Azure-gebeurtenisschema in het activiteitenlogboek
Het Azure-activiteitenlogboek biedt inzicht in gebeurtenissen op abonnementsniveau die zijn opgetreden in Azure. In dit artikel worden categorieën voor activiteitenlogboeken en het schema voor elk ervan beschreven.
Het schema is afhankelijk van de wijze waarop u het logboek opent:
- De schema's die in dit artikel worden beschreven, zijn wanneer u het activiteitenlogboek opent vanuit de REST API. Het schema wordt ook gebruikt wanneer u de JSON-optie selecteert bij het weergeven van een gebeurtenis in Azure Portal.
- Zie het laatste gedeelte Schema van opslagaccount en Event Hubs voor het schema wanneer u een diagnostische instelling gebruikt om het activiteitenlogboek naar Azure Storage of Azure Event Hubs te verzenden.
- Zie azure Monitor-gegevensverwijzing voor het schema wanneer u een diagnostische instelling gebruikt om het activiteitenlogboek naar een Log Analytics-werkruimte te verzenden.
Ernstniveau
Elke vermelding in het activiteitenlogboek heeft een ernstniveau. Ernstniveau kan een van de volgende waarden hebben:
| Ernst | Beschrijving |
|---|---|
| Kritiek | Gebeurtenissen die de onmiddellijke aandacht van een systeembeheerder vragen. Kan erop wijzen dat een toepassing of systeem niet meer reageert of niet meer reageert. |
| Error | Gebeurtenissen die duiden op een probleem, maar geen onmiddellijke aandacht vereisen. |
| Waarschuwing | Gebeurtenissen die voorzien in een voorbewaring van potentiële problemen, maar geen werkelijke fout. Geef aan dat een resource zich niet in een ideale staat bevindt en later kan afnemen in het weergeven van fouten of kritieke gebeurtenissen. |
| Informatief | Gebeurtenissen die niet-kritieke informatie doorgeven aan de beheerder. Net als bij een opmerking die zegt: 'Voor uw informatie'. |
De ontwikkelaars van elke resourceprovider kiezen de ernstniveaus van hun resourcevermeldingen. Als gevolg hiervan kan de werkelijke ernst voor u variëren, afhankelijk van de wijze waarop uw toepassing is gebouwd. Items die 'kritiek' zijn voor een bepaalde resource die in isolatie worden genomen, zijn bijvoorbeeld mogelijk niet zo belangrijk als 'fouten' in een resourcetype dat centraal staat bij uw Azure-toepassing. Houd rekening met dit feit bij het bepalen van de gebeurtenissen waarop u een waarschuwing wilt toepassen.
Categorieën
Elke gebeurtenis in het activiteitenlogboek heeft een bepaalde categorie die wordt beschreven in de volgende tabel. Zie de onderstaande secties voor meer informatie over elke categorie en het bijbehorende schema wanneer u het activiteitenlogboek opent vanuit de portal, PowerShell, CLI en REST API. Het schema verschilt wanneer u het activiteitenlogboek naar opslag of Event Hubs streamt. In de laatste sectie van het artikel vindt u een toewijzing van de eigenschappen aan het schema van de resourcelogboeken.
| Categorie | Beschrijving |
|---|---|
| Administratief | Bevat de record van alle bewerkingen voor maken, bijwerken, verwijderen en actie die worden uitgevoerd via Resource Manager. Voorbeelden van beheeractiviteiten zijn het maken van een virtuele machine en het verwijderen van een netwerkbeveiligingsgroep. Elke actie die wordt uitgevoerd door een gebruiker of toepassing die Resource Manager gebruikt, wordt gemodelleerd als een bewerking op een bepaald resourcetype. Als het bewerkingstype Schrijven, Verwijderen of Actie is, worden de records van zowel het begin als het slagen of mislukken van die bewerking vastgelegd in de categorie Beheer. Beheergebeurtenissen omvatten ook eventuele wijzigingen in op rollen gebaseerd toegangsbeheer van Azure in een abonnement. |
| Status van service | Bevat de record van eventuele servicestatusincidenten die zijn opgetreden in Azure. Een voorbeeld van een Service Health-gebeurtenis SQL Azure in VS - oost ondervindt downtime. Service Health-gebeurtenissen zijn in zes varianten: Actie vereist, ondersteund herstel, incident, onderhoud, informatie of beveiliging. Deze gebeurtenissen worden alleen gemaakt als u een resource in het abonnement hebt die wordt beïnvloed door de gebeurtenis. |
| Resource Health | Bevat de record van alle resourcestatusgebeurtenissen die zijn opgetreden in uw Azure-resources. Een voorbeeld van een Resource Health-gebeurtenis is de status van de virtuele machine gewijzigd in niet beschikbaar. Resource Health-gebeurtenissen kunnen een van de vier statusstatussen vertegenwoordigen: Beschikbaar, Niet beschikbaar, Gedegradeerd en Onbekend. Daarnaast kunnen Resource Health-gebeurtenissen worden gecategoriseerd als platform geïnitieerd of door gebruiker geïnitieerd. |
| Alert | Bevat de record van activeringen voor Azure-waarschuwingen. Een voorbeeld van een waarschuwingsgebeurtenis is CPU-percentage op myVM hoger dan 80 voor de afgelopen 5 minuten. |
| Automatisch schalen | Bevat de record van gebeurtenissen die betrekking hebben op de werking van de engine voor automatisch schalen op basis van instellingen voor automatische schaalaanpassing die u in uw abonnement hebt gedefinieerd. Een voorbeeld van een gebeurtenis voor automatisch schalen is de actie Automatisch schalen is mislukt. |
| Aanbeveling | Bevat aanbevelingsevenementen van Azure Advisor. |
| Beveiliging | Bevat de record van waarschuwingen die worden gegenereerd door Microsoft Defender voor Cloud. Een voorbeeld van een beveiligingsgebeurtenis is verdacht bestand met dubbele extensie uitgevoerd. |
| Beleid | Bevat records van alle bewerkingen voor effectacties die door Azure Policy worden uitgevoerd. Voorbeelden van beleidsgebeurtenissen zijn Controle en Weigeren. Elke actie die door Beleid wordt uitgevoerd, wordt gemodelleerd als een bewerking op een resource. |
Beheercategorie
Deze categorie bevat de record van alle bewerkingen voor maken, bijwerken, verwijderen en actie die worden uitgevoerd via Resource Manager. Voorbeelden van de typen gebeurtenissen die u in deze categorie ziet, zijn 'virtuele machine maken' en 'netwerkbeveiligingsgroep verwijderen'. Elke actie die wordt uitgevoerd door een gebruiker of toepassing die Resource Manager gebruikt, wordt gemodelleerd als een bewerking op een bepaald resourcetype. Als het bewerkingstype Schrijven, Verwijderen of Actie is, worden de records van zowel het begin als het slagen of mislukken van die bewerking vastgelegd in de categorie Beheer. De categorie Beheer bevat ook eventuele wijzigingen in op rollen gebaseerd toegangsbeheer van Azure in een abonnement.
Voorbeeldgebeurtenis
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "355249ed-15d9-460d-8481-84026b065942",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Beschrijvingen van eigenschappen
| Naam van element | Beschrijving |
|---|---|
| autorisatie | Blob van Azure RBAC-eigenschappen van de gebeurtenis. Bevat meestal de eigenschappen 'action', 'role' en 'scope'. |
| beller | E-mailadres van de gebruiker die de bewerking, UPN-claim of SPN-claim heeft uitgevoerd op basis van beschikbaarheid. |
| Kanalen | Een van de volgende waarden: 'Admin', 'Operation' |
| claims | Het JWT-token dat door Active Directory wordt gebruikt om de gebruiker of toepassing te verifiëren om deze bewerking uit te voeren in Resource Manager. |
| correlationId | Meestal een GUID in de tekenreeksindeling. Gebeurtenissen die een correlationId delen, behoren tot dezelfde uber-actie. |
| beschrijving | Statische tekstbeschrijving van een gebeurtenis. |
| eventDataId | Unieke id van een gebeurtenis. |
| eventName | Beschrijvende naam van de gebeurtenis Beheer. |
| category | Altijd 'Beheer' |
| httpRequest | Blob die de Http-aanvraag beschrijft. Bevat meestal de 'clientRequestId', 'clientIpAddress' en 'method' (HTTP-methode). Bijvoorbeeld PUT). |
| niveau | Ernstniveau van de gebeurtenis. |
| resourceGroupName | Naam van de resourcegroep voor de betrokken resource. |
| resourceProviderName | Naam van de resourceprovider voor de betrokken resource |
| resourceType | Het type resource dat wordt beïnvloed door een beheer gebeurtenis. |
| resourceId | Resource-id van de betrokken resource. |
| operationId | Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking. |
| operationName | Naam van de bewerking. |
| properties | <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft. |
| status | Tekenreeks die de status van de bewerking beschrijft. Enkele algemene waarden zijn: Gestart, Wordt uitgevoerd, Geslaagd, Mislukt, Actief, Opgelost. |
| subStatus | Meestal de HTTP-statuscode van de bijbehorende REST-aanroep, maar kan ook andere tekenreeksen bevatten die een subStatus beschrijven, zoals deze algemene waarden: OK (HTTP-statuscode: 200), Gemaakt (HTTP-statuscode: 201), Geaccepteerd (HTTP-statuscode: 202), Geen inhoud (HTTP-statuscode: 204), Ongeldige aanvraag (HTTP-statuscode: 400), Niet gevonden (HTTP-statuscode: 404), Conflict (HTTP-statuscode: 409), Interne serverfout (HTTP-statuscode: 500), Service niet beschikbaar (HTTP-statuscode: 503), time-out van gateway (HTTP-statuscode: 504). |
| eventTimestamp | Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis. |
| submissionTimestamp | Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's. |
| subscriptionId | Azure-abonnements-id. |
Servicestatus categorie
Deze categorie bevat de record van eventuele servicestatusincidenten die zijn opgetreden in Azure. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'SQL Azure in VS - oost ondervindt downtime'. Servicestatus gebeurtenissen zijn afkomstig uit vijf soorten: Actie vereist, Incident, Onderhoud, Informatie of Beveiliging, en wordt alleen weergegeven als u een resource hebt in het abonnement dat wordt beïnvloed door de gebeurtenis.
Voorbeeldgebeurtenis
{
"channels": "Admin",
"correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Raadpleeg het artikel over servicestatusmeldingen voor documentatie over de waarden in de eigenschappen.
Resourcestatuscategorie
Deze categorie bevat de record van resourcestatusgebeurtenissen die zijn opgetreden in uw Azure-resources. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'Status van virtuele machine gewijzigd in niet beschikbaar'. Resourcestatusgebeurtenissen kunnen een van de vier statusstatussen vertegenwoordigen: Beschikbaar, Niet beschikbaar, Gedegradeerd en Onbekend. Daarnaast kunnen resourcestatusgebeurtenissen worden gecategoriseerd als platform geïnitieerd of door gebruiker geïnitieerd.
Er wordt een resourcestatus-gebeurtenis vastgelegd in het activiteitenlogboek wanneer:
- Een aantekening, bijvoorbeeld 'ResourceDegraded' of 'AccountClientThrottling', wordt verzonden voor een resource.
- Een resource is overgezet naar of van Beschadigd.
- Een resource is langer dan 15 minuten beschadigd.
De volgende resourcestatusovergangen worden niet vastgelegd in het activiteitenlogboek:
- Een overgang naar onbekende status.
- Een overgang van onbekende status als:
- Dit is de eerste overgang.
- Als de status vóór Onbekend hetzelfde is als de nieuwe status erna. (Als de resource bijvoorbeeld is overgezet van In orde naar Onbekend en weer in Orde).
- Voor rekenresources: VM's die worden overgezet van In orde naar Niet in orde en weer in orde, wanneer de slechte tijd minder dan 35 seconden is.
Voorbeeldgebeurtenis
{
"channels": "Admin, Operation",
"correlationId": "28f1bfae-56d3-7urb-bff4-194d261248e9",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/a80024e1-883d-42a5-8b01-7591a1befccb/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Beschrijvingen van eigenschappen
| Naam van element | Beschrijving |
|---|---|
| Kanalen | Altijd 'Beheerder, bewerking' |
| correlationId | Een GUID in de tekenreeksindeling. |
| beschrijving | Statische tekstbeschrijving van de waarschuwings gebeurtenis. |
| eventDataId | Unieke id van de waarschuwings gebeurtenis. |
| category | Altijd 'ResourceHealth' |
| eventTimestamp | Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis. |
| niveau | Ernstniveau van de gebeurtenis. |
| operationId | Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking. |
| operationName | Naam van de bewerking. |
| resourceGroupName | Naam van de resourcegroep die de resource bevat. |
| resourceProviderName | Altijd 'Microsoft.Resourcehealth/healthevent/action'. |
| resourceType | Het type resource dat wordt beïnvloed door een Resource Health-gebeurtenis. |
| resourceId | Naam van de resource-id voor de betrokken resource. |
| status | Tekenreeks die de status van de status van de gebeurtenis beschrijft. Waarden kunnen zijn: Actief, Opgelost, InProgress, Bijgewerkt. |
| subStatus | Meestal null voor waarschuwingen. |
| submissionTimestamp | Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's. |
| subscriptionId | Azure-abonnements-id. |
| properties | <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft. |
| properties.title | Een gebruiksvriendelijke tekenreeks die de status van de resource beschrijft. |
| properties.details | Een gebruiksvriendelijke tekenreeks die meer informatie over de gebeurtenis beschrijft. |
| properties.currentHealthStatus | De huidige status van de resource. Een van de volgende waarden: 'Beschikbaar', 'Niet beschikbaar', 'Gedegradeerd' en 'Onbekend'. |
| properties.previousHealthStatus | De vorige status van de resource. Een van de volgende waarden: 'Beschikbaar', 'Niet beschikbaar', 'Gedegradeerd' en 'Onbekend'. |
| properties.type | Een beschrijving van het type resourcestatus-gebeurtenis. |
| properties.cause | Een beschrijving van de oorzaak van de resourcestatus-gebeurtenis. Ofwel UserInitiated en PlatformInitiated. |
Waarschuwingscategorie
Deze categorie bevat de record van alle activeringen van klassieke Azure-waarschuwingen. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'CPU% op myVM is meer dan 80 voor de afgelopen 5 minuten'. Verschillende Azure-systemen hebben een waarschuwingsconcept: u kunt een regel van een bepaalde soort definiëren en een melding ontvangen wanneer voorwaarden overeenkomen met die regel. Telkens wanneer een ondersteund Azure-waarschuwingstype 'wordt geactiveerd' of aan de voorwaarden wordt voldaan om een melding te genereren, wordt er ook een record van de activering naar deze categorie van het activiteitenlogboek gepusht.
Voorbeeldgebeurtenis
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Beschrijvingen van eigenschappen
| Naam van element | Beschrijving |
|---|---|
| beller | Altijd Microsoft.Insights/alertRules |
| Kanalen | Altijd 'Beheerder, bewerking' |
| claims | JSON-blob met de SPN (service-principalnaam) of het resourcetype van de waarschuwingsengine. |
| correlationId | Een GUID in de tekenreeksindeling. |
| beschrijving | Statische tekstbeschrijving van de waarschuwings gebeurtenis. |
| eventDataId | Unieke id van de waarschuwings gebeurtenis. |
| category | Altijd 'Waarschuwing' |
| niveau | Ernstniveau van de gebeurtenis. |
| resourceGroupName | Naam van de resourcegroep voor de betrokken resource als dit een waarschuwing voor metrische gegevens is. Voor andere waarschuwingstypen is dit de naam van de resourcegroep die de waarschuwing zelf bevat. |
| resourceProviderName | De naam van de resourceprovider voor de betrokken resource als dit een waarschuwing voor metrische gegevens is. Voor andere waarschuwingstypen is dit de naam van de resourceprovider voor de waarschuwing zelf. |
| resourceId | Naam van de resource-id voor de betrokken resource als dit een waarschuwing voor metrische gegevens is. Voor andere waarschuwingstypen is dit de resource-id van de waarschuwingsresource zelf. |
| operationId | Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking. |
| operationName | Naam van de bewerking. |
| properties | <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft. |
| status | Tekenreeks die de status van de bewerking beschrijft. Enkele algemene waarden zijn: Gestart, Wordt uitgevoerd, Geslaagd, Mislukt, Actief, Opgelost. |
| subStatus | Meestal null voor waarschuwingen. |
| eventTimestamp | Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis. |
| submissionTimestamp | Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's. |
| subscriptionId | Azure-abonnements-id. |
Veld Eigenschappen per waarschuwingstype
Het eigenschappenveld bevat verschillende waarden, afhankelijk van de bron van de waarschuwings gebeurtenis. Twee veelvoorkomende waarschuwings gebeurtenisproviders zijn waarschuwingen voor activiteitenlogboeken en metrische waarschuwingen.
Eigenschappen voor waarschuwingen voor activiteitenlogboeken
| Naam van element | Beschrijving |
|---|---|
| properties.subscriptionId | De abonnements-id van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd. |
| properties.eventDataId | De gebeurtenisgegevens-id van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd. |
| properties.resourceGroup | De resourcegroep van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd. |
| properties.resourceId | De resource-id van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor het activiteitenlogboek is geactiveerd. |
| properties.eventTimestamp | De tijdstempel van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd. |
| properties.operationName | De naam van de bewerking van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor het activiteitenlogboek is geactiveerd. |
| properties.status | De status van de gebeurtenis in het activiteitenlogboek waardoor deze waarschuwingsregel voor activiteitenlogboeken is geactiveerd. |
Eigenschappen voor waarschuwingen voor metrische gegevens
| Naam van element | Beschrijving |
|---|---|
| Eigenschappen. RuleUri | Resource-id van de regel voor metrische waarschuwingen zelf. |
| Eigenschappen. RuleName | De naam van de waarschuwingsregel voor metrische gegevens. |
| Eigenschappen. RuleDescription | De beschrijving van de waarschuwingsregel voor metrische gegevens (zoals gedefinieerd in de waarschuwingsregel). |
| Eigenschappen. Drempel | De drempelwaarde die wordt gebruikt bij de evaluatie van de waarschuwingsregel voor metrische gegevens. |
| Eigenschappen. WindowSizeInMinutes | De venstergrootte die wordt gebruikt bij de evaluatie van de regel voor metrische waarschuwingen. |
| Eigenschappen. Aggregatie | Het aggregatietype dat is gedefinieerd in de waarschuwingsregel voor metrische gegevens. |
| Eigenschappen. Bediener | De voorwaardelijke operator die wordt gebruikt bij de evaluatie van de waarschuwingsregel voor metrische gegevens. |
| Eigenschappen. MetricName | De metrische naam van de metrische waarde die wordt gebruikt bij de evaluatie van de waarschuwingsregel voor metrische gegevens. |
| Eigenschappen. MetricUnit | De metrische eenheid voor de metrische waarde die wordt gebruikt bij de evaluatie van de waarschuwingsregel voor metrische gegevens. |
Categorie voor automatisch schalen
Deze categorie bevat de record van gebeurtenissen die betrekking hebben op de werking van de engine voor automatisch schalen op basis van instellingen voor automatische schaalaanpassing die u in uw abonnement hebt gedefinieerd. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'Automatische schaalaanpassing is mislukt'. Met automatische schaalaanpassing kunt u automatisch uitschalen of inschalen in het aantal exemplaren in een ondersteund resourcetype op basis van het tijdstip van de dag en/of het laden (metrische) gegevens met behulp van een instelling voor automatisch schalen. Wanneer aan de voorwaarden wordt voldaan om omhoog of omlaag te schalen, worden de begin- en geslaagde of mislukte gebeurtenissen vastgelegd in deze categorie.
Voorbeeldgebeurtenis
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Beschrijvingen van eigenschappen
| Naam van element | Beschrijving |
|---|---|
| beller | Always Microsoft.Insights/autoscaleSettings |
| Kanalen | Altijd 'Beheerder, bewerking' |
| claims | JSON-blob met de SPN (service-principal-naam) of het resourcetype van de engine voor automatische schaalaanpassing. |
| correlationId | Een GUID in de tekenreeksindeling. |
| beschrijving | Statische tekstbeschrijving van de gebeurtenis voor automatisch schalen. |
| eventDataId | Unieke id van de gebeurtenis voor automatisch schalen. |
| niveau | Ernstniveau van de gebeurtenis. |
| resourceGroupName | Naam van de resourcegroep voor de instelling voor automatisch schalen. |
| resourceProviderName | Naam van de resourceprovider voor de instelling voor automatische schaalaanpassing. |
| resourceId | Resource-id van de instelling voor automatische schaalaanpassing. |
| operationId | Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking. |
| operationName | Naam van de bewerking. |
| properties | <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft. |
| Eigenschappen. Beschrijving | Gedetailleerde beschrijving van wat de engine voor automatische schaalaanpassing deed. |
| Eigenschappen. ResourceName | Resource-id van de betrokken resource (de resource waarop de schaalactie werd uitgevoerd) |
| Eigenschappen. OldInstancesCount | Het aantal exemplaren voordat de actie voor automatisch schalen van kracht werd. |
| Eigenschappen. NewInstancesCount | Het aantal exemplaren nadat de actie voor automatisch schalen is doorgevoerd. |
| Eigenschappen. LastScaleActionTime | Het tijdstempel van het moment waarop de actie voor automatisch schalen heeft plaatsgevonden. |
| status | Tekenreeks die de status van de bewerking beschrijft. Enkele algemene waarden zijn: Gestart, Wordt uitgevoerd, Geslaagd, Mislukt, Actief, Opgelost. |
| subStatus | Meestal null voor automatische schaalaanpassing. |
| eventTimestamp | Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis. |
| submissionTimestamp | Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's. |
| subscriptionId | Azure-abonnements-id. |
Beveiligingscategorie
Deze categorie bevat de record die waarschuwingen worden gegenereerd door Microsoft Defender voor Cloud. Een voorbeeld van het type gebeurtenis dat u in deze categorie ziet, is 'Suspicious double extension file executed'.
Voorbeeldgebeurtenis
{
"channels": "Operation",
"correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
"level": "Informational",
"operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Beschrijvingen van eigenschappen
| Naam van element | Beschrijving |
|---|---|
| Kanalen | Altijd 'Bewerking' |
| correlationId | Een GUID in de tekenreeksindeling. |
| beschrijving | Statische tekstbeschrijving van de beveiligings gebeurtenis. |
| eventDataId | Unieke id van de beveiligings gebeurtenis. |
| eventName | Beschrijvende naam van de beveiligings gebeurtenis. |
| category | Altijd 'Beveiliging' |
| Id | Unieke resource-id van de beveiligings gebeurtenis. |
| niveau | Ernstniveau van de gebeurtenis. |
| resourceGroupName | Naam van de resourcegroep voor de resource. |
| resourceProviderName | Naam van de resourceprovider voor Microsoft Defender voor Cloud. Altijd Microsoft.Security. |
| resourceType | Het type resource dat de beveiligings gebeurtenis heeft gegenereerd, zoals 'Microsoft.Security/locations/alerts' |
| resourceId | Resource-id van de beveiligingswaarschuwing. |
| operationId | Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking. |
| operationName | Naam van de bewerking. |
| properties | <Key, Value> Set paren (dat wil gezegd een woordenlijst) die de details van de gebeurtenis beschrijft. Deze eigenschappen variëren afhankelijk van het type beveiligingswaarschuwing. Zie deze pagina voor een beschrijving van de typen waarschuwingen die afkomstig zijn van Defender voor Cloud. |
| Eigenschappen. Strengheid | Het ernstniveau. Mogelijke waarden zijn 'Hoog', 'Gemiddeld' of 'Laag'. |
| status | Tekenreeks die de status van de bewerking beschrijft. Enkele algemene waarden zijn: Gestart, Wordt uitgevoerd, Geslaagd, Mislukt, Actief, Opgelost. |
| subStatus | Meestal null voor beveiligingsevenementen. |
| eventTimestamp | Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis. |
| submissionTimestamp | Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's. |
| subscriptionId | Azure-abonnements-id. |
Aanbevelingscategorie
Deze categorie bevat de record van nieuwe aanbevelingen die worden gegenereerd voor uw services. Een voorbeeld van een aanbeveling is 'Beschikbaarheidssets gebruiken voor verbeterde fouttolerantie'. Er zijn vier soorten aanbevelingsevenementen die kunnen worden gegenereerd: hoge beschikbaarheid, prestaties, beveiliging en kostenoptimalisatie.
Voorbeeldgebeurtenis
{
"channels": "Operation",
"correlationId": "92481dfd-c5bf-4752-b0d6-0ecddaa64776",
"description": "The action was successful.",
"eventDataId": "06cb0e44-111b-47c7-a4f2-aa3ee320c9c5",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/06cb0e44-111b-47c7-a4f2-aa3ee320c9c5/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Beschrijvingen van eigenschappen
| Naam van element | Beschrijving |
|---|---|
| Kanalen | Altijd 'Bewerking' |
| correlationId | Een GUID in de tekenreeksindeling. |
| beschrijving | Statische tekstbeschrijving van de aanbevelings gebeurtenis |
| eventDataId | Unieke id van de aanbevelingsbeurtenis. |
| category | Altijd aanbeveling |
| Id | Unieke resource-id van de aanbevelings gebeurtenis. |
| niveau | Ernstniveau van de gebeurtenis. |
| operationName | Naam van de bewerking. Altijd 'Microsoft.Advisor/generateRecommendations/action' |
| resourceGroupName | Naam van de resourcegroep voor de resource. |
| resourceProviderName | De naam van de resourceprovider voor de resource waarop deze aanbeveling van toepassing is, zoals 'MICROSOFT.' COMPUTE" |
| resourceType | Naam van het resourcetype voor de resource waarop deze aanbeveling van toepassing is, zoals 'MICROSOFT.' COMPUTE/virtualmachines" |
| resourceId | Resource-id van de resource waarop de aanbeveling van toepassing is |
| status | Altijd actief |
| submissionTimestamp | Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's. |
| subscriptionId | Azure-abonnements-id. |
| properties | <Key, Value> Set paren (een woordenlijst) die de details van de aanbeveling beschrijft. |
| properties.recommendationSchemaVersion | Schemaversie van de aanbevelingseigenschappen die zijn gepubliceerd in de vermelding Activiteitenlogboek |
| properties.recommendationCategory | Categorie van de aanbeveling. Mogelijke waarden zijn 'Hoge beschikbaarheid', 'Prestaties', 'Beveiliging' en 'Kosten' |
| properties.recommendationImpact | Impact van de aanbeveling. Mogelijke waarden zijn 'Hoog', 'Gemiddeld', 'Laag' |
| properties.recommendationRisk | Risico op de aanbeveling. Mogelijke waarden zijn 'Fout', 'Waarschuwing', 'Geen' |
Beleidscategorie
Deze categorie bevat records van alle bewerkingen voor effectacties die door Azure Policy worden uitgevoerd. Voorbeelden van de typen gebeurtenissen die u in deze categorie zou zien, zijn Audit en Weigeren. Elke actie die door Beleid wordt uitgevoerd, wordt gemodelleerd als een bewerking op een resource.
Voorbeeld van beleidsgebeurtenis
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"description": "",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/13bbf75f-36d5-4e66-b693-725267ff21ce/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Beschrijvingen van beleidsevenementen
| Naam van element | Beschrijving |
|---|---|
| autorisatie | Matrix van Azure RBAC-eigenschappen van de gebeurtenis. Voor nieuwe resources is dit de actie en het bereik van de aanvraag die de evaluatie heeft geactiveerd. Voor bestaande resources is de actie Microsoft.Resources/checkPolicyCompliance/read. |
| beller | Voor nieuwe resources is de identiteit waarmee een implementatie is gestart. Voor bestaande resources is de GUID van de Microsoft Azure Policy Insights RP. |
| Kanalen | Beleidsevenementen gebruiken alleen het kanaal 'Bewerking'. |
| claims | Het JWT-token dat door Active Directory wordt gebruikt om de gebruiker of toepassing te verifiëren om deze bewerking uit te voeren in Resource Manager. |
| correlationId | Meestal een GUID in de tekenreeksindeling. Gebeurtenissen die een correlationId delen, behoren tot dezelfde uber-actie. |
| beschrijving | Dit veld is leeg voor beleidsevenementen. |
| eventDataId | Unieke id van een gebeurtenis. |
| eventName | BeginRequest of EndRequest. 'BeginRequest' wordt gebruikt voor vertraagde auditIfNotExists en deployIfNotExists-evaluaties en wanneer een deployIfNotExists-effect een sjabloonimplementatie start. Alle andere bewerkingen retourneren EndRequest. |
| category | Declareert de gebeurtenis van het activiteitenlogboek als behorend tot 'Beleid'. |
| eventTimestamp | Tijdstempel wanneer de gebeurtenis is gegenereerd door de Azure-service die de aanvraag verwerkt die overeenkomt met de gebeurtenis. |
| Id | Unieke id van de gebeurtenis voor de specifieke resource. |
| niveau | Ernstniveau van de gebeurtenis. Controle maakt gebruik van 'Waarschuwing' en Weigeren maakt gebruik van 'Fout'. Een auditIfNotExists- of deployIfNotExists-fout kan 'Waarschuwing' of 'Fout' genereren, afhankelijk van de ernst. Alle andere beleidsevenementen gebruiken 'Informatief'. |
| operationId | Een GUID die wordt gedeeld tussen de gebeurtenissen die overeenkomen met één bewerking. |
| operationName | De naam van de bewerking en correleert rechtstreeks met het beleidseffect. |
| resourceGroupName | Naam van de resourcegroep voor de geëvalueerde resource. |
| resourceProviderName | Naam van de resourceprovider voor de geëvalueerde resource. |
| resourceType | Voor nieuwe resources is dit het type dat wordt geëvalueerd. Voor bestaande resources wordt 'Microsoft.Resources/checkPolicyCompliance' geretourneerd. |
| resourceId | Resource-id van de geëvalueerde resource. |
| status | Tekenreeks met een beschrijving van de status van het resultaat van de beleidsevaluatie. De meeste beleidsevaluaties retourneren Geslaagd, maar een effect Weigeren retourneert 'Mislukt'. Fouten in auditIfNotExists of deployIfNotExists retourneren ook Mislukt. |
| subStatus | Veld is leeg voor beleidsevenementen. |
| submissionTimestamp | Tijdstempel wanneer de gebeurtenis beschikbaar werd voor het uitvoeren van query's. |
| subscriptionId | Azure-abonnements-id. |
| properties.isComplianceCheck | Retourneert 'Onwaar' wanneer een nieuwe resource wordt geïmplementeerd of als de Resource Manager-eigenschappen van een bestaande resource worden bijgewerkt. Alle andere evaluatietriggers resulteren in Waar. |
| properties.resourceLocation | De Azure-regio van de resource die wordt geëvalueerd. |
| properties.ancestors | Een door komma's gescheiden lijst met bovenliggende beheergroepen die zijn besteld van directe bovenliggende naar verre grootouder. |
| properties.policies | Bevat details over de beleidsdefinitie, toewijzing, effect en parameters waarvan deze beleidsevaluatie het resultaat is. |
| relatedEvents | Dit veld is leeg voor beleidsevenementen. |
Schema van opslagaccount en Event Hubs
Wanneer u het Azure-activiteitenlogboek naar een opslagaccount of Event Hub streamt, volgen de gegevens het schema van het resourcelogboek. De onderstaande tabel bevat een toewijzing van eigenschappen uit de bovenstaande schema's aan het schema voor resourcelogboeken.
Belangrijk
De indeling van activiteitenlogboekgegevens die naar een opslagaccount zijn geschreven, is gewijzigd in JSON Lines op 1 november 2018. Zie Voorbereiden voor het wijzigen van de indeling in Azure Monitor-resourcelogboeken die zijn gearchiveerd in een opslagaccount voor meer informatie over deze indelingswijziging.
| Schema-eigenschap resourcelogboeken | Rest API-schema-eigenschap voor activiteitenlogboek | Opmerkingen |
|---|---|---|
| tijd | eventTimestamp | |
| resourceId | resourceId | subscriptionId, resourceType, resourceGroupName worden allemaal afgeleid van de resourceId. |
| operationName | operationName.value | |
| category | Onderdeel van de bewerkingsnaam | Uitsplitsing van het bewerkingstype. "Schrijven", "Verwijderen" of "Actie". |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | beschrijving | |
| durationMs | N.v.t. | Altijd 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| identity | claims en autorisatie-eigenschappen | |
| Niveau | Niveau | |
| locatie | N.v.t. | Locatie waar de gebeurtenis is verwerkt. Dit is niet de locatie van de resource, maar waar de gebeurtenis is verwerkt. Deze eigenschap wordt verwijderd in een toekomstige update. |
| Eigenschappen | properties.eventProperties | |
| properties.eventCategory | category | Als properties.eventCategory niet aanwezig is, is de categorie 'Beheer' |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | properties |
Hier volgt een voorbeeld van een gebeurtenis met behulp van dit schema:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
"identity": {
"authorization": {
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/00000000-0000-0000-0000-000000000000",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "12345678-3bq0-49c1-b47d-974e53cbdf3c",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}