Webhook konfigurálása tevékenységnapló-riasztások lekéréséhez
A műveletcsoport definíciójának részeként konfigurálhatja a webhook végpontjait a tevékenységnapló riasztási értesítéseinek fogadásához. A webhookokkal ezeket az értesítéseket más rendszerekre irányíthatja utófeldolgozás vagy egyéni műveletek céljából. Ez a cikk bemutatja, hogyan néz ki a HTTP POST hasznos adata egy webhook számára.
A tevékenységnapló-riasztásokkal kapcsolatos további információkért tekintse meg, hogyan hozhat létre Azure-tevékenységnapló-riasztásokat.
A műveletcsoportokkal kapcsolatos információkért tekintse meg a műveletcsoportok létrehozását ismertető témakört.
Feljegyzés
A webhook-integrációkhoz használhatja a gyakori riasztási sémát is. Előnye, hogy egyetlen bővíthető és egységes riasztási hasznos adat áll rendelkezésre az Azure Monitor összes riasztási szolgáltatásában. Tudnivalók a gyakori riasztási sémáról.
A webhook hitelesítése
A webhook opcionálisan jogkivonatalapú hitelesítést is használhat a hitelesítéshez. A webhook URI-ja például https://mysamplealert/webcallback?tokenid=sometokenid&someparameter=somevaluejogkivonat-azonosítóval van mentve.
Hasznos adatséma
A POST műveletben található JSON hasznos adatok a hasznos adatok mezője data.context.activityLog.eventSource alapján különböznek.
Feljegyzés
A tevékenységnapló-esemény részét képező leírás jelenleg az aktivált Alert Description tulajdonságba lesz másolva.
A tevékenységnapló hasznos adatainak más riasztástípusokhoz való igazításához 2021. április 1-től az aktivált riasztási tulajdonság Description ehelyett a riasztási szabály leírását tartalmazza.
A módosítás előkészítésekor létrehoztunk egy új tulajdonságot a Activity Log Event Descriptiontevékenységnapló aktivált riasztásához. Ez az új tulajdonság meg van töltve azzal a Description tulajdonsággal, amely már használható. Az új mező Activity Log Event Description tehát tartalmazza a tevékenységnapló eseményének részét képező leírást.
Tekintse át a riasztási szabályokat, a műveleti szabályokat, a webhookokat, a logikai alkalmazásokat vagy azokat a konfigurációkat, amelyekben az Description aktivált riasztás tulajdonságát használhatja. Cserélje le a Description tulajdonságot a tulajdonságra Activity Log Event Description .
Ha a műveleti szabályokban, a webhookokban, a logikai alkalmazásokban vagy más konfigurációkban szereplő feltétel jelenleg a Description tevékenységnapló-riasztások tulajdonságán alapul, előfordulhat, hogy módosítania kell, hogy a Activity Log Event Description tulajdonságon alapuljon.
Az új Description tulajdonság kitöltéséhez hozzáadhat egy leírást a riasztási szabály definíciójában.
Közös
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Operation",
"correlationId": "6ac88262-43be-4adf-a11c-bd2179852898",
"eventSource": "Administrative",
"eventTimestamp": "2017-03-29T15:43:08.0019532+00:00",
"eventDataId": "8195a56a-85de-4663-943e-1a2bf401ad94",
"level": "Informational",
"operationName": "Microsoft.Insights/actionGroups/write",
"operationId": "6ac88262-43be-4adf-a11c-bd2179852898",
"status": "Started",
"subStatus": "",
"subscriptionId": "52c65f65-0518-4d37-9719-7dbbfc68c57a",
"submissionTimestamp": "2017-03-29T15:43:20.3863637+00:00",
...
}
},
"properties": {}
}
}
Adminisztratív
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"authorization": {
"action": "Microsoft.Insights/actionGroups/write",
"scope": "/subscriptions/52c65f65-0518-4d37-9719-7dbbfc68c57b/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions"
},
"claims": "{...}",
"caller": "me@contoso.com",
"description": "",
"httpRequest": "{...}",
"resourceId": "/subscriptions/52c65f65-0518-4d37-9719-7dbbfc68c57b/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions",
"resourceGroupName": "CONTOSO-TEST",
"resourceProviderName": "Microsoft.Insights",
"resourceType": "Microsoft.Insights/actionGroups"
}
},
"properties": {}
}
}
Biztonság
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"correlationId":"2518408115673929999",
"description":"Failed SSH brute force attack. Failed brute force attacks were detected from the following attackers: [\"IP Address: 01.02.03.04\"]. Attackers were trying to access the host with the following user names: [\"root\"].",
"eventSource":"Security",
"eventTimestamp":"2017-06-25T19:00:32.607+00:00",
"eventDataId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
"level":"Informational",
"operationName":"Microsoft.Security/locations/alerts/activate/action",
"operationId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
"properties":{
"attackers":"[\"IP Address: 01.02.03.04\"]",
"numberOfFailedAuthenticationAttemptsToHost":"456",
"accountsUsedOnFailedSignInToHostAttempts":"[\"root\"]",
"wasSSHSessionInitiated":"No","endTimeUTC":"06/25/2017 19:59:39",
"actionTaken":"Detected",
"resourceType":"Virtual Machine",
"severity":"Medium",
"compromisedEntity":"LinuxVM1",
"remediationSteps":"[In case this is an Azure virtual machine, add the source IP to NSG block list for 24 hours (see https://azure.microsoft.com/documentation/articles/virtual-networks-nsg/)]",
"attackedResourceType":"Virtual Machine"
},
"resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/Microsoft.Security/locations/centralus/alerts/Sec-07f2-4d74-aaf0-03d2f53d5a33",
"resourceGroupName":"contoso",
"resourceProviderName":"Microsoft.Security",
"status":"Active",
"subscriptionId":"12345-5645-123a-9867-123b45a6789",
"submissionTimestamp":"2017-06-25T20:23:04.9743772+00:00",
"resourceType":"MICROSOFT.SECURITY/LOCATIONS/ALERTS"
}
},
"properties":{}
}
}
Ajánlás
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{
"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"claims":"{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Microsoft.Advisor\"}",
"caller":"Microsoft.Advisor",
"correlationId":"123b4c54-11bb-3d65-89f1-0678da7891bd",
"description":"A new recommendation is available.",
"eventSource":"Recommendation",
"eventTimestamp":"2017-06-29T13:52:33.2742943+00:00",
"httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
"eventDataId":"1bf234ef-e45f-4567-8bba-fb9b0ee1dbcb",
"level":"Informational",
"operationName":"Microsoft.Advisor/recommendations/available/action",
"properties":{
"recommendationSchemaVersion":"1.0",
"recommendationCategory":"HighAvailability",
"recommendationImpact":"Medium",
"recommendationName":"Enable Soft Delete to protect your blob data",
"recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azure_Expert/RecommendationListBlade/recommendationTypeId/12dbf883-5e4b-4f56-7da8-123b45c4b6e6",
"recommendationType":"12dbf883-5e4b-4f56-7da8-123b45c4b6e6"
},
"resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/microsoft.storage/storageaccounts/contosoStore",
"resourceGroupName":"CONTOSO",
"resourceProviderName":"MICROSOFT.STORAGE",
"status":"Active",
"subStatus":"",
"subscriptionId":"12345-5645-123a-9867-123b45a6789",
"submissionTimestamp":"2017-06-29T13:52:33.2742943+00:00",
"resourceType":"MICROSOFT.STORAGE/STORAGEACCOUNTS"
}
},
"properties":{}
}
}
ServiceHealth
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Admin",
"correlationId": "bbac944f-ddc0-4b4c-aa85-cc7dc5d5c1a6",
"description": "Active: Virtual Machines - Australia East",
"eventSource": "ServiceHealth",
"eventTimestamp": "2017-10-18T23:49:25.3736084+00:00",
"eventDataId": "6fa98c0f-334a-b066-1934-1a4b3d929856",
"level": "Informational",
"operationName": "Microsoft.ServiceHealth/incident/action",
"operationId": "bbac944f-ddc0-4b4c-aa85-cc7dc5d5c1a6",
"properties": {
"title": "Virtual Machines - Australia East",
"service": "Virtual Machines",
"region": "Australia East",
"communication": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
"incidentType": "Incident",
"trackingId": "0NIH-U2O",
"impactStartTime": "2017-10-18T02:48:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"Australia East\"}],\"ServiceName\":\"Virtual Machines\"}]",
"defaultLanguageTitle": "Virtual Machines - Australia East",
"defaultLanguageContent": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
"stage": "Active",
"communicationId": "636439673646212912",
"version": "0.1.1"
},
"status": "Active",
"subscriptionId": "45529734-0ed9-4895-a0df-44b59a5a07f9",
"submissionTimestamp": "2017-10-18T23:49:28.7864349+00:00"
}
},
"properties": {}
}
}
A szolgáltatásállapot-értesítési tevékenységnapló-riasztásokkal kapcsolatos konkrét sémaadatokért lásd Szolgáltatásállapot értesítéseket. Azt is megtudhatja, hogyan konfigurálhatja a service health webhook-értesítéseket a meglévő problémakezelési megoldásokkal.
ResourceHealth
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Admin, Operation",
"correlationId": "a1be61fd-37ur-ba05-b827-cb874708babf",
"eventSource": "ResourceHealth",
"eventTimestamp": "2018-09-04T23:09:03.343+00:00",
"eventDataId": "2b37e2d0-7bda-4de7-ur8c6-1447d02265b2",
"level": "Informational",
"operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
"operationId": "2b37e2d0-7bda-489f-81c6-1447d02265b2",
"properties": {
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"currentHealthStatus": "Unavailable",
"previousHealthStatus": "Available",
"type": "Downtime",
"cause": "PlatformInitiated"
},
"resourceId": "/subscriptions/<subscription Id>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"resourceGroupName": "<resource group>",
"resourceProviderName": "Microsoft.Resourcehealth/healthevent/action",
"status": "Active",
"subscriptionId": "<subscription Id>",
"submissionTimestamp": "2018-09-04T23:11:06.1607287+00:00",
"resourceType": "Microsoft.Compute/virtualMachines"
}
}
}
}
| Elem neve | Leírás |
|---|---|
| status | Metrikariasztásokhoz használatos. Mindig állítsa be a activated tevékenységnapló-riasztásokat. |
| Összefüggésben | Az esemény kontextusa. |
| resourceProviderName | Az érintett erőforrás erőforrás-szolgáltatója. |
| conditionType | Mindig Event. |
| név | A riasztási szabály neve. |
| ID (Azonosító) | A riasztás erőforrás-azonosítója. |
| leírás | A riasztás létrehozásakor a riasztás leírása be van állítva. |
| subscriptionId | Az Azure-előfizetés azonosítója. |
| időbélyeg | Az az időpont, amikor az eseményt a kérést feldolgozó Azure-szolgáltatás hozta létre. |
| resourceId | Az érintett erőforrás erőforrás-azonosítója. |
| resourceGroupName | Az érintett erőforrás erőforráscsoportjának neve. |
| tulajdonságok | <Key, Value> Az esemény részleteit tartalmazó párok (vagyis Dictionary<String, String>) készlete. |
| esemény | Az esemény metaadatait tartalmazó elem. |
| engedélyezés | Az esemény Azure szerepköralapú hozzáférés-vezérlési tulajdonságai. Ezek a tulajdonságok általában tartalmazzák a műveletet, a szerepkört és a hatókört. |
| kategória | Az esemény kategóriája. A támogatott értékek közé tartoznak a következők: Administrative, Alert, Security, ServiceHealthés Recommendation. |
| Hívó | A műveletet végrehajtó felhasználó e-mail-címe, az UPN-jogcím vagy az EGYSZERŰ SZOLGÁLTATÁSNÉV-jogcím rendelkezésre állása alapján. Bizonyos rendszerhívások esetén null értékű lehet. |
| correlationId | Általában egy GUID sztringformátumban. Ugyanahhoz correlationId a nagyobb művelethez tartozó események általában egy correlationId. |
| eventDescription | Az esemény statikus szöveges leírása. |
| eventDataId | Az esemény egyedi azonosítója. |
| eventSource | Az eseményt létrehozó Azure-szolgáltatás vagy infrastruktúra neve. |
| httpRequest | A kérés általában tartalmazza a clientRequestId, clientIpAddressés a HTTP metódust (például PUT). |
| szint | Az alábbi értékek egyike: Critical, Error, Warningés Informational. |
| operationId | Általában az egyetlen műveletnek megfelelő események között megosztott GUID-azonosító. |
| operationName | A művelet neve. |
| tulajdonságok | Az esemény tulajdonságai. |
| status | Karakterlánc. A művelet állapota. Gyakori értékek: Started, In Progress, Succeeded, Failed, Activeés Resolved. |
| subStatus | Általában a megfelelő REST-hívás HTTP-állapotkódját tartalmazza. Más sztringeket is tartalmazhat, amelyek egy alállapotot írnak le. A gyakori alállapotértékek a következők OK : (HTTP-állapotkód: 200), Created (HTTP-állapotkód: 201), Accepted (HTTP-állapotkód: 202), No Content (HTTP-állapotkód: 204), Bad Request (HTTP-állapotkód: 400), Not Found (HTTP-állapotkód: 404), Conflict (HTTP-állapotkód: 409), Internal Server Error (HTTP-állapotkód: 500), Service Unavailable (HTTP-állapotkód: 503) és Gateway Timeout (HTTP-állapotkód: 504). |
Az összes többi tevékenységnapló-riasztásra vonatkozó konkrét sémaadatokért tekintse meg az Azure-tevékenységnapló áttekintését.
Következő lépések
- További információ a tevékenységnaplóról.
- Azure Automation-szkriptek (runbookok) végrehajtása Azure-riasztásokon.
- Egy logikai alkalmazással SMS-t küldhet twilio-on keresztül egy Azure-riasztásból. Ez a példa a metrikariasztásokra mutat, de módosítható a tevékenységnapló-riasztások használatához.
- Egy logikai alkalmazással Slack-üzenetet küldhet egy Azure-riasztásból. Ez a példa a metrikariasztásokra mutat, de módosítható a tevékenységnapló-riasztások használatához.
- Egy logikai alkalmazás használatával üzenetet küldhet egy Azure-üzenetsorba egy Azure-riasztásból. Ez a példa a metrikariasztásokra mutat, de módosítható a tevékenységnapló-riasztások használatához.