Dela via


Konfigurera en webhook för att hämta aktivitetsloggaviseringar

Som en del av definitionen av en åtgärdsgrupp kan du konfigurera webhook-slutpunkter för att ta emot aktivitetsloggaviseringar. Med webhooks kan du dirigera dessa meddelanden till andra system för efterbearbetning eller anpassade åtgärder. Den här artikeln visar hur nyttolasten för HTTP POST till en webhook ser ut.

Mer information om aktivitetsloggaviseringar finns i skapa Azure-aktivitetsloggaviseringar.

Information om åtgärdsgrupper finns i skapa åtgärdsgrupper.

Kommentar

Du kan också använda det vanliga aviseringsschemat för dina webhook-integreringar. Det ger fördelen att ha en enda utökningsbar och enhetlig aviseringsnyttolast för alla aviseringstjänster i Azure Monitor. Läs mer om det vanliga aviseringsschemat.

Autentisera webhooken

Webhooken kan också använda tokenbaserad auktorisering för autentisering. Webhook-URI:n sparas med ett token-ID, https://mysamplealert/webcallback?tokenid=sometokenid&someparameter=somevaluetill exempel .

Nyttolastschema

JSON-nyttolasten i POST-åtgärden skiljer sig beroende på nyttolastens data.context.activityLog.eventSource fält.

Kommentar

För närvarande kopieras beskrivningen som är en del av aktivitetslogghändelsen till den utlösta Alert Description egenskapen.

Om du vill justera aktivitetsloggens nyttolast med andra aviseringstyper, från och med den 1 april 2021, innehåller den utlösta aviseringsegenskapen Description beskrivningen av aviseringsregeln i stället.

Inför ändringen skapade vi en ny egenskap, , Activity Log Event Descriptiontill aktivitetsloggens utlösta avisering. Den här nya egenskapen är fylld med den Description egenskap som redan är tillgänglig för användning. Det nya fältet Activity Log Event Description innehåller alltså beskrivningen som är en del av aktivitetslogghändelsen.

Granska dina aviseringsregler, åtgärdsregler, webhooks, logikapp eller andra konfigurationer där du kanske använder Description egenskapen från den utlösta aviseringen. Ersätt egenskapen Description med Activity Log Event Description egenskapen .

Om ditt villkor i dina åtgärdsregler, webhooks, logikapp eller andra konfigurationer för närvarande baseras på Description egenskapen för aktivitetsloggaviseringar kan du behöva ändra den så att den Activity Log Event Description baseras på egenskapen i stället.

Om du vill fylla i den nya Description egenskapen kan du lägga till en beskrivning i aviseringsregeldefinitionen.

Skärmbild som visar utlösta aktivitetsloggaviseringar.

Vanlig

{
    "schemaId": "Microsoft.Insights/activityLogs",
    "data": {
        "status": "Activated",
        "context": {
            "activityLog": {
                "channels": "Operation",
                "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
                "eventSource": "Administrative",
                "eventTimestamp": "2017-03-29T15:43:08.0019532+00:00",
                "eventDataId": "8195a56a-85de-4663-943e-1a2bf401ad94",
                "level": "Informational",
                "operationName": "Microsoft.Insights/actionGroups/write",
                "operationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
                "status": "Started",
                "subStatus": "",
                "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
                "submissionTimestamp": "2017-03-29T15:43:20.3863637+00:00",
                ...
            }
        },
        "properties": {}
    }
}

Administrativ

{
    "schemaId": "Microsoft.Insights/activityLogs",
    "data": {
        "status": "Activated",
        "context": {
            "activityLog": {
                "authorization": {
                    "action": "Microsoft.Insights/actionGroups/write",
                    "scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions"
                },
                "claims": "{...}",
                "caller": "me@contoso.com",
                "description": "",
                "httpRequest": "{...}",
                "resourceId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions",
                "resourceGroupName": "CONTOSO-TEST",
                "resourceProviderName": "Microsoft.Insights",
                "resourceType": "Microsoft.Insights/actionGroups"
            }
        },
        "properties": {}
    }
}

Säkerhet

{
  "schemaId":"Microsoft.Insights/activityLogs",
  "data":{"status":"Activated",
    "context":{
      "activityLog":{
        "channels":"Operation",
        "correlationId":"2518408115673929999",
        "description":"Failed SSH brute force attack. Failed brute force attacks were detected from the following attackers: [\"IP Address: 01.02.03.04\"].  Attackers were trying to access the host with the following user names: [\"root\"].",
        "eventSource":"Security",
        "eventTimestamp":"2017-06-25T19:00:32.607+00:00",
        "eventDataId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
        "level":"Informational",
        "operationName":"Microsoft.Security/locations/alerts/activate/action",
        "operationId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
        "properties":{
          "attackers":"[\"IP Address: 01.02.03.04\"]",
          "numberOfFailedAuthenticationAttemptsToHost":"456",
          "accountsUsedOnFailedSignInToHostAttempts":"[\"root\"]",
          "wasSSHSessionInitiated":"No","endTimeUTC":"06/25/2017 19:59:39",
          "actionTaken":"Detected",
          "resourceType":"Virtual Machine",
          "severity":"Medium",
          "compromisedEntity":"LinuxVM1",
          "remediationSteps":"[In case this is an Azure virtual machine, add the source IP to NSG block list for 24 hours (see https://azure.microsoft.com/documentation/articles/virtual-networks-nsg/)]",
          "attackedResourceType":"Virtual Machine"
        },
        "resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/Microsoft.Security/locations/centralus/alerts/Sec-07f2-4d74-aaf0-03d2f53d5a33",
        "resourceGroupName":"contoso",
        "resourceProviderName":"Microsoft.Security",
        "status":"Active",
        "subscriptionId":"12345-5645-123a-9867-123b45a6789",
        "submissionTimestamp":"2017-06-25T20:23:04.9743772+00:00",
        "resourceType":"MICROSOFT.SECURITY/LOCATIONS/ALERTS"
      }
    },
    "properties":{}
  }
}

Rekommendation

{
  "schemaId":"Microsoft.Insights/activityLogs",
  "data":{
    "status":"Activated",
    "context":{
      "activityLog":{
        "channels":"Operation",
        "claims":"{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Microsoft.Advisor\"}",
        "caller":"Microsoft.Advisor",
        "correlationId":"bbbb1111-cc22-3333-44dd-555555eeeeee",
        "description":"A new recommendation is available.",
        "eventSource":"Recommendation",
        "eventTimestamp":"2017-06-29T13:52:33.2742943+00:00",
        "httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
        "eventDataId":"1bf234ef-e45f-4567-8bba-fb9b0ee1dbcb",
        "level":"Informational",
        "operationName":"Microsoft.Advisor/recommendations/available/action",
        "properties":{
          "recommendationSchemaVersion":"1.0",
          "recommendationCategory":"HighAvailability",
          "recommendationImpact":"Medium",
          "recommendationName":"Enable Soft Delete to protect your blob data",
          "recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azure_Expert/RecommendationListBlade/recommendationTypeId/12dbf883-5e4b-4f56-7da8-123b45c4b6e6",
          "recommendationType":"12dbf883-5e4b-4f56-7da8-123b45c4b6e6"
        },
        "resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/microsoft.storage/storageaccounts/contosoStore",
        "resourceGroupName":"CONTOSO",
        "resourceProviderName":"MICROSOFT.STORAGE",
        "status":"Active",
        "subStatus":"",
        "subscriptionId":"12345-5645-123a-9867-123b45a6789",
        "submissionTimestamp":"2017-06-29T13:52:33.2742943+00:00",
        "resourceType":"MICROSOFT.STORAGE/STORAGEACCOUNTS"
      }
    },
    "properties":{}
  }
}

ServiceHealth

{
    "schemaId": "Microsoft.Insights/activityLogs",
    "data": {
        "status": "Activated",
        "context": {
            "activityLog": {
            "channels": "Admin",
            "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
            "description": "Active: Virtual Machines - Australia East",
            "eventSource": "ServiceHealth",
            "eventTimestamp": "2017-10-18T23:49:25.3736084+00:00",
            "eventDataId": "6fa98c0f-334a-b066-1934-1a4b3d929856",
            "level": "Informational",
            "operationName": "Microsoft.ServiceHealth/incident/action",
            "operationId": "cccc2222-dd33-4444-55ee-666666ffffff",
            "properties": {
                "title": "Virtual Machines - Australia East",
                "service": "Virtual Machines",
                "region": "Australia East",
                "communication": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
                "incidentType": "Incident",
                "trackingId": "0NIH-U2O",
                "impactStartTime": "2017-10-18T02:48:00.0000000Z",
                "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"Australia East\"}],\"ServiceName\":\"Virtual Machines\"}]",
                "defaultLanguageTitle": "Virtual Machines - Australia East",
                "defaultLanguageContent": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
                "stage": "Active",
                "communicationId": "636439673646212912",
                "version": "0.1.1"
            },
            "status": "Active",
            "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
            "submissionTimestamp": "2017-10-18T23:49:28.7864349+00:00"
        }
    },
    "properties": {}
    }
}

Specifik schemainformation om aktivitetsloggaviseringar för tjänsthälsa finns i Tjänststatus meddelanden. Du kan också lära dig hur du konfigurerar webhooksaviseringar för tjänsthälsa med dina befintliga lösningar för problemhantering.

ResourceHealth

{
    "schemaId": "Microsoft.Insights/activityLogs",
    "data": {
        "status": "Activated",
        "context": {
            "activityLog": {
                "channels": "Admin, Operation",
                "correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
                "eventSource": "ResourceHealth",
                "eventTimestamp": "2018-09-04T23:09:03.343+00:00",
                "eventDataId": "2b37e2d0-7bda-4de7-ur8c6-1447d02265b2",
                "level": "Informational",
                "operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
                "operationId": "2b37e2d0-7bda-489f-81c6-1447d02265b2",
                "properties": {
                    "title": "Virtual Machine health status changed to unavailable",
                    "details": "Virtual machine has experienced an unexpected event",
                    "currentHealthStatus": "Unavailable",
                    "previousHealthStatus": "Available",
                    "type": "Downtime",
                    "cause": "PlatformInitiated"
                },
                "resourceId": "/subscriptions/<subscription Id>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
                "resourceGroupName": "<resource group>",
                "resourceProviderName": "Microsoft.Resourcehealth/healthevent/action",
                "status": "Active",
                "subscriptionId": "<subscription Id>",
                "submissionTimestamp": "2018-09-04T23:11:06.1607287+00:00",
                "resourceType": "Microsoft.Compute/virtualMachines"
            }
        }
    }
}
Elementnamn beskrivning
status Används för måttaviseringar. Ange alltid till activated för aktivitetsloggaviseringar.
sammanhang Kontext för händelsen.
resourceProviderName Resursprovidern för den berörda resursen.
conditionType Alltid Event.
name Namnet på aviseringsregeln.
ID Resurs-ID för aviseringen.
description Aviseringsbeskrivning anges när aviseringen skapas.
subscriptionId Prenumerations-ID för Azure.
timestamp Tidpunkt då händelsen genererades av Azure-tjänsten som bearbetade begäran.
resourceId Resurs-ID för den berörda resursen.
resourceGroupName Namnet på resursgruppen för den berörda resursen.
egenskaper <Key, Value> Uppsättning par (d.v.sDictionary<String, String>. ) som innehåller information om händelsen.
händelse Element som innehåller metadata om händelsen.
auktorisering De rollbaserade åtkomstkontrollegenskaperna för Azure för händelsen. Dessa egenskaper omfattar vanligtvis åtgärden, rollen och omfånget.
category Kategorin för händelsen. Värden som stöds är Administrative, Alert, Security, ServiceHealthoch Recommendation.
besökare E-postadress till den användare som utförde åtgärden, UPN-anspråket eller SPN-anspråket baserat på tillgänglighet. Kan vara null för vissa systemanrop.
correlationId Vanligtvis ett GUID i strängformat. Händelser med correlationId tillhör samma större åtgärd och delar vanligtvis en correlationId.
eventDescription Statisk textbeskrivning av händelsen.
eventDataId Unik identifierare för händelsen.
eventSource Namnet på Den Azure-tjänst eller infrastruktur som genererade händelsen.
httpRequest Begäran innehåller clientRequestIdvanligtvis metoden , clientIpAddressoch HTTP (till exempel PUT).
nivå Ett av följande värden: Critical, Error, Warningoch Informational.
operationId Vanligtvis delas ett GUID mellan de händelser som motsvarar en enda åtgärd.
operationName Namnet på åtgärden.
egenskaper Egenskaper för händelsen.
status Sträng. Status för åtgärden. Vanliga värden är Started, In Progress, Succeeded, Failed, Activeoch Resolved.
subStatus Innehåller vanligtvis HTTP-statuskoden för motsvarande REST-anrop. Den kan också innehålla andra strängar som beskriver en understatus. Vanliga understatusvärden är OK (HTTP-statuskod: 200), Created (HTTP-statuskod: 201), Accepted (HTTP-statuskod: 202), No Content (HTTP-statuskod: 204), Bad Request (HTTP-statuskod: 400), Not Found (HTTP-statuskod: 404), Conflict (HTTP-statuskod: 409), Internal Server Error (HTTP-statuskod: 500), Service Unavailable (HTTP-statuskod: 503) och Gateway Timeout (HTTP-statuskod: 504).

Specifik schemainformation om alla andra aktivitetsloggaviseringar finns i Översikt över Azure-aktivitetsloggen.

Nästa steg