Konfigurera en webhook för att hämta aktivitetsloggaviseringar
Som en del av definitionen av en åtgärdsgrupp kan du konfigurera webhook-slutpunkter för att ta emot aktivitetsloggaviseringar. Med webhooks kan du dirigera dessa meddelanden till andra system för efterbearbetning eller anpassade åtgärder. Den här artikeln visar hur nyttolasten för HTTP POST till en webhook ser ut.
Mer information om aktivitetsloggaviseringar finns i skapa Azure-aktivitetsloggaviseringar.
Information om åtgärdsgrupper finns i skapa åtgärdsgrupper.
Kommentar
Du kan också använda det vanliga aviseringsschemat för dina webhook-integreringar. Det ger fördelen att ha en enda utökningsbar och enhetlig aviseringsnyttolast för alla aviseringstjänster i Azure Monitor. Läs mer om det vanliga aviseringsschemat.
Autentisera webhooken
Webhooken kan också använda tokenbaserad auktorisering för autentisering. Webhook-URI:n sparas med ett token-ID, https://mysamplealert/webcallback?tokenid=sometokenid&someparameter=somevaluetill exempel .
Nyttolastschema
JSON-nyttolasten i POST-åtgärden skiljer sig beroende på nyttolastens data.context.activityLog.eventSource fält.
Kommentar
För närvarande kopieras beskrivningen som är en del av aktivitetslogghändelsen till den utlösta Alert Description egenskapen.
Om du vill justera aktivitetsloggens nyttolast med andra aviseringstyper, från och med den 1 april 2021, innehåller den utlösta aviseringsegenskapen Description beskrivningen av aviseringsregeln i stället.
Inför ändringen skapade vi en ny egenskap, , Activity Log Event Descriptiontill aktivitetsloggens utlösta avisering. Den här nya egenskapen är fylld med den Description egenskap som redan är tillgänglig för användning. Det nya fältet Activity Log Event Description innehåller alltså beskrivningen som är en del av aktivitetslogghändelsen.
Granska dina aviseringsregler, åtgärdsregler, webhooks, logikapp eller andra konfigurationer där du kanske använder Description egenskapen från den utlösta aviseringen. Ersätt egenskapen Description med Activity Log Event Description egenskapen .
Om ditt villkor i dina åtgärdsregler, webhooks, logikapp eller andra konfigurationer för närvarande baseras på Description egenskapen för aktivitetsloggaviseringar kan du behöva ändra den så att den Activity Log Event Description baseras på egenskapen i stället.
Om du vill fylla i den nya Description egenskapen kan du lägga till en beskrivning i aviseringsregeldefinitionen.
Vanlig
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Operation",
"correlationId": "6ac88262-43be-4adf-a11c-bd2179852898",
"eventSource": "Administrative",
"eventTimestamp": "2017-03-29T15:43:08.0019532+00:00",
"eventDataId": "8195a56a-85de-4663-943e-1a2bf401ad94",
"level": "Informational",
"operationName": "Microsoft.Insights/actionGroups/write",
"operationId": "6ac88262-43be-4adf-a11c-bd2179852898",
"status": "Started",
"subStatus": "",
"subscriptionId": "52c65f65-0518-4d37-9719-7dbbfc68c57a",
"submissionTimestamp": "2017-03-29T15:43:20.3863637+00:00",
...
}
},
"properties": {}
}
}
Administrativ
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"authorization": {
"action": "Microsoft.Insights/actionGroups/write",
"scope": "/subscriptions/52c65f65-0518-4d37-9719-7dbbfc68c57b/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions"
},
"claims": "{...}",
"caller": "me@contoso.com",
"description": "",
"httpRequest": "{...}",
"resourceId": "/subscriptions/52c65f65-0518-4d37-9719-7dbbfc68c57b/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions",
"resourceGroupName": "CONTOSO-TEST",
"resourceProviderName": "Microsoft.Insights",
"resourceType": "Microsoft.Insights/actionGroups"
}
},
"properties": {}
}
}
Säkerhet
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"correlationId":"2518408115673929999",
"description":"Failed SSH brute force attack. Failed brute force attacks were detected from the following attackers: [\"IP Address: 01.02.03.04\"]. Attackers were trying to access the host with the following user names: [\"root\"].",
"eventSource":"Security",
"eventTimestamp":"2017-06-25T19:00:32.607+00:00",
"eventDataId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
"level":"Informational",
"operationName":"Microsoft.Security/locations/alerts/activate/action",
"operationId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
"properties":{
"attackers":"[\"IP Address: 01.02.03.04\"]",
"numberOfFailedAuthenticationAttemptsToHost":"456",
"accountsUsedOnFailedSignInToHostAttempts":"[\"root\"]",
"wasSSHSessionInitiated":"No","endTimeUTC":"06/25/2017 19:59:39",
"actionTaken":"Detected",
"resourceType":"Virtual Machine",
"severity":"Medium",
"compromisedEntity":"LinuxVM1",
"remediationSteps":"[In case this is an Azure virtual machine, add the source IP to NSG block list for 24 hours (see https://azure.microsoft.com/documentation/articles/virtual-networks-nsg/)]",
"attackedResourceType":"Virtual Machine"
},
"resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/Microsoft.Security/locations/centralus/alerts/Sec-07f2-4d74-aaf0-03d2f53d5a33",
"resourceGroupName":"contoso",
"resourceProviderName":"Microsoft.Security",
"status":"Active",
"subscriptionId":"12345-5645-123a-9867-123b45a6789",
"submissionTimestamp":"2017-06-25T20:23:04.9743772+00:00",
"resourceType":"MICROSOFT.SECURITY/LOCATIONS/ALERTS"
}
},
"properties":{}
}
}
Rekommendation
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{
"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"claims":"{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Microsoft.Advisor\"}",
"caller":"Microsoft.Advisor",
"correlationId":"123b4c54-11bb-3d65-89f1-0678da7891bd",
"description":"A new recommendation is available.",
"eventSource":"Recommendation",
"eventTimestamp":"2017-06-29T13:52:33.2742943+00:00",
"httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
"eventDataId":"1bf234ef-e45f-4567-8bba-fb9b0ee1dbcb",
"level":"Informational",
"operationName":"Microsoft.Advisor/recommendations/available/action",
"properties":{
"recommendationSchemaVersion":"1.0",
"recommendationCategory":"HighAvailability",
"recommendationImpact":"Medium",
"recommendationName":"Enable Soft Delete to protect your blob data",
"recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azure_Expert/RecommendationListBlade/recommendationTypeId/12dbf883-5e4b-4f56-7da8-123b45c4b6e6",
"recommendationType":"12dbf883-5e4b-4f56-7da8-123b45c4b6e6"
},
"resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/microsoft.storage/storageaccounts/contosoStore",
"resourceGroupName":"CONTOSO",
"resourceProviderName":"MICROSOFT.STORAGE",
"status":"Active",
"subStatus":"",
"subscriptionId":"12345-5645-123a-9867-123b45a6789",
"submissionTimestamp":"2017-06-29T13:52:33.2742943+00:00",
"resourceType":"MICROSOFT.STORAGE/STORAGEACCOUNTS"
}
},
"properties":{}
}
}
ServiceHealth
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Admin",
"correlationId": "bbac944f-ddc0-4b4c-aa85-cc7dc5d5c1a6",
"description": "Active: Virtual Machines - Australia East",
"eventSource": "ServiceHealth",
"eventTimestamp": "2017-10-18T23:49:25.3736084+00:00",
"eventDataId": "6fa98c0f-334a-b066-1934-1a4b3d929856",
"level": "Informational",
"operationName": "Microsoft.ServiceHealth/incident/action",
"operationId": "bbac944f-ddc0-4b4c-aa85-cc7dc5d5c1a6",
"properties": {
"title": "Virtual Machines - Australia East",
"service": "Virtual Machines",
"region": "Australia East",
"communication": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
"incidentType": "Incident",
"trackingId": "0NIH-U2O",
"impactStartTime": "2017-10-18T02:48:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"Australia East\"}],\"ServiceName\":\"Virtual Machines\"}]",
"defaultLanguageTitle": "Virtual Machines - Australia East",
"defaultLanguageContent": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
"stage": "Active",
"communicationId": "636439673646212912",
"version": "0.1.1"
},
"status": "Active",
"subscriptionId": "45529734-0ed9-4895-a0df-44b59a5a07f9",
"submissionTimestamp": "2017-10-18T23:49:28.7864349+00:00"
}
},
"properties": {}
}
}
Specifik schemainformation om aktivitetsloggaviseringar för tjänsthälsa finns i Tjänststatus meddelanden. Du kan också lära dig hur du konfigurerar webhooksaviseringar för tjänsthälsa med dina befintliga lösningar för problemhantering.
ResourceHealth
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Admin, Operation",
"correlationId": "a1be61fd-37ur-ba05-b827-cb874708babf",
"eventSource": "ResourceHealth",
"eventTimestamp": "2018-09-04T23:09:03.343+00:00",
"eventDataId": "2b37e2d0-7bda-4de7-ur8c6-1447d02265b2",
"level": "Informational",
"operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
"operationId": "2b37e2d0-7bda-489f-81c6-1447d02265b2",
"properties": {
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"currentHealthStatus": "Unavailable",
"previousHealthStatus": "Available",
"type": "Downtime",
"cause": "PlatformInitiated"
},
"resourceId": "/subscriptions/<subscription Id>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"resourceGroupName": "<resource group>",
"resourceProviderName": "Microsoft.Resourcehealth/healthevent/action",
"status": "Active",
"subscriptionId": "<subscription Id>",
"submissionTimestamp": "2018-09-04T23:11:06.1607287+00:00",
"resourceType": "Microsoft.Compute/virtualMachines"
}
}
}
}
| Elementnamn | beskrivning |
|---|---|
| status | Används för måttaviseringar. Ange alltid till activated för aktivitetsloggaviseringar. |
| Sammanhang | Kontext för händelsen. |
| resourceProviderName | Resursprovidern för den berörda resursen. |
| conditionType | Alltid Event. |
| name | Namnet på aviseringsregeln. |
| ID | Resurs-ID för aviseringen. |
| description | Aviseringsbeskrivning anges när aviseringen skapas. |
| subscriptionId | Prenumerations-ID för Azure. |
| timestamp | Tidpunkt då händelsen genererades av Azure-tjänsten som bearbetade begäran. |
| resourceId | Resurs-ID för den berörda resursen. |
| resourceGroupName | Namnet på resursgruppen för den berörda resursen. |
| egenskaper | <Key, Value> Uppsättning par (d.v.sDictionary<String, String>. ) som innehåller information om händelsen. |
| händelse | Element som innehåller metadata om händelsen. |
| auktorisering | De rollbaserade åtkomstkontrollegenskaperna för Azure för händelsen. Dessa egenskaper omfattar vanligtvis åtgärden, rollen och omfånget. |
| category | Kategorin för händelsen. Värden som stöds är Administrative, Alert, Security, ServiceHealthoch Recommendation. |
| Ringer | E-postadress till den användare som utförde åtgärden, UPN-anspråket eller SPN-anspråket baserat på tillgänglighet. Kan vara null för vissa systemanrop. |
| correlationId | Vanligtvis ett GUID i strängformat. Händelser med correlationId tillhör samma större åtgärd och delar vanligtvis en correlationId. |
| eventDescription | Statisk textbeskrivning av händelsen. |
| eventDataId | Unik identifierare för händelsen. |
| eventSource | Namnet på Den Azure-tjänst eller infrastruktur som genererade händelsen. |
| httpRequest | Begäran innehåller clientRequestIdvanligtvis metoden , clientIpAddressoch HTTP (till exempel PUT). |
| nivå | Ett av följande värden: Critical, Error, Warningoch Informational. |
| operationId | Vanligtvis delas ett GUID mellan de händelser som motsvarar en enda åtgärd. |
| operationName | Namnet på åtgärden. |
| egenskaper | Egenskaper för händelsen. |
| status | Sträng. Status för åtgärden. Vanliga värden är Started, In Progress, Succeeded, Failed, Activeoch Resolved. |
| subStatus | Innehåller vanligtvis HTTP-statuskoden för motsvarande REST-anrop. Den kan också innehålla andra strängar som beskriver en understatus. Vanliga understatusvärden är OK (HTTP-statuskod: 200), Created (HTTP-statuskod: 201), Accepted (HTTP-statuskod: 202), No Content (HTTP-statuskod: 204), Bad Request (HTTP-statuskod: 400), Not Found (HTTP-statuskod: 404), Conflict (HTTP-statuskod: 409), Internal Server Error (HTTP-statuskod: 500), Service Unavailable (HTTP-statuskod: 503) och Gateway Timeout (HTTP-statuskod: 504). |
Specifik schemainformation om alla andra aktivitetsloggaviseringar finns i Översikt över Azure-aktivitetsloggen.
Nästa steg
- Läs mer om aktivitetsloggen.
- Kör Azure Automation-skript (Runbooks) på Azure-aviseringar.
- Använd en logikapp för att skicka ett SMS via Twilio från en Azure-avisering. Det här exemplet gäller måttaviseringar, men det kan ändras så att det fungerar med en aktivitetsloggavisering.
- Använd en logikapp för att skicka ett Slack-meddelande från en Azure-avisering. Det här exemplet gäller måttaviseringar, men det kan ändras så att det fungerar med en aktivitetsloggavisering.
- Använd en logikapp för att skicka ett meddelande till en Azure-kö från en Azure-avisering. Det här exemplet gäller måttaviseringar, men det kan ändras så att det fungerar med en aktivitetsloggavisering.