Händelseschema för Azure-aktivitetslogg
Azure-aktivitetsloggen ger insikter om eventuella händelser på prenumerationsnivå som har inträffat i Azure. Den här artikeln beskriver aktivitetsloggkategorier och schemat för var och en.
Schemat varierar beroende på hur du kommer åt loggen:
- De scheman som beskrivs i den här artikeln är när du kommer åt aktivitetsloggen från REST-API:et. Schemat används också när du väljer JSON-alternativet när du visar en händelse i Azure-portalen.
- Se det sista avsnittet Schema från lagringskontot och händelsehubbar för schemat när du använder en diagnostikinställning för att skicka aktivitetsloggen till Azure Storage eller Azure Event Hubs.
- Se Azure Monitor-datareferens för schemat när du använder en diagnostikinställning för att skicka aktivitetsloggen till en Log Analytics-arbetsyta.
Allvarlighetsgrad
Varje post i aktivitetsloggen har en allvarlighetsgrad. Allvarlighetsgrad kan ha något av följande värden:
| Allvarlighetsgrad | beskrivning |
|---|---|
| Kritiskt | Händelser som kräver omedelbar uppmärksamhet från en systemadministratör. Kan tyda på att ett program eller system misslyckades eller slutade svara. |
| Fel | Händelser som indikerar ett problem, men som inte kräver omedelbar uppmärksamhet. |
| Varning | Händelser som ger förvarning om potentiella problem, men inte ett verkligt fel. Ange att en resurs inte är i ett idealiskt tillstånd och kan senare försämras till att visa fel eller kritiska händelser. |
| Information | Händelser som skickar icke-kritisk information till administratören. Liknar en anteckning som säger: "För din information". |
Utvecklarna för varje resursprovider väljer allvarlighetsgraderna för sina resursposter. Därför kan den faktiska allvarlighetsgraden för dig variera beroende på hur ditt program skapas. Objekt som till exempel är "kritiska" för en viss resurs som tas isolerat kanske inte är lika viktiga som "fel" i en resurstyp som är central för ditt Azure-program. Tänk på detta när du bestämmer vilka händelser som ska aviseras.
Kategorier
Varje händelse i aktivitetsloggen har en viss kategori som beskrivs i följande tabell. Mer information om varje kategori och dess schema finns i avsnitten nedan när du kommer åt aktivitetsloggen från portalen, PowerShell, CLI och REST API. Schemat skiljer sig när du strömmar aktivitetsloggen till lagring eller Event Hubs. En mappning av egenskaperna till resursloggschemat tillhandahålls i det sista avsnittet i artikeln.
| Kategori | beskrivning |
|---|---|
| Administrativa | Innehåller posten för alla åtgärder för att skapa, uppdatera, ta bort och åtgärder som utförs via Resource Manager. Exempel på administrativa händelser är att skapa en virtuell dator och ta bort nätverkssäkerhetsgruppen. Varje åtgärd som vidtas av en användare eller ett program som använder Resource Manager modelleras som en åtgärd av en viss resurstyp. Om åtgärdstypen är Skriv, Ta bort eller Åtgärd registreras posterna för både start och lyckad eller misslyckad åtgärd i kategorin Administration. Administrativa händelser omfattar även ändringar av rollbaserad åtkomstkontroll i Azure i en prenumeration. |
| Tjänsthälsa | Innehåller posten för alla tjänsthälsoincidenter som inträffat i Azure. Ett exempel på en Service Health-händelse som SQL Azure i USA, östra upplever driftstopp. Service Health-händelser finns i sex sorter: Åtgärd krävs, assisterad återställning, incident, underhåll, information eller säkerhet. Dessa händelser skapas bara om du har en resurs i prenumerationen som påverkas av händelsen. |
| Resurshälsa | Innehåller posten för alla resurshälsohändelser som har inträffat för dina Azure-resurser. Ett exempel på en Resource Health-händelse är statusen för virtuell dators hälsotillstånd har ändrats till otillgänglig. Resource Health-händelser kan representera en av fyra hälsostatusar: Tillgänglig, Otillgänglig, Degraderad och Okänd. Dessutom kan Resource Health-händelser kategoriseras som plattformsinitieradeeller användarinitierade. |
| Alert | Innehåller posten för aktiveringar för Azure-aviseringar. Ett exempel på en aviseringshändelse är CPU % på myVM över 80 under de senaste 5 minuterna. |
| Automatisk skalning | Innehåller posten för händelser som rör funktionen för autoskalningsmotorn baserat på eventuella autoskalningsinställningar som du definierade i din prenumeration. Ett exempel på en autoskalningshändelse är autoskalningsåtgärden misslyckades. |
| Rekommendation | Innehåller rekommendationshändelser från Azure Advisor. |
| Säkerhet | Innehåller posten för alla aviseringar som genereras av Microsoft Defender för molnet. Ett exempel på en säkerhetshändelse är Misstänkt fil med dubbelt tillägg som körs. |
| Princip | Innehåller poster för alla effektåtgärdsåtgärder som utförs av Azure Policy. Exempel på principhändelser är Granskning och Neka. Varje åtgärd som vidtas av principen modelleras som en åtgärd på en resurs. |
Administrativ kategori
Den här kategorin innehåller posten för alla åtgärder för att skapa, uppdatera, ta bort och åtgärder som utförs via Resource Manager. Exempel på de typer av händelser som du skulle se i den här kategorin är "skapa virtuell dator" och "ta bort nätverkssäkerhetsgrupp". Varje åtgärd som vidtas av en användare eller ett program som använder Resource Manager modelleras som en åtgärd av en viss resurstyp. Om åtgärdstypen är Skriv, Ta bort eller Åtgärd registreras posterna för både start och lyckad eller misslyckad åtgärd i kategorin Administration. Kategorin Administrativ innehåller även ändringar av rollbaserad åtkomstkontroll i Azure i en prenumeration.
Exempelhändelse
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "355249ed-15d9-460d-8481-84026b065942",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Egenskapsbeskrivningar
| Elementnamn | beskrivning |
|---|---|
| auktorisering | Blob av Azure RBAC-egenskaper för händelsen. Innehåller vanligtvis egenskaperna "action", "role" och "scope". |
| Ringer | E-postadress till den användare som har utfört åtgärden, UPN-anspråket eller SPN-anspråket baserat på tillgänglighet. |
| Kanaler | Ett av följande värden: "Admin", "Operation" |
| anspråk | Den JWT-token som används av Active Directory för att autentisera användaren eller programmet för att utföra den här åtgärden i Resource Manager. |
| korrelations-ID | Vanligtvis ett GUID i strängformat. Händelser som delar ett correlationId tillhör samma uber-åtgärd. |
| description | Beskrivning av statisk text för en händelse. |
| eventDataId | Unik identifierare för en händelse. |
| eventName | Eget namn på den administrativa händelsen. |
| category | Alltid "Administrativ" |
| httpRequest | Blob som beskriver Http-begäran. Innehåller vanligtvis "clientRequestId", "clientIpAddress" och "method" (HTTP-metod. Till exempel PUT). |
| nivå | Allvarlighetsgrad för händelsen. |
| resourceGroupName | Namnet på resursgruppen för den berörda resursen. |
| resourceProviderName | Namnet på resursprovidern för den berörda resursen |
| resourceType | Den typ av resurs som påverkas av en administrativ händelse. |
| resourceId | Resurs-ID för den berörda resursen. |
| operationId | Ett GUID som delas mellan de händelser som motsvarar en enda åtgärd. |
| operationName | Namnet på åtgärden. |
| egenskaper | <Key, Value> Uppsättning par (dvs. en ordlista) som beskriver information om händelsen. |
| status | Sträng som beskriver status för åtgärden. Några vanliga värden är: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Vanligtvis HTTP-statuskoden för motsvarande REST-anrop, men kan även innehålla andra strängar som beskriver en understatus, till exempel dessa vanliga värden: OK (HTTP-statuskod: 200), Skapad (HTTP-statuskod: 201), Godkänd (HTTP-statuskod: 202), Inget innehåll (HTTP-statuskod: 204), Felaktig begäran (HTTP-statuskod: 400), Hittades inte (HTTP-statuskod: 404), konflikt (HTTP-statuskod: 409), internt serverfel (HTTP-statuskod: 500), tjänsten är inte tillgänglig (HTTP-statuskod: 503), gateway-timeout (HTTP-statuskod: 504). |
| eventTimestamp | Tidsstämpel när händelsen genererades av Azure-tjänsten som bearbetar begäran som motsvarar händelsen. |
| submissionTimestamp | Tidsstämpel när händelsen blev tillgänglig för frågor. |
| subscriptionId | Azure-prenumerations-ID. |
Tjänststatus kategori
Den här kategorin innehåller posten för alla tjänsthälsoincidenter som inträffade i Azure. Ett exempel på vilken typ av händelse du skulle se i den här kategorin är "SQL Azure i USA, östra upplever driftstopp". Tjänststatus händelser finns i fem sorter: Åtgärd krävs, Incident, Underhåll, Information eller Säkerhet och visas endast om du har en resurs i prenumerationen som skulle påverkas av händelsen.
Exempelhändelse
{
"channels": "Admin",
"correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Mer information om värdena i egenskaperna finns i artikeln om servicehälsomeddelanden.
Resurshälsokategori
Den här kategorin innehåller posten för resurshälsohändelser som har inträffat för dina Azure-resurser. Ett exempel på vilken typ av händelse du skulle se i den här kategorin är "Hälsostatus för virtuell dator har ändrats till otillgänglig". Resurshälsohändelser kan representera en av fyra hälsostatusar: Tillgänglig, Otillgänglig, Degraderad och Okänd. Dessutom kan resurshälsohändelser kategoriseras som plattformsinitierade eller användarinitierade.
En resurshälsohändelse registreras i aktivitetsloggen när:
- En kommentar, till exempel "ResourceDegraded" eller "AccountClientThrottling", skickas för en resurs.
- En resurs övergick till eller från Ej felfri.
- En resurs var inte felfri i mer än 15 minuter.
Följande resurshälsoövergångar registreras inte i aktivitetsloggen:
- En övergång till okänt tillstånd.
- En övergång från okänt tillstånd om:
- Det här är den första övergången.
- Om tillståndet före Okänt är detsamma som det nya tillståndet efter. (Om resursen till exempel övergick från Felfri till Okänd och tillbaka till Felfri).
- För beräkningsresurser: Virtuella datorer som övergår från Felfri till Inte felfri och tillbaka till Felfri, när den felaktiga tiden är mindre än 35 sekunder.
Exempelhändelse
{
"channels": "Admin, Operation",
"correlationId": "28f1bfae-56d3-7urb-bff4-194d261248e9",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/a80024e1-883d-42a5-8b01-7591a1befccb/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Egenskapsbeskrivningar
| Elementnamn | beskrivning |
|---|---|
| Kanaler | Alltid "Admin, Operation" |
| korrelations-ID | Ett GUID i strängformat. |
| description | Beskrivning av statisk text för aviseringshändelsen. |
| eventDataId | Unik identifierare för aviseringshändelsen. |
| category | Alltid "ResourceHealth" |
| eventTimestamp | Tidsstämpel när händelsen genererades av Azure-tjänsten som bearbetar begäran som motsvarar händelsen. |
| nivå | Allvarlighetsgrad för händelsen. |
| operationId | Ett GUID som delas mellan de händelser som motsvarar en enda åtgärd. |
| operationName | Namnet på åtgärden. |
| resourceGroupName | Namnet på resursgruppen som innehåller resursen. |
| resourceProviderName | Alltid "Microsoft.Resourcehealth/healthevent/action". |
| resourceType | Den typ av resurs som påverkas av en Resource Health-händelse. |
| resourceId | Namnet på resurs-ID:t för den berörda resursen. |
| status | Sträng som beskriver status för hälsohändelsen. Värden kan vara: Aktiv, Löst, InProgress, Uppdaterad. |
| subStatus | Vanligtvis null för aviseringar. |
| submissionTimestamp | Tidsstämpel när händelsen blev tillgänglig för frågor. |
| subscriptionId | Azure-prenumerations-ID. |
| egenskaper | <Key, Value> Uppsättning par (dvs. en ordlista) som beskriver information om händelsen. |
| properties.title | En användarvänlig sträng som beskriver resursens hälsostatus. |
| properties.details | En användarvänlig sträng som beskriver ytterligare information om händelsen. |
| properties.currentHealthStatus | Resursens aktuella hälsostatus. Ett av följande värden: "Tillgänglig", "Ej tillgänglig", "Degraderad" och "Okänd". |
| properties.previousHealthStatus | Resursens tidigare hälsostatus. Ett av följande värden: "Tillgänglig", "Ej tillgänglig", "Degraderad" och "Okänd". |
| properties.type | En beskrivning av typen av resurshälsohändelse. |
| properties.cause | En beskrivning av orsaken till resursens hälsohändelse. Antingen "UserInitiated" och "PlatformInitiated". |
Aviseringskategori
Den här kategorin innehåller posten för alla aktiveringar av klassiska Azure-aviseringar. Ett exempel på vilken typ av händelse du skulle se i den här kategorin är "CPU % på myVM är över 80 under de senaste 5 minuterna." Olika Azure-system har ett aviseringskoncept: du kan definiera en regel av något slag och få ett meddelande när villkoren matchar den regeln. Varje gång en Azure-aviseringstyp som stöds "aktiveras" eller villkoren uppfylls för att generera ett meddelande skickas även en post för aktiveringen till den här kategorin i aktivitetsloggen.
Exempelhändelse
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Egenskapsbeskrivningar
| Elementnamn | beskrivning |
|---|---|
| Ringer | Alltid Microsoft.Insights/alertRules |
| Kanaler | Alltid "Admin, Operation" |
| anspråk | JSON-blob med SPN (tjänstens huvudnamn) eller resurstyp för aviseringsmotorn. |
| korrelations-ID | Ett GUID i strängformat. |
| description | Beskrivning av statisk text för aviseringshändelsen. |
| eventDataId | Unik identifierare för aviseringshändelsen. |
| category | Alltid "avisering" |
| nivå | Allvarlighetsgrad för händelsen. |
| resourceGroupName | Namnet på resursgruppen för den berörda resursen om det är en måttavisering. För andra aviseringstyper är det namnet på resursgruppen som innehåller själva aviseringen. |
| resourceProviderName | Namnet på resursprovidern för den berörda resursen om det är en måttavisering. För andra aviseringstyper är det namnet på resursprovidern för själva aviseringen. |
| resourceId | Namnet på resurs-ID:t för den berörda resursen om det är en måttavisering. För andra aviseringstyper är det resurs-ID för själva aviseringsresursen. |
| operationId | Ett GUID som delas mellan de händelser som motsvarar en enda åtgärd. |
| operationName | Namnet på åtgärden. |
| egenskaper | <Key, Value> Uppsättning par (dvs. en ordlista) som beskriver information om händelsen. |
| status | Sträng som beskriver status för åtgärden. Några vanliga värden är: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Vanligtvis null för aviseringar. |
| eventTimestamp | Tidsstämpel när händelsen genererades av Azure-tjänsten som bearbetar begäran som motsvarar händelsen. |
| submissionTimestamp | Tidsstämpel när händelsen blev tillgänglig för frågor. |
| subscriptionId | Azure-prenumerations-ID. |
Egenskapsfält per aviseringstyp
Egenskapsfältet innehåller olika värden beroende på källan till aviseringshändelsen. Två vanliga aviseringshändelseprovidrar är aktivitetsloggaviseringar och måttaviseringar.
Egenskaper för aktivitetsloggaviseringar
| Elementnamn | beskrivning |
|---|---|
| properties.subscriptionId | Prenumerations-ID:t från aktivitetslogghändelsen som gjorde att aviseringsregeln för aktivitetsloggen aktiverades. |
| properties.eventDataId | Händelsedata-ID:t från aktivitetslogghändelsen som gjorde att den här aktivitetsloggaviseringsregeln aktiverades. |
| properties.resourceGroup | Resursgruppen från aktivitetslogghändelsen som gjorde att aviseringsregeln för aktivitetsloggen aktiverades. |
| properties.resourceId | Resurs-ID:t från aktivitetslogghändelsen som gjorde att den här aktivitetsloggaviseringsregeln aktiverades. |
| properties.eventTimestamp | Händelsetidsstämpeln för aktivitetslogghändelsen som gjorde att den här aktivitetsloggaviseringsregeln aktiverades. |
| properties.operationName | Åtgärdsnamnet från aktivitetslogghändelsen som gjorde att aviseringsregeln för aktivitetsloggen aktiverades. |
| properties.status | Statusen från aktivitetslogghändelsen som gjorde att den här aktivitetsloggaviseringsregeln aktiverades. |
Egenskaper för måttaviseringar
| Elementnamn | beskrivning |
|---|---|
| Egenskaper. RuleUri | Resurs-ID för själva måttaviseringsregeln. |
| Egenskaper. RuleName | Namnet på måttaviseringsregeln. |
| Egenskaper. RuleDescription | Beskrivningen av måttaviseringsregeln (enligt definitionen i aviseringsregeln). |
| Egenskaper. Tröskel | Tröskelvärdet som används i utvärderingen av måttaviseringsregeln. |
| Egenskaper. WindowSizeInMinutes | Fönsterstorleken som används i utvärderingen av måttaviseringsregeln. |
| Egenskaper. Aggregation | Aggregeringstypen som definieras i måttaviseringsregeln. |
| Egenskaper. Operatör | Den villkorsstyrda operatorn som används i utvärderingen av måttaviseringsregeln. |
| Egenskaper. MetricName | Måttnamnet för måttet som används i utvärderingen av måttaviseringsregeln. |
| Egenskaper. MetricUnit | Måttenheten för måttet som används i utvärderingen av måttaviseringsregeln. |
Autoskalningskategori
Den här kategorin innehåller posten för händelser som rör funktionen för autoskalningsmotorn baserat på alla autoskalningsinställningar som du har definierat i din prenumeration. Ett exempel på vilken typ av händelse du skulle se i den här kategorin är "Åtgärden för automatisk skalning av skalning misslyckades". Med autoskalning kan du automatiskt skala ut eller skala in antalet instanser i en resurstyp som stöds baserat på tid på dagen och/eller belastningsdata (mått) med hjälp av en autoskalningsinställning. När villkoren uppfylls för att skala upp eller ned registreras start- och lyckades- eller misslyckade händelser i den här kategorin.
Exempelhändelse
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Egenskapsbeskrivningar
| Elementnamn | beskrivning |
|---|---|
| Ringer | Alltid Microsoft.Insights/autoskalning Inställningar |
| Kanaler | Alltid "Admin, Operation" |
| anspråk | JSON-blob med SPN (tjänstens huvudnamn) eller resurstyp för autoskalningsmotorn. |
| korrelations-ID | Ett GUID i strängformat. |
| description | Statisk textbeskrivning av autoskalningshändelsen. |
| eventDataId | Unik identifierare för autoskalningshändelsen. |
| nivå | Allvarlighetsgrad för händelsen. |
| resourceGroupName | Namnet på resursgruppen för autoskalningsinställningen. |
| resourceProviderName | Namnet på resursprovidern för autoskalningsinställningen. |
| resourceId | Resurs-ID för autoskalningsinställningen. |
| operationId | Ett GUID som delas mellan de händelser som motsvarar en enda åtgärd. |
| operationName | Namnet på åtgärden. |
| egenskaper | <Key, Value> Uppsättning par (dvs. en ordlista) som beskriver information om händelsen. |
| Egenskaper. Beskrivning | Detaljerad beskrivning av vad autoskalningsmotorn gjorde. |
| Egenskaper. ResourceName | Resurs-ID för den påverkade resursen (resursen där skalningsåtgärden utfördes) |
| Egenskaper. OldInstancesCount | Antalet instanser innan autoskalningsåtgärden trädde i kraft. |
| Egenskaper. NewInstancesCount | Antalet instanser efter att autoskalningsåtgärden trädde i kraft. |
| Egenskaper. LastScaleActionTime | Tidsstämpeln för när autoskalningsåtgärden inträffade. |
| status | Sträng som beskriver status för åtgärden. Några vanliga värden är: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Vanligtvis null för autoskalning. |
| eventTimestamp | Tidsstämpel när händelsen genererades av Azure-tjänsten som bearbetar begäran som motsvarar händelsen. |
| submissionTimestamp | Tidsstämpel när händelsen blev tillgänglig för frågor. |
| subscriptionId | Azure-prenumerations-ID. |
Säkerhetskategori
Den här kategorin innehåller posten alla aviseringar som genereras av Microsoft Defender för molnet. Ett exempel på vilken typ av händelse du skulle se i den här kategorin är "Misstänkt dubbel filnamnstillägg körs".
Exempelhändelse
{
"channels": "Operation",
"correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
"level": "Informational",
"operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Egenskapsbeskrivningar
| Elementnamn | beskrivning |
|---|---|
| Kanaler | Alltid "Åtgärd" |
| korrelations-ID | Ett GUID i strängformat. |
| description | Beskrivning av statisk text för säkerhetshändelsen. |
| eventDataId | Unik identifierare för säkerhetshändelsen. |
| eventName | Eget namn på säkerhetshändelsen. |
| category | Alltid "Säkerhet" |
| ID | Unik resursidentifierare för säkerhetshändelsen. |
| nivå | Allvarlighetsgrad för händelsen. |
| resourceGroupName | Namnet på resursgruppen för resursen. |
| resourceProviderName | Namnet på resursprovidern för Microsoft Defender för molnet. Alltid "Microsoft.Security". |
| resourceType | Den typ av resurs som genererade säkerhetshändelsen, till exempel "Microsoft.Security/locations/alerts" |
| resourceId | Resurs-ID för säkerhetsaviseringen. |
| operationId | Ett GUID som delas mellan de händelser som motsvarar en enda åtgärd. |
| operationName | Namnet på åtgärden. |
| egenskaper | <Key, Value> Uppsättning par (dvs. en ordlista) som beskriver information om händelsen. De här egenskaperna varierar beroende på typen av säkerhetsavisering. På den här sidan finns en beskrivning av de typer av aviseringar som kommer från Defender för molnet. |
| Egenskaper. Svårighetsgrad | Allvarlighetsgraden. Möjliga värden är "Hög", "Medel" eller "Låg". |
| status | Sträng som beskriver status för åtgärden. Några vanliga värden är: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Vanligtvis null för säkerhetshändelser. |
| eventTimestamp | Tidsstämpel när händelsen genererades av Azure-tjänsten som bearbetar begäran som motsvarar händelsen. |
| submissionTimestamp | Tidsstämpel när händelsen blev tillgänglig för frågor. |
| subscriptionId | Azure-prenumerations-ID. |
Rekommendationskategori
Den här kategorin innehåller posten för alla nya rekommendationer som genereras för dina tjänster. Ett exempel på en rekommendation är "Använd tillgänglighetsuppsättningar för förbättrad feltolerans". Det finns fyra typer av rekommendationshändelser som kan genereras: hög tillgänglighet, prestanda, säkerhet och kostnadsoptimering.
Exempelhändelse
{
"channels": "Operation",
"correlationId": "92481dfd-c5bf-4752-b0d6-0ecddaa64776",
"description": "The action was successful.",
"eventDataId": "06cb0e44-111b-47c7-a4f2-aa3ee320c9c5",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/06cb0e44-111b-47c7-a4f2-aa3ee320c9c5/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Egenskapsbeskrivningar
| Elementnamn | beskrivning |
|---|---|
| Kanaler | Alltid "Åtgärd" |
| korrelations-ID | Ett GUID i strängformat. |
| description | Beskrivning av statisk text för rekommendationshändelsen |
| eventDataId | Unik identifierare för rekommendationshändelsen. |
| category | Alltid "rekommendation" |
| ID | Unik resursidentifierare för rekommendationshändelsen. |
| nivå | Allvarlighetsgrad för händelsen. |
| operationName | Namnet på åtgärden. Alltid "Microsoft.Advisor/generate Rekommendationer/action" |
| resourceGroupName | Namnet på resursgruppen för resursen. |
| resourceProviderName | Namnet på resursprovidern för den resurs som den här rekommendationen gäller för, till exempel "MICROSOFT. COMPUTE" |
| resourceType | Namnet på resurstypen för den resurs som den här rekommendationen gäller för, till exempel "MICROSOFT. COMPUTE/virtualmachines" |
| resourceId | Resurs-ID för resursen som rekommendationen gäller för |
| status | Alltid "Aktiv" |
| submissionTimestamp | Tidsstämpel när händelsen blev tillgänglig för frågor. |
| subscriptionId | Azure-prenumerations-ID. |
| egenskaper | <Key, Value> Uppsättning par (dvs. en ordlista) som beskriver information om rekommendationen. |
| properties.recommendationSchemaVersion | Schemaversion av rekommendationsegenskaperna som publicerats i aktivitetsloggposten |
| properties.recommendationCategory | Rekommendationens kategori. Möjliga värden är "Hög tillgänglighet", "Prestanda", "Säkerhet" och "Kostnad" |
| properties.recommendationImpact | Effekten av rekommendationen. Möjliga värden är "High", "Medium", "Low" |
| properties.recommendationRisk | Risk för rekommendationen. Möjliga värden är "Fel", "Varning", "Ingen" |
Principkategori
Den här kategorin innehåller poster för alla effektåtgärdsåtgärder som utförs av Azure Policy. Exempel på de typer av händelser som du skulle se i den här kategorin är Granskning och Neka. Varje åtgärd som vidtas av principen modelleras som en åtgärd på en resurs.
Exempel på principhändelse
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"description": "",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/13bbf75f-36d5-4e66-b693-725267ff21ce/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Beskrivningar av principhändelseegenskap
| Elementnamn | beskrivning |
|---|---|
| auktorisering | Matris med Azure RBAC-egenskaper för händelsen. För nya resurser är detta åtgärden och omfånget för den begäran som utlöste utvärderingen. För befintliga resurser är åtgärden "Microsoft.Resources/checkPolicyCompliance/read". |
| Ringer | För nya resurser, identiteten som initierade en distribution. För befintliga resurser, GUID för Microsoft Azure Policy Insights RP. |
| Kanaler | Principhändelser använder endast "Åtgärd"-kanalen. |
| anspråk | Den JWT-token som används av Active Directory för att autentisera användaren eller programmet för att utföra den här åtgärden i Resource Manager. |
| korrelations-ID | Vanligtvis ett GUID i strängformat. Händelser som delar ett correlationId tillhör samma uber-åtgärd. |
| description | Det här fältet är tomt för principhändelser. |
| eventDataId | Unik identifierare för en händelse. |
| eventName | Antingen "BeginRequest" eller "EndRequest". "BeginRequest" används för fördröjd granskningIfNotExists och deployIfNotExists-utvärderingar och när en deployIfNotExists-effekt startar en malldistribution. Alla andra åtgärder returnerar "EndRequest". |
| category | Deklarerar aktivitetslogghändelsen som tillhör "Princip". |
| eventTimestamp | Tidsstämpel när händelsen genererades av Azure-tjänsten som bearbetar begäran som motsvarar händelsen. |
| ID | Unik identifierare för händelsen på den specifika resursen. |
| nivå | Allvarlighetsgrad för händelsen. Granskning använder "Varning" och Neka använder "Fel". Ett auditIfNotExists- eller deployIfNotExists-fel kan generera "Varning" eller "Fel" beroende på allvarlighetsgrad. Alla andra principhändelser använder "Informational". |
| operationId | Ett GUID som delas mellan de händelser som motsvarar en enda åtgärd. |
| operationName | Namnet på åtgärden och korrelerar direkt med principeffekten. |
| resourceGroupName | Namnet på resursgruppen för den utvärderade resursen. |
| resourceProviderName | Namnet på resursprovidern för den utvärderade resursen. |
| resourceType | För nya resurser är det den typ som utvärderas. För befintliga resurser returnerar "Microsoft.Resources/checkPolicyCompliance". |
| resourceId | Resurs-ID för den utvärderade resursen. |
| status | Sträng som beskriver statusen för resultatet av principutvärderingen. De flesta principutvärderingar returnerar "Lyckades", men en Neka-effekt returnerar "Failed". Fel i auditIfNotExists eller deployIfNotExists returnerar också "Failed". |
| subStatus | Fältet är tomt för principhändelser. |
| submissionTimestamp | Tidsstämpel när händelsen blev tillgänglig för frågor. |
| subscriptionId | Azure-prenumerations-ID. |
| properties.isComplianceCheck | Returnerar "False" när en ny resurs distribueras eller en befintlig resurs Resource Manager-egenskaper uppdateras. Alla andra utvärderingsutlösare resulterar i "True". |
| properties.resourceLocation | Azure-regionen för resursen som utvärderas. |
| properties.ancestors | En kommaavgränsad lista över överordnade hanteringsgrupper ordnade från direkt överordnad till längsta mor- och farförälder. |
| properties.policies | Innehåller information om den principdefinition, tilldelning, effekt och parametrar som den här principutvärderingen är resultatet av. |
| relatedEvents | Det här fältet är tomt för principhändelser. |
Schema från lagringskonto och händelsehubbar
När du strömmar Azure-aktivitetsloggen till ett lagringskonto eller en händelsehubb följer data schemat för resursloggen. Tabellen nedan innehåller en mappning av egenskaper från ovanstående scheman till schemat för resursloggar.
Viktigt!
Formatet för aktivitetsloggdata som skrivits till ett lagringskonto har ändrats till JSON Lines den 1 november 2018. Mer information om den här formatändringen finns i Förbereda för formatändring till Azure Monitor-resursloggar arkiverade till ett lagringskonto .
| Schemaegenskap för resursloggar | Rest API-schemaegenskap för aktivitetslogg | Kommentar |
|---|---|---|
| time | eventTimestamp | |
| resourceId | resourceId | subscriptionId, resourceType, resourceGroupName härleds alla från resourceId. |
| operationName | operationName.value | |
| category | Del av åtgärdsnamnet | Utbrytning av åtgärdstypen. "Write", "Delete" eller "Action". |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | description | |
| durationMs | Ej tillämpligt | Alltid 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| korrelations-ID | korrelations-ID | |
| identitet | anspråk och auktoriseringsegenskaper | |
| Nivå | Nivå | |
| plats | Ej tillämpligt | Platsen där händelsen bearbetades. Det här är inte platsen för resursen, utan snarare var händelsen bearbetades. Den här egenskapen tas bort i en framtida uppdatering. |
| Egenskaper | properties.eventProperties | |
| properties.eventCategory | category | Om properties.eventCategory inte finns är kategorin "Administrativ" |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | egenskaper |
Följande är ett exempel på en händelse som använder det här schemat:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
"identity": {
"authorization": {
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/00000000-0000-0000-0000-000000000000",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "12345678-3bq0-49c1-b47d-974e53cbdf3c",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}