niska". |
status | Ciąg opisujący stan operacji. Niektóre typowe wartości to: Uruchomiono, W toku, Powodzenie, Niepowodzenie, Aktywne, Rozwiązane. |
subStatus | Zazwyczaj wartość null dla zdarzeń zabezpieczeń. |
eventTimestamp | Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu. |
submissionTimestamp | Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań. |
subscriptionId | Identyfikator subskrypcji platformy Azure. |
Kategoria rekomendacji
Ta kategoria zawiera rekord wszelkich nowych zaleceń generowanych dla usług. Przykładem zalecenia jest "Używanie zestawów dostępności w celu zwiększenia odporności na uszkodzenia". Istnieją cztery typy zdarzeń rekomendacji, które można wygenerować: wysoka dostępność, wydajność, zabezpieczenia i optymalizacja kosztów.
Przykładowe zdarzenie
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Opisy właściwości
Nazwa elementu | opis |
---|---|
Kanały | Zawsze "Operacja" |
correlationId | Identyfikator GUID w formacie ciągu. |
opis | Statyczny opis tekstu zdarzenia rekomendacji |
eventDataId | Unikatowy identyfikator zdarzenia rekomendacji. |
category | Zawsze "zalecenie" |
ID | Unikatowy identyfikator zasobu zdarzenia rekomendacji. |
poziom | Poziom ważności zdarzenia. |
operationName | Nazwa operacji. Zawsze "Microsoft.Advisor/generateRecommendations/action" |
resourceGroupName | Nazwa grupy zasobów dla zasobu. |
resourceProviderName | Nazwa dostawcy zasobów dla zasobu, do którego odnosi się to zalecenie, na przykład "MICROSOFT. COMPUTE" |
resourceType | Nazwa typu zasobu, do którego odnosi się to zalecenie, na przykład "MICROSOFT. COMPUTE/virtualmachines" |
resourceId | Identyfikator zasobu, którego dotyczy zalecenie |
status | Zawsze "Aktywne" |
submissionTimestamp | Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań. |
subscriptionId | Identyfikator subskrypcji platformy Azure. |
właściwości | <Key, Value> Zestaw par (czyli Słownik) opisujący szczegóły zalecenia. |
properties.recommendationSchemaVersion | Wersja schematu właściwości rekomendacji opublikowanych we wpisie dziennika aktywności |
properties.recommendationCategory | Kategoria rekomendacji. Możliwe wartości to "Wysoka dostępność", "Wydajność", "Zabezpieczenia" i "Koszt" |
properties.recommendationImpact | Wpływ zalecenia. Możliwe wartości to "High", "Medium", "Low" |
properties.recommendationRisk | Ryzyko zalecenia. Możliwe wartości to "Error", "Warning", "None" |
Kategoria zasad
Ta kategoria zawiera rekordy wszystkich operacji akcji efektu wykonywanych przez usługę Azure Policy. Przykłady typów zdarzeń, które można zobaczyć w tej kategorii, obejmują inspekcję i odmowę. Każda akcja wykonywana przez zasady jest modelowana jako operacja na zasobie.
Przykładowe zdarzenie zasad
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Opisy właściwości zdarzeń zasad
Nazwa elementu | opis |
---|---|
autoryzacja | Tablica właściwości RBAC platformy Azure zdarzenia. W przypadku nowych zasobów jest to akcja i zakres żądania, które wyzwoliło ocenę. W przypadku istniejących zasobów akcja to "Microsoft.Resources/checkPolicyCompliance/read". |
Obiekt wywołujący | W przypadku nowych zasobów tożsamość, która zainicjowała wdrożenie. W przypadku istniejących zasobów identyfikator GUID dostawcy usługi Microsoft Azure Policy Insights. |
Kanały | Zdarzenia zasad używają tylko kanału "Operacja". |
oświadczenia | Token JWT używany przez usługę Active Directory do uwierzytelniania użytkownika lub aplikacji w celu wykonania tej operacji w usłudze Resource Manager. |
correlationId | Zazwyczaj identyfikator GUID w formacie ciągu. Zdarzenia współużytkujące identyfikator correlationId należą do tej samej akcji ubera. |
opis | To pole jest puste dla zdarzeń zasad. |
eventDataId | Unikatowy identyfikator zdarzenia. |
eventName | "BeginRequest" lub "EndRequest". Wyrażenie "BeginRequest" jest używane do opóźnionej inspekcjiIfNotExists i deployIfNotExists oceny, a gdy efekt deployIfNotExists rozpoczyna wdrożenie szablonu. Wszystkie inne operacje zwracają wartość "EndRequest". |
category | Deklaruje zdarzenie dziennika aktywności jako należące do "Zasady". |
eventTimestamp | Sygnatura czasowa wygenerowania zdarzenia przez usługę platformy Azure przetwarza żądanie odpowiadające zdarzeniu. |
ID | Unikatowy identyfikator zdarzenia dla określonego zasobu. |
poziom | Poziom ważności zdarzenia. Inspekcja używa "Ostrzeżenie" i odmów używa "Błąd". Błąd auditIfNotExists lub deployIfNotExists może wygenerować wartość "Ostrzeżenie" lub "Błąd" w zależności od ważności. Wszystkie inne zdarzenia zasad używają informacji. |
operationId | Identyfikator GUID współużytkowany między zdarzeniami odpowiadającymi jednej operacji. |
operationName | Nazwa operacji i bezpośrednio skorelowana z efektem zasad. |
resourceGroupName | Nazwa grupy zasobów dla ocenianego zasobu. |
resourceProviderName | Nazwa dostawcy zasobów dla ocenianego zasobu. |
resourceType | W przypadku nowych zasobów jest to typ oceniany. W przypadku istniejących zasobów zwraca wartość "Microsoft.Resources/checkPolicyCompliance". |
resourceId | Identyfikator zasobu ocenionego zasobu. |
status | Ciąg opisujący stan wyniku oceny zasad. Większość ocen zasad zwraca wartość "Powodzenie", ale efekt Odmów zwraca wartość "Niepowodzenie". Błędy w auditIfNotExists lub deployIfNotExists również zwracają wartość "Niepowodzenie". |
subStatus | Pole jest puste dla zdarzeń zasad. |
submissionTimestamp | Sygnatura czasowa, gdy zdarzenie stało się dostępne do wykonywania zapytań. |
subscriptionId | Identyfikator subskrypcji platformy Azure. |
properties.isComplianceCheck | Zwraca wartość "Fałsz" po wdrożeniu nowego zasobu lub zaktualizowaniu właściwości usługi Resource Manager istniejącego zasobu. Wszystkie inne wyzwalacze oceny powodują wartość "True". |
properties.resourceLocation | Region platformy Azure ocenianego zasobu. |
properties.ancestors | Rozdzielona przecinkami lista nadrzędnych grup zarządzania uporządkowana od bezpośredniego rodzica do najdalej dziadków. |
properties.policies | Zawiera szczegółowe informacje na temat definicji zasad, przypisania, efektu i parametrów, których wynikiem jest ta ocena zasad. |
relatedEvents | To pole jest puste dla zdarzeń zasad. |
Schemat z konta magazynu i centrów zdarzeń
Podczas przesyłania strumieniowego dziennika aktywności platformy Azure do konta magazynu lub centrum zdarzeń dane są zgodne ze schematem dziennika zasobów. Poniższa tabela zawiera mapowanie właściwości z powyższych schematów na schemat dzienników zasobów.
Ważne
Format danych dziennika aktywności zapisanych na koncie magazynu został zmieniony na JSON Lines w dniu 1 listopada 2018 r. Aby uzyskać szczegółowe informacje na temat tej zmiany formatu, zobacz Przygotowanie do zmiany formatu w dziennikach zasobów usługi Azure Monitor zarchiwizowanych na koncie magazynu.
Właściwość schematu dzienników zasobów | Właściwość schematu interfejsu API REST dziennika aktywności | Uwagi |
---|---|---|
time | eventTimestamp | |
resourceId | resourceId | subscriptionId, resourceType, resourceGroupName są wnioskowane z identyfikatora resourceId. |
operationName | operationName.value | |
category | Część nazwy operacji | Zawsze "Administracyjne" |
resultType | status.value | |
resultSignature | substatus.value | |
resultDescription | opis | |
durationMs | Nie dotyczy | Zawsze 0 |
callerIpAddress | httpRequest.clientIpAddress | |
correlationId | correlationId | |
tożsamości | oświadczenia i właściwości autoryzacji | |
Poziom | Poziom | |
lokalizacja | Nie dotyczy | Lokalizacja, w której zdarzenie zostało przetworzone. Nie jest to lokalizacja zasobu, ale raczej miejsce przetwarzania zdarzenia. Ta właściwość zostanie usunięta w przyszłej aktualizacji. |
Właściwości | properties.eventProperties | |
properties.eventCategory | category | Jeśli element properties.eventCategory nie jest obecny, kategoria to "Administracja" |
properties.eventName | eventName | |
properties.operationId | operationId | |
properties.eventProperties | właściwości |
Oto przykład zdarzenia korzystającego z tego schematu:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}