Azure-tevékenységnapló eseményséma
Az Azure-tevékenységnapló betekintést nyújt az Azure-ban történt előfizetési szintű eseményekbe. Ez a cikk a tevékenységnapló-kategóriákat és az egyes sémákat ismerteti.
A séma a napló elérésének módjától függően változik:
- A cikkben ismertetett sémák akkor jelennek meg, amikor a TEVÉKENYSÉGnaplót a REST API-ból éri el. A séma akkor is használható, ha kiválasztja a JSON lehetőséget egy esemény azure portalon való megtekintésekor.
- Ha diagnosztikai beállítással küldi el a tevékenységnaplót az Azure Storage-ba vagy az Azure Event Hubsba, tekintse meg a séma utolsó szakaszának sémáját a tárfiókból és az eseményközpontból.
- Ha diagnosztikai beállítássalküldi el a tevékenységnaplót egy Log Analytics-munkaterületre, tekintse meg az Azure Monitor-adathivatkozást a sémához.
Súlyossági szint
A tevékenységnapló minden bejegyzésének súlyossági szintje van. A súlyossági szint az alábbi értékek egyikével rendelkezhet:
| Severity | Leírás |
|---|---|
| Critical | Olyan események, amelyek a rendszergazda azonnali figyelmét igénylik. Azt jelezheti, hogy egy alkalmazás vagy rendszer sikertelen volt, vagy leállt a válasz. |
| Hiba | A problémát jelző események, de nem igényelnek azonnali figyelmet. |
| Figyelmeztetés | A lehetséges problémákat elhárító események, bár nem tényleges hiba. Jelezze, hogy egy erőforrás nem ideális állapotban van, és később hibák vagy kritikus események megjelenítésére is alkalmas lehet. |
| Tájékoztató | Olyan események, amelyek nem kritikus információkat adnak át a rendszergazdának. Hasonló egy megjegyzéshez, amely a következőhöz hasonló: "Az ön adataiért". |
Az egyes erőforrás-szolgáltatók fejlesztői kiválasztják az erőforrás-bejegyzések súlyossági szintjeit. Ennek eredményeképpen a tényleges súlyosság az alkalmazás felépítésétől függően változhat. Előfordulhat például, hogy egy adott erőforrás szempontjából "kritikus" elemek elkülönítése nem feltétlenül olyan fontos, mint az Azure-alkalmazás központi erőforrástípusának "hibái". Mindenképpen vegye figyelembe ezt a tényt, amikor eldönti, hogy milyen eseményekre kell riasztást adni.
Kategóriák
A tevékenységnapló minden eseménye rendelkezik egy adott kategóriával, amelyet az alábbi táblázatban ismertetünk. A tevékenységnapló portálról, a PowerShellből, a CLI-ből és a REST API-ból való elérésekor az alábbi szakaszokban talál részletesebb információkat az egyes kategóriákról és azok sémáiról. A séma eltérő, ha a tevékenységnaplót a tárolóba vagy az Event Hubsba streameli. A tulajdonságoknak az erőforrásnapló-sémára való leképezését a cikk utolsó szakaszában találja.
| Kategória | Leírás |
|---|---|
| Rendszergazda istrative | A Resource Manageren keresztül végrehajtott összes létrehozási, frissítési, törlési és műveleti művelet rekordját tartalmazza. A Rendszergazda szűkítő események közé tartozik például a virtuális gép létrehozása és a hálózati biztonsági csoport törlése. A Resource Manager használatával egy felhasználó vagy alkalmazás által végrehajtott minden művelet egy adott erőforrástípuson végzett műveletként lesz modellve. Ha a művelet típusa Írás, Törlés vagy Művelet, akkor a művelet kezdő és sikeres vagy sikertelen rekordjait a rendszer a Rendszergazda istrative kategóriában rögzíti. Rendszergazda istrative események az Azure szerepköralapú hozzáférés-vezérlésének módosításait is tartalmazzák az előfizetésben. |
| Service Health | Az Azure-ban történt szolgáltatásállapot-incidensek rekordját tartalmazza. Az USA keleti régiójában található SQL Azure Service Health-eseményre példaként állásidő tapasztalható. A Service Health-események hatféle módon érkeznek: Művelet szükséges, Támogatott helyreállítás, Incidens, Karbantartás, Információ vagy Biztonság. Ezek az események csak akkor jönnek létre, ha rendelkezik erőforrással az esemény által érintett előfizetésben. |
| Erőforrás állapota | Az Azure-erőforrásokban bekövetkezett erőforrás-állapotesemények rekordját tartalmazza. Egy Resource Health-eseményre példa a virtuális gép állapota nem érhető el. A Resource Health-események négy állapot egyikét jelölhetik: Elérhető, Nem érhető el, Csökkentett és Ismeretlen. Emellett a Resource Health-események a platform által kezdeményezett vagy a felhasználó által kezdeményezett eseményekként is kategorizálhatók. |
| Éber | Az Azure-riasztások aktiválási rekordját tartalmazza. Egy riasztási esemény például a myVM processzor%-a 80 felett van az elmúlt 5 percben. |
| Autoscale | Az automatikus skálázási motor működésével kapcsolatos események rekordját tartalmazza az előfizetésben megadott automatikus skálázási beállítások alapján. Az automatikus skálázási eseményre példaként az automatikus skálázási felskálázási művelet meghiúsult. |
| Recommendation | Az Azure Advisor javaslati eseményeit tartalmazza. |
| Biztonság | A Felhőhöz készült Microsoft Defender által létrehozott riasztások rekordját tartalmazza. Biztonsági esemény például a végrehajtott gyanús dupla kiterjesztésű fájl. |
| Policy | Az Azure Policy által végrehajtott összes effektusművelet rekordjait tartalmazza. A szabályzatesemények közé tartoznak például a naplózás és a megtagadás. A Szabályzat által végrehajtott minden művelet egy erőforrás műveleteként van modellve. |
Rendszergazda istrative kategória
Ez a kategória tartalmazza a Resource Manageren keresztül végrehajtott összes létrehozási, frissítési, törlési és műveleti művelet rekordját. Az ebben a kategóriában megjelenő eseménytípusok közé tartozik például a "virtuális gép létrehozása" és a "hálózati biztonsági csoport törlése". A Resource Manager használatával egy felhasználó vagy alkalmazás által végrehajtott minden művelet egy adott erőforrástípuson végzett műveletként lesz modellve. Ha a művelet típusa Írás, Törlés vagy Művelet, akkor a művelet kezdő és sikeres vagy sikertelen rekordjait a rendszer a Rendszergazda istrative kategóriában rögzíti. A Rendszergazda istrative kategória az Azure szerepköralapú hozzáférés-vezérlésének módosításait is tartalmazza egy előfizetésben.
Mintaesemény
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "355249ed-15d9-460d-8481-84026b065942",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Tulajdonságleírások
| Elem neve | Leírás |
|---|---|
| engedélyezés | Az esemény Azure RBAC-tulajdonságainak blobja. Általában tartalmazza a "művelet", a "szerepkör" és a "hatókör" tulajdonságokat. |
| Hívó | Annak a felhasználónak az e-mail-címe, aki a rendelkezésre állás alapján végrehajtotta a műveletet, az UPN-jogcímet vagy az SPN-jogcímet. |
| Csatornák | Az alábbi értékek egyike: "Rendszergazda", "Művelet" |
| jogcímek | Az Active Directory által a művelet Resource Managerben való végrehajtásához használt JWT-jogkivonat. |
| correlationId | Általában egy GUID sztringformátumban. A korrelációs azonosítóval rendelkező események ugyanahhoz az uber-művelethez tartoznak. |
| leírás | Egy esemény statikus szöveges leírása. |
| eventDataId | Esemény egyedi azonosítója. |
| eventName | A Rendszergazda istrative esemény rövid neve. |
| kategória | Mindig "Rendszergazda istrative" |
| httpRequest | A Http-kérést leíró blob. Általában a "clientRequestId", a "clientIpAddress" és a "method" (HTTP-metódus) szerepel. Például PUT). |
| szint | Az esemény súlyossági szintje . |
| resourceGroupName | Az érintett erőforrás erőforráscsoportjának neve. |
| resourceProviderName | Az érintett erőforrás erőforrás-szolgáltatójának neve |
| resourceType | Egy Rendszergazda istrative esemény által érintett erőforrás típusa. |
| resourceId | Az érintett erőforrás erőforrás-azonosítója. |
| operationId | Az egyetlen műveletnek megfelelő események között megosztott GUID. |
| operationName | A művelet neve. |
| tulajdonságok | <Key, Value> Az esemény részleteit leíró párok (azaz szótárak) készlete. |
| status | A művelet állapotát leíró sztring. Néhány gyakori érték: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Általában a megfelelő REST-hívás HTTP-állapotkódja, de tartalmazhat más, alállapotokat leíró sztringeket is, például az alábbi gyakori értékeket: OK (HTTP-állapotkód: 200), Létrehozva (HTTP-állapotkód: 201), Elfogadva (HTTP-állapotkód: 202), Tartalom nélkül (HTTP-állapotkód: 204), Hibás kérés (HTTP-állapotkód: 400), Nem található (HTTP-állapotkód: 404), Ütközés (HTTP-állapotkód: 409), belső kiszolgálóhiba (HTTP-állapotkód: 500), Szolgáltatás nem érhető el (HTTP-állapotkód: 503), átjáró időtúllépése (HTTP-állapotkód: 504). |
| eventTimestamp | Időbélyeg, amikor az azure-szolgáltatás generálta az eseményt, és feldolgozta az eseménynek megfelelő kérést. |
| submissionTimestamp | Időbélyeg, amikor az esemény elérhetővé vált a lekérdezéshez. |
| subscriptionId | Azure-előfizetés azonosítója. |
Szolgáltatásállapot kategória
Ez a kategória az Azure-ban történt szolgáltatásállapot-incidensek rekordját tartalmazza. Az ebben a kategóriában látható eseménytípusra például az "SQL Azure az USA keleti régiójában állásidőt tapasztal". Szolgáltatásállapot események ötféleképpen jelennek meg: Művelet szükséges, Incidens, Karbantartás, Információ vagy Biztonság, és csak akkor jelennek meg, ha az előfizetésben van egy erőforrás, amelyre hatással lenne az esemény.
Mintaesemény
{
"channels": "Admin",
"correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
A tulajdonságok értékeinek dokumentációját a Szolgáltatásállapot-értesítések című cikkben találja.
Erőforrásállapot-kategória
Ez a kategória az Azure-erőforrásokban bekövetkezett erőforrás-állapotesemények rekordját tartalmazza. Az ebben a kategóriában látható eseménytípusra példa a "Virtuális gép állapota elérhetetlenné vált". Az erőforrás-állapotesemények négy állapot egyikét jelölhetik: Elérhető, Nem érhető el, Csökkentett és Ismeretlen. Emellett az erőforrás-állapotesemények a platform által kezdeményezett vagy a felhasználó által kezdeményezett eseményekként is kategorizálhatók.
A tevékenységnaplóban egy erőforrás-állapoteseményt rögzít a rendszer, ha:
- A rendszer egy erőforráshoz egy megjegyzést küld, például "ResourceDegraded" vagy "AccountClientThrottling".
- Nem kifogástalan állapotúra áttűnő vagy azokból áttűnő erőforrás.
- Egy erőforrás több mint 15 percig nem volt kifogástalan állapotban.
A tevékenységnapló nem rögzíti a következő erőforrásállapot-áttűnéseket:
- Áttűnés ismeretlen állapotba.
- Ismeretlen állapotból való átmenet, ha:
- Ez az első átmenet.
- Ha az Ismeretlen előtti állapot megegyezik az utána lévő új állapotmal. (Például ha az erőforrás kifogástalan állapotról ismeretlenre váltott, és visszaállt az Kifogástalan állapotra).
- Számítási erőforrások esetén: Az kifogástalan állapotról kifogástalan állapotúra váltó virtuális gépek, és visszaállnak kifogástalan állapotúra, ha az állapottalan idő kevesebb, mint 35 másodperc.
Mintaesemény
{
"channels": "Admin, Operation",
"correlationId": "28f1bfae-56d3-7urb-bff4-194d261248e9",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/a80024e1-883d-42a5-8b01-7591a1befccb/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Tulajdonságleírások
| Elem neve | Leírás |
|---|---|
| Csatornák | Mindig "Rendszergazda, művelet" |
| correlationId | Guid a sztringformátumban. |
| leírás | A riasztási esemény statikus szöveges leírása. |
| eventDataId | A riasztási esemény egyedi azonosítója. |
| kategória | Mindig "ResourceHealth" |
| eventTimestamp | Időbélyeg, amikor az azure-szolgáltatás generálta az eseményt, és feldolgozta az eseménynek megfelelő kérést. |
| szint | Az esemény súlyossági szintje . |
| operationId | Az egyetlen műveletnek megfelelő események között megosztott GUID. |
| operationName | A művelet neve. |
| resourceGroupName | Az erőforrást tartalmazó erőforráscsoport neve. |
| resourceProviderName | Mindig "Microsoft.Resourcehealth/healthevent/action". |
| resourceType | A Resource Health esemény által érintett erőforrás típusa. |
| resourceId | Az érintett erőforrás erőforrás-azonosítójának neve. |
| status | Az állapotesemény állapotát leíró sztring. Az értékek a következőek lehetnek: Aktív, Feloldva, Bejövő forgalom, Frissítve. |
| subStatus | A riasztások általában null értékűek. |
| submissionTimestamp | Időbélyeg, amikor az esemény elérhetővé vált a lekérdezéshez. |
| subscriptionId | Azure-előfizetés azonosítója. |
| tulajdonságok | <Key, Value> Az esemény részleteit leíró párok (azaz szótárak) készlete. |
| properties.title | Felhasználóbarát sztring, amely az erőforrás állapotát írja le. |
| properties.details | Felhasználóbarát sztring, amely az esemény további részleteit ismerteti. |
| properties.currentHealthStatus | Az erőforrás aktuális állapotának állapota. Az alábbi értékek egyike: "Elérhető", "Nem érhető el", "Csökkentett" és "Ismeretlen". |
| properties.previousHealthStatus | Az erőforrás előző állapotának állapota. Az alábbi értékek egyike: "Elérhető", "Nem érhető el", "Csökkentett" és "Ismeretlen". |
| properties.type | Az erőforrásállapot-esemény típusának leírása. |
| properties.cause | Az erőforrás-állapot esemény okának leírása. Vagy "UserInitiated" és "PlatformInitiated". |
Riasztási kategória
Ez a kategória a klasszikus Azure-riasztások összes aktiválásának rekordját tartalmazza. Az ebben a kategóriában látható eseménytípusra példa: "A myVM processzor%-a 80 felett van az elmúlt 5 percben". A különböző Azure-rendszereknek van riasztási fogalma: meghatározhat valamilyen szabályt, és értesítést kaphat, ha a feltételek megfelelnek a szabálynak. Minden alkalommal, amikor egy támogatott Azure-riasztástípus "aktiválódik", vagy teljesülnek az értesítések létrehozásához szükséges feltételek, a rendszer az aktiválás rekordját is leküldi a tevékenységnapló ebbe a kategóriájába.
Mintaesemény
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Tulajdonságleírások
| Elem neve | Leírás |
|---|---|
| Hívó | Mindig a Microsoft. Elemzések/alertRules |
| Csatornák | Mindig "Rendszergazda, művelet" |
| jogcímek | JSON-blob a riasztási motor egyszerű szolgáltatásnevével (szolgáltatásnév) vagy erőforrástípussal. |
| correlationId | Guid a sztringformátumban. |
| leírás | A riasztási esemény statikus szöveges leírása. |
| eventDataId | A riasztási esemény egyedi azonosítója. |
| kategória | Mindig "Riasztás" |
| szint | Az esemény súlyossági szintje . |
| resourceGroupName | Az érintett erőforrás erőforráscsoportjának neve, ha metrikariasztásról van szó. Más riasztástípusok esetén a riasztást tartalmazó erőforráscsoport neve. |
| resourceProviderName | Az érintett erőforrás erőforrás-szolgáltatójának neve, ha metrikariasztásról van szó. Más riasztástípusok esetén a riasztás erőforrás-szolgáltatójának neve. |
| resourceId | Az érintett erőforrás erőforrás-azonosítójának neve, ha metrikariasztásról van szó. Más riasztástípusok esetén ez a riasztási erőforrás erőforrás-azonosítója. |
| operationId | Az egyetlen műveletnek megfelelő események között megosztott GUID. |
| operationName | A művelet neve. |
| tulajdonságok | <Key, Value> Az esemény részleteit leíró párok (azaz szótárak) készlete. |
| status | A művelet állapotát leíró sztring. Néhány gyakori érték: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | A riasztások általában null értékűek. |
| eventTimestamp | Időbélyeg, amikor az azure-szolgáltatás generálta az eseményt, és feldolgozta az eseménynek megfelelő kérést. |
| submissionTimestamp | Időbélyeg, amikor az esemény elérhetővé vált a lekérdezéshez. |
| subscriptionId | Azure-előfizetés azonosítója. |
Tulajdonságok mező riasztástípusonként
A tulajdonságok mező a riasztási esemény forrásától függően különböző értékeket tartalmaz. A riasztások két gyakori eseményszolgáltatója a tevékenységnapló-riasztások és a metrikariasztások.
Tevékenységnapló-riasztások tulajdonságai
| Elem neve | Leírás |
|---|---|
| properties.subscriptionId | Annak a tevékenységnapló-eseménynek az előfizetés-azonosítója, amely a tevékenységnapló-riasztási szabály aktiválását okozta. |
| properties.eventDataId | Annak a tevékenységnapló-eseménynek az eseményadat-azonosítója, amely a tevékenységnapló riasztási szabály aktiválását okozta. |
| properties.resourceGroup | Annak a tevékenységnapló-eseménynek az erőforráscsoportja, amely a tevékenységnapló-riasztási szabály aktiválását okozta. |
| properties.resourceId | A tevékenységnapló-riasztási szabály aktiválását okozó tevékenységnapló-esemény erőforrás-azonosítója. |
| properties.eventTimestamp | Annak a tevékenységnapló-eseménynek az esemény-időbélyege, amely a tevékenységnapló riasztási szabály aktiválását okozta. |
| properties.operationName | Annak a tevékenységnapló-eseménynek a műveletneve, amely a tevékenységnapló-riasztási szabály aktiválását okozta. |
| properties.status | Annak a tevékenységnapló-eseménynek az állapota, amely a tevékenységnapló-riasztási szabály aktiválását okozta. |
Metrikariasztások tulajdonságai
| Elem neve | Leírás |
|---|---|
| Tulajdonságok. Szabályuri | A metrikariasztási szabály erőforrás-azonosítója. |
| Tulajdonságok. RuleName | A metrikariasztási szabály neve. |
| Tulajdonságok. Szabálydescription | A metrikariasztási szabály leírása (a riasztási szabályban meghatározottak szerint). |
| Tulajdonságok. Küszöb | A metrikariasztási szabály kiértékelése során használt küszöbérték. |
| Tulajdonságok. WindowSizeInMinutes | A metrikariasztási szabály kiértékelése során használt ablakméret. |
| Tulajdonságok. Összesítés | A metrikariasztási szabályban definiált összesítési típus. |
| Tulajdonságok. Üzemeltető | A metrikariasztási szabály kiértékelése során használt feltételes operátor. |
| Tulajdonságok. MetricName | A metrikariasztási szabály kiértékelése során használt metrika metrikaneve. |
| Tulajdonságok. MetricUnit | A metrikariasztási szabály kiértékelése során használt metrikaegység. |
Automatikus skálázási kategória
Ez a kategória tartalmazza az automatikus skálázási motor működésével kapcsolatos események rekordját az előfizetésben megadott automatikus skálázási beállítások alapján. Az ebben a kategóriában látható eseménytípusra példa a "Sikertelen automatikus skálázási művelet". Az automatikus skálázás használatával automatikusan felskálázhatja vagy skálázhatja a támogatott erőforrástípus példányainak számát a nap időpontja és/vagy az adatok betöltése (metrika) alapján egy automatikus skálázási beállítás használatával. Ha a feltételek teljesülnek a vertikális fel- vagy leskálázáshoz, a rendszer ebben a kategóriában rögzíti a kezdési és sikeres vagy sikertelen eseményeket.
Mintaesemény
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Tulajdonságleírások
| Elem neve | Leírás |
|---|---|
| Hívó | Mindig a Microsoft. Elemzések/automatikus skálázás Gépház |
| Csatornák | Mindig "Rendszergazda, művelet" |
| jogcímek | Az automatikus skálázási motor egyszerű szolgáltatásnevével (szolgáltatásnév) vagy erőforrástípussal rendelkező JSON-blob. |
| correlationId | Guid a sztringformátumban. |
| leírás | Az automatikus skálázási esemény statikus szöveges leírása. |
| eventDataId | Az automatikus skálázási esemény egyedi azonosítója. |
| szint | Az esemény súlyossági szintje . |
| resourceGroupName | Az automatikus méretezési beállítás erőforráscsoportjának neve. |
| resourceProviderName | Az automatikus méretezési beállítás erőforrás-szolgáltatójának neve. |
| resourceId | Az automatikus méretezési beállítás erőforrás-azonosítója. |
| operationId | Az egyetlen műveletnek megfelelő események között megosztott GUID. |
| operationName | A művelet neve. |
| tulajdonságok | <Key, Value> Az esemény részleteit leíró párok (azaz szótárak) készlete. |
| Tulajdonságok. Leírás | Az automatikus skálázási motor részletes leírása. |
| Tulajdonságok. ResourceName | Az érintett erőforrás erőforrás-azonosítója (az az erőforrás, amelyen a méretezési műveletet végrehajtották) |
| Tulajdonságok. OldInstancesCount | Az automatikus skálázási művelet életbe lépése előtti példányok száma. |
| Tulajdonságok. NewInstancesCount | Az automatikus skálázási művelet érvénybe lépését követő példányok száma. |
| Tulajdonságok. LastScaleActionTime | Az automatikus skálázási művelet bekövetkezésének időbélyege. |
| status | A művelet állapotát leíró sztring. Néhány gyakori érték: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Az automatikus skálázáshoz általában null értékű. |
| eventTimestamp | Időbélyeg, amikor az azure-szolgáltatás generálta az eseményt, és feldolgozta az eseménynek megfelelő kérést. |
| submissionTimestamp | Időbélyeg, amikor az esemény elérhetővé vált a lekérdezéshez. |
| subscriptionId | Azure-előfizetés azonosítója. |
Biztonsági kategória
Ez a kategória tartalmazza a Felhőhöz készült Microsoft Defender által létrehozott riasztások rekordját. Az ebben a kategóriában látható eseménytípusra példa a "Gyanús dupla kiterjesztésű fájl végrehajtása".
Mintaesemény
{
"channels": "Operation",
"correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
"level": "Informational",
"operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Tulajdonságleírások
| Elem neve | Leírás |
|---|---|
| Csatornák | Mindig "Művelet" |
| correlationId | Guid a sztringformátumban. |
| leírás | A biztonsági esemény statikus szöveges leírása. |
| eventDataId | A biztonsági esemény egyedi azonosítója. |
| eventName | A biztonsági esemény rövid neve. |
| kategória | Mindig "Biztonság" |
| Azonosító | A biztonsági esemény egyedi erőforrás-azonosítója. |
| szint | Az esemény súlyossági szintje . |
| resourceGroupName | Az erőforrás erőforráscsoportjának neve. |
| resourceProviderName | A Felhőhöz készült Microsoft Defender erőforrás-szolgáltatójának neve. Mindig "Microsoft.Security". |
| resourceType | A biztonsági eseményt létrehozó erőforrás típusa, például "Microsoft.Security/locations/alerts" |
| resourceId | A biztonsági riasztás erőforrás-azonosítója. |
| operationId | Az egyetlen műveletnek megfelelő események között megosztott GUID. |
| operationName | A művelet neve. |
| tulajdonságok | <Key, Value> Az esemény részleteit leíró párok (azaz szótárak) készlete. Ezek a tulajdonságok a biztonsági riasztás típusától függően változnak. Ezen a lapon a Felhőhöz készült Defender származó riasztások típusainak leírását találjuk. |
| Tulajdonságok. Súlyossága | A súlyossági szint. Lehetséges értékek: "Magas", "Közepes" vagy "Alacsony". |
| status | A művelet állapotát leíró sztring. Néhány gyakori érték: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | A biztonsági események általában null értékűek. |
| eventTimestamp | Időbélyeg, amikor az azure-szolgáltatás generálta az eseményt, és feldolgozta az eseménynek megfelelő kérést. |
| submissionTimestamp | Időbélyeg, amikor az esemény elérhetővé vált a lekérdezéshez. |
| subscriptionId | Azure-előfizetés azonosítója. |
Javaslat kategória
Ez a kategória tartalmazza a szolgáltatásokhoz létrehozott új javaslatok rekordját. Egy javaslat például a "Rendelkezésre állási csoportok használata a jobb hibatűrés érdekében". A javaslati eseményeknek négy típusa hozható létre: magas rendelkezésre állás, teljesítmény, biztonság és költségoptimalizálás.
Mintaesemény
{
"channels": "Operation",
"correlationId": "92481dfd-c5bf-4752-b0d6-0ecddaa64776",
"description": "The action was successful.",
"eventDataId": "06cb0e44-111b-47c7-a4f2-aa3ee320c9c5",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/06cb0e44-111b-47c7-a4f2-aa3ee320c9c5/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Tulajdonságleírások
| Elem neve | Leírás |
|---|---|
| Csatornák | Mindig "Művelet" |
| correlationId | Guid a sztringformátumban. |
| leírás | A javaslati esemény statikus szöveges leírása |
| eventDataId | A javaslati esemény egyedi azonosítója. |
| kategória | Mindig "Javaslat" |
| Azonosító | A javaslati esemény egyedi erőforrás-azonosítója. |
| szint | Az esemény súlyossági szintje . |
| operationName | A művelet neve. Mindig "Microsoft.Advisor/generate Javaslatok/action" |
| resourceGroupName | Az erőforrás erőforráscsoportjának neve. |
| resourceProviderName | Annak az erőforrásnak az erőforrás-szolgáltatójának a neve, amelyre ez a javaslat vonatkozik, például"MICROSOFT. COMPUTE" |
| resourceType | Annak az erőforrásnak az erőforrástípusának a neve, amelyekre ez a javaslat vonatkozik, például "MICROSOFT. COMPUTE/virtualmachines" |
| resourceId | Annak az erőforrásnak az erőforrás-azonosítója, amelyekre a javaslat vonatkozik |
| status | Mindig "Aktív" |
| submissionTimestamp | Időbélyeg, amikor az esemény elérhetővé vált a lekérdezéshez. |
| subscriptionId | Azure-előfizetés azonosítója. |
| tulajdonságok | <Key, Value> A javaslat részleteit leíró párok (azaz szótárak) készlete. |
| properties.recommendationSchemaVersion | A Tevékenységnapló bejegyzésben közzétett javaslattulajdonságok sémaverziója |
| properties.recommendationCategory | A javaslat kategóriája. Lehetséges értékek: "Magas rendelkezésre állás", "Teljesítmény", "Biztonság" és "Költség" |
| properties.recommendationImpact | A javaslat hatása. Lehetséges értékek: "High", "Medium", "Low" |
| properties.recommendationRisk | A javaslat kockázata. Lehetséges értékek: "Error", "Warning", "None" |
Szabályzatkategória
Ez a kategória az Azure Policy által végrehajtott összes effektusművelet rekordjait tartalmazza. Az ebben a kategóriában látható eseménytípusok közé tartoznak például a Naplózás és a Megtagadás. A Szabályzat által végrehajtott minden művelet egy erőforrás műveleteként van modellve.
Mintaszabályzat-esemény
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"description": "",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/13bbf75f-36d5-4e66-b693-725267ff21ce/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Szabályzatesemény tulajdonságainak leírása
| Elem neve | Leírás |
|---|---|
| engedélyezés | Az esemény Azure RBAC-tulajdonságainak tömbje. Új erőforrások esetén ez a kiértékelést kiváltó kérés művelete és hatóköre. Meglévő erőforrások esetén a művelet a következő: "Microsoft.Resources/checkPolicyCompliance/read". |
| Hívó | Új erőforrások esetén az üzembe helyezést kezdeményező identitás. Meglévő erőforrások esetében a Microsoft Azure Policy Elemzések RP GUID azonosítója. |
| Csatornák | A szabályzatesemények csak a "Művelet" csatornát használják. |
| jogcímek | Az Active Directory által a művelet Resource Managerben való végrehajtásához használt JWT-jogkivonat. |
| correlationId | Általában egy GUID sztringformátumban. A korrelációs azonosítóval rendelkező események ugyanahhoz az uber-művelethez tartoznak. |
| leírás | Ez a mező üres a Szabályzatesemények esetében. |
| eventDataId | Esemény egyedi azonosítója. |
| eventName | Vagy "BeginRequest" vagy "EndRequest". A "BeginRequest" a késleltetett auditIfNotExists és deployIfNotExists kiértékelésekhez, valamint amikor egy deployIfNotExists effektus elindít egy sablon üzembe helyezését. Minden más művelet az "EndRequest" értéket adja vissza. |
| kategória | A tevékenységnapló-eseményt a "Szabályzat" elemhez tartozóként deklarálja. |
| eventTimestamp | Időbélyeg, amikor az azure-szolgáltatás generálta az eseményt, és feldolgozta az eseménynek megfelelő kérést. |
| Azonosító | Az esemény egyedi azonosítója az adott erőforráson. |
| szint | Az esemény súlyossági szintje . A naplózás a "Figyelmeztetés" és a Deny (Hiba) kifejezést használja. Az auditIfNotExists vagy deployIfNotExists hiba súlyosságtól függően "Figyelmeztetés" vagy "Hiba" értéket eredményezhet. Minden más szabályzatesemény az "Információs" kifejezést használja. |
| operationId | Az egyetlen műveletnek megfelelő események között megosztott GUID. |
| operationName | A művelet neve, és közvetlenül korrelál a Szabályzat effektushoz. |
| resourceGroupName | A kiértékelt erőforrás erőforráscsoportjának neve. |
| resourceProviderName | A kiértékelt erőforrás erőforrás-szolgáltatójának neve. |
| resourceType | Az új erőforrások esetében ez a kiértékelendő típus. Meglévő erőforrások esetén a "Microsoft.Resources/checkPolicyCompliance" értéket adja vissza. |
| resourceId | A kiértékelt erőforrás erőforrás-azonosítója. |
| status | A szabályzat kiértékelési eredményének állapotát leíró sztring. A legtöbb szabályzatértékelés "Sikeres" értéket ad vissza, de a Megtagadás effektus a "Sikertelen" értéket adja vissza. Az auditIfNotExists vagy a deployIfNotExists hibái szintén "Sikertelen" értéket adnak vissza. |
| subStatus | A házirendesemények mezője üres. |
| submissionTimestamp | Időbélyeg, amikor az esemény elérhetővé vált a lekérdezéshez. |
| subscriptionId | Azure-előfizetés azonosítója. |
| properties.isComplianceCheck | "Hamis" értéket ad vissza egy új erőforrás üzembe helyezésekor vagy egy meglévő erőforrás Resource Manager-tulajdonságainak frissítésekor. Az összes többi kiértékelési eseményindító eredménye "Igaz". |
| properties.resourceLocation | A kiértékelendő erőforrás Azure-régiója. |
| properties.ancestors | A közvetlen szülőtől a legtávolabbi nagyszülőhöz rendelt szülőfelügyeleti csoportok vesszővel tagolt listája. |
| properties.policies | Részletesen ismerteti a szabályzatdefiníciót, a hozzárendelést, a effektust és a paramétereket, amelyekből a szabályzat kiértékelése következik. |
| relatedEvents | Ez a mező üres a Szabályzatesemények esetében. |
Séma tárfiókból és eseményközpontokból
Amikor az Azure-tevékenységnaplót egy tárfiókba vagy eseményközpontba streameli, az adatok az erőforrásnapló sémáját követik. Az alábbi táblázat a fenti sémák tulajdonságainak az erőforrásnapló-sémára való leképezését tartalmazza.
Fontos
A tárfiókba írt tevékenységnapló-adatok formátuma JSON-sorokra változott 2018. nov. 1-jén. A formátumváltozás részleteiért tekintse meg a tárfiókba archivált Azure Monitor-erőforrásnaplók formátummódosításának előkészítését.
| Erőforrásnaplók sématulajdonság | Tevékenységnapló REST API sématulajdonság | Jegyzetek |
|---|---|---|
| time | eventTimestamp | |
| resourceId | resourceId | az subscriptionId, resourceType és resourceGroupName mind a resourceId azonosítóból származik. |
| operationName | operationName.value | |
| kategória | A művelet neve | A művelettípus megszakítása. "Írás", "Törlés" vagy "Művelet". |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | leírás | |
| durationMs | N/A | Mindig 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| identitás | jogcímek és engedélyezési tulajdonságok | |
| Szint | Szint | |
| hely | N/A | Az esemény feldolgozásának helye. Ez nem az erőforrás helye, hanem az esemény feldolgozásának helye. Ez a tulajdonság egy későbbi frissítésben el lesz távolítva. |
| Tulajdonságok | properties.eventProperties | |
| properties.eventCategory | kategória | Ha a properties.eventCategory nincs jelen, a kategória "Rendszergazda istrative" |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | tulajdonságok |
Az alábbi példa egy ilyen sémát használó eseményre mutat be példát:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
"identity": {
"authorization": {
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/00000000-0000-0000-0000-000000000000",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "12345678-3bq0-49c1-b47d-974e53cbdf3c",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}