Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V rámci definice skupiny akcí můžete nakonfigurovat koncové body webhooku tak, aby přijímaly oznámení protokolu aktivit. Pomocí webhooků můžete tato oznámení směrovat do jiných systémů pro následné zpracování nebo vlastní akce. Tento článek ukazuje, jak datová část pro HTTP POST do webhooku vypadá.
Další informace o upozorněních protokolu aktivit Azure najdete v návodu, jak vytvořit upozornění protokolu aktivit Azure.
Informace o skupinách akcí najdete v tématu vytvoření skupin akcí.
Poznámka:
Můžete také použít běžné schéma upozornění pro integraci webhooks. Poskytuje výhodu jedné rozšiřitelné a sjednocené datové části upozornění ve všech službách upozornění ve službě Azure Monitor. Přečtěte si o společném schématu upozornění.
Ověřte pravost webhooku
Webhook může k ověřování volitelně použít autorizaci na základě tokenu. Identifikátor URI webhooku se uloží s ID tokenu, https://mysamplealert/webcallback?tokenid=sometokenid&someparameter=somevaluenapříklad .
Schéma nákladu
Datová část JSON obsažená v operaci POST se liší v závislosti na poli datové části data.context.activityLog.eventSource .
Poznámka:
Aktuálně se popis, který je součástí události v protokolu aktivit, kopíruje do aktivované vlastnosti Alert Description.
Od 1. dubna 2021, pro zarovnání datové části protokolu aktivit s jinými typy upozornění, vlastnost Description aktivovaného upozornění místo toho obsahuje popis pravidla upozornění.
V rámci přípravy na danou změnu jsme vytvořili novou vlastnost Activity Log Event Description, která byla přidána k alertu spuštěnému v protokolu aktivit. Tato nová vlastnost obsahuje vlastnost Description, která je již k dispozici pro použití. Nové pole Activity Log Event Description tedy obsahuje popis, který je součástí události protokolu aktivit.
Zkontrolujte pravidla upozornění, pravidla akcí, webhooky, logické aplikace nebo jakoukoli jinou konfiguraci, ve které byste mohli používat Description vlastnost aktivovaného upozornění. Nahraďte vlastnost Description vlastností Activity Log Event Description.
Pokud je vaše podmínka v pravidlech akcí, webhoocích, aplikaci logiky nebo jakékoli jiné konfiguraci aktuálně založená na Description vlastnosti pro upozornění protokolu aktivit, budete ji možná muset upravit tak, aby byla založená na Activity Log Event Description vlastnosti.
Pokud chcete vyplnit novou Description vlastnost, můžete do definice pravidla upozornění přidat popis.
Běžný
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Operation",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventSource": "Administrative",
"eventTimestamp": "2017-03-29T15:43:08.0019532+00:00",
"eventDataId": "8195a56a-85de-4663-943e-1a2bf401ad94",
"level": "Informational",
"operationName": "Microsoft.Insights/actionGroups/write",
"operationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"status": "Started",
"subStatus": "",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"submissionTimestamp": "2017-03-29T15:43:20.3863637+00:00",
...
}
},
"properties": {}
}
}
Správcovské
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"authorization": {
"action": "Microsoft.Insights/actionGroups/write",
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions"
},
"claims": "{...}",
"caller": "me@contoso.com",
"description": "",
"httpRequest": "{...}",
"resourceId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions",
"resourceGroupName": "CONTOSO-TEST",
"resourceProviderName": "Microsoft.Insights",
"resourceType": "Microsoft.Insights/actionGroups"
}
},
"properties": {}
}
}
Zabezpečení
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"correlationId":"2518408115673929999",
"description":"Failed SSH brute force attack. Failed brute force attacks were detected from the following attackers: [\"IP Address: 01.02.03.04\"]. Attackers were trying to access the host with the following user names: [\"root\"].",
"eventSource":"Security",
"eventTimestamp":"2017-06-25T19:00:32.607+00:00",
"eventDataId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
"level":"Informational",
"operationName":"Microsoft.Security/locations/alerts/activate/action",
"operationId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
"properties":{
"attackers":"[\"IP Address: 01.02.03.04\"]",
"numberOfFailedAuthenticationAttemptsToHost":"456",
"accountsUsedOnFailedSignInToHostAttempts":"[\"root\"]",
"wasSSHSessionInitiated":"No","endTimeUTC":"06/25/2017 19:59:39",
"actionTaken":"Detected",
"resourceType":"Virtual Machine",
"severity":"Medium",
"compromisedEntity":"LinuxVM1",
"remediationSteps":"[In case this is an Azure virtual machine, add the source IP to NSG block list for 24 hours (see https://azure.microsoft.com/documentation/articles/virtual-networks-nsg/)]",
"attackedResourceType":"Virtual Machine"
},
"resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/Microsoft.Security/locations/centralus/alerts/Sec-07f2-4d74-aaf0-03d2f53d5a33",
"resourceGroupName":"contoso",
"resourceProviderName":"Microsoft.Security",
"status":"Active",
"subscriptionId":"12345-5645-123a-9867-123b45a6789",
"submissionTimestamp":"2017-06-25T20:23:04.9743772+00:00",
"resourceType":"MICROSOFT.SECURITY/LOCATIONS/ALERTS"
}
},
"properties":{}
}
}
Doporučení
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{
"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"claims":"{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Microsoft.Advisor\"}",
"caller":"Microsoft.Advisor",
"correlationId":"bbbb1111-cc22-3333-44dd-555555eeeeee",
"description":"A new recommendation is available.",
"eventSource":"Recommendation",
"eventTimestamp":"2017-06-29T13:52:33.2742943+00:00",
"httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
"eventDataId":"1bf234ef-e45f-4567-8bba-fb9b0ee1dbcb",
"level":"Informational",
"operationName":"Microsoft.Advisor/recommendations/available/action",
"properties":{
"recommendationSchemaVersion":"1.0",
"recommendationCategory":"HighAvailability",
"recommendationImpact":"Medium",
"recommendationName":"Enable Soft Delete to protect your blob data",
"recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azure_Expert/RecommendationListBlade/recommendationTypeId/12dbf883-5e4b-4f56-7da8-123b45c4b6e6",
"recommendationType":"12dbf883-5e4b-4f56-7da8-123b45c4b6e6"
},
"resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/microsoft.storage/storageaccounts/contosoStore",
"resourceGroupName":"CONTOSO",
"resourceProviderName":"MICROSOFT.STORAGE",
"status":"Active",
"subStatus":"",
"subscriptionId":"12345-5645-123a-9867-123b45a6789",
"submissionTimestamp":"2017-06-29T13:52:33.2742943+00:00",
"resourceType":"MICROSOFT.STORAGE/STORAGEACCOUNTS"
}
},
"properties":{}
}
}
ServiceHealth
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Admin",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "Active: Virtual Machines - Australia East",
"eventSource": "ServiceHealth",
"eventTimestamp": "2017-10-18T23:49:25.3736084+00:00",
"eventDataId": "6fa98c0f-334a-b066-1934-1a4b3d929856",
"level": "Informational",
"operationName": "Microsoft.ServiceHealth/incident/action",
"operationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"properties": {
"title": "Virtual Machines - Australia East",
"service": "Virtual Machines",
"region": "Australia East",
"communication": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
"incidentType": "Incident",
"trackingId": "0NIH-U2O",
"impactStartTime": "2017-10-18T02:48:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"Australia East\"}],\"ServiceName\":\"Virtual Machines\"}]",
"defaultLanguageTitle": "Virtual Machines - Australia East",
"defaultLanguageContent": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
"stage": "Active",
"communicationId": "636439673646212912",
"version": "0.1.1"
},
"status": "Active",
"subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"submissionTimestamp": "2017-10-18T23:49:28.7864349+00:00"
}
},
"properties": {}
}
}
Pro konkrétní podrobnosti o schématu upozornění v protokolu aktivit o oznámeních o stavu služby najdete v tématu Oznámení o stavu služby. Můžete také zjistit, jak nakonfigurovat oznámení webhooku stavu služby pomocí stávajících řešení pro správu problémů.
ResourceHealth
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Admin, Operation",
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"eventSource": "ResourceHealth",
"eventTimestamp": "2018-09-04T23:09:03.343+00:00",
"eventDataId": "2b37e2d0-7bda-4de7-ur8c6-1447d02265b2",
"level": "Informational",
"operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
"operationId": "2b37e2d0-7bda-489f-81c6-1447d02265b2",
"properties": {
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"currentHealthStatus": "Unavailable",
"previousHealthStatus": "Available",
"type": "Downtime",
"cause": "PlatformInitiated"
},
"resourceId": "/subscriptions/<subscription Id>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"resourceGroupName": "<resource group>",
"resourceProviderName": "Microsoft.Resourcehealth/healthevent/action",
"status": "Active",
"subscriptionId": "<subscription Id>",
"submissionTimestamp": "2018-09-04T23:11:06.1607287+00:00",
"resourceType": "Microsoft.Compute/virtualMachines"
}
}
}
}
| Název prvku | Popis |
|---|---|
| stav | Používá se pro upozornění na metriky. Upozornění protokolu aktivit je třeba vždy nastavit na activated. |
| kontext | Kontext události |
| název poskytovatele zdrojů | Poskytovatel zdrojů ovlivněného prostředku. |
| typPodmínky | Vždy Event. |
| jméno | Název pravidla upozornění |
| ID | ID zdroje výstrahy. |
| popis | Popis výstrahy nastavený při vytvoření výstrahy |
| identifikátor předplatného | ID předplatného Azure |
| časové razítko | Čas, kdy událost vygenerovala služba Azure, která žádost zpracovala. |
| identifikátor zdroje | ID dotčeného zdroje |
| názevSkupinyZdroje | Název skupiny prostředků pro postižený prostředek |
| vlastnosti | Sada dvojic <Key, Value> (tj. Dictionary<String, String>) obsahující podrobnosti o události. |
| událost | Element, který obsahuje metadata o události. |
| autorizace | Vlastnosti řízení přístupu na základě role v Azure pro událost. Mezi tyto vlastnosti obvykle patří akce, role a obor. |
| kategorie | Kategorie události. Mezi podporované hodnoty patří Administrative, Alert, Security, ServiceHealtha Recommendation. |
| volající | E-mailová adresa uživatele, který provedl operaci, nárok na hlavní uživatelské jméno (UPN), nebo nárok na službu (SPN) v závislosti na dostupnosti. Pro určitá systémová volání může být null. |
| identifikátor korelace | Obvykle identifikátor GUID ve formátu řetězce. Události s correlationId patří do stejné větší akce a obvykle sdílejí correlationId. |
| eventDescription | Statický textový popis události. |
| eventDataId | Jedinečný identifikátor události. |
| zdrojUdálosti | Název služby Nebo infrastruktury Azure, která událost vygenerovala. |
| HTTP požadavek | Požadavek obvykle zahrnuje metodu clientRequestId, clientIpAddressa HTTP (například PUT). |
| úroveň | Jedna z následujících hodnot: Critical, Error, Warninga Informational. |
| operationId | Obvykle identifikátor GUID sdílený mezi událostmi odpovídajícími jedné operaci. |
| název operace | Název operace. |
| vlastnosti | Vlastnosti události. |
| stav | Řetězec. Stav operace. Mezi společné hodnoty patří Started, , In ProgressSucceeded, Failed, Active, a Resolved. |
| podStav | Obvykle obsahuje stavový kód HTTP odpovídajícího volání REST. Může obsahovat i další řetězce, které popisují dílčí stav. Mezi běžné dílčí hodnoty patří OK (stavový kód HTTP: 200), Created (stavový kód HTTP: 201), Accepted (stavový kód HTTP: 202), No Content (stavový kód HTTP: 204), Bad Request (stavový kód HTTP: 400), Not Found (stavový kód HTTP: 404), Conflict (stavový kód HTTP: 409), Internal Server Error (stavový kód HTTP: 500), Service Unavailable (stavový kód HTTP: 503) a Gateway Timeout (stavový kód HTTP: 504). |
Podrobnosti o konkrétním schématu u všech ostatních upozornění protokolu aktivit najdete v přehledu protokolu aktivit Azure.
Další kroky
- Přečtěte si další informace o protokolu aktivit.
- Spouštění skriptů Azure Automation (runbooků) při upozorněních Azure.
- Pomocí Logic App odešlete SMS prostřednictvím Twilio na základě upozornění z Azure. Tento příklad je určený pro upozornění na metriky, ale dá se upravit tak, aby fungoval s upozorněním protokolu aktivit.
- Použijte aplikaci Logic Apps k odeslání slackové zprávy z upozornění Azure. Tento příklad je určený pro upozornění na metriky, ale dá se upravit tak, aby fungoval s upozorněním protokolu aktivit.
- Použijte Logic App k odeslání zprávy do fronty Azure z upozornění v Azure. Tento příklad je určený pro upozornění na metriky, ale dá se upravit tak, aby fungoval s upozorněním protokolu aktivit.