Azure 活動記錄事件結構描述
Azure 活動記錄可讓您深入瞭解 Azure 中發生的任何訂用帳戶層級事件。 本文說明每個的活動記錄類別和架構。
架構會根據您存取記錄的方式而有所不同:
- 本文所述的架構是當您從 REST API 存取活動記錄檔時。 當您在檢視 Azure 入口網站 中的事件時,也會使用架構來選取 JSON 選項。
- 當您使用診斷設定將活動記錄傳送至 Azure 儲存體 或 Azure 事件中樞 時,請參閱記憶體帳戶和事件中樞的最後一節架構。
- 當您使用診斷設定將活動記錄傳送至 Log Analytics 工作區時,請參閱架構的 Azure 監視器資料參考。
嚴重層級
活動記錄中的每個專案都有嚴重性層級。 嚴重性層級可以有下列其中一個值:
| 嚴重性 | 描述 |
|---|---|
| 重大 | 需要系統管理員立即注意的事件。 可能表示應用程式或系統失敗或停止回應。 |
| 錯誤 | 指出問題但不需要立即注意的事件。 |
| 警告 | 雖然不是實際錯誤,但提供潛在問題的警告事件。 指出資源不是理想狀態,稍後可能會降級為顯示錯誤或重大事件。 |
| 資訊 | 傳遞非關鍵資訊給系統管理員的事件。 類似如下的附注:「針對您的資訊」。 |
每個資源提供者的開發人員都會選擇其資源專案的嚴重性層級。 因此,您可以根據應用程式建置方式而有所不同的實際嚴重性。 例如,隔離中特定資源「重要」的專案可能不如 Azure 應用程式中心資源類型的「錯誤」那麼重要。 決定要警示的事件時,請務必考慮此事實。
類別
活動記錄中的每個事件都有下表所述的特定類別。 如需從入口網站、PowerShell、CLI 和 REST API 存取活動記錄檔時,每個類別及其架構的詳細數據,請參閱下列各節。 當您將活動記錄串流至記憶體或事件中樞時,架構會有所不同。 文章的最後一節會提供屬性與 資源記錄架構 的對應。
| 類別 | 描述 |
|---|---|
| 系統管理 | 包含透過 Resource Manager 執行的所有建立、更新、刪除和動作作業的記錄。 系統管理事件的範例包括 建立虛擬機 和 刪除網路安全組。 使用 Resource Manager 的使用者或應用程式所採取的每個動作都會模型化為特定資源類型的作業。 如果作業類型為 Write、 Delete 或 Action,則會在 [系統管理] 類別中記錄該作業的開始和成功或失敗記錄。 系統管理事件也包含訂用帳戶中 Azure 角色型訪問控制的任何變更。 |
| 服務健康狀態 | 包含 Azure 中發生之任何服務健康情況事件的記錄。 美國東部的服務健康狀態事件 SQL Azure 範例是停機。 服務健康情況事件有六個品種:需要動作、協助復原、事件、維護、資訊或安全性。 只有當訂用帳戶中的資源受到事件影響時,才會建立這些事件。 |
| 資源健康狀態 | 包含 Azure 資源所發生之任何資源健康情況事件的記錄。 資源健康狀態 事件的範例是虛擬機健康情況狀態已變更為無法使用。 資源健康狀態 事件可以代表四個健康狀態之一: 可用、無法使用、降級和未知。 此外,資源健康狀態 事件可分類為 Platform Initiated 或 User Initiated。 |
| Alert | 包含 Azure 警示啟用的記錄。 警示事件的範例是 過去 5 分鐘內 myVM 上的 CPU % 高於 80。 |
| Autoscale | 根據您在訂用帳戶中定義的任何自動調整設定,包含與自動調整引擎作業相關的任何事件記錄。 自動調整事件的範例是 自動調整相應增加動作失敗。 |
| 建議 | 包含來自 Azure Advisor 的建議事件。 |
| 安全性 | 包含 適用於雲端的 Microsoft Defender 所產生的任何警示記錄。 安全性事件的範例是 執行可疑的雙擴展名檔案。 |
| 原則 | 包含Azure 原則 所執行之所有效果動作作業的記錄。 原則事件的範例包括 稽核 和 拒絕。 原則所採取的每個動作都會模型化為資源上的作業。 |
系統管理類別
此類別包含透過 Resource Manager 執行的所有建立、更新、刪除和動作作業記錄。 在此類別中看到的事件類型範例包括「建立虛擬機」和「刪除網路安全組」。 使用 Resource Manager 的使用者或應用程式所採取的每個動作都會模型化為特定資源類型的作業。 如果作業類型為 Write、Delete 或 Action,則會在 [系統管理] 類別中記錄該作業的開始和成功或失敗記錄。 系統管理類別也包含訂用帳戶中 Azure 角色型訪問控制的任何變更。
取樣事件
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "355249ed-15d9-460d-8481-84026b065942",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
屬性描述
| 元素名稱 | 描述 |
|---|---|
| 授權 | 事件的 Azure RBAC 屬性 Blob。 通常包括 「action」、“role” 和 “scope” 屬性。 |
| 呼叫者 | 已根據可用性執行作業、UPN 宣告或 SPN 宣告的使用者電子郵件位址。 |
| 通道 | 下列其中一個值:“Admin”、“Operation” |
| claims | Active Directory 用來驗證使用者或應用程式以在 Resource Manager 中執行這項作業的 JWT 令牌。 |
| correlationId | 通常是字串格式的 GUID。 共用 correlationId 的事件屬於相同的 uber 動作。 |
| description | 事件的靜態文字描述。 |
| eventDataId | 事件的唯一標識碼。 |
| eventName | 系統管理事件的易記名稱。 |
| category | 一律為「系統管理」 |
| httpRequest | 描述 Http 要求的 Blob。 通常包含 「clientRequestId」、“clientIpAddress” 和 “method” (HTTP 方法)。例如,PUT。 |
| level | 事件的嚴重性層級 。 |
| resourceGroupName | 受影響資源的資源群組的名稱。 |
| resourceProviderName | 受影響資源的資源提供者名稱 |
| resourceType | 受系統管理事件影響的資源類型。 |
| resourceId | 受影響資源的資源標識碼。 |
| operationId | 對應至單一作業的事件之間共用的 GUID。 |
| operationName | 作業名稱。 |
| 內容 | 一組 <Key, Value> 描述事件詳細數據的配對 (也就是 Dictionary)。 |
| status | 字串,描述作業的狀態。 一些常見的值為:Started、In Progress、Succeeded、Failed、Active、Resolved。 |
| 子狀態 | 通常對應的 REST 呼叫的 HTTP 狀態代碼,但也可能包含描述 subStatus 的其他字串,例如下列常見值:OK(HTTP 狀態代碼:200)、已建立 (HTTP 狀態代碼:201)、已接受 (HTTP 狀態代碼: 202)、沒有內容 (HTTP 狀態代碼:204)、不正確的要求 (HTTP 狀態代碼:400)、找不到 (HTTP 狀態代碼: 404)、衝突(HTTP 狀態代碼:409)、內部伺服器錯誤(HTTP 狀態代碼:500)、服務無法使用(HTTP 狀態代碼:503)、網關逾時(HTTP 狀態代碼:504)。 |
| eventTimestamp | 處理對應事件之要求的 Azure 服務所產生的時間戳。 |
| submissionTimestamp | 當事件變成可供查詢時的時間戳記。 |
| subscriptionId | Azure 訂用帳戶標識碼。 |
服務健康情況類別
此類別包含 Azure 中發生之任何服務健康情況事件的記錄。 在此類別中看到的事件類型範例是「美國東部的 SQL Azure 發生停機」。服務健康情況 事件有五個品種:動作必要、事件、維護、資訊或安全性,只有在訂用帳戶中有受事件影響的資源時才會出現。
取樣事件
{
"channels": "Admin",
"correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
如需 屬性中值的相關文件,請參閱服務健康情況通知 一文。
資源健康情況類別
此類別包含 Azure 資源所發生之資源健康情況事件的記錄。 您在此類別中看到的事件類型範例為「虛擬機器健全狀態已變更為無法使用」。資源健康狀態事件可能代表四種健全狀態之一:可用、無法使用、已降級和未知。 此外,資源健康情況事件也可以分類為平臺起始或使用者起始。
當下列情況時,會在活動記錄中記錄資源健康狀態事件:
- 針對資源提交註釋,例如 "ResourceDegraded" 或 "AccountClientThrottling"。
- 已轉換至 [狀況不良] 或從 [狀況不良] 轉換的資源。
- 資源 [狀況不良] 超過 15 分鐘。
活動記錄中不會記錄下列資源健康狀態轉換:
- 轉換至 [未知] 狀態。
- 從 [未知] 狀態轉換,且如果:
- 這是第一個轉換。
- 如果 [未知] 之前的狀態與之後的新狀態相同。 (例如,如果資源從 [狀況良好] 轉換為 [未知],然後轉回 [狀況良好])。
- 針對計算資源:從 [狀況良好] 轉換為 [狀況不良] 並回到[狀況良好]的 VM,且 [狀況不良] 時間小於 35 秒時。
取樣事件
{
"channels": "Admin, Operation",
"correlationId": "28f1bfae-56d3-7urb-bff4-194d261248e9",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/a80024e1-883d-42a5-8b01-7591a1befccb/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
屬性描述
| 元素名稱 | 描述 |
|---|---|
| 通道 | 一律為「系統管理員,作業」 |
| correlationId | 字串格式的 GUID。 |
| description | 警示事件的靜態文字描述。 |
| eventDataId | 警示事件的唯一標識碼。 |
| category | 一律為 “ResourceHealth” |
| eventTimestamp | 處理對應事件之要求的 Azure 服務所產生的時間戳。 |
| level | 事件的嚴重性層級 。 |
| operationId | 對應至單一作業的事件之間共用的 GUID。 |
| operationName | 作業名稱。 |
| resourceGroupName | 包含資源的資源群組名稱。 |
| resourceProviderName | 一律為 “Microsoft.Resourcehealth/healthevent/action”。 |
| resourceType | 受 資源健康狀態 事件影響的資源類型。 |
| resourceId | 受影響資源的資源識別碼名稱。 |
| status | 描述健康情況事件狀態的字串。 值可以是:Active、Resolved、InProgress、Updated。 |
| 子狀態 | 警示通常為 null。 |
| submissionTimestamp | 當事件變成可供查詢時的時間戳記。 |
| subscriptionId | Azure 訂用帳戶標識碼。 |
| 內容 | 一組 <Key, Value> 描述事件詳細數據的配對 (也就是 Dictionary)。 |
| properties.title | 描述資源健康狀態的使用者易記字串。 |
| properties.details | 描述事件進一步詳細數據的用戶易記字串。 |
| properties.currentHealthStatus | 資源目前的健全狀態。 下列其中一個值:「可用」、「無法使用」、「已降級」和「未知」。 |
| properties.previousHealthStatus | 資源的先前健全狀態。 下列其中一個值:「可用」、「無法使用」、「已降級」和「未知」。 |
| properties.type | 資源健康狀態事件類型的描述。 |
| properties.cause | 資源健康狀態事件原因的描述。 “UserInitiated” 和 “PlatformInitiated”。 |
警示類別
此類別包含傳統 Azure 警示的所有啟用記錄。 在此類別中看到的事件類型範例是「myVM 上的 CPU % 在過去 5 分鐘內超過 80 個」。各種 Azure 系統都有警示概念:您可以定義某種類型的規則,並在條件符合該規則時收到通知。 每次支援的 Azure 警示類型「啟動」,或符合產生通知的條件時,也會將啟用記錄推送至活動記錄的這個類別。
取樣事件
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
屬性描述
| 元素名稱 | 描述 |
|---|---|
| 呼叫者 | 一律Microsoft.Insights/alertRules |
| 通道 | 一律為「系統管理員,作業」 |
| claims | JSON Blob,其中包含警示引擎的 SPN(服務主體名稱)或資源類型。 |
| correlationId | 字串格式的 GUID。 |
| description | 警示事件的靜態文字描述。 |
| eventDataId | 警示事件的唯一標識碼。 |
| category | 一律為「警示」 |
| level | 事件的嚴重性層級 。 |
| resourceGroupName | 如果是計量警示,受影響資源的資源群組名稱。 對於其他警示類型,它是包含警示本身的資源群組名稱。 |
| resourceProviderName | 如果受影響的資源是計量警示,則為資源提供者的名稱。 對於其他警示類型,它是警示本身的資源提供者名稱。 |
| resourceId | 如果是計量警示,受影響資源的資源標識符名稱。 針對其他警示類型,它是警示資源本身的資源標識符。 |
| operationId | 對應至單一作業的事件之間共用的 GUID。 |
| operationName | 作業名稱。 |
| 內容 | 一組 <Key, Value> 描述事件詳細數據的配對 (也就是 Dictionary)。 |
| status | 字串,描述作業的狀態。 一些常見的值為:Started、In Progress、Succeeded、Failed、Active、Resolved。 |
| 子狀態 | 警示通常為 null。 |
| eventTimestamp | 處理對應事件之要求的 Azure 服務所產生的時間戳。 |
| submissionTimestamp | 當事件變成可供查詢時的時間戳記。 |
| subscriptionId | Azure 訂用帳戶標識碼。 |
每個警示類型的屬性欄位
屬性欄位會根據警示事件的來源,包含不同的值。 兩個常見的警示事件提供者是活動記錄警示和計量警示。
活動記錄警示的屬性
| 元素名稱 | 描述 |
|---|---|
| properties.subscriptionId | 導致啟動此活動記錄警示規則的活動記錄事件訂用帳戶標識碼。 |
| properties.eventDataId | 導致啟動此活動記錄警示規則之活動記錄事件的事件數據識別碼。 |
| properties.resourceGroup | 導致啟動此活動記錄警示規則的活動記錄事件資源群組。 |
| properties.resourceId | 導致啟動此活動記錄警示規則之活動記錄事件的資源標識符。 |
| properties.eventTimestamp | 導致啟動此活動記錄警示規則的活動記錄事件事件時間戳。 |
| properties.operationName | 導致啟動此活動記錄警示規則的活動記錄事件作業名稱。 |
| properties.status | 導致啟動此活動記錄警示規則的活動記錄事件狀態。 |
計量警示的屬性
| 元素名稱 | 描述 |
|---|---|
| 性能。RuleUri | 計量警示規則本身的資源標識碼。 |
| 性能。RuleName | 計量警示規則的名稱。 |
| 性能。RuleDescription | 計量警示規則的描述(如警示規則中所定義)。 |
| 性能。門檻 | 計量警示規則評估中使用的臨界值。 |
| 性能。WindowSizeInMinutes | 計量警示規則評估中使用的視窗大小。 |
| 性能。集合體 | 計量警示規則中定義的匯總類型。 |
| 性能。算子 | 用於評估計量警示規則的條件運算元。 |
| 性能。MetricName | 計量警示規則評估中使用的計量名稱。 |
| 性能。MetricUnit | 計量警示規則評估中使用的計量計量單位。 |
自動調整類別
此類別包含根據您在訂用帳戶中定義的任何自動調整設定,與自動調整引擎作業相關的任何事件記錄。 在此類別中看到的事件類型範例是「自動調整相應增加動作失敗」。使用自動調整,您可以使用自動調整設定,根據一天的時間和/或載入(計量)數據,自動相應放大或相應放大支援資源類型中的實例數目。 當符合相應增加或減少的條件時,就會在此類別中記錄開始和成功或失敗的事件。
取樣事件
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
屬性描述
| 元素名稱 | 描述 |
|---|---|
| 呼叫者 | 一律Microsoft.Insights/autoscaleSettings |
| 通道 | 一律為「系統管理員,作業」 |
| claims | 具有自動調整引擎 SPN(服務主體名稱)或資源類型的 JSON Blob。 |
| correlationId | 字串格式的 GUID。 |
| description | 自動調整事件的靜態文字描述。 |
| eventDataId | 自動調整事件的唯一標識碼。 |
| level | 事件的嚴重性層級 。 |
| resourceGroupName | 自動調整設定的資源群組名稱。 |
| resourceProviderName | 自動調整設定的資源提供者名稱。 |
| resourceId | 自動調整設定的資源標識碼。 |
| operationId | 對應至單一作業的事件之間共用的 GUID。 |
| operationName | 作業名稱。 |
| 內容 | 一組 <Key, Value> 描述事件詳細數據的配對 (也就是 Dictionary)。 |
| 性能。描述 | 自動調整引擎執行作業的詳細描述。 |
| 性能。ResourceName | 受影響資源的資源識別碼(正在執行縮放動作的資源) |
| 性能。OldInstancesCount | 自動調整動作生效前的實例數目。 |
| 性能。NewInstancesCount | 自動調整動作生效后的實例數目。 |
| 性能。LastScaleActionTime | 自動調整動作發生時的時間戳。 |
| status | 字串,描述作業的狀態。 一些常見的值為:Started、In Progress、Succeeded、Failed、Active、Resolved。 |
| 子狀態 | 自動調整通常為 null。 |
| eventTimestamp | 處理對應事件之要求的 Azure 服務所產生的時間戳。 |
| submissionTimestamp | 當事件變成可供查詢時的時間戳記。 |
| subscriptionId | Azure 訂用帳戶標識碼。 |
安全性類別
此類別包含記錄 適用於雲端的 Microsoft Defender 所產生的任何警示。 在此類別中看到的事件類型範例是「執行可疑的雙擴展名檔案」。
取樣事件
{
"channels": "Operation",
"correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
"level": "Informational",
"operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
屬性描述
| 元素名稱 | 描述 |
|---|---|
| 通道 | 一律為 「作業」 |
| correlationId | 字串格式的 GUID。 |
| description | 安全性事件的靜態文字描述。 |
| eventDataId | 安全性事件的唯一標識符。 |
| eventName | 安全性事件的易記名稱。 |
| category | 一律為「安全性」 |
| 識別碼 | 安全性事件的唯一資源標識碼。 |
| level | 事件的嚴重性層級 。 |
| resourceGroupName | 資源的資源群組名稱。 |
| resourceProviderName | 適用於雲端的 Microsoft Defender的資源提供者名稱。 一律為 「Microsoft.Security」。。 |
| resourceType | 產生安全性事件的資源類型,例如“Microsoft.Security/locations/alerts” |
| resourceId | 安全性警示的資源標識碼。 |
| operationId | 對應至單一作業的事件之間共用的 GUID。 |
| operationName | 作業名稱。 |
| 內容 | 一組 <Key, Value> 描述事件詳細數據的配對 (也就是 Dictionary)。 這些屬性會根據安全性警示的類型而有所不同。 如需來自 適用於雲端的 Defender 的警示類型描述,請參閱此頁面。 |
| 性能。嚴厲 | 嚴重性層級。 可能的值為 「高」、「中」或「低」。 |
| status | 字串,描述作業的狀態。 一些常見的值為:Started、In Progress、Succeeded、Failed、Active、Resolved。 |
| 子狀態 | 安全性事件通常為 Null。 |
| eventTimestamp | 處理對應事件之要求的 Azure 服務所產生的時間戳。 |
| submissionTimestamp | 當事件變成可供查詢時的時間戳記。 |
| subscriptionId | Azure 訂用帳戶標識碼。 |
建議類別
此類別包含針對服務產生之任何新建議的記錄。 建議的範例是「使用可用性設定組來改善容錯」。有四種類型的建議事件可以產生:高可用性、效能、安全性和成本優化。
取樣事件
{
"channels": "Operation",
"correlationId": "92481dfd-c5bf-4752-b0d6-0ecddaa64776",
"description": "The action was successful.",
"eventDataId": "06cb0e44-111b-47c7-a4f2-aa3ee320c9c5",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/06cb0e44-111b-47c7-a4f2-aa3ee320c9c5/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
屬性描述
| 元素名稱 | 描述 |
|---|---|
| 通道 | 一律為 「作業」 |
| correlationId | 字串格式的 GUID。 |
| description | 建議事件的靜態文字描述 |
| eventDataId | 建議事件的唯一標識符。 |
| category | 一律為「建議」 |
| 識別碼 | 建議事件的唯一資源標識碼。 |
| level | 事件的嚴重性層級 。 |
| operationName | 作業名稱。 一律為 “Microsoft.Advisor/generateRecommendations/action” |
| resourceGroupName | 資源的資源群組名稱。 |
| resourceProviderName | 此建議所套用之資源的資源提供者名稱,例如「MICROSOFT」。計算」 |
| resourceType | 此建議所套用之資源的資源類型名稱,例如「MICROSOFT。COMPUTE/virtualmachines” |
| resourceId | 建議套用之資源的資源標識碼 |
| status | 一律為「作用中」 |
| submissionTimestamp | 當事件變成可供查詢時的時間戳記。 |
| subscriptionId | Azure 訂用帳戶標識碼。 |
| 內容 | 一組 <Key, Value> 描述建議詳細數據的配對(也就是字典)。 |
| properties.recommendationSchemaVersion | 活動記錄專案中所發佈建議屬性的架構版本 |
| properties.recommendationCategory | 建議的類別。 可能的值為「高可用性」、「效能」、「安全性」和「成本」 |
| properties.recommendationImpact | 建議的影響。 可能的值為 “High”、“Medium”、“Low” |
| properties.recommendationRisk | 建議的風險。 可能的值為 “Error”、“Warning”、“None” |
原則類別
此類別包含 Azure 原則 所執行之所有效果動作作業的記錄。 在此類別中看到的事件類型範例包括 稽核 和 拒絕。 原則所採取的每個動作都會模型化為資源上的作業。
範例原則事件
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"description": "",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/13bbf75f-36d5-4e66-b693-725267ff21ce/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
原則事件屬性描述
| 元素名稱 | 描述 |
|---|---|
| 授權 | 事件的 Azure RBAC 屬性陣列。 對於新的資源,這是觸發評估的要求動作和範圍。 對於現有的資源,動作為 「Microsoft.Resources/checkPolicyCompliance/read」。。 |
| 呼叫者 | 針對新資源,起始部署的身分識別。 針對現有的資源,Microsoft Azure 原則 Insights RP 的 GUID。 |
| 通道 | 原則事件只會使用「作業」通道。 |
| claims | Active Directory 用來驗證使用者或應用程式以在 Resource Manager 中執行這項作業的 JWT 令牌。 |
| correlationId | 通常是字串格式的 GUID。 共用 correlationId 的事件屬於相同的 uber 動作。 |
| description | 此欄位為 [原則事件] 的空白。 |
| eventDataId | 事件的唯一標識碼。 |
| eventName | “BeginRequest” 或 “EndRequest”。 “BeginRequest” 用於延遲的 auditIfNotExists 和 deployIfNotExists 評估,以及 deployIfNotExists 效果啟動範本部署時。 所有其他作業都會傳回 「EndRequest」。 |
| category | 將活動記錄事件宣告為屬於「原則」。 |
| eventTimestamp | 處理對應事件之要求的 Azure 服務所產生的時間戳。 |
| 識別碼 | 特定資源上事件的唯一標識符。 |
| level | 事件的嚴重性層級 。 稽核會使用「警告」,而拒絕則使用「錯誤」。 auditIfNotExists 或 deployIfNotExists 錯誤可能會根據嚴重性產生「警告」或「錯誤」。 所有其他原則事件都會使用「資訊」。 |
| operationId | 對應至單一作業的事件之間共用的 GUID。 |
| operationName | 作業的名稱,並直接與原則效果相互關聯。 |
| resourceGroupName | 評估資源的資源群組名稱。 |
| resourceProviderName | 已評估資源的資源提供者名稱。 |
| resourceType | 針對新的資源,這是要評估的類型。 針對現有的資源,會傳回 「Microsoft.Resources/checkPolicyCompliance」。。 |
| resourceId | 已評估資源的資源標識碼。 |
| status | 描述原則評估結果狀態的字串。 大部分的原則評估都會傳回「成功」,但拒絕效果會傳回「失敗」。 auditIfNotExists 或 deployIfNotExists 中的錯誤也會傳回 “Failed”。 |
| 子狀態 | [原則事件] 欄位為空白。 |
| submissionTimestamp | 當事件變成可供查詢時的時間戳記。 |
| subscriptionId | Azure 訂用帳戶標識碼。 |
| properties.isComplianceCheck | 當部署新資源或更新現有資源的 Resource Manager 屬性時,會傳回 「False」。 所有其他 評估觸發程式都會 產生 「True」。 |
| properties.resourceLocation | 要評估之資源的 Azure 區域。 |
| properties.ancestors | 從直接父代排序到最遠祖父母的父管理群組逗號分隔清單。 |
| properties.policies | 包含此原則評估結果的原則定義、指派、效果和參數詳細數據。 |
| relatedEvents | 此欄位為 [原則事件] 的空白。 |
記憶體帳戶和事件中樞的架構
將 Azure 活動記錄串流至記憶體帳戶或事件中樞時,數據會 遵循資源記錄架構。 下表提供從上述架構到資源記錄架構的屬性對應。
重要
2018 年 11 月 1 日,寫入記憶體帳戶的活動記錄數據格式已變更為 JSON 行。 如需此格式變更的詳細資訊,請參閱 準備將格式變更封存至記憶體帳戶 的 Azure 監視器資源記錄。
| 資源記錄架構屬性 | 活動記錄 REST API 架構屬性 | 備註 |
|---|---|---|
| time | eventTimestamp | |
| resourceId | resourceId | subscriptionId、resourceType、resourceGroupName 全都是從 resourceId 推斷而來。 |
| operationName | operationName.value | |
| category | 作業名稱的一部分 | 作業類型的中斷。 “Write”、“Delete” 或 “Action”。 |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | description | |
| durationMs | N/A | 一律為 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| identity | 宣告和授權屬性 | |
| 等級 | 等級 | |
| location | N/A | 處理事件的位置。 這不是資源的位置,而是處理事件的位置。 在未來的更新中,將會移除這個屬性。 |
| 屬性 | properties.eventProperties | |
| properties.eventCategory | category | 如果 properties.eventCategory 不存在,則類別為 「系統管理」 |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | 內容 |
以下是使用此架構的事件範例:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
"identity": {
"authorization": {
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/00000000-0000-0000-0000-000000000000",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "12345678-3bq0-49c1-b47d-974e53cbdf3c",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}