Esquema sobre eventos do Log de Atividades do Azure
O log de atividades do Azure fornece informações sobre todos os eventos no nível da assinatura que ocorreram no Azure. Este artigo descreve as categorias de log de atividades e o esquema para cada uma.
O esquema varia dependendo de como você acessa o log:
- Os esquemas descritos neste artigo são quando você acessa o log de atividades da API REST. O esquema também é usado quando você seleciona a opção JSON ao exibir um evento no portal do Azure.
- Confira a seção final Esquema da conta de armazenamento e hubs de eventos para o esquema ao usar uma configuração de diagnóstico para enviar o Log de atividades para o Armazenamento do Azure ou Hubs de Eventos do Azure.
- Confira Dados de referência do Azure Monitor para o esquema quando você usa uma configuração de diagnóstico para enviar o Log de atividades para um workspace do Log Analytics.
Nível de severidade
Cada entrada no log de atividades tem um nível de severidade. O nível de severidade pode ter um dos seguintes valores:
Severidade | Descrição |
---|---|
Crítico | Eventos que exigem a atenção imediata de um administrador do sistema. Pode indicar que um aplicativo ou sistema falhou ou parou de responder. |
Erro | Eventos que indicam um problema, mas não exigem atenção imediata. |
Aviso | Eventos que fornecem alertas de possíveis problemas, embora não seja um erro real. Indique que um recurso não está em um estado ideal e pode ser degradado posteriormente para mostrar erros ou eventos críticos. |
Informativo | Eventos que passam informações não críticas para o administrador. Semelhante a uma observação que diz: "para sua informação". |
Os desenvolvedores de cada provedor de recursos escolhem os níveis de severidade de suas entradas de recursos. Como resultado, a severidade real para você pode variar dependendo de como seu aplicativo é criado. Por exemplo, itens que são "críticos" para um recurso específico considerados isoladamente podem não ser tão importantes quanto "erros" em um tipo de recurso que é central para seu aplicativo do Azure. Considere esse fato ao decidir quais eventos alertar.
Categorias
Cada evento no log de atividades tem uma categoria específica que é descrita na tabela a seguir. Confira as seções abaixo para obter mais detalhes sobre cada categoria e seu esquema ao acessar o log de atividades do portal, do PowerShell, da CLI e da API REST. O esquema é diferente quando você transmite o log de atividades para o armazenamento ou hubs de eventos. Um mapeamento das propriedades para o esquema de logs de recursos é fornecido na última seção do artigo.
Categoria | Descrição |
---|---|
Administrativo | Contém o registro de todas as operações de criação, atualização, exclusão e ação executadas por meio do Resource Manager. Exemplos de eventos administrativos incluem criar máquina virtual e excluir grupo de segurança de rede. Cada ação tomada por um usuário ou aplicativo usando o Resource Manager é modelada como uma operação em um determinado tipo de recurso. Se o tipo de operação for Gravação, Exclusão ou Ação, os registros do início e do êxito ou falha da operação são registrados na categoria Administrativa. Eventos administrativos também incluem alterações de controle de acesso baseado em função do Azure em uma assinatura. |
Integridade do Serviço | Contém o registro de todos os incidentes de integridade do serviço que ocorreram no Azure. Um exemplo de um evento de Integridade do Serviço SQL Azure no Leste dos EUA está apresentando tempo de inatividade. Eventos de integridade do serviço são fornecidos em seis variedades: Ação Necessária, Recuperação Assistida, Incidente, Manutenção, Informações ou Segurança. Esses eventos só serão criados se você tiver um recurso na assinatura afetado pelo evento. |
Integridade de recursos | Contém o registro de todos os eventos de integridade de recursos que ocorreram com seus recursos do Azure. Um exemplo de um evento de Integridade de Recursos é Status de integridade da máquina virtual alterado para indisponível. Eventos de integridade de recursos podem representar um dos quatro status de integridade: Disponível, Não disponível, Degradado e Desconhecido. Além disso, os eventos de integridade de recursos podem ser categorizados como Iniciados pela plataforma ou Iniciados pelo usuário. |
Alerta | Contém o registro de ativações para alertas do Azure. Um exemplo de um evento de alerta é % de CPU em myVM acima de 80 nos últimos 5 minutos. |
Autoescala | Contém o registro de todos os eventos relacionados à operação do mecanismo de dimensionamento automático com base em todas as configurações de dimensionamento automático definidas em sua assinatura. Um exemplo de um evento de dimensionamento automático é Ação de dimensionamento automático vertical com falha. |
Recomendação | Contém eventos de recomendação do Assistente do Azure. |
Segurança | Contém o registro de todos os alertas gerados pelo Microsoft Defender para Nuvem. Um exemplo de um evento de segurança é Arquivo de extensão dupla suspeito executado. |
Política | Contém registros de todas as operações de ação de efeito executadas pelo Azure Policy. Exemplos de eventos de política incluem Auditar e Negar. Cada ação tomada pelo Policy é modelada como uma operação em um recurso. |
Categoria administrativa
Essa categoria contém o registro de todas as operações de criação, atualização, exclusão e ação executadas por meio do Resource Manager. Exemplos dos tipos de eventos que você veria nesta categoria incluem "criar máquina virtual" e "excluir grupo de segurança de rede". Cada ação tomada por um usuário ou aplicativo usando o Resource Manager é modelada como uma operação em um determinado tipo de recurso. Se o tipo de operação for Gravação, Exclusão ou Ação, os registros do início e do êxito ou falha da operação são registrados na categoria Administrativa. A categoria administrativa também inclui alterações de controle de acesso baseado em função do Azure em uma assinatura.
Evento de exemplo
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Descrições de propriedade
Nome do elemento | Descrição |
---|---|
autorização | Blob de propriedades RBAC do Azure do evento. Geralmente, inclui as propriedades "action", "role" e "scope". |
chamador | Endereço de email do usuário que realizou a operação, declaração UPN ou declaração SPN com base na disponibilidade. |
canais | Um dos seguintes valores: "Admin", "Operação" |
declarações | O token JWT usado pelo Active Directory para autenticar o usuário ou o aplicativo a fim de executar essa operação no Resource Manager. |
correlationId | Geralmente, um GUID no formato de cadeia de caracteres. Os eventos que compartilham um correlationId pertencem à mesma ação superior. |
descrição | Descrição de texto estático de um evento. |
eventDataId | Identificador exclusivo de um evento. |
eventName | Nome amigável do evento administrativo. |
category | Sempre "administrativo" |
httpRequest | Blob que descreve a solicitação Http. Geralmente inclui o “clientRequestId”, “clientIpAddress” e “method” (método HTTP. Por exemplo, PUT). |
nível | Nível de severidade do evento. |
resourceGroupName | Nome do grupo de recursos do recurso afetado. |
resourceProviderName | Nome do provedor de recursos do recurso afetado |
resourceType | O tipo de recurso afetado por um evento Administrativo. |
resourceId | ID de recurso do recurso afetado. |
operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
operationName | Nome da operação. |
properties | Conjunto de pares de <Key, Value> (ou seja, um Dicionário) que descreve os detalhes do evento. |
status | Cadeia de caracteres que descreve o status da operação. Alguns valores comuns são: Iniciado, Em Andamento, Êxito, Falha, Ativo, Resolvido. |
subStatus | Normalmente, o código de status HTTP da chamada REST correspondente, mas também pode incluir outras cadeias de caracteres que descrevem um subStatus, como estes valores comuns: OK (Código de Status HTTP: 200), Criado (Código de Status HTTP: 201), Aceito (Código de Status HTTP: 202), Sem Conteúdo (Código de Status HTTP: 204), Solicitação Incorreta (Código de Status HTTP: 400), Não Encontrado (Código de Status HTTP: 404), Conflito (Código de Status HTTP: 409), Erro Interno do Servidor (Código de Status HTTP: 500), Serviço Indisponível (Código de Status HTTP: 503), Tempo Limite do Gateway (Código de Status HTTP: 504). |
eventTimestamp | Carimbo de hora quando o evento foi gerado pelo serviço do Azure que está processando a solicitação correspondente ao evento. |
submissionTimestamp | Carimbo de hora quando o evento tornou-se disponível para consulta. |
subscriptionId | ID de assinatura do Azure. |
Categoria de saúde do serviço
Essa categoria contém o registro de todos os incidentes de integridade do serviço que ocorreram no Azure. Um exemplo do tipo de evento que você verá nessa categoria é "O SQL do Azure no Leste dos EUA está enfrentando um tempo de inatividade". Os eventos de integridade de serviço ocorrem em cinco variedades: Ação Necessária, Incidente, Manutenção, Informações ou Segurança, e eles só aparecem quando você tem um recurso na assinatura que seria afetado pelo evento.
Evento de exemplo
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Consulte as notificações de integridade de serviço para obter a documentação sobre os valores nas propriedades.
Categoria de saúde do recurso
Essa categoria contém o registro de eventos de integridade de recursos que ocorreram com seus recursos do Azure. Um exemplo do tipo de evento que você verá nesta categoria é "O status de saúde da máquina virtual foi alterado para indisponível". Os eventos de integridade do recurso podem representar um dos quatro status de saúde: Disponível, Indisponível, Degradado e Desconhecido. Além disso, os eventos de integridade de recursos podem ser categorizados como Iniciados pela plataforma ou Iniciados pelo usuário.
Um evento de integridade do recurso é registrado no log de atividades quando:
- Uma anotação, por exemplo, "ResourceDegraded" ou "AccountClientThrottling", é enviada para um recurso.
- Um recurso transitório para ou de Não Íntegro.
- Um recurso estava Não íntegro por mais de 15 minutos.
As seguintes transições de integridade de recursos não são registradas no log de atividades:
- Uma transição para o estado Desconhecido.
- Uma transição do estado Desconhecido se:
- Esta for a primeira transição.
- Se o estado anterior ao Desconhecido for o mesmo que o novo estado após a transição. (Por exemplo, se o recurso passou de Íntegro para Desconhecido e depois voltou para Íntegro).
- Para recursos de computação: VMs que fazem a transição de Íntegro para Não íntegro e depois voltam para Íntegro, quando o tempo Não íntegro for menor que 35 segundos.
Evento de exemplo
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Descrições de propriedade
Nome do elemento | Descrição |
---|---|
canais | Sempre "Administrador, Operação" |
correlationId | Um GUID no formato de cadeia de caracteres. |
descrição | Descrição de texto estático do evento de alerta. |
eventDataId | Identificador exclusivo do alerta de evento. |
category | Sempre "ResourceHealth" |
eventTimestamp | Carimbo de hora quando o evento foi gerado pelo serviço do Azure que está processando a solicitação correspondente ao evento. |
nível | Nível de severidade do evento. |
operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
operationName | Nome da operação. |
resourceGroupName | Nome do grupo de recursos que contém o recurso. |
resourceProviderName | Sempre "Microsoft.Resourcehealth/healthevent/action". |
resourceType | O tipo de recurso afetado por um evento do Resource Health. |
resourceId | Nome da ID de recursos do recurso afetado. |
status | Cadeia de caracteres que descreve o status do evento de integridade. Os valores podem ser: Ativo, Resolvido, Em andamento, Atualizado. |
subStatus | Geralmente é null para alertas. |
submissionTimestamp | Carimbo de hora quando o evento tornou-se disponível para consulta. |
subscriptionId | ID de assinatura do Azure. |
properties | Conjunto de pares de <Key, Value> (ou seja, um Dicionário) que descreve os detalhes do evento. |
properties.title | Uma cadeia de caracteres amigável ao usuário que descreve o status da integridade do recurso. |
properties.details | Uma cadeia de caracteres amigável ao usuário que descreve mais detalhes sobre o evento. |
properties.currentHealthStatus | O status de integridade atual do recurso. Um dos seguintes valores: "Disponível", "Não disponível", "Degradado" e "Desconhecido". |
properties.previousHealthStatus | O status de integridade anterior do recurso. Um dos seguintes valores: "Disponível", "Não disponível", "Degradado" e "Desconhecido". |
properties.type | Uma descrição do tipo de evento de integridade do recurso. |
properties.cause | Uma descrição da causa do evento de integridade do recurso. "Iniciado pelo usuário" e "Iniciado pela plataforma". |
Categoria de alerta
Esta categoria contém o registro de todas as ativações de alertas clássicos do Azure. Um exemplo do tipo de evento que você veria nesta categoria é "% de CPU em myVM está acima de 80 nos últimos 5 minutos". Vários sistemas do Azure têm um conceito de alerta: você pode definir uma regra de algum tipo e receber uma notificação quando as condições corresponderem a essa regra. Cada vez que um tipo de alerta com suporte do Azure é 'ativado', ou as condições são atendidas para gerar uma notificação, um registro de ativação também é enviado para essa categoria de Log de Atividades.
Evento de exemplo
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Descrições de propriedade
Nome do elemento | Descrição |
---|---|
chamador | Always Microsoft.Insights/alertRules |
canais | Sempre "Administrador, Operação" |
declarações | Blob JSON com o SPN (nome da entidade de serviço) ou tipo de recurso do mecanismo de alerta. |
correlationId | Um GUID no formato de cadeia de caracteres. |
descrição | Descrição de texto estático do evento de alerta. |
eventDataId | Identificador exclusivo do alerta de evento. |
category | Sempre "Alertar" |
nível | Nível de severidade do evento. |
resourceGroupName | Nome do grupo de recursos do recurso afetado se for um alerta de métrica. Para outros tipos de alerta, é o nome do grupo de recursos que contém o alerta em si. |
resourceProviderName | Nome do provedor de recursos para o recurso afetado se for um alerta de métrica. Para outros tipos de alerta, é o nome do provedor de recursos do próprio alerta. |
resourceId | Nome da ID do recurso afetado se for um alerta de métrica. Para outros tipos de alerta, é a ID do próprio recurso de alerta. |
operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
operationName | Nome da operação. |
properties | Conjunto de pares de <Key, Value> (ou seja, um Dicionário) que descreve os detalhes do evento. |
status | Cadeia de caracteres que descreve o status da operação. Alguns valores comuns são: Iniciado, Em Andamento, Êxito, Falha, Ativo, Resolvido. |
subStatus | Geralmente é null para alertas. |
eventTimestamp | Carimbo de hora quando o evento foi gerado pelo serviço do Azure que está processando a solicitação correspondente ao evento. |
submissionTimestamp | Carimbo de hora quando o evento tornou-se disponível para consulta. |
subscriptionId | ID de assinatura do Azure. |
Campo de propriedades por tipo de alerta
O campo de propriedades conterá valores diferentes dependendo da fonte do evento de alerta. Dois provedores de alerta de evento comuns são alertas do Log de Atividades e de métrica.
Propriedades de alertas do Log de Atividades
Nome do elemento | Descrição |
---|---|
properties.subscriptionId | A ID da assinatura do evento do log de atividades que fez com que essa regra de alerta do log de atividades fosse ativada. |
properties.eventDataId | A ID de dados do evento do evento do log de atividades que fez com que essa regra de alerta do log de atividades fosse ativada. |
properties.resourceGroup | O grupo de recursos do evento do log de atividades que fez com que essa regra de alerta do log de atividades fosse ativada. |
properties.resourceId | A ID do recurso do evento do log de atividades que fez com que essa regra de alerta do log de atividades fosse ativada. |
properties.eventTimestamp | O carimbo de data/hora do evento do log de atividades que fez com que essa regra de alerta do log de atividades fosse ativada. |
properties.operationName | O nome da operação do evento do log de atividades que fez com que essa regra de alerta do log de atividades fosse ativada. |
properties.status | O status do evento do log de atividades que fez com que essa regra de alerta do log de atividades fosse ativada. |
Propriedades de alertas de métrica
Nome do elemento | Descrição |
---|---|
properties.RuleUri | A ID de recurso da própria regra de alerta de métrica. |
properties.RuleName | O nome da regra de alerta de métrica. |
properties.RuleDescription | A descrição da regra de alerta de métrica (conforme definido na regra de alerta). |
properties.Threshold | O valor limite usado na avaliação da regra de alerta de métrica. |
properties.WindowSizeInMinutes | O tamanho da janela usada na avaliação da regra de alerta de métrica. |
properties.Aggregation | O tipo de agregação definido na regra de alerta de métrica. |
properties.Operator | O operador condicional usado na avaliação da regra de alerta de métrica. |
properties.MetricName | O nome da métrica usada na avaliação da regra de alerta de métrica. |
properties.MetricUnit | A unidade da métrica usada na avaliação da regra de alerta de métrica. |
Categoria de dimensionamento automático
Essa categoria contém o registro de todos os eventos relacionados à operação do mecanismo de dimensionamento automático com base em quaisquer configurações de dimensionamento automático que você definiu na sua assinatura. Um exemplo do tipo de evento que você veria nessa categoria é "falha na ação de dimensionamento automático". Usando o dimensionamento automático, você pode escalar horizontalmente ou dimensionar automaticamente o número de instâncias em um tipo de recurso com suporte com base na hora do dia e/ou dados de carga (métrica) usando uma configuração de dimensionamento automático. Quando as condições de redimensionamento forem atendidas, os eventos iniciados e bem-sucedidos ou com falha serão registrados nessa categoria.
Evento de exemplo
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Descrições de propriedade
Nome do elemento | Descrição |
---|---|
chamador | Always Microsoft.Insights/autoscaleSettings |
canais | Sempre "Administrador, Operação" |
declarações | Blob JSON com o SPN (nome da entidade de serviço) ou tipo de recurso do mecanismo de dimensionamento automático. |
correlationId | Um GUID no formato de cadeia de caracteres. |
descrição | Descrição de texto estático do evento de dimensionamento automático. |
eventDataId | Identificador exclusivo do evento de dimensionamento automático. |
nível | Nível de severidade do evento. |
resourceGroupName | Nome do grupo de recursos para a configuração de dimensionamento automático. |
resourceProviderName | Nome do provedor de recursos para a configuração de dimensionamento automático. |
resourceId | ID do recurso da configuração de dimensionamento automático. |
operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
operationName | Nome da operação. |
properties | Conjunto de pares de <Key, Value> (ou seja, um Dicionário) que descreve os detalhes do evento. |
properties.Description | Descrição detalhada do que o mecanismo de dimensionamento automático estava fazendo. |
properties.ResourceName | ID do recurso do recurso afetado (o recurso no qual a ação de escala estava sendo executada) |
properties.OldInstancesCount | O número de instâncias antes da ação de dimensionamento automático começar. |
properties.NewInstancesCount | O número de instâncias depois da ação de dimensionamento automático começar. |
properties.LastScaleActionTime | O carimbo de data/hora de quando ocorreu a ação de dimensionamento automático. |
status | Cadeia de caracteres que descreve o status da operação. Alguns valores comuns são: Iniciado, Em Andamento, Êxito, Falha, Ativo, Resolvido. |
subStatus | Geralmente é null para dimensionamento automático. |
eventTimestamp | Carimbo de hora quando o evento foi gerado pelo serviço do Azure que está processando a solicitação correspondente ao evento. |
submissionTimestamp | Carimbo de hora quando o evento tornou-se disponível para consulta. |
subscriptionId | ID de assinatura do Azure. |
Categoria de segurança
Essa categoria contém o registro de todos os alertas gerados pelo Microsoft Defender para Nuvem. Um exemplo do tipo de evento que você veria nessa categoria é "Arquivo de extensão dupla suspeito executado".
Evento de exemplo
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Descrições de propriedade
Nome do elemento | Descrição |
---|---|
canais | Sempre "Operação" |
correlationId | Um GUID no formato de cadeia de caracteres. |
descrição | Descrição de texto estático do evento de segurança. |
eventDataId | Identificador exclusivo do evento de segurança. |
eventName | Nome amigável do evento de segurança. |
category | Sempre "Segurança" |
ID | Identificador de recursos exclusivo do evento de segurança. |
nível | Nível de severidade do evento. |
resourceGroupName | Nome do grupo de recursos para o recurso. |
resourceProviderName | Nome do provedor de recursos do Microsoft Defender para Nuvem. Sempre "Microsoft.Security". |
resourceType | O tipo de recurso que gerou o evento de segurança, como "Microsoft.Security/locations/alerts" |
resourceId | ID do recurso do alerta de segurança. |
operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
operationName | Nome da operação. |
properties | Conjunto de pares de <Key, Value> (ou seja, um Dicionário) que descreve os detalhes do evento. Essas propriedades variam dependendo do tipo de alerta de segurança. Confira esta página para obter uma descrição dos tipos de alertas que vêm do Defender para Nuvem. |
properties.Severity | O nível de gravidade. Os valores possíveis são "Alto", "Médio" ou "Baixo". |
status | Cadeia de caracteres que descreve o status da operação. Alguns valores comuns são: Iniciado, Em Andamento, Êxito, Falha, Ativo, Resolvido. |
subStatus | Geralmente null para eventos de segurança. |
eventTimestamp | Carimbo de hora quando o evento foi gerado pelo serviço do Azure que está processando a solicitação correspondente ao evento. |
submissionTimestamp | Carimbo de hora quando o evento tornou-se disponível para consulta. |
subscriptionId | ID de assinatura do Azure. |
Categoria de recomendação
Esta categoria contém o registro das novas recomendações geradas para os serviços. Um exemplo de recomendação seria "Usar conjuntos de disponibilidade para tolerância a falhas aprimorada". Há quatro tipos de eventos de Recomendação que podem ser gerados: Alta Disponibilidade, Desempenho, Segurança e Otimização de Custo.
Evento de exemplo
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Descrições de propriedade
Nome do elemento | Descrição |
---|---|
canais | Sempre "Operação" |
correlationId | Um GUID no formato de cadeia de caracteres. |
descrição | Descrição de texto estático do evento de recomendação |
eventDataId | Identificador exclusivo do evento de recomendação. |
category | Sempre "Recomendação" |
ID | Identificador exclusivo do recurso do evento de recomendação. |
nível | Nível de severidade do evento. |
operationName | Nome da operação. Sempre "Microsoft.Advisor/generateRecommendations/action" |
resourceGroupName | Nome do grupo de recursos para o recurso. |
resourceProviderName | Nome do provedor de recursos do recurso a que essa recomendação se aplica, como "MICROSOFT.COMPUTE" |
resourceType | Nome do tipo de recurso do recurso a que essa recomendação se aplica, como "MICROSOFT.COMPUTE/virtualmachines" |
resourceId | ID do recurso ao qual a recomendação se aplica |
status | Sempre "Active" |
submissionTimestamp | Carimbo de hora quando o evento tornou-se disponível para consulta. |
subscriptionId | ID de assinatura do Azure. |
properties | Conjunto de pares de <Key, Value> (ou seja, um Dicionário) que descreve os detalhes da recomendação. |
properties.recommendationSchemaVersion | Versão do esquema das propriedades de recomendação publicada na entrada do log de atividades |
properties.recommendationCategory | Categoria da recomendação. Os valores possíveis são "Alta Disponibilidade", "Desempenho", "Segurança" e "Custo" |
properties.recommendationImpact | Impacto da recomendação. Os valores possíveis são "Alto", "Médio" ou "Baixo" |
properties.recommendationRisk | Risco da recomendação. Os valores possíveis são "Erro", "Aviso" e "Nenhum" |
Categoria de política
Essa categoria contém registros de todas as operações de ação de efeito executadas pelo Azure Policy. Os exemplos dos tipos de eventos que você vê nessa categoria incluem Auditar e Negar. Cada ação tomada pelo Policy é modelada como uma operação em um recurso.
Evento do Policy de exemplo
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Descrições de propriedade de evento do Policy
Nome do elemento | Descrição |
---|---|
autorização | Matriz de propriedades RBAC do Azure do evento. Para os novos recursos, estes são a ação e o escopo da solicitação que disparou a avaliação. Para recursos existentes, a ação é "Microsoft.Resources/checkPolicyCompliance/read". |
chamador | Para novos recursos, a identidade que iniciou uma implantação. Para recursos existentes, o GUID do grupo de recursos de Insights do Microsoft Azure Policy. |
canais | Eventos do Policy usam apenas o canal "Operation". |
declarações | O token JWT usado pelo Active Directory para autenticar o usuário ou o aplicativo a fim de executar essa operação no Resource Manager. |
correlationId | Geralmente, um GUID no formato de cadeia de caracteres. Os eventos que compartilham um correlationId pertencem à mesma ação superior. |
descrição | Este campo fica em branco para eventos do Policy. |
eventDataId | Identificador exclusivo de um evento. |
eventName | "BeginRequest" ou "EndRequest". "BeginRequest" é usado para avaliações de auditIfNotExists e deployIfNotExists atrasadas e quando um efeito deployIfNotExists inicia uma implantação de modelo. Todas as outras operações retornam "EndRequest". |
category | Declara um evento de log de atividades como pertencente a "Policy". |
eventTimestamp | Carimbo de hora quando o evento foi gerado pelo serviço do Azure que está processando a solicitação correspondente ao evento. |
ID | Identificador exclusivo do evento no recurso específico. |
nível | Nível de severidade do evento. Audit usa "Warning" e Deny usa "Error". Um erro auditIfNotExists ou deployIfNotExists pode gerar "Warning" ou "Error", dependendo da gravidade. Todos os outros eventos do Policy usam "Informational". |
operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
operationName | Nome da operação e se correlaciona diretamente com o efeito do Policy. |
resourceGroupName | Nome do grupo de recursos do recurso avaliado. |
resourceProviderName | Nome do provedor de recursos do recurso avaliado. |
resourceType | Para novos recursos, é o tipo que está sendo avaliado. Para recursos existentes, retorna "Microsoft.Resources/checkPolicyCompliance". |
resourceId | ID de recurso do recurso avaliado. |
status | Cadeia de caracteres que descreve o status do resultado da avaliação do Policy. A maioria das avaliações do Policy retornam "Succeeded", mas um efeito de negação retorna "Failed". Erros em auditIfNotExists ou deployIfNotExists também retornam "Failed". |
subStatus | O campo fica em branco para eventos do Policy. |
submissionTimestamp | Carimbo de hora quando o evento tornou-se disponível para consulta. |
subscriptionId | ID de assinatura do Azure. |
properties.isComplianceCheck | Retorna "False" quando um novo recurso é implantado ou propriedades do Resource Manager de um recurso existente são atualizadas. Todos os outros gatilhos de avaliação resultam em "True". |
properties.resourceLocation | A região do Azure do recurso que está sendo avaliado. |
properties.ancestors | Uma lista separada por vírgulas de grupos de gerenciamento pai ordenados desde o pai direto até o avô mais distante. |
properties.policies | Inclui detalhes sobre a definição de política, a atribuição, o efeito e os parâmetros dos quais essa avaliação do Policy resulta. |
relatedEvents | Este campo fica em branco para eventos do Policy. |
Esquema da conta de armazenamento e dos hubs de eventos
Ao transmitir o log de atividades do Azure para uma conta de armazenamento ou Hub de eventos, os dados seguem o esquema do log de recursos. A tabela a seguir fornece um mapeamento das propriedades dos esquemas acima para o esquema de logs de recursos.
Importante
O formato dos dados do log de atividades gravados em uma conta de armazenamento foi alterado para Linhas JSON em 1º de novembro de 2018. Confira Preparar a alteração de formato dos logs de recursos do Azure Monitor arquivados em uma conta de armazenamento para obter detalhes sobre essa alteração de formato.
Propriedade de esquema de logs de recursos | Propriedade de esquema da API REST do Log de Atividades | Observações |
---|---|---|
time | eventTimestamp | |
resourceId | resourceId | subscriptionId, resourceType e resourceGroupName são todos inferidos da resourceId. |
operationName | operationName.value | |
category | Parte do nome da operação | Sempre "administrativo" |
resultType | status.value | |
resultSignature | substatus.value | |
resultDescription | descrição | |
durationMs | N/D | Sempre 0 |
callerIpAddress | httpRequest.clientIpAddress | |
correlationId | correlationId | |
identidade | declarações e propriedades de autorização | |
Nível | Nível | |
local | N/D | Local do qual o evento foi processado. Esse não é o local do recurso, mas sim onde o evento foi processado. Essa propriedade será removida em uma atualização futura. |
Propriedades | properties.eventProperties | |
properties.eventCategory | category | Se properties.eventCategory não estiver presente, category será "Administrativo" |
properties.eventName | eventName | |
properties.operationId | operationId | |
properties.eventProperties | properties |
Veja a seguir um exemplo de um evento usando esse esquema:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}