Condividi tramite


Schema degli eventi del log attività di Azure

Il log attività di Azure fornisce informazioni dettagliate su tutti gli eventi a livello di sottoscrizione che si sono verificati in Azure. Questo articolo descrive le categorie di log attività e lo schema per ognuno di essi.

Lo schema varia a seconda della modalità di accesso al log:

  • Gli schemi descritti in questo articolo sono quando si accede al log attività dall'API REST. Lo schema viene usato anche quando si seleziona l'opzione JSON quando si visualizza un evento nel portale di Azure.
  • Vedere la sezione finale Schema dall'account di archiviazione e dagli hub eventi per lo schema quando si usa un'impostazione di diagnostica per inviare il log attività a Archiviazione di Azure o Hub eventi di Azure.
  • Vedere Informazioni di riferimento sui dati di Monitoraggio di Azure per lo schema quando si usa un'impostazione di diagnostica per inviare il log attività a un'area di lavoro Log Analytics.

Livello di gravità

Ogni voce nel log attività ha un livello di gravità. Il livello di gravità può avere uno dei valori seguenti:

Gravità Descrizione
Critico Eventi che richiedono l'attenzione immediata di un amministratore di sistema. Potrebbe indicare che un'applicazione o un sistema non è riuscito o ha smesso di rispondere.
Error Eventi che indicano un problema, ma non richiedono attenzione immediata.
Avviso Eventi che forniscono la generazione di potenziali problemi, anche se non un errore effettivo. Indicare che una risorsa non è in uno stato ideale e potrebbe degradarsi in un secondo momento nella visualizzazione di errori o eventi critici.
Informativo Eventi che passano informazioni non critiche all'amministratore. Simile a una nota che indica: "Per le informazioni".

Gli sviluppatori di ogni provider di risorse scelgono i livelli di gravità delle voci delle risorse. Di conseguenza, la gravità effettiva può variare a seconda della modalità di compilazione dell'applicazione. Ad esempio, gli elementi "critici" di una determinata risorsa presa in isolamento potrebbero non essere importanti come "errori" in un tipo di risorsa centrale per l'applicazione Azure. Assicurarsi di considerare questo fatto quando si decide quali eventi inviare avvisi.

Categorie

Ogni evento nel log attività ha una categoria specifica descritta nella tabella seguente. Per altri dettagli su ogni categoria e sul relativo schema, vedere le sezioni seguenti quando si accede al log attività dal portale, Da PowerShell, dall'interfaccia della riga di comando e dall'API REST. Lo schema è diverso quando si trasmette il log attività all'archiviazione o a Hub eventi. Nell'ultima sezione dell'articolo viene fornito un mapping delle proprietà allo schema dei log delle risorse.

Categoria Descrizione
Amministrativo Contiene il record di tutte le operazioni di creazione, aggiornamento, eliminazione e azione eseguite tramite Resource Manager. Esempi di eventi amministrativi includono la creazione di una macchina virtuale e l'eliminazione di un gruppo di sicurezza di rete.

Ogni azione eseguita da un utente o da un'applicazione che usa Resource Manager viene modellata come operazione su un particolare tipo di risorsa. Se l'operazione è di tipo scrittura, eliminazione o azione, i record di avvio e riuscita o di non riuscita di tale operazione vengono registrati nella categoria Amministrativo. Gli eventi amministrativi includono anche eventuali modifiche al controllo degli accessi in base al ruolo di Azure in una sottoscrizione.
Integrità dei servizi Contiene il record di eventuali eventi imprevisti di integrità dei servizi che si sono verificati in Azure. Un esempio di evento di tipo Integrità dei servizi è Tempo di inattività registrato in SQL Azure negli Stati Uniti orientali.

Gli eventi di integrità dei servizi sono disponibili in sei varietà: azione richiesta, ripristino assistito, incidente, manutenzione, informazioni o sicurezza. Questi eventi vengono creati solo se si dispone di una risorsa nella sottoscrizione interessata dall'evento.
Integrità risorse Contiene il record di tutti gli eventi di integrità delle risorse che si sono verificati nelle risorse di Azure. Un esempio di evento di tipo Integrità delle risorse è Lo stato di integrità della macchina virtuale è cambiato in non disponibile.

Integrità risorse eventi possono rappresentare uno dei quattro stati di integrità: Disponibile, Non disponibile, Danneggiato e Sconosciuto. Inoltre, gli eventi di tipo Integrità delle risorse possono essere classificati come avviati dalla piattaforma o avviati dall'utente.
Alert Contiene il record delle attivazioni per gli avvisi di Azure. Un esempio di evento alert è la percentuale di CPU in myVM superiore a 80 per gli ultimi 5 minuti.
Scalabilità automatica Contiene il record di tutti gli eventi correlati al funzionamento del motore di scalabilità automatica in base alle impostazioni di scalabilità automatica definite nella sottoscrizione. Un esempio di un evento di tipo Scalabilità automatica è Scalabilità automatica dell'azione di scalabilità verticale non riuscita.
Consiglio Contiene gli eventi di raccomandazione di Azure Advisor.
Sicurezza Contiene il record di tutti gli avvisi generati da Microsoft Defender per il cloud. Un esempio di evento di tipo Sicurezza è Esecuzione sospetta di un file a doppia estensione.
Criteri Include i record di tutte le operazioni relative ad azioni effetto eseguite da Criteri di Azure. Esempi di eventi di tipo Criteri includono Controlla e Nega. Ogni azione eseguita da Criteri viene modellata come operazione su una risorsa.

Categoria amministrativa

Questa categoria contiene il record di tutte le operazioni di creazione, aggiornamento, eliminazione e azione eseguite tramite Resource Manager. Esempi dei tipi di eventi visualizzati in questa categoria includono "create virtual machine" e "delete network security group". Ogni azione eseguita da un utente o da un'applicazione che usa Resource Manager viene modellata come operazione su un particolare tipo di risorsa. Se l'operazione è di tipo scrittura, eliminazione o azione, i record di avvio e riuscita o di non riuscita di tale operazione vengono registrati nella categoria Amministrativo. La categoria Amministrativa include anche eventuali modifiche al controllo degli accessi in base al ruolo di Azure in una sottoscrizione.

Evento di esempio

{
    "authorization": {
        "action": "Microsoft.Network/networkSecurityGroups/write",
        "scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
    },
    "caller": "rob@contoso.com",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "_claim_names": "{\"groups\":\"src1\"}",
        "_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
        "http://schemas.microsoft.com/claims/authnclassreference": "1",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
        "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "appidacr": "2",
        "http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
        "e_exp": "262800",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
        "ipaddr": "111.111.1.111",
        "name": "Rob Robertson",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
        "puid": "18247BBD84827C6D",
        "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2018-01-29T20:42:31.3810679Z",
    "id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
    "level": "Informational",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Network/networkSecurityGroups/write",
        "localizedValue": "Microsoft.Network/networkSecurityGroups/write"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Network",
        "localizedValue": "Microsoft.Network"
    },
    "resourceType": {
        "value": "Microsoft.Network/networkSecurityGroups",
        "localizedValue": "Microsoft.Network/networkSecurityGroups"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "statusCode": "Created",
        "serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
        "responseBody": "",
        "requestbody": ""
    },
    "relatedEvents": []
}

Descrizioni delle proprietà

Nome elemento Descrizione
autorizzazione BLOB delle proprietà del controllo degli accessi in base al ruolo di Azure dell'evento. In genere include le proprietà "action", "role" e "scope".
caller Indirizzo di posta elettronica dell'utente che ha eseguito l'operazione, attestazione UPN o attestazione SPN, a seconda della disponibilità.
channels Uno dei valori seguenti: "Admin" o "Operation".
claims Token JWT usato da Active Directory per l'autenticazione dell'utente o dall'applicazione per eseguire questa operazione in Resource Manager.
correlationId In genere un GUID in formato stringa. Gli eventi che condividono un elemento correlationId appartengono alla stessa azione.
description Testo statico che descrive un evento.
eventDataId Identificatore univoco di un evento.
eventName Nome descrittivo dell'evento Administrative.
category Sempre "Amministrativo"
httpRequest BLOB che descrive la richiesta HTTP. In genere include "clientRequestId", "clientIpAddress" e "method" (metodo HTTP). Ad esempio, PUT).
level Livello di gravità dell'evento.
resourceGroupName Nome del gruppo di risorse della risorsa interessata.
resourceProviderName Nome del provider di risorse della risorsa interessata.
resourceType Tipo di risorsa interessata da un evento Administrative.
resourceId ID della risorsa interessata.
operationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.
operationName Nome dell'operazione.
proprietà Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli dell'evento.
stato Stringa che descrive lo stato dell'operazione. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatus In genere il codice di stato HTTP della chiamata REST corrispondente, ma può includere anche altre stringhe che descrivono uno stato secondario, ad esempio questi valori comuni: OK (codice di stato HTTP: 200), Creato (codice di stato HTTP: 201), Accettato (codice di stato HTTP: 202), Nessun contenuto (codice di stato HTTP: 204), Richiesta non valida (codice di stato HTTP: 400), Non trovato (codice di stato HTTP: 404), Conflict (HTTP Status Code: 409), Internal Server Error (HTTP Status Code: 500), Service Unavailable (HTTP Status Code: 503), Gateway Timeout (HTTP Status Code: 504).
eventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.
submissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.
subscriptionId ID sottoscrizione di Azure.

categoria Integrità dei servizi

Questa categoria contiene il record di eventuali eventi imprevisti di integrità dei servizi che si sono verificati in Azure. Un esempio del tipo di evento visualizzato in questa categoria è "SQL Azure negli Stati Uniti orientali sta riscontrando tempi di inattività". Integrità dei servizi eventi sono disponibili in cinque varietà: Azione richiesta, evento imprevisto, manutenzione, informazioni o sicurezza e viene visualizzata solo se si dispone di una risorsa nella sottoscrizione che potrebbe essere interessata dall'evento.

Evento di esempio

{
  "channels": "Admin",
  "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
  "description": "Active: Network Infrastructure - UK South",
  "eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
  "eventName": {
      "value": null
  },
  "category": {
      "value": "ServiceHealth",
      "localizedValue": "Service Health"
  },
  "eventTimestamp": "2017-07-20T23:30:14.8022297Z",
  "id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
  "level": "Warning",
  "operationName": {
      "value": "Microsoft.ServiceHealth/incident/action",
      "localizedValue": "Microsoft.ServiceHealth/incident/action"
  },
  "resourceProviderName": {
      "value": null
  },
  "resourceType": {
      "value": null,
      "localizedValue": ""
  },
  "resourceId": "/subscriptions/<subscription ID>",
  "status": {
      "value": "Active",
      "localizedValue": "Active"
  },
  "subStatus": {
      "value": null
  },
  "submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
  "subscriptionId": "<subscription ID>",
  "properties": {
    "title": "Network Infrastructure - UK South",
    "service": "Service Fabric",
    "region": "UK South",
    "communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "incidentType": "Incident",
    "trackingId": "NA0F-BJG",
    "impactStartTime": "2017-07-20T21:41:00.0000000Z",
    "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
    "defaultLanguageTitle": "Network Infrastructure - UK South",
    "defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "stage": "Active",
    "communicationId": "636361902146035247",
    "version": "0.1.1"
  }
}

Per la documentazione relativa ai valori nelle proprietà fare riferimento all'articolo sulle notifiche sull'integrità dei servizi.

Categoria integrità risorse

Questa categoria contiene il record degli eventi di integrità delle risorse che si sono verificati nelle risorse di Azure. Un esempio del tipo di evento osservato in questa categoria riguarda lo stato di integrità della macchina virtuale cambiato in non disponibile. Gli eventi di integrità delle risorse possono rappresentare uno dei quattro stati di integrità: disponibile, non disponibile, degradato e sconosciuto. Inoltre, gli eventi di integrità delle risorse possono essere classificati come avviati dalla piattaforma o avviati dall'utente.

Un evento di integrità delle risorse viene registrato nel log attività quando:

  • Per una risorsa viene inviata un'annotazione, ad esempio "ResourceDegraded" o "AccountClientThrottling".
  • Una risorsa di cui è stata eseguita la transizione de/verso Non integro.
  • Una risorsa non è integra per più di 15 minuti.

Le transizioni di integrità risorse seguenti non vengono registrate nel log attività:

  • Una transizione allo stato Sconosciuto.
  • Transizione dallo stato Sconosciuto se:
    • Questa è la prima transizione.
    • Se lo stato precedente a Sconosciuto è uguale al nuovo stato successivo. Ad esempio, se la risorsa è passata da Integro a Sconosciuto e torna a Integro.
    • Per le risorse di calcolo: VM che passano da Integro a Non integro e tornano a Integro, quando il tempo di non integrità è inferiore a 35 secondi.

Evento di esempio

{
    "channels": "Admin, Operation",
    "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
    "description": "",
    "eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "ResourceHealth",
        "localizedValue": "Resource Health"
    },
    "eventTimestamp": "2018-09-04T15:33:43.65Z",
    "id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
    "level": "Critical",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Resourcehealth/healthevent/Activated/action",
        "localizedValue": "Health Event Activated"
    },
    "resourceGroupName": "<resource group>",
    "resourceProviderName": {
        "value": "Microsoft.Resourcehealth/healthevent/action",
        "localizedValue": "Microsoft.Resourcehealth/healthevent/action"
    },
    "resourceType": {
        "value": "Microsoft.Compute/virtualMachines",
        "localizedValue": "Microsoft.Compute/virtualMachines"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "stage": "Active",
        "title": "Virtual Machine health status changed to unavailable",
        "details": "Virtual machine has experienced an unexpected event",
        "healthStatus": "Unavailable",
        "healthEventType": "Downtime",
        "healthEventCause": "PlatformInitiated",
        "healthEventCategory": "Unplanned"
    },
    "relatedEvents": []
}

Descrizioni delle proprietà

Nome elemento Descrizione
channels Sempre "Admin, Operation"
correlationId GUID in formato stringa.
description Testo statico che descrive l'evento dell'avviso.
eventDataId Identificatore univoco dell'evento dell'avviso.
category Sempre "ResourceHealth"
eventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.
level Livello di gravità dell'evento.
operationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.
operationName Nome dell'operazione.
resourceGroupName Nome del gruppo di risorse che contiene la risorsa.
resourceProviderName Sempre "Microsoft.Resourcehealth/healthevent/action".
resourceType Tipo di risorsa interessata da un evento Integrità risorse.
resourceId Nome dell'ID risorsa della risorsa interessata.
stato Stringa che descrive lo stato dell'evento di integrità. I valori possono essere: Attivo, Risolto, In corso, Aggiornato.
subStatus In genere il valore Null per gli avvisi.
submissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.
subscriptionId ID sottoscrizione di Azure.
proprietà Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli dell'evento.
Properties.title Stringa descrittiva che descrive lo stato di integrità della risorsa.
properties.details Stringa descrittiva che descrive più dettagliatamente l'evento.
properties.currentHealthStatus Lo stato di integrità corrente della risorsa. Uno dei seguenti valori: "Disponibile", "Non disponibile", "Danneggiato" e "Sconosciuto".
properties.previousHealthStatus Lo stato di integrità precedente della risorsa. Uno dei seguenti valori: "Disponibile", "Non disponibile", "Danneggiato" e "Sconosciuto".
properties.type Descrizione del tipo di evento di integrità delle risorse.
properties.cause Descrizione della causa dell'evento di integrità delle risorse. Può essere "UserInitiated" o "PlatformInitiated".

Categoria avviso

Questa categoria contiene il record di tutte le attivazioni degli avvisi di Azure classici. Un esempio del tipo di evento visualizzato in questa categoria è "CPU % on myVM is over 80 for the past 5 minutes". Diversi sistemi di Azure hanno un concetto di avviso: è possibile definire una regola di ordinamento e ricevere una notifica quando le condizioni corrispondono a tale regola. Ogni volta che un tipo di avviso di Azure supportato viene "attivato" o vengono soddisfatte le condizioni per generare una notifica, viene anche eseguito il push di un record dell'attivazione in questa categoria del log attività.

Evento di esempio

{
  "caller": "Microsoft.Insights/alertRules",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
  },
  "correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
  "eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
  "eventName": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "category": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "Microsoft.ClassicCompute",
    "localizedValue": "Microsoft.ClassicCompute"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
  "resourceType": {
    "value": "Microsoft.ClassicCompute/domainNames/slots/roles",
    "localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
  },
  "operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "operationName": {
    "value": "Microsoft.Insights/AlertRules/Resolved/Action",
    "localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
  },
  "properties": {
    "RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
    "RuleName": "myalert",
    "RuleDescription": "",
    "Threshold": "100000",
    "WindowSizeInMinutes": "5",
    "Aggregation": "Average",
    "Operator": "LessThan",
    "MetricName": "Disk read",
    "MetricUnit": "Count"
  },
  "status": {
    "value": "Resolved",
    "localizedValue": "Resolved"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T09:24:13.522192Z",
  "submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
  "subscriptionId": "<subscription ID>"
}

Descrizioni delle proprietà

Nome elemento Descrizione
caller Sempre Microsoft.Insights/alertRules
channels Sempre "Admin, Operation"
claims BLOB JSON con il nome dell'entità servizio (SPN) o il tipo di risorsa del motore degli avvisi.
correlationId GUID in formato stringa.
description Testo statico che descrive l'evento dell'avviso.
eventDataId Identificatore univoco dell'evento dell'avviso.
category Sempre "Avviso"
level Livello di gravità dell'evento.
resourceGroupName Nome del gruppo di risorse per la risorsa interessata se si tratta di un avviso della metrica. Per altri tipi di avviso, è il nome del gruppo di risorse che contiene l'avviso stesso.
resourceProviderName Nome del provider di risorse per la risorsa interessata se si tratta di un avviso della metrica. Per altri tipi di avviso, è il nome del provider di risorse per l'avviso stesso.
resourceId Nome dell'ID risorsa per la risorsa interessata se si tratta di un avviso della metrica. Per altri tipi di avviso, si tratta dell'ID risorsa della risorsa di avviso stessa.
operationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.
operationName Nome dell'operazione.
proprietà Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli dell'evento.
stato Stringa che descrive lo stato dell'operazione. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatus In genere il valore Null per gli avvisi.
eventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.
submissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.
subscriptionId ID sottoscrizione di Azure.

Campo delle proprietà per tipo di avviso

Il campo delle proprietà conterrà valori diversi a seconda dell'origine dell'evento dell'avviso. Due comuni provider di eventi di avviso sono gli avvisi delle metriche e gli avvisi del log attività.

Proprietà degli avvisi del log attività

Nome elemento Descrizione
properties.subscriptionId ID sottoscrizione dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.
properties.eventDataId ID dati evento dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.
properties.resourceGroup Gruppo di risorse dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.
properties.resourceId ID risorsa dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.
properties.eventTimestamp Timestamp dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.
properties.operationName Nome dell'operazione dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.
properties.status Stato dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.

Proprietà degli avvisi delle metriche

Nome elemento Descrizione
properties.RuleUri ID risorsa della regola di avviso per la metrica.
properties.RuleName Nome della regola di avviso per la metrica.
properties.RuleDescription Descrizione della regola di avviso per la metrica (definita nella regola di avviso).
properties.Threshold Valore soglia usato nella valutazione della regola di avviso per la metrica.
properties.WindowSizeInMinutes Dimensione dell'intervallo usata nella valutazione della regola di avviso per la metrica.
properties.Aggregation Tipo di aggregazione definito nella regola di avviso per la metrica.
properties.Operator Operatore condizionale usato nella valutazione della regola di avviso per la metrica.
properties.MetricName Nome della metrica usato nella valutazione della regola di avviso per la metrica.
properties.MetricUnit Unità della metrica usata nella valutazione della regola di avviso per la metrica.

Categoria di scalabilità automatica

Questa categoria contiene il record degli eventi correlati all'operazione del motore di ridimensionamento automatico in base alle impostazioni di scalabilità automatica definite nella sottoscrizione. Un esempio del tipo di evento visualizzato in questa categoria è "Autoscale scale up action failed". Usando la scalabilità automatica, è possibile aumentare o ridurre automaticamente il numero di istanze in un tipo di risorsa supportato in base all'ora del giorno e/o al caricamento (metrica) dei dati usando un'impostazione di scalabilità automatica. Quando vengono soddisfatte le condizioni per aumentare o ridurre le prestazioni, gli eventi di avvio riusciti o quelli non riusciti vengono registrati in questa categoria.

Evento di esempio

{
  "caller": "Microsoft.Insights/autoscaleSettings",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
  },
  "correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
  "eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
  "eventName": {
    "value": "AutoscaleAction",
    "localizedValue": "AutoscaleAction"
  },
  "category": {
    "value": "Autoscale",
    "localizedValue": "Autoscale"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "microsoft.insights",
    "localizedValue": "microsoft.insights"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
  "resourceType": {
    "value": "microsoft.insights/autoscalesettings",
    "localizedValue": "microsoft.insights/autoscalesettings"
  },
  "operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "operationName": {
    "value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
    "localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
  },
  "properties": {
    "Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
    "ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
    "OldInstancesCount": "3",
    "NewInstancesCount": "2",
    "LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T01:00:51.8681572Z",
  "submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
  "subscriptionId": "<subscription ID>"
}

Descrizioni delle proprietà

Nome elemento Descrizione
caller Sempre Microsoft.Insights/autoscaleSettings
channels Sempre "Admin, Operation"
claims BLOB JSON con il nome dell'entità servizio (SPN) o il tipo di risorsa del motore di ridimensionamento automatico.
correlationId GUID in formato stringa.
description Testo statico che descrive l'evento di ridimensionamento automatico.
eventDataId Identificatore univoco dell'evento di ridimensionamento automatico.
level Livello di gravità dell'evento.
resourceGroupName Nome del gruppo di risorse dell'impostazione di ridimensionamento automatico.
resourceProviderName Nome del provider di risorse dell'impostazione di ridimensionamento automatico.
resourceId ID risorsa dell'impostazione di ridimensionamento automatico.
operationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.
operationName Nome dell'operazione.
proprietà Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli dell'evento.
properties.Description Descrizione dettagliata delle operazioni eseguite dal motore di ridimensionamento automatico.
properties.ResourceName ID della risorsa interessata (risorsa in cui è in corso l'azione di ridimensionamento).
properties.OldInstancesCount Numero di istanze prima che sia stata eseguita l'azione di ridimensionamento automatico.
properties.NewInstancesCount Numero di istanze dopo che è stata eseguita l'azione di ridimensionamento automatico.
properties.LastScaleActionTime Timestamp indicante quando si è verificata l'azione di ridimensionamento automatico.
stato Stringa che descrive lo stato dell'operazione. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatus In genere il valore Null per il ridimensionamento automatico.
eventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.
submissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.
subscriptionId ID sottoscrizione di Azure.

Categoria di sicurezza

Questa categoria contiene il record degli avvisi generati da Microsoft Defender per il cloud. Un esempio del tipo di evento visualizzato in questa categoria è "Suspicious double extension file executed".

Evento di esempio

{
    "channels": "Operation",
    "correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
    "eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "eventName": {
        "value": "Suspicious double extension file executed",
        "localizedValue": "Suspicious double extension file executed"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2017-10-18T06:02:18.6179339Z",
    "id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
    "level": "Informational",
    "operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Microsoft.Security/locations/alerts/activate/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": null
    },
    "submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "accountLogonId": "0x2r4",
        "commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
        "domainName": "hpc",
        "parentProcess": "unknown",
        "parentProcess id": "0",
        "processId": "6988",
        "processName": "c:\\mydirectory\\doubleetension.pdf.exe",
        "userName": "myUser",
        "UserSID": "S-3-2-12",
        "ActionTaken": "Detected",
        "Severity": "High"
    },
    "relatedEvents": []
}

Descrizioni delle proprietà

Nome elemento Descrizione
channels Sempre "Operation"
correlationId GUID in formato stringa.
description Testo statico che descrive l'evento di sicurezza.
eventDataId Identificatore univoco dell'evento di sicurezza.
eventName Nome descrittivo dell'evento di sicurezza.
category Sempre "Sicurezza"
ID Identificatore di risorsa univoco dell'evento di sicurezza.
level Livello di gravità dell'evento.
resourceGroupName Nome del gruppo di risorse della risorsa.
resourceProviderName Nome del provider di risorse per Microsoft Defender per il cloud. Sempre "Microsoft.Security".
resourceType Tipo di risorsa che ha generato l'evento di sicurezza, ad esempio "Microsoft.Security/locations/alerts".
resourceId ID risorsa dell'avviso di sicurezza.
operationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.
operationName Nome dell'operazione.
proprietà Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli dell'evento. Queste proprietà variano a seconda del tipo di avviso di sicurezza. Vedere questa pagina per una descrizione dei tipi di avvisi provenienti da Defender per il cloud.
properties.Severity Livello di gravità. I valori possibili sono "High", "Medium" o "Low".
stato Stringa che descrive lo stato dell'operazione. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatus In genere il valore Null per gli eventi di sicurezza.
eventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.
submissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.
subscriptionId ID sottoscrizione di Azure.

Categoria raccomandazione

Questa categoria include il record di tutte le nuove raccomandazioni che vengono generate per i servizi. Un esempio di raccomandazione è "Usare i set di disponibilità per migliorare la tolleranza di errore". Esistono quattro tipi di eventi di raccomandazione che possono essere generati: disponibilità elevata, prestazioni, sicurezza e ottimizzazione dei costi.

Evento di esempio

{
    "channels": "Operation",
    "correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
    "description": "The action was successful.",
    "eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Recommendation",
        "localizedValue": "Recommendation"
    },
    "eventTimestamp": "2018-06-07T21:30:42.976919Z",
    "id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Advisor/generateRecommendations/action",
        "localizedValue": "Microsoft.Advisor/generateRecommendations/action"
    },
    "resourceGroupName": "MYRESOURCEGROUP",
    "resourceProviderName": {
        "value": "MICROSOFT.COMPUTE",
        "localizedValue": "MICROSOFT.COMPUTE"
    },
    "resourceType": {
        "value": "MICROSOFT.COMPUTE/virtualmachines",
        "localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
    },
    "resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-06-07T21:30:42.976919Z",
    "subscriptionId": "<Subscription ID>",
    "properties": {
        "recommendationSchemaVersion": "1.0",
        "recommendationCategory": "Security",
        "recommendationImpact": "High",
        "recommendationRisk": "None"
    },
    "relatedEvents": []
}

Descrizioni delle proprietà

Nome elemento Descrizione
channels Sempre "Operation"
correlationId GUID in formato stringa.
description Testo statico che descrive l'evento di raccomandazione.
eventDataId Identificatore univoco dell'evento di raccomandazione.
category Sempre "Recommendation"
ID Identificatore univoco di risorsa dell'evento di raccomandazione.
level Livello di gravità dell'evento.
operationName Nome dell'operazione. Sempre "Microsoft.Advisor/generateRecommendations/action"
resourceGroupName Nome del gruppo di risorse della risorsa.
resourceProviderName Nome del provider di risorse per la risorsa a cui si applica la raccomandazione, ad esempio "MICROSOFT.COMPUTE"
resourceType Nome del tipo di risorsa per la risorsa a cui si applica la raccomandazione, ad esempio "MICROSOFT.COMPUTE/virtualmachines"
resourceId ID della risorsa a cui si applica la raccomandazione.
stato Sempre "Active"
submissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.
subscriptionId ID sottoscrizione di Azure.
proprietà Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli della raccomandazione.
properties.recommendationSchemaVersion Versione dello schema delle proprietà della raccomandazione pubblicata nella voce del log attività
properties.recommendationCategory Categoria della raccomandazione. I valori possibili sono "High Availability", "Performance", "Security" e "Cost"
properties.recommendationImpact Impatto della raccomandazione. I valori possibili sono "High", "Medium", "Low"
properties.recommendationRisk Rischio della raccomandazione. I valori possibili sono "Error", "Warning", "None"

Categoria di criteri

Questa categoria include i record di tutte le operazioni relative ad azioni effetto eseguite da Criteri di Azure. Tra gli esempi dei tipi di eventi visualizzati in questa categoria sono inclusi Audit e Deny. Ogni azione eseguita da Criteri viene modellata come operazione su una risorsa.

Evento di Criteri di esempio

{
    "authorization": {
        "action": "Microsoft.Resources/checkPolicyCompliance/read",
        "scope": "/subscriptions/<subscriptionID>"
    },
    "caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.azure.com/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
        "appidacr": "2",
        "http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "description": "",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Policy",
        "localizedValue": "Policy"
    },
    "eventTimestamp": "2019-01-15T13:19:56.1227642Z",
    "id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
    "level": "Warning",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Authorization/policies/audit/action",
        "localizedValue": "Microsoft.Authorization/policies/audit/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Sql",
        "localizedValue": "Microsoft SQL"
    },
    "resourceType": {
        "value": "Microsoft.Resources/checkPolicyCompliance",
        "localizedValue": "Microsoft.Resources/checkPolicyCompliance"
    },
    "resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
    "subscriptionId": "<subscriptionID>",
    "properties": {
        "isComplianceCheck": "True",
        "resourceLocation": "westus2",
        "ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
            Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
            onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
            policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
            /policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
            4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
            nmentParameters\":{}}]"
    },
    "relatedEvents": []
}

Descrizioni delle proprietà degli eventi di Criteri

Nome elemento Descrizione
autorizzazione Matrice di proprietà controllo degli accessi in base al ruolo di Azure dell'evento. Per le nuove risorse, questa è l'azione e l'ambito della richiesta che ha attivato la valutazione. Per le risorse esistenti, l'azione è "Microsoft.Resources/checkPolicyCompliance/read".
caller Per le nuove risorse, l'identità che ha avviato una distribuzione. Per le risorse esistenti, il GUID di Microsoft Azure Policy Insights RP.
channels Gli eventi di Criteri usano solo il canale "Operation".
claims Token JWT usato da Active Directory per l'autenticazione dell'utente o dall'applicazione per eseguire questa operazione in Resource Manager.
correlationId In genere un GUID in formato stringa. Gli eventi che condividono un elemento correlationId appartengono alla stessa azione.
description Questo campo è vuoto per gli eventi di Criteri.
eventDataId Identificatore univoco di un evento.
eventName Può essere "BeginRequest" o "EndRequest". "BeginRequest" viene usato per le valutazioni auditIfNotExists e deployIfNotExists ritardate e quando un effetto deployIfNotExists avvia una distribuzione di modello. Tutte le altre operazioni restituiscono "EndRequest".
category Dichiara l'evento del log attività come appartenente a "Policy".
eventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.
ID Identificatore univoco dell'evento sulla risorsa specifica.
level Livello di gravità dell'evento. Audit usa "Warning" e Deny usa "Error". Un errore auditIfNotExists o deployIfNotExists può generare "Warning" o "Error", a seconda della gravità. Tutti gli altri eventi di Criteri usano "Informational".
operationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.
operationName Nome dell'operazione, direttamente correlato all'effetto di Criteri.
resourceGroupName Nome del gruppo di risorse della risorsa valutata.
resourceProviderName Nome del provider di risorse per la risorsa valutata.
resourceType Per le nuove risorse, è il tipo da valutare. Per le risorse esistenti, restituisce "Microsoft.Resources/checkPolicyCompliance".
resourceId ID della risorsa valutata.
stato Stringa che descrive lo stato del risultato della valutazione di Criteri. La maggior parte delle valutazioni di Criteri restituisce "Succeeded", ma un effetto Deny restituisce "Failed". Anche gli errori in auditIfNotExists o deployIfNotExists restituiscono "Failed".
subStatus Questo campo è vuoto per gli eventi di Criteri.
submissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.
subscriptionId ID sottoscrizione di Azure.
properties.isComplianceCheck Restituisce "False" quando viene distribuita una nuova risorsa o quando vengono aggiornate le proprietà di Resource Manager della risorsa esistente. Tutti gli altri trigger di valutazione hanno come risultato "True".
properties.resourceLocation Area di Azure della risorsa che viene valutata.
properties.ancestors Elenco delimitato da virgole dei gruppi di gestione padre ordinati a partire dall'elemento padre diretto fino a quello più lontano.
properties.policies Include informazioni sulla definizione, l'assegnazione, l'effetto e i parametri dei criteri da cui risulta questa valutazione di Criteri.
relatedEvents Questo campo è vuoto per gli eventi di Criteri.

Schema dall'account di archiviazione e dagli hub eventi

Quando si trasmette il log attività di Azure a un account di archiviazione o a un hub eventi, i dati seguono lo schema del log delle risorse. La tabella seguente fornisce un mapping delle proprietà degli schemi precedenti allo schema dei log delle risorse.

Importante

Il formato dei dati del log attività scritti in un account di archiviazione è stato modificato in Righe JSON il 1° novembre 2018. Per informazioni dettagliate su questa modifica del formato, vedere Preparare la modifica del formato ai log delle risorse di Monitoraggio di Azure archiviati in un account di archiviazione.

Proprietà dello schema dei log delle risorse Proprietà dello schema API REST del log attività Note
Ora eventTimestamp
resourceId resourceId subscriptionId, resourceType, resourceGroupName sono tutti dedotti da resourceId.
operationName operationName.value
category Parte del nome dell'operazione Sempre "Amministrativo"
resultType status.value
resultSignature substatus.value
resultDescription description
durationMs N/D Sempre 0
callerIpAddress httpRequest.clientIpAddress
correlationId correlationId
identity attestazioni e proprietà di autorizzazione
Livello Livello
location N/D Posizione in cui è stato elaborato l'evento. Non si tratta della posizione della risorsa, ma piuttosto della posizione in cui è stato elaborato l'evento. Questa proprietà verrà rimossa in un aggiornamento futuro.
Proprietà properties.eventProperties
properties.eventCategory category Se properties.eventCategory non è presente, la categoria è "Administrative"
properties.eventName eventName
properties.operationId operationId
properties.eventProperties proprietà

Di seguito è riportato un esempio di evento che usa questo schema:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
            "identity": {
               "authorization": {
                   "scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/       msftstorageaccount",
                   "action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
                   "evidence": {
                       "role": "Azure Eventhubs Service Role",
                       "roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
                       "roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
                       "roleDefinitionId": "123456789de042a6a64b29b123456789",
                       "principalId": "abcdef038c6444c18f1c31311fabcdef",
                       "principalType": "ServicePrincipal"
                   }
               },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "11112222-bbbb-3333-cccc-4444dddd5555",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Passaggi successivi