Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Protokol aktivit Azure poskytuje přehled o všech událostech na úrovni předplatného, ke kterým došlo v Azure. Tento článek popisuje kategorie protokolu aktivit a schéma pro každý z nich.
Schéma se liší v závislosti na tom, jak přistupujete k protokolu:
- Schémata popsaná v tomto článku jsou, když přistupujete k protokolu aktivit z rozhraní REST API. Schéma se používá také při výběru možnosti JSON při prohlížení události na webu Azure Portal.
- Pokud použijete nastavení diagnostiky k odeslání protokolu aktivit do služby Azure Storage nebo Azure Event Hubs, přečtěte si poslední část Schéma z účtu úložiště a centra událostí.
- Pokud k odeslání protokolu aktivit do pracovního prostoru služby Log Analytics použijete nastavení diagnostiky, přečtěte si referenční informace k datům služby Azure Monitor pro schéma.
Úroveň závažnosti
Každá položka v protokolu aktivit má úroveň závažnosti. Úroveň závažnosti může mít jednu z následujících hodnot:
| Závažnost | Popis |
|---|---|
| Kritický | Události, které vyžadují okamžitou pozornost správce systému. Může znamenat, že aplikace nebo systém selhaly nebo přestaly reagovat. |
| Chyba | Události, které značí problém, ale nevyžadují okamžitou pozornost. |
| Výstraha | Události, které poskytují forewarning potenciálních problémů, i když ne skutečnou chybu. Označuje, že prostředek není v ideálním stavu a může později snížit výkon zobrazení chyb nebo kritických událostí. |
| Informace nebo informační informace | Události, které předávají nekritické informace správci. Podobá se poznámce, která říká: "For your information" (Vaše informace). |
Vývojáři jednotlivých poskytovatelů prostředků vyberou úrovně závažnosti svých položek prostředků. V důsledku toho se skutečná závažnost pro vás může lišit v závislosti na tom, jak je vaše aplikace sestavená. Například položky, které jsou "kritické" pro určitý prostředek přijatý izolovaně, nemusí být tak důležité jako "chyby" v typu prostředku, který je centrální pro vaši aplikaci Azure. Při rozhodování o událostech, na které se mají upozornit, nezapomeňte vzít v úvahu tento fakt.
Kategorie
Každá událost v protokolu aktivit má určitou kategorii popsanou v následující tabulce. Další podrobnosti o jednotlivých kategoriích a jeho schématu najdete v následujících částech, když přistupujete k protokolu aktivit z portálu, PowerShellu, rozhraní příkazového řádku a rozhraní REST API. Schéma se liší při streamování protokolu aktivit do úložiště nebo služby Event Hubs. Mapování vlastností na schéma protokolů prostředků najdete v poslední části článku.
| Kategorie | Popis |
|---|---|
| pro správu | Obsahuje záznam všech operací vytvoření, aktualizace, odstranění a akcí provedených prostřednictvím Resource Manageru. Mezi příklady událostí správy patří vytvoření virtuálního počítače a odstranění skupiny zabezpečení sítě. Každá akce, kterou uživatel nebo aplikace provádí pomocí Resource Manageru, se modeluje jako operace pro konkrétní typ prostředku. Pokud je typ operace Zapisovat, Odstranit nebo Akce, zaznamenávají se záznamy spuštění i úspěchu nebo selhání této operace v kategorii Správa. Události správy zahrnují také všechny změny řízení přístupu na základě role v Azure v předplatném. |
| Stav služby | Obsahuje záznam všech incidentů stavu služeb, ke kterým došlo v Azure. Příkladem události služby Service Health v Azure v oblasti USA – východ dochází k výpadku. Události služby Service Health mají šest variant: Akce povinná, asistovaná obnova, incident, údržba, informace nebo zabezpečení. Tyto události se vytvoří jenom v případě, že máte prostředek v předplatném ovlivněné událostí. |
| Zdraví zdrojů | Obsahuje záznam všech událostí stavu prostředků, ke kterým došlo u vašich prostředků Azure. Příkladem události Resource Health je změna stavu virtuálního počítače na nedostupnost. Události služby Resource Health můžou představovat jeden ze čtyř stavů: Dostupný, Nedostupný, Degradovaný a Neznámý. Kromě toho je možné události služby Resource Health zařadit do kategorií jako iniciované platformou nebo iniciované uživatelem. |
| Upozornění | Obsahuje záznam aktivací pro výstrahy Azure. Příkladem události upozornění je využití procesoru na virtuálním počítači myVM nad 80 za posledních 5 minut. |
| Automatické škálování | Obsahuje záznam všech událostí souvisejících s provozem modulu automatického škálování na základě všech nastavení automatického škálování, která jste definovali ve svém předplatném. Příkladem události automatického škálování je selhání akce automatického škálování vertikálního navýšení kapacity. |
| doporučení | Obsahuje události doporučení z Azure Advisoru. |
| Zabezpečení | Obsahuje záznam všech výstrah vygenerovaných programem Microsoft Defender for Cloud. Příkladem události zabezpečení je spuštěný podezřelý soubor s dvojitou příponou. |
| Zásady | Obsahuje záznamy o všech operacích akcí účinku provedených službou Azure Policy. Mezi příklady událostí zásad patří Audit a Odepřít. Každá akce přijatá zásadou se modeluje jako operace u prostředku. |
Kategorie pro správu
Tato kategorie obsahuje záznam všech operací vytvoření, aktualizace, odstranění a akcí provedených prostřednictvím Resource Manageru. Příklady typů událostí, které byste viděli v této kategorii, zahrnují "vytvoření virtuálního počítače" a "odstranění skupiny zabezpečení sítě". Každá akce, kterou uživatel nebo aplikace provádí pomocí Resource Manageru, se modeluje jako operace pro konkrétní typ prostředku. Pokud je typ operace Zapisovat, Odstranit nebo Akce, zaznamenávají se záznamy spuštění i úspěchu nebo selhání této operace v kategorii Správa. Kategorie Správa také zahrnuje všechny změny řízení přístupu na základě role v Azure v předplatném.
Ukázková událost
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Popisy vlastností
| Název elementu | Popis |
|---|---|
| oprávnění | Objekt blob vlastnosti Azure RBAC události Obvykle zahrnuje a actionrolescope vlastnosti. |
| volající | E-mailová adresa uživatele, který provedl operaci, deklaraci hlavního názvu uživatele (UPN) nebo deklaraci identity hlavního názvu uživatele (SPN) na základě dostupnosti. |
| channels | Jedna z následujících hodnot: Admin, Operation |
| nároky | Token JWT používaný službou Active Directory k ověření uživatele nebo aplikace k provedení této operace v Resource Manageru. |
| correlationId | Obvykle identifikátor GUID ve formátu řetězce. Události, které sdílejí korelační ID, patří do stejné nadřazené akce. |
| popis | Statický textový popis události |
| eventDataId | Jedinečný identifikátor události. |
| eventName | Popisný název události Pro správu |
| kategorie | Vždy Administrative |
| HttpRequest | Objekt blob popisující požadavek HTTP Obvykle zahrnuje a clientRequestIdclientIpAddressmethod (metoda HTTP). Například PUT). |
| úroveň | Úroveň závažnosti události |
| názevSkupinyZdrojů | Název skupiny prostředků pro ovlivněný prostředek |
| resourceProviderName | Název poskytovatele prostředků pro ovlivněný prostředek |
| typ zdroje | Typ prostředku ovlivněného událostí správy. |
| identifikátor zdroje | ID prostředku ovlivněného prostředku |
| operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
| název operace | Název operace. |
| vlastnosti |
<Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. |
| stav | Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno. |
| subStatus | Stavový kód HTTP odpovídajícího volání REST, ale může obsahovat i další řetězce popisující dílčí stav, například tyto běžné hodnoty: OK (stavový kód HTTP: 200), vytvořeno (stavový kód HTTP: 201), přijato (stavový kód HTTP: 202), žádný obsah (stavový kód HTTP: 204), chybný požadavek (stavový kód HTTP: 400), nenalezen (stavový kód HTTP: 404), konflikt (stavový kód HTTP: 409), vnitřní chyba serveru (stavový kód HTTP: 500), nedostupná služba (stavový kód HTTP: 503), vypršení časového limitu brány (stavový kód HTTP: 504). |
| časová značka události | Časové razítko, kdy událost byla vygenerována službou Azure zpracovávající žádost odpovídající této události. |
| submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazy. |
| ID předplatného | ID předplatného Azure. |
kategorie Stav služby
Tato kategorie obsahuje záznam všech incidentů stavu služeb, ke kterým došlo v Azure. Příkladem typu události, kterou byste viděli v této kategorii, je SQL Azure v oblasti USA – východ dochází k výpadkům. Stav služby události přicházejí v pěti variantách: Akce požadovaná, incident, údržba, informace nebo zabezpečení a zobrazí se pouze v případě, že máte prostředek v předplatném, na který by událost měla vliv.
Ukázková událost
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Informace o hodnotách ve vlastnostech najdete v článku oznámení o stavu služby.
Kategorie Resource Health
Tato kategorie obsahuje záznam událostí stavu prostředků, ke kterým došlo u vašich prostředků Azure. Příkladem typu události, kterou byste viděli v této kategorii, je stav virtuálního počítače změněn na nedostupný. Události služby Resource Health můžou představovat jeden ze čtyř stavů: Dostupný, Nedostupný, Snížený výkon a Neznámý. Kromě toho je možné události služby Resource Health zařadit do kategorií jako iniciované platformou nebo iniciované uživatelem.
A resource health event is recorded in the activity log when:
- Pro prostředek se odešle poznámka, například ResourceDegraded nebo AccountClientThrottling.
- A resource transitioned to or from Unhealthy.
- Prostředek nebyl v pořádku déle než 15 minut.
The following resource health transitions aren't recorded in the activity log:
- A transition to Unknown state.
- A transition from Unknown state if:
- Toto je první přechod.
- Pokud je stav před neznámým stavem stejný jako nový stav po. (For example, if the resource transitioned from Healthy to Unknown and back to Healthy).
- For compute resources: VMs that transition from Healthy to Unhealthy, and back to Healthy, when the Unhealthy time is less than 35 seconds.
Ukázková událost
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Popisy vlastností
| Název elementu | Popis |
|---|---|
| channels | Vždy Admin, Operation |
| correlationId | Identifikátor GUID ve formátu řetězce. |
| popis | Statický textový popis události upozornění |
| eventDataId | Jedinečný identifikátor události výstrahy. |
| kategorie | Vždy ResourceHealth |
| časová značka události | Časové razítko, kdy událost byla vygenerována službou Azure zpracovávající žádost odpovídající této události. |
| úroveň | Úroveň závažnosti události |
| operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
| název operace | Název operace. |
| názevSkupinyZdrojů | Název skupiny prostředků, která prostředek obsahuje. |
| resourceProviderName | Vždy Microsoft.Resourcehealth/healthevent/action. |
| typ zdroje | Typ prostředku ovlivněného událostí Resource Health. |
| identifikátor zdroje | Název ID prostředku pro ovlivněný prostředek |
| stav | Řetězec popisující stav události stavu Hodnoty mohou být: Aktivní, Vyřešeno, InProgress, Aktualizováno. |
| subStatus | Obvykle null pro výstrahy. |
| submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazy. |
| ID předplatného | ID předplatného Azure. |
| vlastnosti |
<Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. |
| properties.title | Uživatelsky přívětivý řetězec, který popisuje stav prostředku. |
| properties.details | Uživatelsky přívětivý řetězec, který popisuje další podrobnosti o události. |
| properties.currentHealthStatus | Aktuální stav prostředku. Jedna z následujících hodnot: Available, Unavailable, Degradeda Unknown. |
| properties.previousHealthStatus | Předchozí stav prostředku. Jedna z následujících hodnot: Available, Unavailable, Degradeda Unknown. |
| properties.type | Popis typu události resource health. |
| properties.cause | Popis příčiny události resource health. Buď UserInitiated a PlatformInitiated. |
Kategorie upozornění
Tato kategorie obsahuje záznam všech aktivací klasických upozornění Azure. Příkladem typu události, kterou byste viděli v této kategorii, je "CPU % na myVM je za posledních 5 minut více než 80". Různé systémy Azure mají koncept upozorňování: můžete definovat pravidlo určitého druhu a dostávat oznámení, když podmínky odpovídají danému pravidlu. Pokaždé, když se aktivuje podporovaný typ upozornění Azure nebo jsou splněné podmínky pro vygenerování oznámení, do této kategorie protokolu aktivit se odešle také záznam o aktivaci.
Ukázková událost
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Popisy vlastností
| Název elementu | Popis |
|---|---|
| volající | Vždy Microsoft.Insights/alertRules |
| channels | Vždy Admin, Operation |
| nároky | Objekt blob JSON s hlavním názvem služby (instančním názvem) nebo typem prostředku modulu upozornění |
| correlationId | Identifikátor GUID ve formátu řetězce. |
| popis | Statický textový popis události upozornění |
| eventDataId | Jedinečný identifikátor události výstrahy. |
| kategorie | Vždy Alert |
| úroveň | Úroveň závažnosti události |
| názevSkupinyZdrojů | Název skupiny prostředků ovlivněného prostředku, pokud se jedná o upozornění na metriku. U jiných typů výstrah se jedná o název skupiny prostředků, která obsahuje samotnou výstrahu. |
| resourceProviderName | Název poskytovatele prostředků pro ovlivněný prostředek, pokud se jedná o upozornění na metriku. U jiných typů výstrah se jedná o název poskytovatele prostředků pro samotnou výstrahu. |
| identifikátor zdroje | Název ID prostředku ovlivněného prostředku, pokud se jedná o upozornění na metriku. U jiných typů upozornění se jedná o ID prostředku samotného prostředku upozornění. |
| operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
| název operace | Název operace. |
| vlastnosti |
<Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. |
| stav | Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno. |
| subStatus | Obvykle null pro výstrahy. |
| časová značka události | Časové razítko, kdy událost byla vygenerována službou Azure zpracovávající žádost odpovídající této události. |
| submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazy. |
| ID předplatného | ID předplatného Azure. |
Pole Vlastnosti na typ výstrahy
Pole vlastnosti bude obsahovat různé hodnoty v závislosti na zdroji události výstrahy. Dvěma běžnými poskytovateli událostí upozornění jsou upozornění protokolu aktivit a upozornění na metriky.
Vlastnosti pro upozornění protokolu aktivit
| Název elementu | Popis |
|---|---|
| properties.subscriptionId | ID předplatného z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
| properties.eventDataId | ID dat události z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
| properties.resourceGroup | Skupina prostředků z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
| properties.resourceId | ID prostředku z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
| properties.eventTimestamp | Časové razítko události protokolu aktivit, které způsobilo aktivaci tohoto pravidla upozornění protokolu aktivit. |
| properties.operationName | Název operace z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
| properties.status | Stav z události protokolu aktivit, která způsobila aktivaci tohoto pravidla upozornění protokolu aktivit. |
Vlastnosti pro upozornění metrik
| Název elementu | Popis |
|---|---|
| vlastnosti. RuleUri | ID prostředku samotného pravidla upozornění na metriku |
| vlastnosti. RuleName | Název pravidla upozornění na metriku |
| vlastnosti. RuleDescription | Popis pravidla upozornění metriky (jak je definováno v pravidle upozornění). |
| vlastnosti. Práh | Prahová hodnota použitá při vyhodnocení pravidla upozornění metriky. |
| vlastnosti. WindowSizeInMinutes | Velikost okna použitá při vyhodnocení pravidla upozornění metriky. |
| vlastnosti. Agregace | Typ agregace definovaný v pravidle upozornění metriky. |
| vlastnosti. Operátor | Podmíněný operátor použitý při vyhodnocení pravidla upozornění metriky. |
| vlastnosti. Název metriky | Název metriky použité při vyhodnocení pravidla upozornění metriky. |
| vlastnosti. MetricUnit | Jednotka metriky pro metriku použitou při vyhodnocování pravidla upozornění metriky. |
Kategorie automatického škálování
Tato kategorie obsahuje záznam všech událostí souvisejících s provozem modulu automatického škálování na základě všech nastavení automatického škálování, která jste definovali ve svém předplatném. Příkladem typu události, kterou byste viděli v této kategorii, je chyba akce automatického škálování vertikálního navýšení kapacity. Pomocí automatického škálování můžete pomocí nastavení automatického škálování automaticky škálovat nebo škálovat počet instancí v podporovaném typu prostředku na základě denních a/nebo zátěžových dat (metrik). Pokud jsou splněné podmínky pro vertikální navýšení nebo snížení kapacity, události zahájení a úspěšné nebo neúspěšné události se zaznamenávají v této kategorii.
Ukázková událost
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Popisy vlastností
| Název elementu | Popis |
|---|---|
| volající | Vždy Microsoft.Insights/autoscaleSettings |
| channels | Vždy Admin, Operation |
| nároky | Objekt blob JSON s hlavním názvem služby (instančním názvem) nebo typem prostředku modulu automatického škálování |
| correlationId | Identifikátor GUID ve formátu řetězce. |
| popis | Statický textový popis události automatického škálování |
| eventDataId | Jedinečný identifikátor události automatického škálování |
| úroveň | Úroveň závažnosti události |
| názevSkupinyZdrojů | Název skupiny prostředků pro nastavení automatického škálování |
| resourceProviderName | Název poskytovatele prostředků pro nastavení automatického škálování |
| identifikátor zdroje | ID prostředku nastavení automatického škálování |
| operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
| název operace | Název operace. |
| vlastnosti |
<Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. |
| vlastnosti. Popis | Podrobný popis toho, co modul automatického škálování dělal. |
| vlastnosti. ResourceName | ID prostředku ovlivněného prostředku (prostředek, na kterém se prováděla akce škálování) |
| vlastnosti. OldInstancesCount | Početinstancíchch |
| vlastnosti. NewInstancesCount | Početinstancích |
| vlastnosti. LastScaleActionTime | Časové razítko, kdy došlo k akci automatického škálování. |
| stav | Řetězec popisující stav operace Mezi běžné hodnoty patří: Spuštěno, Probíhá, Úspěch, Selhání, Aktivní, Vyřešeno. |
| subStatus | Obvykle má hodnotu null pro automatické škálování. |
| časová značka události | Časové razítko, kdy událost byla vygenerována službou Azure zpracovávající žádost odpovídající této události. |
| submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazy. |
| ID předplatného | ID předplatného Azure. |
Kategorie zabezpečení
Tato kategorie obsahuje záznam všech výstrah vygenerovaných programem Microsoft Defender for Cloud. Příkladem typu události, kterou byste viděli v této kategorii, je "Podezřelý soubor s dvojitou příponou byl proveden".
Ukázková událost
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Popisy vlastností
| Název elementu | Popis |
|---|---|
| channels | Vždy Operation |
| correlationId | Identifikátor GUID ve formátu řetězce. |
| popis | Statický textový popis události zabezpečení |
| eventDataId | Jedinečný identifikátor události zabezpečení. |
| eventName | Popisný název události zabezpečení |
| kategorie | Vždy Security |
| Průkaz totožnosti | Jedinečný identifikátor prostředku události zabezpečení. |
| úroveň | Úroveň závažnosti události |
| názevSkupinyZdrojů | Název skupiny prostředků pro prostředek |
| resourceProviderName | Název poskytovatele prostředků pro Microsoft Defender for Cloud Vždy Microsoft.Security. |
| typ zdroje | Typ prostředku, který vygeneroval událost zabezpečení, například Microsoft.Security/locations/alerts |
| identifikátor zdroje | ID prostředku výstrahy zabezpečení |
| operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
| název operace | Název operace. |
| vlastnosti |
<Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti události. Tyto vlastnosti se liší v závislosti na typu výstrahy zabezpečení. Na této stránce najdete popis typů výstrah, které pocházejí z Defenderu pro cloud. |
| vlastnosti. Závažnost | Úroveň závažnosti. Možné hodnoty jsou High, Mediumnebo Low. |
| stav | Řetězec popisující stav operace Mezi běžné hodnoty patří: Started, In Progress, Succeeded, Failed, Active, , Resolved. |
| subStatus | Obvykle null pro události zabezpečení. |
| časová značka události | Časové razítko, kdy událost byla vygenerována službou Azure zpracovávající žádost odpovídající této události. |
| submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazy. |
| ID předplatného | ID předplatného Azure. |
Kategorie doporučení
Tato kategorie obsahuje záznam všech nových doporučení generovaných pro vaše služby. Příkladem doporučení je použití skupin dostupnosti pro lepší odolnost proti chybám. Existují čtyři typy událostí doporučení, které lze vygenerovat: vysokou dostupnost, výkon, zabezpečení a optimalizaci nákladů.
Ukázková událost
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Popisy vlastností
| Název elementu | Popis |
|---|---|
| channels | Vždy Operation |
| correlationId | Identifikátor GUID ve formátu řetězce. |
| popis | Statický textový popis události doporučení |
| eventDataId | Jedinečný identifikátor události doporučení. |
| kategorie | Vždy Recommendation |
| Průkaz totožnosti | Jedinečný identifikátor prostředku události doporučení. |
| úroveň | Úroveň závažnosti události |
| název operace | Název operace. Vždy Microsoft.Advisor/generateRecommendations/action |
| názevSkupinyZdrojů | Název skupiny prostředků pro prostředek |
| resourceProviderName | Název poskytovatele prostředků pro prostředek, na který se toto doporučení vztahuje, například "MICROSOFT". COMPUTE" |
| typ zdroje | Název typu prostředku pro prostředek, na který se toto doporučení vztahuje, například MICROSOFT.COMPUTE/virtualmachines |
| identifikátor zdroje | ID prostředku, na který se doporučení vztahuje |
| stav | Vždy Active |
| submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazy. |
| ID předplatného | ID předplatného Azure. |
| vlastnosti |
<Key, Value> Sada dvojic (tj. slovník) popisující podrobnosti doporučení. |
| properties.recommendationSchemaVersion | Verze schématu vlastností doporučení publikovaných v položce protokolu aktivit |
| properties.recommendationCategory | Kategorie doporučení Možné hodnoty jsou High Availability, Performance, Securitya Cost |
| properties.recommendationImpact | Dopad doporučení. Možné hodnoty jsou High, , MediumLow |
| properties.recommendationRisk | Riziko doporučení Možné hodnoty jsou Error, , WarningNone |
Kategorie zásad
Tato kategorie obsahuje záznamy o všech operacích akcí účinku provedených službou Azure Policy. Mezi příklady typů událostí, které byste viděli v této kategorii, patří Audit a Odepřít. Každá akce přijatá zásadou se modeluje jako operace u prostředku.
Ukázková událost zásad
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Popisy vlastností události zásad
| Název elementu | Popis |
|---|---|
| oprávnění | Pole vlastností Azure RBAC události U nových prostředků se jedná o akci a rozsah požadavku, který aktivoval vyhodnocení. U existujících prostředků je akce Microsoft.Resources/checkPolicyCompliance/read. |
| volající | U nových prostředků identita, která iniciovala nasazení. U existujících prostředků identifikátor GUID poskytovatele prostředků Microsoft Azure Policy Insights. |
| channels | Události zásad používají pouze kanál Operace. |
| nároky | Token JWT používaný službou Active Directory k ověření uživatele nebo aplikace k provedení této operace v Resource Manageru. |
| correlationId | Obvykle identifikátor GUID ve formátu řetězce. Události, které sdílejí korelační ID, patří do stejné nadřazené akce. |
| popis | Toto pole je prázdné pro události zásad. |
| eventDataId | Jedinečný identifikátor události. |
| eventName | Buď "BeginRequest" nebo "EndRequest". Výraz BeginRequest se používá pro zpožděné auditIfNotExists a nasazuje vyhodnoceníIfNotExists a při spuštění nasazení efektu deployIfNotExists. Všechny ostatní operace vrátí "EndRequest". |
| kategorie | Deklaruje událost protokolu aktivit, která patří do "Policy". |
| časová značka události | Časové razítko, kdy událost byla vygenerována službou Azure zpracovávající žádost odpovídající této události. |
| Průkaz totožnosti | Jedinečný identifikátor události pro konkrétní prostředek. |
| úroveň | Úroveň závažnosti události Audit používá upozornění a zamítnutí používá chybu. Chyba auditIfNotExists nebo deployIfNotExists může v závislosti na závažnosti generovat upozornění nebo chybu. Všechny ostatní události zásad používají "informační". |
| operationId | Identifikátor GUID sdílený mezi událostmi, které odpovídají jedné operaci. |
| název operace | Název operace a přímo koreluje s efektem zásady. |
| názevSkupinyZdrojů | Název skupiny prostředků pro vyhodnocený prostředek |
| resourceProviderName | Název poskytovatele prostředků pro vyhodnocený prostředek |
| typ zdroje | U nových prostředků je to typ, který se vyhodnocuje. U existujících prostředků vrátí hodnotu Microsoft.Resources/checkPolicyCompliance. |
| identifikátor zdroje | ID prostředku vyhodnoceného prostředku |
| stav | Řetězec popisující stav výsledku vyhodnocení zásad Většina vyhodnocení zásad vrací úspěch, ale efekt Zamítnutí vrátí chybu. Chyby v auditIfNotExists nebo deployIfNotExists také vrací chybu Failed. |
| subStatus | Pole je prázdné pro události zásad. |
| submissionTimestamp | Časové razítko, kdy byla událost k dispozici pro dotazy. |
| ID předplatného | ID předplatného Azure. |
| properties.isComplianceCheck | Vrátí hodnotu False při nasazení nového prostředku nebo aktualizaci vlastností Resource Manageru existujícího prostředku. Výsledkem všech ostatních aktivačních událostí vyhodnocení je pravda. |
| properties.resourceLocation | Oblast Azure prostředku, který se vyhodnocuje. |
| properties.ancestors | Čárkami oddělený seznam nadřazených skupin pro správu seřazených od přímého nadřazeného po nejdůchožnějšího děda. |
| properties.policies | Obsahuje podrobnosti o definici zásady, přiřazení, efektu a parametrech, které toto vyhodnocení zásad představuje. |
| relatedEvents | Toto pole je prázdné pro události zásad. |
Schéma z účtu úložiště a center událostí
Při streamování protokolu aktivit Azure do účtu úložiště nebo centra událostí se data řídí schématem protokolu prostředků. Následující tabulka obsahuje mapování vlastností z výše uvedených schémat na schéma protokolů prostředků.
Poznámka:
Formát dat protokolu aktivit zapsaných do účtu úložiště se od 1. listopadu 2018 změnil na řádky JSON. Podrobnosti o této změně formátu najdete v tématu Příprava na změny formátu protokolů prostředků služby Azure Monitor archivovaných do účtu úložiště.
| Vlastnost schématu protokolů prostředků | Vlastnost schématu rozhraní REST API protokolu aktivit | Poznámky |
|---|---|---|
| Čas | časová značka události | |
| identifikátor zdroje | identifikátor zdroje | subscriptionId, resourceType, resourceGroupName jsou odvozeny z id prostředku. |
| název operace | operationName.value | |
| kategorie | Část názvu operace | Vždy "Správa" |
| typ výsledku | status.value | |
| výsledný podpis | substatus.value | |
| popis výsledku | popis | |
| durationMs | není k dispozici | Vždy 0 |
| adresa IP volajícího | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| identita | deklarace identity a vlastnosti autorizace | |
| Úroveň | Úroveň | |
| místo | není k dispozici | Umístění, kde byla událost zpracována. Toto není umístění prostředku, ale místo zpracování události. Tato vlastnost bude odebrána v budoucí aktualizaci. |
| Vlastnosti | properties.eventProperties | |
| properties.eventCategory | kategorie | Pokud vlastnost.eventCategory není k dispozici, kategorie je "Správa". |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | vlastnosti |
Následuje příklad události, která používá toto schéma:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}