Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журнал действий Azure содержит сведения о событиях уровня подписки, произошедших в Azure. В этой статье описываются категории журналов действий и схема для каждой из них.
Схема зависит от способа доступа к журналу:
- Схемы, описанные в этой статье, доступны при обращении к журналу действий с помощью REST API. Схема также используется при выборе параметра JSON при просмотре события в портал Azure.
- Схему, которая применяется при отправке журнала действий в службу хранилища Azure или Центры событий Azure с помощью параметра диагностики, см. в последнем разделе Схема из учетной записи хранения и концентраторов событий.
- Сведения о схеме, которая используется при отправке журнала действий в рабочую область Log Analytics с помощью параметра диагностики, см. в справочнике по данным Azure Monitor.
Уровень серьезности
Каждая запись в журнале действий имеет определенный уровень (степень) серьезности. Степень серьезности может принимать одно из следующих значений:
| Степень серьезности | Описание |
|---|---|
| Критически важно | События, требующие немедленного вмешательства системного администратора. Может указывать на то, что приложение или система завершились сбоем или перестал отвечать. |
| Ошибка | События, указывающие на проблему, но не требуют немедленного внимания. |
| Предупреждение | События, которые заблаговременно уведомляют о потенциальной проблеме, но не свидетельствуют о фактической ошибке. Укажите, что ресурс не в идеальном состоянии и может снизиться позже на отображение ошибок или критических событий. |
| Сведения или информационные | События, передающие администратору сведения некритического характера. Аналогично пометке "для информации". |
Разработчики каждого поставщика ресурсов самостоятельно назначают степени серьезности записям о своих ресурсах. В результате реальная степень серьезности зависит от особенностей построения приложение. Например, элементы, которые являются критически важными для определенного ресурса, принятого в изоляции, могут быть не столь важными, как "ошибки" в типе ресурса, который является центральным для приложения Azure. Этот факт следует учитывать при выборе событий, для которых настраиваются оповещения.
Категории
Каждое событие в журнале действий имеет определенную категорию, как описано в следующей таблице. Дополнительные сведения о каждой категории и соответствующей схеме при обращении к журналу действий с портала, из PowerShell, CLI и REST API см. в следующих разделах. При потоковой передаче журнала действий в хранилище или Центры событий используется другая схема. Сопоставление свойств со схемой журналов ресурсов приведено в последнем разделе статьи.
| Категория | Описание |
|---|---|
| администрирование | Содержит записи всех операций создания, обновления, удаления и других действий, которые выполняются через Resource Manager. Административными событиями считаются, например, создание виртуальной машины и удаление группы безопасности сети. Каждое действие, выполняемое пользователем или приложением с помощью Resource Manager, моделируется как операция с определенным типом ресурса. Если операция относится к типу Запись, Удаление или Действие, то сведения о запуске, успешном выполнении или сбое такой операции относятся к категории "Административная". К административным событиям также относятся любые изменения в управлении доступом на основе ролей Azure, которые происходят в подписке. |
| Состояние служб | Содержит запись всех инцидентов работоспособности служб, произошедших в Azure. Пример события "Работоспособность служб": SQL Azure in East US is experiencing downtime (SQL Azure в регионе "Восточная часть США" не работает). События работоспособности служб происходят в шести разновидностях: необходимые действия, вспомогательное восстановление, инциденты, обслуживание, информация или безопасность. Эти события создаются только в том случае, если у вас есть ресурс в подписке, затронутой событием. |
| Состояние ресурсов | Содержит запись всех событий работоспособности ресурсов, произошедших с ресурсами Azure. Пример события "Работоспособность ресурсов": Virtual Machine health status changed to unavailable (Состояние работоспособности виртуальной машины изменилось на "недоступно"). Работоспособность ресурсов события могут представлять одно из четырех состояний работоспособности: Доступные, недоступные, пониженные и неизвестные. Кроме того, события работоспособности ресурсов могут классифицироваться по аспекту PlatformInitiated (Инициировано платформой) или UserInitiated (Инициировано пользователем). |
| Тревога | Содержит записи активаций для оповещений Azure. Примером события оповещения является загрузка ЦП на myVM выше 80 за последние 5 минут. |
| Автомасштабирование | Содержит запись всех событий, связанных с операцией подсистемы автомасштабирования на основе любых параметров автомасштабирования, определенных в подписке. Пример события "Автомасштабирование": Autoscale scale up action failed (Не удалось выполнить действие автоматического увеличения масштаба). |
| Рекомендация | Содержит события рекомендаций Помощника по Azure. |
| Безопасность | Содержит журнал оповещений, созданных Microsoft Defender для облака. Пример события "Безопасность": Suspicious double extension file executed (Выполнен файл с подозрительным двойным расширением). |
| Политика | Содержит записи всех операций действия эффекта, выполняемых Политикой Azure. Примеры событий "Политика": Audit (Аудит) и Deny (Запрет). Каждое действие, выполняемое Политикой, моделируется как операция для ресурса. |
Административная категория
Эта категория содержит записи всех операций создания, обновления, удаления и других действий, которые выполняются через Resource Manager. Примеры типов событий, которые вы увидите в этой категории, включают "создание виртуальной машины" и "удаление группы безопасности сети". Каждое действие, выполняемое пользователем или приложением с помощью Resource Manager, моделируется как операция с определенным типом ресурса. Если операция относится к типу Запись, Удаление или Действие, то сведения о запуске, успешном выполнении или сбое такой операции относятся к категории "Административная". Категория "Административная" также включает в себя любые изменения в управлении доступом на основе ролей Azure, которые происходят в подписке.
Sample event
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "[email protected]",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "[email protected]",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "[email protected]",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Описание |
|---|---|
| авторизация | BLOB-объект со свойствами Azure RBAC события. Обычно включает свойства actionrole и scope свойства. |
| звонящий | Адрес электронной почты пользователя, который выполнил операцию, утверждение имени субъекта-службы или имени участника-пользователя в зависимости от доступности. |
| каналы | Одно из следующих значений: AdminOperation |
| требования | Токен JWT, который используется Active Directory для аутентификации пользователя или приложения при выполнении этой операции в Resource Manager. |
| correlationId | Обычно GUID в строковом формате. События, которые используют один и тот же correlationId, относятся к одному и тому же сверхдействию. |
| описание | Статическое описание события в текстовом виде. |
| eventDataId | Уникальный идентификатор события. |
| eventName | Понятное имя административного события. |
| категория | Всегда Administrative |
| httpRequest | BLOB, описывающий HTTP-запрос. Обычно включает clientRequestIdметод HTTP clientIpAddress и method (HTTP). Например, PUT). |
| уровень | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для затронутого ресурса. |
| resourceProviderName | Имя поставщика ресурса для затронутого ресурса. |
| тип ресурса | Тип ресурса, затронутого событием "Администрирование". |
| идентификатор ресурса | Идентификатор ресурса для затронутого ресурса. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| ИмяОперации | Название операции. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| статус | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно код состояния HTTP соответствующего вызова REST, но также может содержать другие строки, описывающие подстатус, такие как следующие общие значения: ОК (код состояния HTTP: 200), создано (код состояния HTTP: 201), принято (код состояния HTTP: 202), нет содержимого (код состояния HTTP: 204), недопустимый запрос (код состояния HTTP: 400), не найден (код состояния HTTP: 400). 404), конфликт (код состояния HTTP: 409), внутренняя ошибка сервера (код состояния HTTP: 500), служба недоступна (код состояния HTTP: 503), время ожидания шлюза (код состояния HTTP: 504). |
| временная метка события | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| ID подписки | Идентификатор подписки Azure. |
Категория работоспособности службы
Эта категория содержит запись всех инцидентов работоспособности служб, произошедших в Azure. В качестве примера типа события из этой категории можно назвать следующее: "В работе SQL Azure в Восточной части США наблюдаются простои". Существует шесть разновидностей событий работоспособности службы: "Требуется действие", "Инцидент", "Обслуживание", "Сведения" и "Безопасность". Они отображаются, только если в подписке есть ресурс, на который повлияет данное событие.
Sample event
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Дополнительные сведения о значениях в свойствах см. в статье об уведомлениях о работоспособности службы.
Категория работоспособности ресурсов
Эта категория содержит запись событий работоспособности ресурсов, которые произошли с ресурсами Azure. Пример типа события, который вы можно увидеть в этой категории: "Состояние работоспособности виртуальной машины изменено на «недоступно»". События работоспособности ресурсов могут иметь одно из четырех состояний работоспособности: Available (доступно), недоступно (Unavailable), Degraded (снижено) и Unknown (неизвестно). Кроме того, события работоспособности ресурсов можно классифицировать по свойствам PlatformInitiated (Инициировано платформой) и UserInitiated (Инициировано пользователем).
A resource health event is recorded in the activity log when:
- Заметка, например ResourceDegraded или AccountClientThrottling, отправляется для ресурса.
- A resource transitioned to or from Unhealthy.
- Ресурс был неработоспособным в течение более 15 минут.
The following resource health transitions aren't recorded in the activity log:
- A transition to Unknown state.
- A transition from Unknown state if:
- Это первый переход.
- Если состояние до "Неизвестно" совпадает с новым состоянием после. (For example, if the resource transitioned from Healthy to Unknown and back to Healthy).
- For compute resources: VMs that transition from Healthy to Unhealthy, and back to Healthy, when the Unhealthy time is less than 35 seconds.
Sample event
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Описание |
|---|---|
| каналы | Always Admin, Operation |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события оповещения. |
| eventDataId | Уникальный идентификатор события оповещения. |
| категория | Всегда ResourceHealth |
| временная метка события | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| уровень | Уровень серьезности события. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| ИмяОперации | Название операции. |
| resourceGroupName | Имя группы ресурсов, к которой относится ресурс. |
| resourceProviderName | Всегда Microsoft.Resourcehealth/healthevent/action. |
| тип ресурса | Тип ресурса, затронутого событием Работоспособность ресурсов. |
| идентификатор ресурса | Имя идентификатора затронутого ресурса. |
| статус | Строка, описывающая состояние события работоспособности. Возможные значения: Active (Активно), Resolved (Разрешено), InProgress (Выполняется), Updated (Обновлено). |
| subStatus | Обычно для оповещений имеет значение null. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| ID подписки | Идентификатор подписки Azure. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| properties.title | Понятная для пользователя строка с описанием состояния работоспособности ресурса. |
| properties.details | Понятная для пользователя строка с описанием подробностей события. |
| properties.currentHealthStatus | Текущее состояние работоспособности ресурса. Одно из следующих значений: Available, Unavailable, Degradedи Unknown. |
| properties.previousHealthStatus | Предыдущее состояние работоспособности ресурса. Одно из следующих значений: Available, Unavailable, Degradedи Unknown. |
| properties.type | Описание типа события работоспособности ресурса. |
| properties.cause | Описание причины события работоспособности ресурса: Либо UserInitiated и PlatformInitiated. |
Категория оповещений
Эта категория содержит записи всех активаций классических оповещений Azure. Пример события, который вы увидите в этой категории, — "Процент ЦП на myVM превышает 80 за последние 5 минут". Различные системы Azure имеют концепцию оповещений: вы можете определить правило определенного типа и получать уведомление, когда условия соответствуют такому правилу. Каждый раз, когда "активируется" поддерживаемый тип оповещения Azure или выполняются условия для создания уведомления, в эту категорию журнала активности также передается запись об активации.
Sample event
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Описания свойств
| Имя элемента | Описание |
|---|---|
| звонящий | Всегда имеет значение Microsoft.Insights/alertRules. |
| каналы | Always Admin, Operation |
| требования | Большой двоичный объект JSON с именем субъекта-службы (SPN) или типом ресурса обработчика предупреждений. |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события оповещения. |
| eventDataId | Уникальный идентификатор события оповещения. |
| категория | Всегда Alert |
| уровень | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для затронутого ресурса, если это оповещение метрик. Для других типов оповещений это имя группы ресурсов, содержащей сам оповещение. |
| resourceProviderName | Имя поставщика ресурсов для затронутого ресурса, если это оповещение метрик. Для других типов оповещений это имя поставщика ресурсов для самого оповещения. |
| идентификатор ресурса | Имя идентификатора ресурса для затронутого ресурса, если это оповещение метрик. Для других типов оповещений — это идентификатор ресурса самого ресурса оповещения. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| ИмяОперации | Название операции. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| статус | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно для оповещений имеет значение null. |
| временная метка события | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| ID подписки | Идентификатор подписки Azure. |
Поле свойств по типу оповещения
Поле свойств будет содержать разные значения в зависимости от источника события оповещения. Два распространенных поставщика событий оповещений — оповещения журнала действий и оповещения метрик.
Свойства оповещений журнала действий
| Имя элемента | Описание |
|---|---|
| properties.subscriptionId | Идентификатор подписки из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
| properties.eventDataId | Идентификатор данных события из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
| properties.resourceGroup | Группа ресурсов из события журнала действий, которая вызвала активацию этого правила генерации оповещений журнала действий. |
| properties.resourceId | Идентификатор ресурса из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
| properties.eventTimestamp | Метка времени события журнала действий, которая вызвала активацию этого правила генерации оповещений журнала действий. |
| properties.operationName | Имя операции из события журнала действий, которое вызвало активацию этого правила генерации оповещений журнала действий. |
| properties.status | Состояние из события журнала действий, вызвавшего активацию этого правила генерации оповещений журнала действий. |
Свойства оповещений метрик
| Имя элемента | Описание |
|---|---|
| properties.RuleUri | Идентификатор ресурса самого правила оповещения метрики. |
| properties.RuleName | Имя правила оповещения метрики. |
| properties.RuleDescription | Описание правила оповещения метрики (как указано в правиле оповещения). |
| properties.Threshold | Пороговое значение, используемое для оценки правила оповещения метрики. |
| properties.WindowSizeInMinutes | Размер окна, используемый для оценки правила оповещения метрики. |
| properties.Aggregation | Тип агрегата, определенный в правиле оповещения метрики. |
| properties.Operator | Условный оператор, используемый для оценки правила оповещения метрики. |
| properties.MetricName | Имя метрики, используемой для оценки правила оповещения метрики. |
| properties.MetricUnit | Единица измерения метрики, используемая для оценки правила оповещения метрики. |
Категория автомасштабирования
Эта категория содержит записи всех событий, связанных с операциями системы автоматического масштабирования, в основе которой лежат параметры автомасштабирования, определенные в подписке. В качестве примера типа события из этой категории можно назвать следующее: "Не удалось выполнить автоматическое увеличение масштаба". С помощью функции автомасштабирования можно автоматически горизонтально увеличивать или уменьшать масштаб числа экземпляров в поддерживаемом типе ресурсов на основе времени суток и (или) загружать данные (метрики), используя параметр автомасштабирования. Когда выполняются условия для увеличения или уменьшения масштаба, в эту категорию записываются соответствующие события (запуск, успешное выполнение или сбой).
Sample event
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Описания свойств
| Имя элемента | Описание |
|---|---|
| звонящий | Всегда Microsoft.Insights/autoscaleSettings |
| каналы | Always Admin, Operation |
| требования | Большой двоичный объект JSON с именем субъекта-службы (SPN) или типом ресурса системы автомасштабирования. |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события автомасштабирования. |
| eventDataId | Уникальный идентификатор события автомасштабирования. |
| уровень | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для параметра автомасштабирования. |
| resourceProviderName | Имя поставщика ресурсов для параметра автомасштабирования. |
| идентификатор ресурса | Идентификатор ресурса параметра автомасштабирования. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| ИмяОперации | Название операции. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. |
| properties.Description | Подробное описание действий, выполненных системой автоматического масштабирования. |
| properties.ResourceName | Идентификатор ресурса для затронутого ресурса (ресурса, в отношении которого выполнялось действие масштабирования). |
| properties.OldInstancesCount | Число экземпляров до выполнения действия автомасштабирования. |
| properties.NewInstancesCount | Число экземпляров после выполнения действия автомасштабирования. |
| properties.LastScaleActionTime | Метка времени, когда произошло действие автоматического масштабирования. |
| статус | Строка, описывающая состояние операции. Обычные значения: Started, In Progress, Succeeded, Failed, Active, Resolved. |
| subStatus | Обычно для автоматического масштабирования имеет значение null. |
| временная метка события | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| ID подписки | Идентификатор подписки Azure. |
Категория безопасности
Эта категория содержит журнал оповещений, созданных Microsoft Defender для облака. Примером типа события в этой категории является "Выполнен подозрительный файл с двойным расширением".
Sample event
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Описание |
|---|---|
| каналы | Всегда Operation |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события безопасности. |
| eventDataId | Уникальный идентификатор события безопасности. |
| eventName | Понятное имя события безопасности. |
| категория | Всегда Security |
| Идентификатор | Уникальный идентификатор ресурса события безопасности. |
| уровень | Уровень серьезности события. |
| resourceGroupName | Имя группы ресурсов для ресурса. |
| resourceProviderName | Имя поставщика ресурсов для Microsoft Defender for Cloud. Всегда Microsoft.Security. |
| тип ресурса | Тип ресурса, создающего событие безопасности, например Microsoft.Security/locations/alerts |
| идентификатор ресурса | Идентификатор ресурса оповещения системы безопасности. |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| ИмяОперации | Название операции. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием события. Эти свойства зависят от типа оповещения системы безопасности.
Здесь описаны типы предупреждений, поступающих из Defender для облака. |
| properties.Severity | Уровень серьезности. Возможные значения: High, Mediumили Low. |
| статус | Строка, описывающая состояние операции. Некоторые распространенные значения: Started, In Progress, Succeeded, Failed, Active. Resolved |
| subStatus | Обычно имеет значение null для событий безопасности. |
| временная метка события | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| ID подписки | Идентификатор подписки Azure. |
Категория рекомендаций
Эта категория содержит запись о любых новых рекомендациях, которые создаются для служб. Примером рекомендации будет "использование группы доступности для повышения отказоустойчивости". Существует 4 типа событий рекомендации, которые могут быть созданы: высокий уровень доступности, производительности, безопасности и оптимизации затрат.
Sample event
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Описания свойств
| Имя элемента | Описание |
|---|---|
| каналы | Всегда Operation |
| correlationId | Глобальный уникальный идентификатор (GUID) в строковом формате. |
| описание | Статическое текстовое описание события рекомендации |
| eventDataId | Уникальный идентификатор события рекомендации. |
| категория | Всегда Recommendation |
| Идентификатор | Уникальный идентификатор ресурса события рекомендации. |
| уровень | Уровень серьезности события. |
| ИмяОперации | Название операции. Всегда Microsoft.Advisor/generateRecommendations/action |
| resourceGroupName | Имя группы ресурсов для ресурса. |
| resourceProviderName | Имя поставщика ресурсов для ресурса, к которому применяется данная рекомендация, например "MICROSOFT.COMPUTE" |
| тип ресурса | Имя типа ресурса для ресурса, к которому применяется эта рекомендация, например MICROSOFT.COMPUTE/virtualmachines |
| идентификатор ресурса | Идентификатор ресурса для ресурса, к которому применяется рекомендация |
| статус | Всегда Active |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| ID подписки | Идентификатор подписки Azure. |
| свойства | Набор пар <Key, Value> (например, Dictionary) c подробным описанием рекомендации. |
| properties.recommendationSchemaVersion | Версия схемы свойств рекомендации, опубликована в записи журнала действий |
| properties.recommendationCategory | Категория рекомендации. Возможные значения: High Availability, Performanceи SecurityCost |
| properties.recommendationImpact | Влияние рекомендации Возможные значения: High, MediumLow |
| properties.recommendationRisk | Риск рекомендации. Возможные значения: Error, WarningNone |
Категория политики
Эта категория содержит записи всех операций действия эффекта, выполняемых Политикой Azure. Примеры типов событий, которые отобразятся в этой категории, включают Audit и Deny. Каждое действие, выполняемое Политикой, моделируется как операция для ресурса.
Пример события Политики
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Описания свойств события Политики
| Имя элемента | Описание |
|---|---|
| авторизация | Массив со свойствами Azure RBAC события. Для новых ресурсов — это действие и область запроса, вызвавшего вычисление. Для имеющихся ресурсов действием является "Microsoft.Resources/checkPolicyCompliance/read". |
| звонящий | Для новых ресурсов — это удостоверение, которое запустило развертывание. Для имеющихся ресурсов — глобальный уникальный идентификатор поставщика ресурсов Microsoft Azure Policy Insights. |
| каналы | События политики используют только канал "Operation". |
| требования | Токен JWT, который используется Active Directory для аутентификации пользователя или приложения при выполнении этой операции в Resource Manager. |
| correlationId | Обычно GUID в строковом формате. События, которые используют один и тот же correlationId, относятся к одному и тому же сверхдействию. |
| описание | Это поле будет пустым для событий Политики. |
| eventDataId | Уникальный идентификатор события. |
| eventName | "BeginRequest" или "EndRequest". "BeginRequest" используется для отложенной оценки auditIfNotExists и deployIfNotExists, а также при запуске эффектом deployIfNotExists развертывания шаблона. Все остальные операции возвращают "EndRequest". |
| категория | Объявляет события журнала действий как относящиеся к "Policy". |
| временная метка события | Метка времени, когда служба Azure создала событие при обработке соответствующего этому событию запроса. |
| Идентификатор | Уникальный идентификатор события для конкретного ресурса. |
| уровень | Уровень серьезности события. Audit использует значение "Warning", а Deny — "Error". Ошибка auditIfNotExists или deployIfNotExists может создать значения "Warning" и "Error" в зависимости от серьезности. Все события Политики используют значение "Informational". |
| operationId | События, относящиеся к одной операции, совместно используют один GUID. |
| ИмяОперации | Имя операции непосредственно коррелируется c эффектом Политики. |
| resourceGroupName | Имя группы ресурсов для оцениваемого ресурса. |
| resourceProviderName | Имя поставщика ресурсов для оцениваемого ресурса. |
| тип ресурса | Для новых ресурсов это тип, который вычисляется. Для имеющихся ресурсов — возвращает "Microsoft.Resources/checkPolicyCompliance/read". |
| идентификатор ресурса | Идентификатор оцениваемого ресурса. |
| статус | Строка, описывающая состояние результата оценки Политики. Большинство оценок Политики возвращают значение "Succeeded", но эффект Deny возвращает значение "Failed". Ошибки в auditIfNotExists или deployIfNotExists также возвращают значение "Failed". |
| subStatus | Поле будет пустым для событий Политики. |
| submissionTimestamp | Метка времени, когда событие стало доступно для запросов. |
| ID подписки | Идентификатор подписки Azure. |
| properties.isComplianceCheck | Возвращает значение "False" при развертывании нового ресурса или обновлении свойств Azure Resource Manager имеющегося ресурса. Все остальные триггеры оценки приводят к значению "True". |
| properties.resourceLocation | Регион Azure оцениваемого ресурса. |
| properties.ancestors | Разделенный запятыми список родительских групп управления, упорядоченный от непосредственно родительской к самой дальней родительской. |
| properties.policies | Содержит сведения об определении политики, назначении, влиянии и параметрах, результатом которых является эта оценка Политики. |
| relatedEvents | Это поле будет пустым для событий Политики. |
Схема из учетной записи хранения и концентраторов событий
При потоковой передаче журнала действий Azure в учетную запись хранения или концентратор событий данные соответствуют схеме журнала ресурсов. В таблице ниже приведено сопоставление свойств из указанных выше схем со схемой журнала ресурсов.
Замечание
Формат данных журнала действий, регистрируемых в учетной записи хранения, изменился на строки JSON в 1 ноября 2018 г. Дополнительные сведения об этом изменении схемы см. в разделе Подготовка к изменению формата для журналов ресурсов Azure Monitor, архивируемых в учетной записи хранения.
| Свойство схемы журналов ресурсов | Свойство схемы журнала действий REST API | Примечания. |
|---|---|---|
| Время | временная метка события | |
| идентификатор ресурса | идентификатор ресурса | Параметры subscriptionId, resourceType и resourceGroupName получаются из параметра resourceId. |
| ИмяОперации | operationName.value | |
| категория | Часть имени операции | Всегда Administrative. |
| тип результата | status.value | |
| результатПодпись | substatus.value | |
| описание результата | описание | |
| durationMs | Не применимо | Всегда 0 |
| IP-адрес вызывающего абонента | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| идентичность | свойства удостоверений и авторизации | |
| Уровень | Уровень | |
| расположение | Не применимо | Расположение, где было обработано событие. Это не расположение ресурса, а место обработки события. Это свойство будет удалено в будущем обновлении. |
| Свойства | properties.eventProperties | |
| properties.eventCategory | категория | Если properties.eventCategory отсутствует, категория —"Административный" |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | свойства |
Ниже приведен пример события, использующего эту схему.
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "[email protected]",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " [email protected]",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}