Schema degli eventi del log attività di Azure
Il log attività di Azure fornisce informazioni dettagliate su tutti gli eventi a livello di sottoscrizione che si sono verificati in Azure. Questo articolo descrive le categorie di log attività e lo schema per ognuno di essi.
Lo schema varia a seconda della modalità di accesso al log:
- Gli schemi descritti in questo articolo sono quando si accede al log attività dall'API REST. Lo schema viene usato anche quando si seleziona l'opzione JSON quando si visualizza un evento nel portale di Azure.
- Vedere la sezione finale Schema dall'account di archiviazione e dagli hub eventi per lo schema quando si usa un'impostazione di diagnostica per inviare il log attività a Archiviazione di Azure o Hub eventi di Azure.
- Vedere Informazioni di riferimento sui dati di Monitoraggio di Azure per lo schema quando si usa un'impostazione di diagnostica per inviare il log attività a un'area di lavoro Log Analytics.
Livello di gravità
Ogni voce nel log attività ha un livello di gravità. Il livello di gravità può avere uno dei valori seguenti:
Gravità | Descrizione |
---|---|
Critico | Eventi che richiedono l'attenzione immediata di un amministratore di sistema. Potrebbe indicare che un'applicazione o un sistema non è riuscito o ha smesso di rispondere. |
Error | Eventi che indicano un problema, ma non richiedono attenzione immediata. |
Avviso | Eventi che forniscono la generazione di potenziali problemi, anche se non un errore effettivo. Indicare che una risorsa non è in uno stato ideale e potrebbe degradarsi in un secondo momento nella visualizzazione di errori o eventi critici. |
Informativo | Eventi che passano informazioni non critiche all'amministratore. Simile a una nota che indica: "Per le informazioni". |
Gli sviluppatori di ogni provider di risorse scelgono i livelli di gravità delle voci delle risorse. Di conseguenza, la gravità effettiva può variare a seconda della modalità di compilazione dell'applicazione. Ad esempio, gli elementi "critici" di una determinata risorsa presa in isolamento potrebbero non essere importanti come "errori" in un tipo di risorsa centrale per l'applicazione Azure. Assicurarsi di considerare questo fatto quando si decide quali eventi inviare avvisi.
Categorie
Ogni evento nel log attività ha una categoria specifica descritta nella tabella seguente. Per altri dettagli su ogni categoria e sul relativo schema, vedere le sezioni seguenti quando si accede al log attività dal portale, Da PowerShell, dall'interfaccia della riga di comando e dall'API REST. Lo schema è diverso quando si trasmette il log attività all'archiviazione o a Hub eventi. Nell'ultima sezione dell'articolo viene fornito un mapping delle proprietà allo schema dei log delle risorse.
Categoria | Descrizione |
---|---|
Amministrativo | Contiene il record di tutte le operazioni di creazione, aggiornamento, eliminazione e azione eseguite tramite Resource Manager. Esempi di eventi amministrativi includono la creazione di una macchina virtuale e l'eliminazione di un gruppo di sicurezza di rete. Ogni azione eseguita da un utente o da un'applicazione che usa Resource Manager viene modellata come operazione su un particolare tipo di risorsa. Se l'operazione è di tipo scrittura, eliminazione o azione, i record di avvio e riuscita o di non riuscita di tale operazione vengono registrati nella categoria Amministrativo. Gli eventi amministrativi includono anche eventuali modifiche al controllo degli accessi in base al ruolo di Azure in una sottoscrizione. |
Integrità dei servizi | Contiene il record di eventuali eventi imprevisti di integrità dei servizi che si sono verificati in Azure. Un esempio di evento di tipo Integrità dei servizi è Tempo di inattività registrato in SQL Azure negli Stati Uniti orientali. Gli eventi di integrità dei servizi sono disponibili in sei varietà: azione richiesta, ripristino assistito, incidente, manutenzione, informazioni o sicurezza. Questi eventi vengono creati solo se si dispone di una risorsa nella sottoscrizione interessata dall'evento. |
Integrità risorse | Contiene il record di tutti gli eventi di integrità delle risorse che si sono verificati nelle risorse di Azure. Un esempio di evento di tipo Integrità delle risorse è Lo stato di integrità della macchina virtuale è cambiato in non disponibile. Integrità risorse eventi possono rappresentare uno dei quattro stati di integrità: Disponibile, Non disponibile, Danneggiato e Sconosciuto. Inoltre, gli eventi di tipo Integrità delle risorse possono essere classificati come avviati dalla piattaforma o avviati dall'utente. |
Alert | Contiene il record delle attivazioni per gli avvisi di Azure. Un esempio di evento alert è la percentuale di CPU in myVM superiore a 80 per gli ultimi 5 minuti. |
Scalabilità automatica | Contiene il record di tutti gli eventi correlati al funzionamento del motore di scalabilità automatica in base alle impostazioni di scalabilità automatica definite nella sottoscrizione. Un esempio di un evento di tipo Scalabilità automatica è Scalabilità automatica dell'azione di scalabilità verticale non riuscita. |
Consiglio | Contiene gli eventi di raccomandazione di Azure Advisor. |
Sicurezza | Contiene il record di tutti gli avvisi generati da Microsoft Defender per il cloud. Un esempio di evento di tipo Sicurezza è Esecuzione sospetta di un file a doppia estensione. |
Criteri | Include i record di tutte le operazioni relative ad azioni effetto eseguite da Criteri di Azure. Esempi di eventi di tipo Criteri includono Controlla e Nega. Ogni azione eseguita da Criteri viene modellata come operazione su una risorsa. |
Categoria amministrativa
Questa categoria contiene il record di tutte le operazioni di creazione, aggiornamento, eliminazione e azione eseguite tramite Resource Manager. Esempi dei tipi di eventi visualizzati in questa categoria includono "create virtual machine" e "delete network security group". Ogni azione eseguita da un utente o da un'applicazione che usa Resource Manager viene modellata come operazione su un particolare tipo di risorsa. Se l'operazione è di tipo scrittura, eliminazione o azione, i record di avvio e riuscita o di non riuscita di tale operazione vengono registrati nella categoria Amministrativo. La categoria Amministrativa include anche eventuali modifiche al controllo degli accessi in base al ruolo di Azure in una sottoscrizione.
Evento di esempio
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Descrizioni delle proprietà
Nome elemento | Descrizione |
---|---|
autorizzazione | BLOB delle proprietà del controllo degli accessi in base al ruolo di Azure dell'evento. In genere include le proprietà "action", "role" e "scope". |
caller | Indirizzo di posta elettronica dell'utente che ha eseguito l'operazione, attestazione UPN o attestazione SPN, a seconda della disponibilità. |
channels | Uno dei valori seguenti: "Admin" o "Operation". |
claims | Token JWT usato da Active Directory per l'autenticazione dell'utente o dall'applicazione per eseguire questa operazione in Resource Manager. |
correlationId | In genere un GUID in formato stringa. Gli eventi che condividono un elemento correlationId appartengono alla stessa azione. |
description | Testo statico che descrive un evento. |
eventDataId | Identificatore univoco di un evento. |
eventName | Nome descrittivo dell'evento Administrative. |
category | Sempre "Amministrativo" |
httpRequest | BLOB che descrive la richiesta HTTP. In genere include "clientRequestId", "clientIpAddress" e "method" (metodo HTTP). Ad esempio, PUT). |
level | Livello di gravità dell'evento. |
resourceGroupName | Nome del gruppo di risorse della risorsa interessata. |
resourceProviderName | Nome del provider di risorse della risorsa interessata. |
resourceType | Tipo di risorsa interessata da un evento Administrative. |
resourceId | ID della risorsa interessata. |
operationId | GUID condiviso tra gli eventi che corrispondono a una singola operazione. |
operationName | Nome dell'operazione. |
proprietà | Set di coppie <Key, Value> , ovvero un dizionario, che descrive i dettagli dell'evento. |
stato | Stringa che descrive lo stato dell'operazione. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved. |
subStatus | In genere il codice di stato HTTP della chiamata REST corrispondente, ma può includere anche altre stringhe che descrivono uno stato secondario, ad esempio questi valori comuni: OK (codice di stato HTTP: 200), Creato (codice di stato HTTP: 201), Accettato (codice di stato HTTP: 202), Nessun contenuto (codice di stato HTTP: 204), Richiesta non valida (codice di stato HTTP: 400), Non trovato (codice di stato HTTP: 404), Conflict (HTTP Status Code: 409), Internal Server Error (HTTP Status Code: 500), Service Unavailable (HTTP Status Code: 503), Gateway Timeout (HTTP Status Code: 504). |
eventTimestamp | Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento. |
submissionTimestamp | Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query. |
subscriptionId | ID sottoscrizione di Azure. |
categoria Integrità dei servizi
Questa categoria contiene il record di eventuali eventi imprevisti di integrità dei servizi che si sono verificati in Azure. Un esempio del tipo di evento visualizzato in questa categoria è "SQL Azure negli Stati Uniti orientali sta riscontrando tempi di inattività". Integrità dei servizi eventi sono disponibili in cinque varietà: Azione richiesta, evento imprevisto, manutenzione, informazioni o sicurezza e viene visualizzata solo se si dispone di una risorsa nella sottoscrizione che potrebbe essere interessata dall'evento.
Evento di esempio
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Per la documentazione relativa ai valori nelle proprietà fare riferimento all'articolo sulle notifiche sull'integrità dei servizi.
Categoria integrità risorse
Questa categoria contiene il record degli eventi di integrità delle risorse che si sono verificati nelle risorse di Azure. Un esempio del tipo di evento osservato in questa categoria riguarda lo stato di integrità della macchina virtuale cambiato in non disponibile. Gli eventi di integrità delle risorse possono rappresentare uno dei quattro stati di integrità: disponibile, non disponibile, degradato e sconosciuto. Inoltre, gli eventi di integrità delle risorse possono essere classificati come avviati dalla piattaforma o avviati dall'utente.
Un evento di integrità delle risorse viene registrato nel log attività quando:
- Per una risorsa viene inviata un'annotazione, ad esempio "ResourceDegraded" o "AccountClientThrottling".
- Una risorsa di cui è stata eseguita la transizione de/verso Non integro.
- Una risorsa non è integra per più di 15 minuti.
Le transizioni di integrità risorse seguenti non vengono registrate nel log attività:
- Una transizione allo stato Sconosciuto.
- Transizione dallo stato Sconosciuto se:
- Questa è la prima transizione.
- Se lo stato precedente a Sconosciuto è uguale al nuovo stato successivo. Ad esempio, se la risorsa è passata da Integro a Sconosciuto e torna a Integro.
- Per le risorse di calcolo: VM che passano da Integro a Non integro e tornano a Integro, quando il tempo di non integrità è inferiore a 35 secondi.
Evento di esempio
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Descrizioni delle proprietà
Nome elemento | Descrizione |
---|---|
channels | Sempre "Admin, Operation" |
correlationId | GUID in formato stringa. |
description | Testo statico che descrive l'evento dell'avviso. |
eventDataId | Identificatore univoco dell'evento dell'avviso. |
category | Sempre "ResourceHealth" |
eventTimestamp | Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento. |
level | Livello di gravità dell'evento. |
operationId | GUID condiviso tra gli eventi che corrispondono a una singola operazione. |
operationName | Nome dell'operazione. |
resourceGroupName | Nome del gruppo di risorse che contiene la risorsa. |
resourceProviderName | Sempre "Microsoft.Resourcehealth/healthevent/action". |
resourceType | Tipo di risorsa interessata da un evento Integrità risorse. |
resourceId | Nome dell'ID risorsa della risorsa interessata. |
stato | Stringa che descrive lo stato dell'evento di integrità. I valori possono essere: Attivo, Risolto, In corso, Aggiornato. |
subStatus | In genere il valore Null per gli avvisi. |
submissionTimestamp | Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query. |
subscriptionId | ID sottoscrizione di Azure. |
proprietà | Set di coppie <Key, Value> , ovvero un dizionario, che descrive i dettagli dell'evento. |
Properties.title | Stringa descrittiva che descrive lo stato di integrità della risorsa. |
properties.details | Stringa descrittiva che descrive più dettagliatamente l'evento. |
properties.currentHealthStatus | Lo stato di integrità corrente della risorsa. Uno dei seguenti valori: "Disponibile", "Non disponibile", "Danneggiato" e "Sconosciuto". |
properties.previousHealthStatus | Lo stato di integrità precedente della risorsa. Uno dei seguenti valori: "Disponibile", "Non disponibile", "Danneggiato" e "Sconosciuto". |
properties.type | Descrizione del tipo di evento di integrità delle risorse. |
properties.cause | Descrizione della causa dell'evento di integrità delle risorse. Può essere "UserInitiated" o "PlatformInitiated". |
Categoria avviso
Questa categoria contiene il record di tutte le attivazioni degli avvisi di Azure classici. Un esempio del tipo di evento visualizzato in questa categoria è "CPU % on myVM is over 80 for the past 5 minutes". Diversi sistemi di Azure hanno un concetto di avviso: è possibile definire una regola di ordinamento e ricevere una notifica quando le condizioni corrispondono a tale regola. Ogni volta che un tipo di avviso di Azure supportato viene "attivato" o vengono soddisfatte le condizioni per generare una notifica, viene anche eseguito il push di un record dell'attivazione in questa categoria del log attività.
Evento di esempio
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Descrizioni delle proprietà
Nome elemento | Descrizione |
---|---|
caller | Sempre Microsoft.Insights/alertRules |
channels | Sempre "Admin, Operation" |
claims | BLOB JSON con il nome dell'entità servizio (SPN) o il tipo di risorsa del motore degli avvisi. |
correlationId | GUID in formato stringa. |
description | Testo statico che descrive l'evento dell'avviso. |
eventDataId | Identificatore univoco dell'evento dell'avviso. |
category | Sempre "Avviso" |
level | Livello di gravità dell'evento. |
resourceGroupName | Nome del gruppo di risorse per la risorsa interessata se si tratta di un avviso della metrica. Per altri tipi di avviso, è il nome del gruppo di risorse che contiene l'avviso stesso. |
resourceProviderName | Nome del provider di risorse per la risorsa interessata se si tratta di un avviso della metrica. Per altri tipi di avviso, è il nome del provider di risorse per l'avviso stesso. |
resourceId | Nome dell'ID risorsa per la risorsa interessata se si tratta di un avviso della metrica. Per altri tipi di avviso, si tratta dell'ID risorsa della risorsa di avviso stessa. |
operationId | GUID condiviso tra gli eventi che corrispondono a una singola operazione. |
operationName | Nome dell'operazione. |
proprietà | Set di coppie <Key, Value> , ovvero un dizionario, che descrive i dettagli dell'evento. |
stato | Stringa che descrive lo stato dell'operazione. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved. |
subStatus | In genere il valore Null per gli avvisi. |
eventTimestamp | Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento. |
submissionTimestamp | Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query. |
subscriptionId | ID sottoscrizione di Azure. |
Campo delle proprietà per tipo di avviso
Il campo delle proprietà conterrà valori diversi a seconda dell'origine dell'evento dell'avviso. Due comuni provider di eventi di avviso sono gli avvisi delle metriche e gli avvisi del log attività.
Proprietà degli avvisi del log attività
Nome elemento | Descrizione |
---|---|
properties.subscriptionId | ID sottoscrizione dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività. |
properties.eventDataId | ID dati evento dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività. |
properties.resourceGroup | Gruppo di risorse dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività. |
properties.resourceId | ID risorsa dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività. |
properties.eventTimestamp | Timestamp dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività. |
properties.operationName | Nome dell'operazione dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività. |
properties.status | Stato dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività. |
Proprietà degli avvisi delle metriche
Nome elemento | Descrizione |
---|---|
properties.RuleUri | ID risorsa della regola di avviso per la metrica. |
properties.RuleName | Nome della regola di avviso per la metrica. |
properties.RuleDescription | Descrizione della regola di avviso per la metrica (definita nella regola di avviso). |
properties.Threshold | Valore soglia usato nella valutazione della regola di avviso per la metrica. |
properties.WindowSizeInMinutes | Dimensione dell'intervallo usata nella valutazione della regola di avviso per la metrica. |
properties.Aggregation | Tipo di aggregazione definito nella regola di avviso per la metrica. |
properties.Operator | Operatore condizionale usato nella valutazione della regola di avviso per la metrica. |
properties.MetricName | Nome della metrica usato nella valutazione della regola di avviso per la metrica. |
properties.MetricUnit | Unità della metrica usata nella valutazione della regola di avviso per la metrica. |
Categoria di scalabilità automatica
Questa categoria contiene il record degli eventi correlati all'operazione del motore di ridimensionamento automatico in base alle impostazioni di scalabilità automatica definite nella sottoscrizione. Un esempio del tipo di evento visualizzato in questa categoria è "Autoscale scale up action failed". Usando la scalabilità automatica, è possibile aumentare o ridurre automaticamente il numero di istanze in un tipo di risorsa supportato in base all'ora del giorno e/o al caricamento (metrica) dei dati usando un'impostazione di scalabilità automatica. Quando vengono soddisfatte le condizioni per aumentare o ridurre le prestazioni, gli eventi di avvio riusciti o quelli non riusciti vengono registrati in questa categoria.
Evento di esempio
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Descrizioni delle proprietà
Nome elemento | Descrizione |
---|---|
caller | Sempre Microsoft.Insights/autoscaleSettings |
channels | Sempre "Admin, Operation" |
claims | BLOB JSON con il nome dell'entità servizio (SPN) o il tipo di risorsa del motore di ridimensionamento automatico. |
correlationId | GUID in formato stringa. |
description | Testo statico che descrive l'evento di ridimensionamento automatico. |
eventDataId | Identificatore univoco dell'evento di ridimensionamento automatico. |
level | Livello di gravità dell'evento. |
resourceGroupName | Nome del gruppo di risorse dell'impostazione di ridimensionamento automatico. |
resourceProviderName | Nome del provider di risorse dell'impostazione di ridimensionamento automatico. |
resourceId | ID risorsa dell'impostazione di ridimensionamento automatico. |
operationId | GUID condiviso tra gli eventi che corrispondono a una singola operazione. |
operationName | Nome dell'operazione. |
proprietà | Set di coppie <Key, Value> , ovvero un dizionario, che descrive i dettagli dell'evento. |
properties.Description | Descrizione dettagliata delle operazioni eseguite dal motore di ridimensionamento automatico. |
properties.ResourceName | ID della risorsa interessata (risorsa in cui è in corso l'azione di ridimensionamento). |
properties.OldInstancesCount | Numero di istanze prima che sia stata eseguita l'azione di ridimensionamento automatico. |
properties.NewInstancesCount | Numero di istanze dopo che è stata eseguita l'azione di ridimensionamento automatico. |
properties.LastScaleActionTime | Timestamp indicante quando si è verificata l'azione di ridimensionamento automatico. |
stato | Stringa che descrive lo stato dell'operazione. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved. |
subStatus | In genere il valore Null per il ridimensionamento automatico. |
eventTimestamp | Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento. |
submissionTimestamp | Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query. |
subscriptionId | ID sottoscrizione di Azure. |
Categoria di sicurezza
Questa categoria contiene il record degli avvisi generati da Microsoft Defender per il cloud. Un esempio del tipo di evento visualizzato in questa categoria è "Suspicious double extension file executed".
Evento di esempio
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Descrizioni delle proprietà
Nome elemento | Descrizione |
---|---|
channels | Sempre "Operation" |
correlationId | GUID in formato stringa. |
description | Testo statico che descrive l'evento di sicurezza. |
eventDataId | Identificatore univoco dell'evento di sicurezza. |
eventName | Nome descrittivo dell'evento di sicurezza. |
category | Sempre "Sicurezza" |
ID | Identificatore di risorsa univoco dell'evento di sicurezza. |
level | Livello di gravità dell'evento. |
resourceGroupName | Nome del gruppo di risorse della risorsa. |
resourceProviderName | Nome del provider di risorse per Microsoft Defender per il cloud. Sempre "Microsoft.Security". |
resourceType | Tipo di risorsa che ha generato l'evento di sicurezza, ad esempio "Microsoft.Security/locations/alerts". |
resourceId | ID risorsa dell'avviso di sicurezza. |
operationId | GUID condiviso tra gli eventi che corrispondono a una singola operazione. |
operationName | Nome dell'operazione. |
proprietà | Set di coppie <Key, Value> , ovvero un dizionario, che descrive i dettagli dell'evento. Queste proprietà variano a seconda del tipo di avviso di sicurezza. Vedere questa pagina per una descrizione dei tipi di avvisi provenienti da Defender per il cloud. |
properties.Severity | Livello di gravità. I valori possibili sono "High", "Medium" o "Low". |
stato | Stringa che descrive lo stato dell'operazione. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved. |
subStatus | In genere il valore Null per gli eventi di sicurezza. |
eventTimestamp | Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento. |
submissionTimestamp | Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query. |
subscriptionId | ID sottoscrizione di Azure. |
Categoria raccomandazione
Questa categoria include il record di tutte le nuove raccomandazioni che vengono generate per i servizi. Un esempio di raccomandazione è "Usare i set di disponibilità per migliorare la tolleranza di errore". Esistono quattro tipi di eventi di raccomandazione che possono essere generati: disponibilità elevata, prestazioni, sicurezza e ottimizzazione dei costi.
Evento di esempio
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Descrizioni delle proprietà
Nome elemento | Descrizione |
---|---|
channels | Sempre "Operation" |
correlationId | GUID in formato stringa. |
description | Testo statico che descrive l'evento di raccomandazione. |
eventDataId | Identificatore univoco dell'evento di raccomandazione. |
category | Sempre "Recommendation" |
ID | Identificatore univoco di risorsa dell'evento di raccomandazione. |
level | Livello di gravità dell'evento. |
operationName | Nome dell'operazione. Sempre "Microsoft.Advisor/generateRecommendations/action" |
resourceGroupName | Nome del gruppo di risorse della risorsa. |
resourceProviderName | Nome del provider di risorse per la risorsa a cui si applica la raccomandazione, ad esempio "MICROSOFT.COMPUTE" |
resourceType | Nome del tipo di risorsa per la risorsa a cui si applica la raccomandazione, ad esempio "MICROSOFT.COMPUTE/virtualmachines" |
resourceId | ID della risorsa a cui si applica la raccomandazione. |
stato | Sempre "Active" |
submissionTimestamp | Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query. |
subscriptionId | ID sottoscrizione di Azure. |
proprietà | Set di coppie <Key, Value> , ovvero un dizionario, che descrive i dettagli della raccomandazione. |
properties.recommendationSchemaVersion | Versione dello schema delle proprietà della raccomandazione pubblicata nella voce del log attività |
properties.recommendationCategory | Categoria della raccomandazione. I valori possibili sono "High Availability", "Performance", "Security" e "Cost" |
properties.recommendationImpact | Impatto della raccomandazione. I valori possibili sono "High", "Medium", "Low" |
properties.recommendationRisk | Rischio della raccomandazione. I valori possibili sono "Error", "Warning", "None" |
Categoria di criteri
Questa categoria include i record di tutte le operazioni relative ad azioni effetto eseguite da Criteri di Azure. Tra gli esempi dei tipi di eventi visualizzati in questa categoria sono inclusi Audit e Deny. Ogni azione eseguita da Criteri viene modellata come operazione su una risorsa.
Evento di Criteri di esempio
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Descrizioni delle proprietà degli eventi di Criteri
Nome elemento | Descrizione |
---|---|
autorizzazione | Matrice di proprietà controllo degli accessi in base al ruolo di Azure dell'evento. Per le nuove risorse, questa è l'azione e l'ambito della richiesta che ha attivato la valutazione. Per le risorse esistenti, l'azione è "Microsoft.Resources/checkPolicyCompliance/read". |
caller | Per le nuove risorse, l'identità che ha avviato una distribuzione. Per le risorse esistenti, il GUID di Microsoft Azure Policy Insights RP. |
channels | Gli eventi di Criteri usano solo il canale "Operation". |
claims | Token JWT usato da Active Directory per l'autenticazione dell'utente o dall'applicazione per eseguire questa operazione in Resource Manager. |
correlationId | In genere un GUID in formato stringa. Gli eventi che condividono un elemento correlationId appartengono alla stessa azione. |
description | Questo campo è vuoto per gli eventi di Criteri. |
eventDataId | Identificatore univoco di un evento. |
eventName | Può essere "BeginRequest" o "EndRequest". "BeginRequest" viene usato per le valutazioni auditIfNotExists e deployIfNotExists ritardate e quando un effetto deployIfNotExists avvia una distribuzione di modello. Tutte le altre operazioni restituiscono "EndRequest". |
category | Dichiara l'evento del log attività come appartenente a "Policy". |
eventTimestamp | Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento. |
ID | Identificatore univoco dell'evento sulla risorsa specifica. |
level | Livello di gravità dell'evento. Audit usa "Warning" e Deny usa "Error". Un errore auditIfNotExists o deployIfNotExists può generare "Warning" o "Error", a seconda della gravità. Tutti gli altri eventi di Criteri usano "Informational". |
operationId | GUID condiviso tra gli eventi che corrispondono a una singola operazione. |
operationName | Nome dell'operazione, direttamente correlato all'effetto di Criteri. |
resourceGroupName | Nome del gruppo di risorse della risorsa valutata. |
resourceProviderName | Nome del provider di risorse per la risorsa valutata. |
resourceType | Per le nuove risorse, è il tipo da valutare. Per le risorse esistenti, restituisce "Microsoft.Resources/checkPolicyCompliance". |
resourceId | ID della risorsa valutata. |
stato | Stringa che descrive lo stato del risultato della valutazione di Criteri. La maggior parte delle valutazioni di Criteri restituisce "Succeeded", ma un effetto Deny restituisce "Failed". Anche gli errori in auditIfNotExists o deployIfNotExists restituiscono "Failed". |
subStatus | Questo campo è vuoto per gli eventi di Criteri. |
submissionTimestamp | Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query. |
subscriptionId | ID sottoscrizione di Azure. |
properties.isComplianceCheck | Restituisce "False" quando viene distribuita una nuova risorsa o quando vengono aggiornate le proprietà di Resource Manager della risorsa esistente. Tutti gli altri trigger di valutazione hanno come risultato "True". |
properties.resourceLocation | Area di Azure della risorsa che viene valutata. |
properties.ancestors | Elenco delimitato da virgole dei gruppi di gestione padre ordinati a partire dall'elemento padre diretto fino a quello più lontano. |
properties.policies | Include informazioni sulla definizione, l'assegnazione, l'effetto e i parametri dei criteri da cui risulta questa valutazione di Criteri. |
relatedEvents | Questo campo è vuoto per gli eventi di Criteri. |
Schema dall'account di archiviazione e dagli hub eventi
Quando si trasmette il log attività di Azure a un account di archiviazione o a un hub eventi, i dati seguono lo schema del log delle risorse. La tabella seguente fornisce un mapping delle proprietà degli schemi precedenti allo schema dei log delle risorse.
Importante
Il formato dei dati del log attività scritti in un account di archiviazione è stato modificato in Righe JSON il 1° novembre 2018. Per informazioni dettagliate su questa modifica del formato, vedere Preparare la modifica del formato ai log delle risorse di Monitoraggio di Azure archiviati in un account di archiviazione.
Proprietà dello schema dei log delle risorse | Proprietà dello schema API REST del log attività | Note |
---|---|---|
Ora | eventTimestamp | |
resourceId | resourceId | subscriptionId, resourceType, resourceGroupName sono tutti dedotti da resourceId. |
operationName | operationName.value | |
category | Parte del nome dell'operazione | Sempre "Amministrativo" |
resultType | status.value | |
resultSignature | substatus.value | |
resultDescription | description | |
durationMs | N/D | Sempre 0 |
callerIpAddress | httpRequest.clientIpAddress | |
correlationId | correlationId | |
identity | attestazioni e proprietà di autorizzazione | |
Livello | Livello | |
location | N/D | Posizione in cui è stato elaborato l'evento. Non si tratta della posizione della risorsa, ma piuttosto della posizione in cui è stato elaborato l'evento. Questa proprietà verrà rimossa in un aggiornamento futuro. |
Proprietà | properties.eventProperties | |
properties.eventCategory | category | Se properties.eventCategory non è presente, la categoria è "Administrative" |
properties.eventName | eventName | |
properties.operationId | operationId | |
properties.eventProperties | proprietà |
Di seguito è riportato un esempio di evento che usa questo schema:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}