Схема событий журнала действий Azure
Журнал действий Azure содержит сведения о событиях уровня подписки, произошедших в Azure. В этой статье описываются категории журналов действий и схема для каждой из них.
Схема зависит от способа доступа к журналу:
- Схемы, описанные в этой статье, доступны при обращении к журналу действий с помощью REST API. Схема также используется при выборе параметра JSON при просмотре события в портал Azure.
- Схему, которая применяется при отправке журнала действий в службу хранилища Azure или Центры событий Azure с помощью параметра диагностики, см. в последнем разделе Схема из учетной записи хранения и концентраторов событий.
- Сведения о схеме, которая используется при отправке журнала действий в рабочую область Log Analytics с помощью параметра диагностики, см. в справочнике по данным Azure Monitor.
Степень серьезности
Каждая запись в журнале действий имеет определенный уровень (степень) серьезности. Степень серьезности может принимать одно из следующих значений:
| Статус | Description |
|---|---|
| Критически важно | События, требующие немедленного вмешательства системного администратора. Может указывать на то, что приложение или система завершились сбоем или перестал отвечать. |
| Ошибка | События, указывающие на проблему, но не требуют немедленного внимания. |
| Предупреждение | События, которые заблаговременно уведомляют о потенциальной проблеме, но не свидетельствуют о фактической ошибке. Укажите, что ресурс не в идеальном состоянии и может снизиться позже на отображение ошибок или критических событий. |
| Информационный | События, передающие администратору сведения некритического характера. Аналогично пометке "для информации". |
Разработчики каждого поставщика ресурсов самостоятельно назначают степени серьезности записям о своих ресурсах. В результате реальная степень серьезности зависит от особенностей построения приложение. Например, элементы, которые являются критически важными для определенного ресурса, принятого в изоляции, могут быть не столь важными, как "ошибки" в типе ресурса, который является центральным для приложения Azure. Этот факт следует учитывать при выборе событий, для которых настраиваются оповещения.
Категории
Каждое событие в журнале действий имеет определенную категорию, как описано в следующей таблице. Дополнительные сведения о каждой категории и соответствующей схеме при обращении к журналу действий с портала, из PowerShell, CLI и REST API см. в следующих разделах. При потоковой передаче журнала действий в хранилище или Центры событий используется другая схема. Сопоставление свойств со схемой журналов ресурсов приведено в последнем разделе статьи.
| Категория | Description |
|---|---|
| Административный | Содержит записи всех операций создания, обновления, удаления и других действий, которые выполняются через Resource Manager. Административными событиями считаются, например, создание виртуальной машины и удаление группы безопасности сети. Каждое действие, выполняемое пользователем или приложением с помощью Resource Manager, моделируется как операция с определенным типом ресурса. Если операция относится к типу Запись, Удаление или Действие, то сведения о запуске, успешном выполнении или сбое такой операции относятся к категории "Административная". К административным событиям также относятся любые изменения в управлении доступом на основе ролей Azure, которые происходят в подписке. |
| Работоспособность служб | Содержит запись всех инцидентов работоспособности служб, произошедших в Azure. Пример события "Работоспособность служб": SQL Azure in East US is experiencing downtime (SQL Azure в регионе "Восточная часть США" не работает). События работоспособности служб происходят в шести разновидностях: необходимые действия, вспомогательное восстановление, инциденты, обслуживание, информация или безопасность. Эти события создаются только в том случае, если у вас есть ресурс в подписке, затронутой событием. |
| Работоспособность ресурсов | Содержит запись всех событий работоспособности ресурсов, произошедших с ресурсами Azure. Пример события "Работоспособность ресурсов": Virtual Machine health status changed to unavailable (Состояние работоспособности виртуальной машины изменилось на "недоступно"). Работоспособность ресурсов события могут представлять одно из четырех состояний работоспособности: Доступные, недоступные, пониженные и неизвестные. Кроме того, события работоспособности ресурсов могут классифицироваться по аспекту PlatformInitiated (Инициировано платформой) или UserInitiated (Инициировано пользователем). |
| Alert | Содержит записи активаций для оповещений Azure. Примером события оповещения является загрузка ЦП на myVM выше 80 за последние 5 минут. |
| Автомасштабирование | Содержит запись всех событий, связанных с операцией подсистемы автомасштабирования на основе любых параметров автомасштабирования, определенных в подписке. Пример события "Автомасштабирование": Autoscale scale up action failed (Не удалось выполнить действие автоматического увеличения масштаба). |
| Рекомендация | Содержит события рекомендаций Помощника по Azure. |
| Безопасность | Содержит журнал оповещений, созданных Microsoft Defender для облака. Пример события "Безопасность": Suspicious double extension file executed (Выполнен файл с подозрительным двойным расширением). |
| Политика | Содержит записи всех операций действия эффекта, выполняемых Политикой Azure. Примеры событий "Политика": Audit (Аудит) и Deny (Запрет). Каждое действие, выполняемое Политикой, моделируется как операция для ресурса. |
Административная категория
Эта категория содержит записи всех операций создания, обновления, удаления и других действий, которые выполняются через Resource Manager. Примеры типов событий, которые вы увидите в этой категории, включают "создание виртуальной машины" и "удаление группы безопасности сети". Каждое действие, выполняемое пользователем или приложением с помощью Resource Manager, моделируется как операция с определенным типом ресурса. Если операция относится к типу Запись, Удаление или Действие, то сведения о запуске, успешном выполнении или сбое такой операции относятся к категории "Административная". Категория "Административная" также включает в себя любые изменения в управлении доступом на основе ролей Azure, которые происходят в подписке.
Пример события
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Description |
|---|---|
| авторизации | BLOB-объект со свойствами Azure RBAC события. Обычно включает следующие свойства: action, role и scope. |
| caller | Адрес электронной почты пользователя, который выполнил операцию, утверждение имени субъекта-службы или имени участника-пользователя в зависимости от доступности. |
| Azure Bot | Одно из следующих значений: Admin или Operation. |
| claims | Токен JWT, который используется Active Directory для аутентификации пользователя или приложения при выполнении этой операции в Resource Manager. |
| correlationId | Обычно GUID в строковом формате. События, которые совместно используют идентификатор correlationId, принадлежат к одному общему действию. |
| описание | Статическое описание события в текстовом виде. |
| eventDataId | Уникальный идентификатор события. |
| eventName | Понятное имя административного события. |
| Категория | Всегда Administrative. |
| httpRequest | Большой двоичный объект, описывающий HTTP-запрос. Обычно содержит clientRequestId, clientIpAddress и method (метод HTTP, например PUT). |
| level | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для затронутого ресурса. |
| resourceProviderName | Имя поставщика ресурса для затронутого ресурса. |
| resourceType | Тип ресурса, затронутого событием "Администрирование". |
| resourceId | Идентификатор ресурса для затронутого ресурса. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Имя операции. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| статус | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно код состояния HTTP соответствующего вызова REST, но также может содержать другие строки, описывающие подстатус, такие как следующие общие значения: ОК (код состояния HTTP: 200), создано (код состояния HTTP: 201), принято (код состояния HTTP: 202), нет содержимого (код состояния HTTP: 204), недопустимый запрос (код состояния HTTP: 400), не найден (код состояния HTTP: 400). 404), конфликт (код состояния HTTP: 409), внутренняя ошибка сервера (код состояния HTTP: 500), служба недоступна (код состояния HTTP: 503), время ожидания шлюза (код состояния HTTP: 504). |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
Категория работоспособности службы
Эта категория содержит запись всех инцидентов работоспособности служб, произошедших в Azure. В качестве примера типа события из этой категории можно назвать следующее: "В работе SQL Azure в Восточной части США наблюдаются простои". Существует шесть разновидностей событий работоспособности службы: "Требуется действие", "Инцидент", "Обслуживание", "Сведения" и "Безопасность". Они отображаются, только если в подписке есть ресурс, на который повлияет данное событие.
Пример события
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Дополнительные сведения о значениях в свойствах см. в статье об уведомлениях о работоспособности службы.
Категория работоспособности ресурсов
Эта категория содержит запись событий работоспособности ресурсов, которые произошли с ресурсами Azure. Пример типа события, который вы можно увидеть в этой категории: "Состояние работоспособности виртуальной машины изменено на «недоступно»". События работоспособности ресурсов могут иметь одно из четырех состояний работоспособности: Available (доступно), недоступно (Unavailable), Degraded (снижено) и Unknown (неизвестно). Кроме того, события работоспособности ресурсов можно классифицировать по свойствам PlatformInitiated (Инициировано платформой) и UserInitiated (Инициировано пользователем).
Событие работоспособности ресурсов записывается в журнал действий, когда:
- Заметка, например ResourceDegraded или AccountClientThrottling, отправляется для ресурса.
- Ресурс, перенесенный на неработоспособный или из неработоспособных.
- Ресурс был неработоспособным в течение более 15 минут.
В журнале действий не записываются следующие переходы работоспособности ресурсов:
- Переход к неизвестному состоянию.
- Переход из неизвестного состояния, если:
- Это первый переход.
- Если состояние до "Неизвестно" совпадает с новым состоянием после. (Например, если ресурс переехал из "Работоспособного" в "Неизвестный" и обратно в "Работоспособный".
- Для вычислительных ресурсов: виртуальные машины, которые переходют от работоспособности к неработоспособной и обратно в работоспособность, если неработоспособное время меньше 35 секунд.
Пример события
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Description |
|---|---|
| Azure Bot | Всегда имеет значение "Admin, Operation". |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события оповещения. |
| eventDataId | Уникальный идентификатор события оповещения. |
| Категория | Всегда ResourceHealth. |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| level | Уровень серьезности события. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Имя операции. |
| resourceGroupName | Имя группы ресурсов, к которой относится ресурс. |
| resourceProviderName | Всегда Microsoft.Resourcehealth/healthevent/action. |
| resourceType | Тип ресурса, затронутого событием Работоспособность ресурсов. |
| resourceId | Имя идентификатора затронутого ресурса. |
| статус | Строка, описывающая состояние события работоспособности. Возможные значения: Active (Активно), Resolved (Разрешено), InProgress (Выполняется), Updated (Обновлено). |
| subStatus | Обычно для оповещений имеет значение null. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| properties.title | Понятная для пользователя строка с описанием состояния работоспособности ресурса. |
| properties.details | Понятная для пользователя строка с описанием подробностей события. |
| properties.currentHealthStatus | Текущее состояние работоспособности ресурса. Возможные значения: Available (Доступно), Unavailable (Недоступно), Degraded (Понижено) и Unknown (Неизвестно). |
| properties.previousHealthStatus | Предыдущее состояние работоспособности ресурса. Возможные значения: Available (Доступно), Unavailable (Недоступно), Degraded (Понижено) и Unknown (Неизвестно). |
| properties.type | Описание типа события работоспособности ресурса. |
| properties.cause | Описание причины события работоспособности ресурса: UserInitiated либо PlatformInitiated. |
Категория оповещений
Эта категория содержит записи всех активаций классических оповещений Azure. Пример события, который вы увидите в этой категории, — "Процент ЦП на myVM превышает 80 за последние 5 минут". Различные системы Azure имеют концепцию оповещений: вы можете определить правило определенного типа и получать уведомление, когда условия соответствуют такому правилу. Каждый раз, когда "активируется" поддерживаемый тип оповещения Azure или выполняются условия для создания уведомления, в эту категорию журнала активности также передается запись об активации.
Пример события
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Описания свойств
| Имя элемента | Description |
|---|---|
| caller | Всегда имеет значение Microsoft.Insights/alertRules. |
| Azure Bot | Всегда имеет значение "Admin, Operation". |
| claims | Большой двоичный объект JSON с именем субъекта-службы (SPN) или типом ресурса обработчика предупреждений. |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события оповещения. |
| eventDataId | Уникальный идентификатор события оповещения. |
| Категория | Всегда Alert. |
| level | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для затронутого ресурса, если это оповещение метрик. Для других типов оповещений это имя группы ресурсов, содержащей сам оповещение. |
| resourceProviderName | Имя поставщика ресурсов для затронутого ресурса, если это оповещение метрик. Для других типов оповещений это имя поставщика ресурсов для самого оповещения. |
| resourceId | Имя идентификатора ресурса для затронутого ресурса, если это оповещение метрик. Для других типов оповещений — это идентификатор ресурса самого ресурса оповещения. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Имя операции. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| статус | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно для оповещений имеет значение null. |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
Поле свойств по типу оповещения
Поле свойств будет содержать разные значения в зависимости от источника события оповещения. Два распространенных поставщика событий оповещений — оповещения журнала действий и оповещения метрик.
Свойства оповещений журнала действий
| Имя элемента | Description |
|---|---|
| properties.subscriptionId | Идентификатор подписки из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
| properties.eventDataId | Идентификатор данных события из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
| properties.resourceGroup | Группа ресурсов из события журнала действий, которая вызвала активацию этого правила генерации оповещений журнала действий. |
| properties.resourceId | Идентификатор ресурса из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
| properties.eventTimestamp | Метка времени события журнала действий, которая вызвала активацию этого правила генерации оповещений журнала действий. |
| properties.operationName | Имя операции из события журнала действий, которое вызвало активацию этого правила генерации оповещений журнала действий. |
| properties.status | Состояние из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
Свойства оповещений метрик
| Имя элемента | Description |
|---|---|
| properties.RuleUri | Идентификатор ресурса самого правила оповещения метрики. |
| properties.RuleName | Имя правила оповещения метрики. |
| properties.RuleDescription | Описание правила оповещения метрики (как указано в правиле оповещения). |
| properties.Threshold | Пороговое значение, используемое для оценки правила оповещения метрики. |
| properties.WindowSizeInMinutes | Размер окна, используемый для оценки правила оповещения метрики. |
| properties.Aggregation | Тип агрегата, определенный в правиле оповещения метрики. |
| properties.Operator | Условный оператор, используемый для оценки правила оповещения метрики. |
| properties.MetricName | Имя метрики, используемой для оценки правила оповещения метрики. |
| properties.MetricUnit | Единица измерения метрики, используемая для оценки правила оповещения метрики. |
Категория автомасштабирования
Эта категория содержит записи всех событий, связанных с операциями системы автоматического масштабирования, в основе которой лежат параметры автомасштабирования, определенные в подписке. В качестве примера типа события из этой категории можно назвать следующее: "Не удалось выполнить автоматическое увеличение масштаба". С помощью функции автомасштабирования можно автоматически горизонтально увеличивать или уменьшать масштаб числа экземпляров в поддерживаемом типе ресурсов на основе времени суток и (или) загружать данные (метрики), используя параметр автомасштабирования. Когда выполняются условия для увеличения или уменьшения масштаба, в эту категорию записываются соответствующие события (запуск, успешное выполнение или сбой).
Пример события
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Описания свойств
| Имя элемента | Description |
|---|---|
| caller | Всегда имеет значение Microsoft.Insights/autoscaleSettings. |
| Azure Bot | Всегда имеет значение "Admin, Operation". |
| claims | Большой двоичный объект JSON с именем субъекта-службы (SPN) или типом ресурса системы автомасштабирования. |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события автомасштабирования. |
| eventDataId | Уникальный идентификатор события автомасштабирования. |
| level | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для параметра автомасштабирования. |
| resourceProviderName | Имя поставщика ресурсов для параметра автомасштабирования. |
| resourceId | Идентификатор ресурса параметра автомасштабирования. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Имя операции. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| properties.Description | Подробное описание действий, выполненных системой автоматического масштабирования. |
| properties.ResourceName | Идентификатор ресурса для затронутого ресурса (ресурса, в отношении которого выполнялось действие масштабирования). |
| properties.OldInstancesCount | Число экземпляров до выполнения действия автомасштабирования. |
| properties.NewInstancesCount | Число экземпляров после выполнения действия автомасштабирования. |
| properties.LastScaleActionTime | Метка времени, когда произошло действие автоматического масштабирования. |
| статус | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно для автоматического масштабирования имеет значение null. |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
Категория безопасности
Эта категория содержит журнал оповещений, созданных Microsoft Defender для облака. Примером типа события в этой категории является "Выполнен подозрительный файл с двойным расширением".
Пример события
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Description |
|---|---|
| Azure Bot | Всегда значение Operation. |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события безопасности. |
| eventDataId | Уникальный идентификатор события безопасности. |
| eventName | Понятное имя события безопасности. |
| Категория | Всегда Security. |
| ID | Уникальный идентификатор ресурса события безопасности. |
| level | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для ресурса. |
| resourceProviderName | Имя поставщика ресурсов для Microsoft Defender for Cloud. Всегда значение Microsoft.Security. |
| resourceType | Тип ресурса, создавшего событие безопасности, например Microsoft.Security/locations/alerts. |
| resourceId | Идентификатор ресурса оповещения системы безопасности. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Имя операции. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. Эти свойства зависят от типа оповещения системы безопасности. Здесь описаны типы предупреждений, поступающих из Defender для облака. |
| properties.Severity | Уровень серьезности. Возможные значения: High, Medium или Low. |
| статус | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно имеет значение null для событий безопасности. |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
Категория рекомендаций
Эта категория содержит запись о любых новых рекомендациях, которые создаются для служб. Примером рекомендации будет "использование группы доступности для повышения отказоустойчивости". Существует 4 типа событий рекомендации, которые могут быть созданы: высокий уровень доступности, производительности, безопасности и оптимизации затрат.
Пример события
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Description |
|---|---|
| Azure Bot | Всегда значение Operation. |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события рекомендации |
| eventDataId | Уникальный идентификатор события рекомендации. |
| Категория | Всегда "Рекомендация" |
| ID | Уникальный идентификатор ресурса события рекомендации. |
| level | Уровень серьезности события. |
| operationName | Имя операции. Всегда "Microsoft.Advisor/generateRecommendations/action" |
| resourceGroupName | Имя группы ресурсов для ресурса. |
| resourceProviderName | Имя поставщика ресурсов для ресурса, к которому применяется данная рекомендация, например "MICROSOFT.COMPUTE" |
| resourceType | Имя типа ресурсов для ресурса, к которому применяется данная рекомендация, например "MICROSOFT.COMPUTE/virtualmachines" |
| resourceId | Идентификатор ресурса для ресурса, к которому применяется рекомендация |
| статус | Всегда "Active" |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием рекомендации. |
| properties.recommendationSchemaVersion | Версия схемы свойств рекомендации, опубликована в записи журнала действий |
| properties.recommendationCategory | Категория рекомендации. Возможные значения: "Высокая доступность", "Производительность", "Безопасность" и "Стоимость" |
| properties.recommendationImpact | Влияние рекомендации Возможные значения: High, Medium или Low |
| properties.recommendationRisk | Риск рекомендации. Возможные значения: Error, Warning, None |
Категория политики
Эта категория содержит записи всех операций действия эффекта, выполняемых Политикой Azure. Примеры типов событий, которые отобразятся в этой категории, включают Audit и Deny. Каждое действие, выполняемое Политикой, моделируется как операция для ресурса.
Пример события Политики
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Описания свойств события Политики
| Имя элемента | Description |
|---|---|
| авторизации | Массив со свойствами Azure RBAC события. Для новых ресурсов — это действие и область запроса, вызвавшего вычисление. Для имеющихся ресурсов действием является "Microsoft.Resources/checkPolicyCompliance/read". |
| caller | Для новых ресурсов — это удостоверение, которое запустило развертывание. Для имеющихся ресурсов — глобальный уникальный идентификатор поставщика ресурсов Microsoft Azure Policy Insights. |
| Azure Bot | События политики используют только канал "Operation". |
| claims | Токен JWT, который используется Active Directory для аутентификации пользователя или приложения при выполнении этой операции в Resource Manager. |
| correlationId | Обычно GUID в строковом формате. События, которые совместно используют идентификатор correlationId, принадлежат к одному общему действию. |
| описание | Это поле будет пустым для событий Политики. |
| eventDataId | Уникальный идентификатор события. |
| eventName | "BeginRequest" или "EndRequest". "BeginRequest" используется для отложенной оценки auditIfNotExists и deployIfNotExists, а также при запуске эффектом deployIfNotExists развертывания шаблона. Все остальные операции возвращают "EndRequest". |
| Категория | Объявляет события журнала действий как относящиеся к "Policy". |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| ID | Уникальный идентификатор события для конкретного ресурса. |
| level | Уровень серьезности события. Audit использует значение "Warning", а Deny — "Error". Ошибка auditIfNotExists или deployIfNotExists может создать значения "Warning" и "Error" в зависимости от серьезности. Все события Политики используют значение "Informational". |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Имя операции непосредственно коррелируется c эффектом Политики. |
| resourceGroupName | Имя группы ресурсов для оцениваемого ресурса. |
| resourceProviderName | Имя поставщика ресурсов для оцениваемого ресурса. |
| resourceType | Для новых ресурсов это тип, который вычисляется. Для имеющихся ресурсов — возвращает "Microsoft.Resources/checkPolicyCompliance/read". |
| resourceId | Идентификатор оцениваемого ресурса. |
| статус | Строка, описывающая состояние результата оценки Политики. Большинство оценок Политики возвращают значение "Succeeded", но эффект Deny возвращает значение "Failed". Ошибки в auditIfNotExists или deployIfNotExists также возвращают значение "Failed". |
| subStatus | Поле будет пустым для событий Политики. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
| properties.isComplianceCheck | Возвращает значение "False" при развертывании нового ресурса или обновлении свойств Azure Resource Manager имеющегося ресурса. Все остальные триггеры оценки приводят к значению "True". |
| properties.resourceLocation | Регион Azure оцениваемого ресурса. |
| properties.ancestors | Разделенный запятыми список родительских групп управления, упорядоченный от непосредственно родительской к самой дальней родительской. |
| properties.policies | Содержит сведения об определении политики, назначении, влиянии и параметрах, результатом которых является эта оценка Политики. |
| relatedEvents | Это поле будет пустым для событий Политики. |
Схема из учетной записи хранения и концентраторов событий
При потоковой передаче журнала действий Azure в учетную запись хранения или концентратор событий данные соответствуют схеме журнала ресурсов. В таблице ниже приведено сопоставление свойств из указанных выше схем со схемой журнала ресурсов.
Внимание
Формат данных журнала действий, регистрируемых в учетной записи хранения, изменился на строки JSON в 1 ноября 2018 г. Дополнительные сведения об этом изменении схемы см. в разделе Подготовка к изменению формата для журналов ресурсов Azure Monitor, архивируемых в учетной записи хранения.
| Свойство схемы журналов ресурсов | Свойство схемы журнала действий REST API | Примечания. |
|---|---|---|
| Время | eventTimestamp | |
| resourceId | resourceId | Параметры subscriptionId, resourceType и resourceGroupName получаются из параметра resourceId. |
| operationName | operationName.value | |
| Категория | Часть имени операции | Всегда Administrative. |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | описание | |
| durationMs | Н/П | Всегда 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| identity | свойства удостоверений и авторизации | |
| Уровень | Уровень | |
| расположение | Н/П | Расположение, где было обработано событие. Это не расположение ресурса, а место обработки события. Это свойство будет удалено в будущем обновлении. |
| Свойства | properties.eventProperties | |
| properties.eventCategory | Категория | Если properties.eventCategory отсутствует, категория —"Административный" |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | свойства |
Ниже приведен пример события, использующего эту схему.
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}