Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журнал действий Azure содержит сведения о событиях уровня подписки, произошедших в Azure. В этой статье описываются категории журналов действий и схема для каждой из них.
Схема зависит от способа доступа к журналу:
- Схемы, описанные в этой статье, относятся к журналу действий из REST API. Схема также используется при выборе параметра JSON при просмотре события на портале Azure.
- Схему, которая применяется при отправке журнала действий в службу хранилища Azure или Центры событий Azure с помощью параметра диагностики, см. в последнем разделе Схема из учетной записи хранения и концентраторов событий.
- Сведения о схеме, которая используется при отправке журнала действий в рабочую область Log Analytics с помощью параметра диагностики, см. в справочнике по данным Azure Monitor.
Уровень серьезности
Каждая запись в журнале действий имеет определенный уровень (степень) серьезности. Степень серьезности может принимать одно из следующих значений:
| Severity | Description |
|---|---|
| Critical | События, требующие немедленного вмешательства системного администратора. Может указывать на то, что приложение или система завершились сбоем или перестал отвечать. |
| Error | События, указывающие на проблему, но не требуют немедленного внимания. |
| Warning | События, которые заблаговременно уведомляют о потенциальной проблеме, но не свидетельствуют о фактической ошибке. Укажите, что ресурс не в идеальном состоянии и может снизиться позже на отображение ошибок или критических событий. |
| Сведения или информационные | События, передающие администратору сведения некритического характера. Аналогично пометке "для информации". |
Разработчики каждого поставщика ресурсов самостоятельно назначают степени серьезности записям о своих ресурсах. В результате реальная степень серьезности зависит от особенностей построения приложение. Например, элементы, которые являются критически важными для определенного ресурса, принятого в изоляции, могут быть не столь важными, как "ошибки" в типе ресурса, который является центральным для приложения Azure. Этот факт следует учитывать при выборе событий, для которых настраиваются оповещения.
Categories
Каждое событие в журнале действий имеет определенную категорию, как описано в следующей таблице. Дополнительные сведения о каждой категории и соответствующей схеме при обращении к журналу действий с портала, из PowerShell, CLI и REST API см. в следующих разделах. При потоковой передаче журнала действий в хранилище или Центры событий используется другая схема. Сопоставление свойств со схемой журналов ресурсов приведено в последнем разделе статьи.
| Category | Description |
|---|---|
| Administrative | Содержит записи всех операций создания, обновления, удаления и других действий, которые выполняются через Resource Manager. Административными событиями считаются, например, создание виртуальной машины и удаление группы безопасности сети. Каждое действие, выполняемое пользователем или приложением с помощью Resource Manager, моделируется как операция с определенным типом ресурса. Если тип операции — Запись, удаление или действие, записи запуска и успешной операции записываются в категорию "Администрирование". К административным событиям также относятся любые изменения в управлении доступом на основе ролей Azure, которые происходят в подписке. |
| Состояние служб | Содержит запись всех инцидентов работоспособности служб, произошедших в Azure. Пример события "Работоспособность служб": SQL Azure in East US is experiencing downtime (SQL Azure в регионе "Восточная часть США" не работает). События работоспособности служб происходят в шести разновидностях: необходимые действия, вспомогательное восстановление, инциденты, обслуживание, информация или безопасность. Эти события создаются только в том случае, если у вас есть ресурс в подписке, затронутой событием. |
| Состояние ресурсов | Содержит запись всех событий работоспособности ресурсов, произошедших с ресурсами Azure. Пример события "Работоспособность ресурсов": Virtual Machine health status changed to unavailable (Состояние работоспособности виртуальной машины изменилось на "недоступно"). События работоспособности ресурсов могут представлять одно из четырех состояний работоспособности: доступно, недоступно, понижено и неизвестно. Кроме того, события работоспособности ресурсов можно классифицировать как инициированные платформой или инициированные пользователем. |
| Alert | Содержит записи активаций для оповещений Azure. Примером события оповещения является загрузка ЦП на myVM выше 80 за последние 5 минут. |
| Autoscale | Содержит запись всех событий, связанных с операцией подсистемы автомасштабирования на основе любых параметров автомасштабирования, определенных в подписке. Пример события "Автомасштабирование": Autoscale scale up action failed (Не удалось выполнить действие автоматического увеличения масштаба). |
| Recommendation | Содержит события рекомендаций Помощника по Azure. |
| Security | Содержит журнал оповещений, созданных Microsoft Defender для облака. Пример события "Безопасность": Suspicious double extension file executed (Выполнен файл с подозрительным двойным расширением). |
| Policy | Содержит записи всех операций действия эффекта, выполняемых Политикой Azure. Примеры событий политики включают аудит и запрет. Каждое действие, выполняемое Политикой, моделируется как операция для ресурса. |
Note
Документированная схема представляет общую структуру, но не строго применяется ко всем источникам данных. Такие службы, как Azure Resource Manager (ARM), могут выдавать дополнительные поля в зависимости от среды (например, национальных облаков) и настраиваемых полей. В результате вы можете столкнуться с вариантами схемы, особенно при приеме журналов между клиентами или регионами.
Административная категория
Эта категория содержит записи всех операций создания, обновления, удаления и других действий, которые выполняются через Resource Manager. Примеры типов событий, которые вы увидите в этой категории, включают "создание виртуальной машины" и "удаление группы безопасности сети". Каждое действие, выполняемое пользователем или приложением с помощью Resource Manager, моделируется как операция с определенным типом ресурса. Если операция относится к типу Запись, Удаление или Действие, то сведения о запуске, успешном выполнении или сбое такой операции относятся к категории "Административная". Категория "Административная" также включает в себя любые изменения в управлении доступом на основе ролей Azure, которые происходят в подписке.
Пример события
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "[email protected]",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "[email protected]",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "[email protected]",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Description |
|---|---|
| authorization | BLOB-объект со свойствами Azure RBAC события. Обычно включает свойства actionrole и scope свойства. |
| caller | Адрес электронной почты пользователя, который выполнил операцию, утверждение имени субъекта-службы или имени участника-пользователя в зависимости от доступности. |
| channels | Одно из следующих значений: AdminOperation |
| claims | Токен JWT, который используется Active Directory для аутентификации пользователя или приложения при выполнении этой операции в Resource Manager. |
| correlationId | Обычно GUID в строковом формате. События, которые используют один и тот же correlationId, относятся к одному и тому же сверхдействию. |
| description | Статическое описание события в текстовом виде. |
| eventDataId | Уникальный идентификатор события. |
| eventName | Понятное имя административного события. |
| category | Всегда Administrative |
| httpRequest | BLOB, описывающий HTTP-запрос. Обычно включает clientRequestIdметод HTTP clientIpAddress и method (HTTP). Например, PUT). |
| level | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для затронутого ресурса. |
| resourceProviderName | Имя поставщика ресурса для затронутого ресурса. |
| resourceType | Тип ресурса, затронутого событием "Администрирование". |
| resourceId | Идентификатор ресурса для затронутого ресурса. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Название операции. |
| properties | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| status | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно код состояния HTTP соответствующего вызова REST, но также может содержать другие строки, описывающие подстатус, такие как следующие общие значения: ОК (код состояния HTTP: 200), создано (код состояния HTTP: 201), принято (код состояния HTTP: 202), нет содержимого (код состояния HTTP: 204), недопустимый запрос (код состояния HTTP: 400), не найден (код состояния HTTP: 400). 404), конфликт (код состояния HTTP: 409), внутренняя ошибка сервера (код состояния HTTP: 500), служба недоступна (код состояния HTTP: 503), время ожидания шлюза (код состояния HTTP: 504). |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
Категория работоспособности службы
Эта категория содержит запись всех инцидентов работоспособности служб, произошедших в Azure. В качестве примера типа события из этой категории можно назвать следующее: "В работе SQL Azure в Восточной части США наблюдаются простои". Существует шесть разновидностей событий работоспособности службы: "Требуется действие", "Инцидент", "Обслуживание", "Сведения" и "Безопасность". Они отображаются, только если в подписке есть ресурс, на который повлияет данное событие.
Пример события
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Дополнительные сведения о значениях в свойствах см. в статье об уведомлениях о работоспособности службы.
Категория работоспособности ресурсов
Эта категория содержит запись событий работоспособности ресурсов, которые произошли с ресурсами Azure. Пример типа события, который вы можно увидеть в этой категории: "Состояние работоспособности виртуальной машины изменено на «недоступно»". События работоспособности ресурсов могут иметь одно из четырех состояний работоспособности: Available (доступно), недоступно (Unavailable), Degraded (снижено) и Unknown (неизвестно). Кроме того, события работоспособности ресурсов можно классифицировать по свойствам PlatformInitiated (Инициировано платформой) и UserInitiated (Инициировано пользователем).
Событие работоспособности ресурсов записывается в журнал действий, когда:
- Заметка, например ResourceDegraded или AccountClientThrottling, отправляется для ресурса.
- Ресурс перешел в состояние неисправности или вышел из него.
- Ресурс был неработоспособным в течение более 15 минут.
В журнале действий не записываются переходы работоспособности ресурсов, перечисленные ниже:
- Переход к неизвестному состоянию.
- Переход из неизвестного состояния, если:
- Это первый переход.
- Если состояние до "Неизвестно" совпадает с новым состоянием после. (Например, если ресурс перешел из "Работоспособного" в "Неизвестный" и обратно в "Работоспособный").
- Для вычислительных ресурсов: виртуальные машины, которые переходят от здорового состояния к нездоровому и обратно в здоровое, если время в нездоровом состоянии составляет менее 35 секунд.
Пример события
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Description |
|---|---|
| channels | Always Admin, Operation |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| description | Статическое текстовое описание события оповещения. |
| eventDataId | Уникальный идентификатор события оповещения. |
| category | Всегда ResourceHealth |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| level | Уровень серьезности события. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Название операции. |
| resourceGroupName | Имя группы ресурсов, к которой относится ресурс. |
| resourceProviderName | Всегда Microsoft.Resourcehealth/healthevent/action. |
| resourceType | Тип ресурса, затронутого событием Работоспособность ресурсов. |
| resourceId | Имя идентификатора затронутого ресурса. |
| status | Строка, описывающая состояние события работоспособности. Возможные значения: Active (Активно), Resolved (Разрешено), InProgress (Выполняется), Updated (Обновлено). |
| subStatus | Обычно для оповещений имеет значение null. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
| properties | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| properties.title | Понятная для пользователя строка с описанием состояния работоспособности ресурса. |
| properties.details | Понятная для пользователя строка с описанием подробностей события. |
| properties.currentHealthStatus | Текущее состояние работоспособности ресурса. Одно из следующих значений: Available, Unavailable, Degradedи Unknown. |
| properties.previousHealthStatus | Предыдущее состояние работоспособности ресурса. Одно из следующих значений: Available, Unavailable, Degradedи Unknown. |
| properties.type | Описание типа события работоспособности ресурса. |
| properties.cause | Описание причины события работоспособности ресурса: Либо UserInitiated и PlatformInitiated. |
Категория оповещений
Эта категория содержит записи всех активаций классических оповещений Azure. Пример события, который вы увидите в этой категории, — "Процент ЦП на myVM превышает 80 за последние 5 минут". Различные системы Azure имеют концепцию оповещений: вы можете определить правило определенного типа и получать уведомление, когда условия соответствуют такому правилу. Каждый раз, когда "активируется" поддерживаемый тип оповещения Azure или выполняются условия для создания уведомления, в эту категорию журнала активности также передается запись об активации.
Пример события
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Описания свойств
| Имя элемента | Description |
|---|---|
| caller | Always Microsoft.Insights/alertRules |
| channels | Always Admin, Operation |
| claims | Большой двоичный объект JSON с именем субъекта-службы (SPN) или типом ресурса обработчика предупреждений. |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| description | Статическое текстовое описание события оповещения. |
| eventDataId | Уникальный идентификатор события оповещения. |
| category | Всегда Alert |
| level | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для затронутого ресурса, если это оповещение метрик. Для других типов оповещений это имя группы ресурсов, содержащей сам оповещение. |
| resourceProviderName | Имя поставщика ресурсов для затронутого ресурса, если это оповещение метрик. Для других типов оповещений это имя поставщика ресурсов для самого оповещения. |
| resourceId | Имя идентификатора ресурса для затронутого ресурса, если это оповещение метрик. Для других типов оповещений — это идентификатор ресурса самого ресурса оповещения. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Название операции. |
| properties | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| status | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно для оповещений имеет значение null. |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
Поле свойств по типу оповещения
Поле свойств содержит разные значения в зависимости от источника события оповещения. Два распространенных поставщика событий оповещений — оповещения журнала действий и оповещения метрик.
Свойства оповещений журнала действий
| Имя элемента | Description |
|---|---|
| properties.subscriptionId | Идентификатор подписки из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
| properties.eventDataId | Идентификатор данных события из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
| properties.resourceGroup | Группа ресурсов из события журнала действий, которая вызвала активацию этого правила генерации оповещений журнала действий. |
| properties.resourceId | Идентификатор ресурса из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
| properties.eventTimestamp | Метка времени события журнала действий, которая вызвала активацию этого правила генерации оповещений журнала действий. |
| properties.operationName | Имя операции из события журнала действий, которое вызвало активацию этого правила генерации оповещений журнала действий. |
| properties.status | Состояние из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
Свойства оповещений метрик
| Имя элемента | Description |
|---|---|
| properties.RuleUri | Идентификатор ресурса самого правила оповещения метрики. |
| properties.RuleName | Имя правила оповещения метрики. |
| properties.RuleDescription | Описание правила оповещения метрики (как указано в правиле оповещения). |
| properties.Threshold | Пороговое значение, используемое для оценки правила оповещения метрики. |
| properties.WindowSizeInMinutes | Размер окна, используемый для оценки правила оповещения метрики. |
| properties.Aggregation | Тип агрегата, определенный в правиле оповещения метрики. |
| properties.Operator | Условный оператор, используемый для оценки правила оповещения метрики. |
| properties.MetricName | Имя метрики, используемой для оценки правила оповещения метрики. |
| properties.MetricUnit | Единица измерения метрики, используемая для оценки правила оповещения метрики. |
Категория автомасштабирования
Эта категория содержит записи всех событий, связанных с операциями системы автоматического масштабирования, в основе которой лежат параметры автомасштабирования, определенные в подписке. В качестве примера типа события из этой категории можно назвать следующее: "Не удалось выполнить автоматическое увеличение масштаба". С помощью функции автомасштабирования можно автоматически горизонтально увеличивать или уменьшать масштаб числа экземпляров в поддерживаемом типе ресурсов на основе времени суток и (или) загружать данные (метрики), используя параметр автомасштабирования. Когда выполняются условия для увеличения или уменьшения масштаба, в эту категорию записываются соответствующие события (запуск, успешное выполнение или сбой).
Пример события
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Описания свойств
| Имя элемента | Description |
|---|---|
| caller | Всегда Microsoft.Insights/autoscaleSettings |
| channels | Always Admin, Operation |
| claims | Большой двоичный объект JSON с именем субъекта-службы (SPN) или типом ресурса системы автомасштабирования. |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| description | Статическое текстовое описание события автомасштабирования. |
| eventDataId | Уникальный идентификатор события автомасштабирования. |
| level | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для параметра автомасштабирования. |
| resourceProviderName | Имя поставщика ресурсов для параметра автомасштабирования. |
| resourceId | Идентификатор ресурса параметра автомасштабирования. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Название операции. |
| properties | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| properties.Description | Подробное описание действий, выполненных системой автоматического масштабирования. |
| properties.ResourceName | Идентификатор ресурса для затронутого ресурса (ресурса, в отношении которого выполнялось действие масштабирования). |
| properties.OldInstancesCount | Число экземпляров до выполнения действия автомасштабирования. |
| properties.NewInstancesCount | Число экземпляров после выполнения действия автомасштабирования. |
| properties.LastScaleActionTime | Метка времени, когда произошло действие автоматического масштабирования. |
| status | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно для автоматического масштабирования имеет значение null. |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
Категория безопасности
Эта категория содержит журнал оповещений, созданных Microsoft Defender для облака. Примером типа события в этой категории является "Выполнен подозрительный файл с двойным расширением".
Пример события
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Description |
|---|---|
| channels | Всегда Operation |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| description | Статическое текстовое описание события безопасности. |
| eventDataId | Уникальный идентификатор события безопасности. |
| eventName | Понятное имя события безопасности. |
| category | Всегда Security |
| ID | Уникальный идентификатор ресурса события безопасности. |
| level | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для ресурса. |
| resourceProviderName | Имя поставщика ресурсов для Microsoft Defender for Cloud. Всегда Microsoft.Security. |
| resourceType | Тип ресурса, создающего событие безопасности, например Microsoft.Security/locations/alerts |
| resourceId | Идентификатор ресурса оповещения системы безопасности. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Название операции. |
| properties | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. Эти свойства зависят от типа оповещения системы безопасности. На этой странице приведено описание типов оповещений, поступающих из Defender для облака. |
| properties.Severity | Уровень серьезности. Возможные значения: High, Mediumили Low. |
| status | Строка, описывающая состояние операции. Некоторые распространенные значения: Started, In Progress, Succeeded, Failed, Active. Resolved |
| subStatus | Обычно имеет значение null для событий безопасности. |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
Категория рекомендаций
Эта категория содержит запись о любых новых рекомендациях, которые создаются для служб. Примером рекомендации будет "использование группы доступности для повышения отказоустойчивости". Существует 4 типа событий рекомендации, которые могут быть созданы: высокий уровень доступности, производительности, безопасности и оптимизации затрат.
Пример события
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Description |
|---|---|
| channels | Всегда Operation |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| description | Статическое текстовое описание события рекомендации |
| eventDataId | Уникальный идентификатор события рекомендации. |
| category | Всегда Recommendation |
| ID | Уникальный идентификатор ресурса события рекомендации. |
| level | Уровень серьезности события. |
| operationName | Название операции. Всегда Microsoft.Advisor/generateRecommendations/action |
| resourceGroupName | Имя группы ресурсов для ресурса. |
| resourceProviderName | Имя поставщика ресурсов для ресурса, к которому применяется данная рекомендация, например "MICROSOFT.COMPUTE" |
| resourceType | Имя типа ресурса для ресурса, к которому применяется эта рекомендация, например MICROSOFT.COMPUTE/virtualmachines |
| resourceId | Идентификатор ресурса для ресурса, к которому применяется рекомендация |
| status | Всегда Active |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
| properties | Набор пар <Key, Value> (например, Dictionary) c подробным описанием рекомендации. |
| properties.recommendationSchemaVersion | Версия схемы свойств рекомендации, опубликована в записи журнала действий |
| properties.recommendationCategory | Категория рекомендации. Возможные значения: High Availability, Performanceи SecurityCost |
| properties.recommendationImpact | Влияние рекомендации Возможные значения: High, MediumLow |
| properties.recommendationRisk | Риск рекомендации. Возможные значения: Error, WarningNone |
Категория политики
Эта категория содержит записи всех операций действия эффекта, выполняемых политикой Azure. Примеры типов событий, которые вы увидите в этой категории, включают аудит и запрет. Каждое действие, выполняемое Политикой, моделируется как операция для ресурса.
Пример события Политики
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Описания свойств события Политики
| Имя элемента | Description |
|---|---|
| authorization | Массив со свойствами Azure RBAC события. Для новых ресурсов — это действие и область запроса, вызвавшего вычисление. Для имеющихся ресурсов действием является "Microsoft.Resources/checkPolicyCompliance/read". |
| caller | Для новых ресурсов — это удостоверение, которое запустило развертывание. Для имеющихся ресурсов — глобальный уникальный идентификатор поставщика ресурсов Microsoft Azure Policy Insights. |
| channels | События политики используют только канал "Operation". |
| claims | Токен JWT, который используется Active Directory для аутентификации пользователя или приложения при выполнении этой операции в Resource Manager. |
| correlationId | Обычно GUID в строковом формате. События, которые используют один и тот же correlationId, относятся к одному и тому же сверхдействию. |
| description | Это поле будет пустым для событий Политики. |
| eventDataId | Уникальный идентификатор события. |
| eventName | "BeginRequest" или "EndRequest". "BeginRequest" используется для отложенной оценки auditIfNotExists и deployIfNotExists, а также при запуске эффектом deployIfNotExists развертывания шаблона. Все остальные операции возвращают "EndRequest". |
| category | Объявляет события журнала действий как относящиеся к "Policy". |
| eventTimestamp | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| ID | Уникальный идентификатор события для конкретного ресурса. |
| level | Уровень серьезности события. Audit использует значение "Warning", а Deny — "Error". Ошибка auditIfNotExists или deployIfNotExists может создать значения "Warning" и "Error" в зависимости от серьезности. Все события Политики используют значение "Informational". |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| operationName | Имя операции непосредственно коррелируется c эффектом Политики. |
| resourceGroupName | Имя группы ресурсов для оцениваемого ресурса. |
| resourceProviderName | Имя поставщика ресурсов для оцениваемого ресурса. |
| resourceType | Для новых ресурсов это тип, который вычисляется. Для имеющихся ресурсов — возвращает "Microsoft.Resources/checkPolicyCompliance/read". |
| resourceId | Идентификатор оцениваемого ресурса. |
| status | Строка, описывающая состояние результата оценки Политики. Большинство оценок Политики возвращают значение "Succeeded", но эффект Deny возвращает значение "Failed". Ошибки в auditIfNotExists или deployIfNotExists также возвращают значение "Failed". |
| subStatus | Поле будет пустым для событий Политики. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| subscriptionId | Идентификатор подписки Azure. |
| properties.isComplianceCheck | Возвращает значение "False" при развертывании нового ресурса или обновлении свойств Azure Resource Manager имеющегося ресурса. Все остальные триггеры оценки приводят к значению True. |
| properties.resourceLocation | Регион Azure оцениваемого ресурса. |
| properties.ancestors | Разделенный запятыми список родительских групп управления, упорядоченный от непосредственно родительской к самой дальней родительской. |
| properties.policies | Содержит сведения об определении политики, назначении, влиянии и параметрах, результатом которых является эта оценка Политики. |
| relatedEvents | Это поле будет пустым для событий Политики. |
Схема из учетной записи хранения и концентраторов событий
При потоковой передаче журнала действий Azure в учетную запись хранения или концентратор событий данные соответствуют схеме журнала ресурсов. В таблице ниже приведено сопоставление свойств из указанных выше схем со схемой журнала ресурсов.
Note
Формат данных журнала действий, регистрируемых в учетной записи хранения, изменился на строки JSON в 1 ноября 2018 г. Дополнительные сведения об этом изменении схемы см. в разделе Подготовка к изменению формата для журналов ресурсов Azure Monitor, архивируемых в учетной записи хранения.
| Свойство схемы журналов ресурсов | Свойство схемы журнала действий REST API | Notes |
|---|---|---|
| time | eventTimestamp | |
| resourceId | resourceId | Параметры subscriptionId, resourceType и resourceGroupName получаются из параметра resourceId. |
| operationName | operationName.value | |
| category | Часть имени операции | Всегда "Администрирование" |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | description | |
| durationMs | N/A | Всегда 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| identity | свойства удостоверений и авторизации | |
| Level | Level | |
| location | N/A | Расположение, где было обработано событие. Это не расположение ресурса, а место обработки события. Это свойство будет удалено в будущем обновлении. |
| Properties | properties.eventProperties | |
| properties.eventCategory | category | Если properties.eventCategory отсутствует, категория —"Административный" |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | properties |
Ниже приведен пример события, использующего эту схему.
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "[email protected]",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " [email protected]",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}